Datu aizsardzības speciālista (DPO) loma

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

Līdztekus ietekmes novērtējumam datu aizsardzības speciālists (DPO) ir otrais simboliskais GDPR radījums. Francijā tas loģiski aizstāj datu aizsardzības speciālistu (CIL) jeb datu aizsardzības speciālistu (CPL). Tomēr jāatzīmē, ka Eiropas Savienība jau sen ir ieteikusi iecelt DPO lielās administratīvās un ekonomiskās struktūrās, un dažas ir sekojušas šim ieteikumam.

G29 strādāja pie datu aizsardzības speciālista lomas un pieņēma dažas "vadlīnijas", kuru galīgā versija tika pabeigta 2017. gada 5. aprīlī. Šī informācija palīdz mums ieskicēt šī svarīgā amata kontūras un saturu.

DAS iecelšana ir obligāta šādos gadījumos (37. panta 1. punkts):

– valsts iestādes;

– organizācijas, kuru pamatdarbība prasa veikt regulāru un sistemātisku personu uzraudzību plašā mērogā. G29 nošķir atbalsta darbības, piemēram, algas vai IT, un pamatdarbības, kas attiecas uz organizācijas pamatdarbību (piemēram, veselības dati slimnīcai). Līdzīgi tā ļoti plaši interpretē jēdzienu “regulāra un sistemātiska uzraudzība”, kas neaprobežojas tikai ar tiešsaistes vidi;

– organizācijas, kuru pamatdarbība liek tām plašā mērogā apstrādāt “sensitīvus” datus vai datus, kas saistīti ar notiesājošiem spriedumiem un pārkāpumiem (G29 sniedz būtiskus elementus, lai noteiktu, kas ir domāts ar “plašu mērogu”).

Uzņēmumu grupa vai publisko iestāžu kopums var iecelt vienu datu aizsardzības speciālistu (37. panta 2. un 3. punkts). Protams, G29 valstis stingri iesaka datu aizsardzības speciālista iecelšanu, un tas atkal ir laba prakse.

Datu aizsardzības speciālistu ieceļ datu pārzinis un, attiecīgā gadījumā, apstrādātājs, pamatojoties uz viņa vai viņas profesionālajām īpašībām, “jo īpaši uz viņa vai viņas speciālajām zināšanām datu aizsardzības tiesību aktos un praksē, kā arī spēju veikt savus pienākumus” (37. panta 5. punkts). Jo sarežģītākas ir apstrādes darbības, jo augstākas ir sagaidāmās prasmes.

DAS var būt organizācijas iekšējais vai ārējais darbinieks, un pēdējā gadījumā tas savu uzdevumu veic, pamatojoties uz līgumu. Ja pakalpojumu sniedzējs ir komanda, ir jānosaka katra dalībnieka uzdevumi un jāieceļ komandas vadītājs. WP29 iesaka, lai DAS būtu viegli “sasniedzams” un tāpēc lai tas būtu reģistrēts Eiropas Savienībā. Tomēr, jo īpaši, ja pārzinis vai apstrādātājs atrodas ārpus Eiropas Savienības, ir pieņemami, ka DAS atrodas ārpus ES, ja šādā veidā var rīkoties efektīvāk.

Datu aizsardzības speciālistam nav tikai simboliska loma. Datu pārzinim un apstrādātājam viņam ir jāiesaistās "visos jautājumos, kas saistīti ar personas datu aizsardzību" (38. panta 1. punkts). Ar viņu var sazināties jebkura persona, kuras personas dati tiek apstrādāti (38. panta 4. punkts). Viņam ir "nepieciešamie resursi" savu pienākumu veikšanai, viņam ir piekļuve datiem un apstrādes darbībām, un viņam pat jāspēj "uzturēt savas specializētās zināšanas" (38. panta 2. punkts). Ar "nepieciešamajiem resursiem" G29 domā arī atbalstu, nodrošinot uzraudzību, pietiekamu laiku, materiālos apstākļus un apmācību. Datu aizsardzības speciālists savā ziņā ir iesvētīts.

Vēl jo vairāk tāpēc, ka viņa neatkarība ir garantēta. Viņš faktiski nevar "saņemt nekādus norādījumus par misiju izpildi" (38. panta 3. punkts). Datu pārzinim un apakšuzņēmējam nav nekādas varas pār viņu (tomēr viņiem ir tiesības viņu iecelt), kurš ir atbildīgs tikai savas vadības "augstākajam līmenim". Viņam ir arī jāievēro profesionālais noslēpums un jāievēro konfidencialitāte (38. panta 5. punkts).

Neskatoties uz savu statusu, datu aizsardzības speciālists nav atbildīgs par VDAR neievērošanu no organizācijas, kas to pasūtījusi. Atbildīgs ir tikai datu pārzinis un/vai apstrādātājs. Kriminālatbildība varētu iestāties tikai līdzdalības gadījumā tīšā pārkāpumā.

