Duomenų apsaugos pareigūno (DAP) vaidmuo

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

Kartu su poveikio vertinimu, duomenų apsaugos pareigūnas (DAP) yra antrasis simbolinis BDAR kūrinys. Prancūzijoje jis logiškai pakeičia duomenų apsaugos pareigūną (CIL), duomenų apsaugos pareigūną (CPL). Tačiau reikėtų pažymėti, kad Europos Sąjunga jau seniai rekomenduoja skirti duomenų apsaugos pareigūną didelėse administracinėse ir ekonominėse struktūrose ir kad kai kurios iš jų vadovavosi šia rekomendacija.

G29 dirbo ties duomenų apsaugos pareigūno vaidmeniu ir priėmė kai kurias „gaires“, kurios buvo galutinai parengtos 2017 m. balandžio 5 d. Šios detalės padeda mums apibūdinti šios svarbios pareigybės kontūrus ir turinį.

Duomenų apsaugos pareigūno paskyrimas yra privalomas (37-1 straipsnis):

– viešosios įstaigos;

– organizacijos, kurių pagrindinė veikla reikalauja reguliariai ir sistemingai stebėti asmenis dideliu mastu. G29 skiria pagalbinę veiklą, pavyzdžiui, darbo užmokestį ar IT, ir pagrindinę veiklą, kuri susijusi su pagrindine organizacijos veikla (pavyzdžiui, ligoninės sveikatos duomenys). Panašiai ji labai plačiai supranta „reguliarios ir sistemingos stebėsenos“ sąvoką, kuri neapsiriboja internetine aplinka;

– organizacijos, kurių pagrindinė veikla verčia jas tvarkyti „neskelbtinus“ duomenis arba duomenis, susijusius su apkaltinamaisiais nuosprendžiais ir nusikaltimais, dideliu mastu (G29 pateikia svarbių elementų, padedančių nustatyti, ką reiškia „didelis mastas“).

Įmonių grupė arba viešųjų įstaigų rinkinys gali paskirti vieną duomenų apsaugos pareigūną (37-2 ir 37-3 straipsniai). Žinoma, G29 primygtinai rekomenduoja paskirti duomenų apsaugos pareigūną, ir tai vėlgi yra gera praktika.

Duomenų apsaugos pareigūną skiria duomenų valdytojas ir, jei taikoma, duomenų tvarkytojas, atsižvelgdami į jo profesines savybes, „ypač į specialias duomenų apsaugos teisės ir praktikos žinias bei gebėjimą atlikti savo pareigas“ (37-5 straipsnis). Kuo sudėtingesnės tvarkymo operacijos, tuo aukštesnių įgūdžių tikimasi.

Duomenų apsaugos pareigūnas gali būti organizacijos vidinis arba išorinis darbuotojas, o pastaruoju atveju savo užduotį jis gali vykdyti pagal sutartį. Jei paslaugų teikėjas yra komanda, turi būti nurodytos kiekvieno nario užduotys ir paskirtas komandos vadovas. WP29 rekomenduoja, kad duomenų apsaugos pareigūnas būtų lengvai „pasiekiamas“ ir todėl būtų įsisteigęs Europos Sąjungoje. Tačiau, ypač kai duomenų valdytojas arba tvarkytojas yra įsikūrę už Europos Sąjungos ribų, priimtina, kad duomenų apsaugos pareigūnas būtų įsisteigęs už ES ribų, jei tokiu būdu jis gali veikti efektyviau.

Duomenų apsaugos pareigūnas atlieka ne tik simbolinį vaidmenį. Duomenų valdytojas ir tvarkytojas privalo jį įtraukti į „visus su asmens duomenų apsauga susijusius klausimus“ (38-1 straipsnis). Su juo gali susisiekti bet kuris asmuo, kurio asmens duomenys yra tvarkomi (38-4 straipsnis). Jis turi „reikalingus išteklius“ savo pareigoms atlikti, turi prieigą prie duomenų ir tvarkymo operacijų ir netgi turi gebėti „išlaikyti savo specializuotas žinias“ (38-2 straipsnis). „Reikalingais ištekliais“ G29 taip pat turi omenyje paramą, teikiamą prižiūrint, pakankamai laiko, materialines sąlygas ir mokymus. Duomenų apsaugos pareigūnas tam tikra prasme yra įšventintas.

Juo labiau, kad jo nepriklausomumas yra garantuojamas. Iš tikrųjų jis negali „gauti jokių nurodymų dėl misijų vykdymo“ (38-3 str.). Duomenų valdytojas ir subrangovas neturi jokios valdžios jam (tačiau jie turi teisę jį paskirti), kuris yra atskaitingas tik „aukščiausiam“ savo vadovybės lygiui. Jam taip pat taikoma profesinė paslaptis ir konfidencialumo įpareigojimas (38-5 str.).

Nepaisant jų statuso, duomenų apsaugos pareigūnas neatsako už tai, kad jį užsakiusi organizacija nesilaiko BDAR. Atsakomybė tenka tik duomenų valdytojui ir (arba) tvarkytojui. Baudžiamoji atsakomybė gali kilti tik bendrininkavimo tyčiniame pažeidime atveju.

Duomenų apsaugos pareigūnas gali atlikti kitas pareigas ir užduotis, kurios neturi sukelti interesų konflikto (38-6 str.). Todėl jis negali atlikti funkcijų, kurios leistų jam spręsti dėl asmens duomenų tvarkymo tikslų ir priemonių. Todėl duomenų apsaugos pareigūnas vargu ar gali vykdyti organizacijos valdymo funkcijas ar dirbti už duomenų valdymą atsakingame skyriuje. 2015 m. CNIL atliko tyrimą, siekdama nustatyti duomenų apsaugos pareigūnų profilius; paaiškėjo, kad nėra tipinio profilio: 47 % turėjo techninį profilį, 19 % – teisinį profilį, 10 % – administracinį profilį. Tikėtina, kad bent jau iš pradžių šis tipinio profilio nebuvimas bus pastebimas tarp duomenų apsaugos pareigūnų.

BDAR 39 straipsnyje išvardytos įgaliotojo asmens pareigos:

– informuoti ir konsultuoti duomenų valdytoją, tvarkytoją ir duomenis vykdančius darbuotojus dėl jų įsipareigojimų, susijusių su asmens duomenų tvarkymo taisyklėmis;

– stebėti, kaip laikomasi reglamentų, taip pat didinti informuotumą ir apmokyti darbuotojus, dalyvaujančius duomenų tvarkymo operacijose;

– jei prašoma, teikti konsultacijas dėl poveikio vertinimo. WP29 gairėse duomenų apsaugos pareigūnui aiškiai suteikiamas svarbus vaidmuo atliekant šį vertinimą. Su juo arba ja turi būti konsultuojamasi dėl savalaikiškumo, metodikos ir turinio, o tada vertinama jų kokybė;

– bendradarbiauti su priežiūros institucija ir būti jos kontaktiniu asmeniu. Šio dokumento rašymo metu CNIL rengia duomenų apsaugos pareigūno paskyrimo formą.

Straipsnyje to nėra, bet G29 prideda papildomą ir neprivalomą duomenų apsaugos pareigūno misiją: „Niekas netrukdo duomenų valdytojui ar tvarkytojui patikėti duomenų apsaugos pareigūnui tvarkyti duomenų valdytojo ar tvarkytojo atsakomybe atliekamų tvarkymo operacijų registrą.“ Galbūt tai yra pasiūlymas, kuriuo siekiama palengvinti informacijos srautą tarp skirtingų veikėjų?

Tai nebūtų nenaudinga. Nes baigus šios funkcijos analizę, sakome sau, kad net didelėje įmonėje nebus lengva rasti asmenį, kuris būtų kompetentingas atlikti šį svarbų vaidmenį ir kartu būtų laisvas nuo bet kokios atsakomybės už duomenų tvarkymą, siekiant išvengti interesų konfliktų. Iš tiesų nėra lengva žinoti reglamento nuostatas ir ypač jų pasekmes, kai nereikia jų pačiam įgyvendinti savo darbo kontekste.

Šiuo metu DPO pavadinimo nustatymo problemos aprašymas yra paprastas, nors iš tikrųjų tai yra trys atskiri teiginiai:

Skiriant jį viduje, reikia įveikti daugybę kliūčių, pavyzdžiui, socialinius aspektus ir darbo sutarties persvarstymą. Iš tiesų, šiuo atveju galima drąsiai teigti, kad šios naujos misijos apimtis nebuvo žinoma, kai sutartis buvo iš pradžių pasirašyta. Jei pridėsime rizikos sąvoką, tiesioginį ir išimtinį pavaldumą įmonės valdymui ir niekam kitam, tai bus esminis sutarties pakeitimas, taigi tai bus nauja darbo sutartis. Ir kas jį vertins viduje, kontroliuos? Ir kas atliks savo darbą, nes jie nebegali būti teisėjais ir arbitrais...

Įdarbinkite jį ir paklausa išaugs. Didelės ir vidutinės įmonės taip nori šio darbo, kad dėl trūkumo kyla tikra infliacija. Ir problema išlieka: kas jį vertins ir stebės?

Tad kodėl gi nedelegavus šios duomenų apsaugos pareigūno funkcijos prisiekusiam specialistui, kuris galėtų atlikti savo vaidmenį su įgūdžiais ir nepriklausomybe, kuriuos sunku suderinti viduje? Reglamente apie tokią galimybę nieko neužsimenama, todėl reikės praktiškai įsitikinti, ar tai įmanoma ir numatoma (niekas netrukdo mums šiuo klausimu užduoti klausimų CNIL). Bet kokiu atveju mums tai atrodo įdomu – tai garantuoja gerus santykius tarp duomenų valdytojo ir duomenų apsaugos pareigūno.

Galiausiai, galime tiesiog nuspręsti neskirti duomenų apsaugos pareigūno, nes jūs tiesiog neprivalote to daryti.