Datu aizsardzības speciālists var veikt citus pienākumus un uzdevumus, kas nedrīkst radīt interešu konfliktus (38. panta 6. punkts). Tādēļ viņam nav iespējams veikt funkcijas, kas liktu viņam lemt par personas datu apstrādes mērķiem un līdzekļiem. Tāpēc DAS diez vai var veikt organizācijas vadības funkcijas vai strādāt nodaļā, kas atbild par datu pārvaldību. 2015. gadā CNIL veica pētījumu, lai noteiktu datu aizsardzības speciālistu profilus; atklājās, ka nav tipiska profila: 47 % bija tehniskais profils, 19 % — juridiskais profils, 10 % — administratīvais profils. Visticamāk, ka vismaz sākotnēji šis tipiskā profila trūkums būs novērojams DAS vidū.

GDPR 39. pantā ir uzskaitīti deleģētā pienākumu veidi:

– informēt un konsultēt pārzini, apstrādātāju un darbiniekus, kas veic apstrādi, par viņu pienākumiem attiecībā uz personas datu apstrādes noteikumiem;

– uzraudzīt atbilstību noteikumiem, kā arī palielināt informētību un apmācīt apstrādes darbībās iesaistītos darbiniekus;

– pēc pieprasījuma sniegt konsultācijas par ietekmes novērtējumu. WP29 vadlīnijas skaidri piešķir datu aizsardzības speciālistam būtisku lomu šajā novērtējumā. Ar viņu ir jāapspriežas par savlaicīgumu, metodoloģiju un saturu, un pēc tam jāizvērtē tā kvalitāte;

– sadarboties ar uzraudzības iestādi un būt par tās kontaktpunktu. Rakstīšanas brīdī CNIL izstrādā veidlapu datu aizsardzības speciālista iecelšanai.

Tas nav iekļauts rakstā, bet G29 pievieno papildu un neobligātu uzdevumu DAS: "Nekas neliedz pārzinim vai apstrādātājam uzticēt DAS uzdevumu uzturēt pārziņa vai apstrādātāja atbildībā veikto apstrādes darbību reģistru." Varbūt tas ir ieteikums, lai atvieglotu informācijas plūsmu starp dažādiem dalībniekiem?

Tas nebūtu bezjēdzīgi. Jo šīs funkcijas analīzes beigās mēs sev sakām, ka pat lielā uzņēmumā nebūs viegli atrast cilvēku, kurš ir gan kompetents pildīt šo svarīgo lomu, gan brīvs no jebkādas atbildības par datu apstrādi, lai izvairītos no interešu konfliktiem. Patiešām nav viegli apzināties noteikumu noteikumus un jo īpaši to sekas, ja tie nav jāīsteno pašam savā darbā.

Šajā brīdī DPO nosaukšanas problēmas apraksts ir vienkāršs, lai gan patiesībā tie ir trīs atsevišķi apgalvojumi:

Ieceļot to iekšēji, ir jāpārvar vairāki šķēršļi, piemēram, sociālais aspekts un darba līguma pārskatīšana. Patiešām, šajā gadījumā var droši apgalvot, ka šī jaunā uzdevuma apjoms nebija zināms, kad līgums sākotnēji tika parakstīts. Ja mēs pievienojam riska jēdzienu, tiešu un ekskluzīvu pakļautību uzņēmuma pārvaldībai un neko citu, tas ir būtisks līguma grozījums, tātad tas ir jauns darba līgums. Un kurš to izvērtēs iekšēji, kontrolēs? Un kurš veiks savu darbu, jo viņš vairs nevar būt tiesnesis un šķīrējtiesnesis...

Pieņemiet viņu darbā, un pieprasījums strauji pieaug. Šis profils ir tik pieprasīts lielos un vidēja līmeņa uzņēmumos, ka trūkuma dēļ rodas īsta inflācija. Un problēma joprojām pastāv: kas viņu novērtēs un uzraudzīs?

Tāpēc, kāpēc gan nedeleģēt šo DPO funkciju zvērinātam speciālistam, kurš varētu pildīt savu lomu ar prasmēm un neatkarību, ko iekšēji ir grūti saskaņot? Regulā nekas nav teikts par šādu iespēju, un būs jāpārbauda praksē, vai tas ir iedomājams un paredzams (nekas neliedz mums apšaubīt CNIL par šo tēmu). Jebkurā gadījumā mums šķiet interesanti garantēt tikumīgas attiecības starp datu pārzini un datu aizsardzības speciālistu.

Visbeidzot, mēs varam vienkārši izlemt neiecelt datu aizsardzības speciālistu, jo jums vienkārši nav stingra pienākuma to darīt.