Vloga pooblaščene osebe za varstvo podatkov (DPO)

Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER

Pooblaščena oseba za varstvo podatkov (DPO) je poleg ocene učinka druga simbolična stvaritev GDPR. V Franciji logično nadomešča pooblaščeno osebo za varstvo podatkov (CIL), pooblaščeno osebo za varstvo podatkov (CPL). Vendar je treba opozoriti, da Evropska unija že dolgo priporoča imenovanje pooblaščene osebe za varstvo podatkov v velikih upravnih in gospodarskih strukturah in da so nekatere to priporočilo upoštevale.

Skupina G29 je obravnavala vlogo pooblaščene osebe za varstvo podatkov in sprejela nekaj "smernic", dokončanih 5. aprila 2017. Te podrobnosti nam pomagajo orisati obrise in vsebino tega ključnega položaja.

Imenovanje pooblaščene osebe za varstvo podatkov je obvezno za (člen 37-1):

– javni organi;

– organizacije, katerih osnovne dejavnosti zahtevajo redno in sistematično spremljanje posameznikov v velikem obsegu. G29 razlikuje med podpornimi dejavnostmi, kot so obračun plač ali IT, in osnovnimi dejavnostmi, ki se nanašajo na osnovno dejavnost organizacije (na primer zdravstveni podatki za bolnišnico). Podobno zelo široko razume koncept „rednega in sistematičnega spremljanja“, ki ni omejen na spletno okolje;

– organizacije, katerih osnovne dejavnosti vodijo do obdelave „občutljivih“ podatkov ali podatkov v zvezi s kazenskimi obsodbami in prekrški v velikem obsegu (G29 zagotavlja pomembne elemente za določitev, kaj pomeni „velik obseg“).

Skupina podjetij ali niz javnih organov lahko imenuje eno samo pooblaščeno osebo za varstvo podatkov (člena 37-2 in 37-3). Seveda skupina G29 močno priporoča imenovanje pooblaščene osebe za varstvo podatkov, kar je tudi tukaj dobra praksa.

Pooblaščeno osebo za varstvo podatkov imenuje upravljavec podatkov in, kjer je to primerno, obdelovalec na podlagi njenih poklicnih lastnosti, „zlasti njenega strokovnega znanja o zakonodaji in praksah varstva podatkov ter njene sposobnosti opravljanja svojih dolžnosti“ (člen 37-5). Bolj ko so postopki obdelave zapleteni, višje so pričakovane veščine.

Pooblaščena oseba za varstvo podatkov je lahko notranja ali zunanja v organizaciji, v slednjem primeru pa svoje poslanstvo opravlja na podlagi pogodbe. Če je ponudnik storitev ekipa, je treba natančno določiti naloge vsakega člana in imenovati vodjo ekipe. Delovna skupina iz člena 29 priporoča, da je pooblaščena oseba za varstvo podatkov lahko "dosegljiva" in da ima zato sedež v Evropski uniji. Vendar pa je sprejemljivo, da ima pooblaščena oseba za varstvo podatkov sedež zunaj EU, zlasti kadar ima upravljavec ali obdelovalec sedež zunaj Evropske unije, če lahko na ta način deluje učinkoviteje.

Pooblaščena oseba za varstvo podatkov ne igra le simbolične vloge. Upravljavec in obdelovalec morata biti vključena v „vse zadeve v zvezi z varstvom osebnih podatkov“ (člen 38-1). Z njim se lahko obrne vsaka oseba, katere osebni podatki se obdelujejo (člen 38-4). Ima „potrebne vire“ za opravljanje svojih dolžnosti, ima dostop do podatkov in postopkov obdelave ter mora biti celo sposoben „ohranjati svoje specializirano znanje“ (člen 38-2). Z „potrebnimi viri“ G29 misli tudi na podporo z nadzorom, zadostnim časom, materialnimi pogoji in usposabljanjem. Pooblaščena oseba za varstvo podatkov je na nek način posvečena.

Še toliko bolj, ker je njegova neodvisnost zagotovljena. Pravzaprav ne more "prejemati nobenih navodil v zvezi z izvajanjem nalog" (člen 38-3). Upravljavec podatkov in podizvajalec nimata nobene moči nad njim (imata pa pooblastilo, da ga imenujeta), ki je odgovoren le "najvišji ravni" njihovega vodstva. Zavezan je tudi k poklicni molčečnosti in obveznosti zaupnosti (člen 38-5).

Kljub svojemu statusu pooblaščena oseba za varstvo podatkov ni odgovorna za neskladnost z GDPR s strani organizacije, ki jo je pooblastila. Odgovorna sta le upravljavec podatkov in/ali obdelovalec. Kazenska odgovornost bi lahko nastala le v primeru sostorilstva pri namerni kršitvi.

Pooblaščena oseba za varstvo podatkov lahko opravlja tudi druge dolžnosti in naloge, ki ne smejo povzročati nasprotja interesov (člen 38-6). Zato ne more opravljati funkcij, ki bi ga vodile k odločanju o namenih in sredstvih obdelave osebnih podatkov. Pooblaščena oseba za varstvo podatkov zato težko opravlja vodstvene funkcije organizacije ali dela znotraj oddelka, odgovornega za upravljanje podatkov. Leta 2015 je CNIL izvedla študijo za določitev profilov pooblaščencev za varstvo podatkov; izkazalo se je, da ni tipičnega profila: 47 pooblaščencev za varstvo podatkov (%) je imelo tehnični profil, 19 pooblaščencev za varstvo podatkov (%) pravni profil, 10 pooblaščencev za varstvo podatkov pa administrativni profil. Verjetno bo, vsaj sprva, ta odsotnost tipičnega profila prisotna pri pooblaščenih osebah za varstvo podatkov.

Člen 39 GDPR navaja dolžnosti pooblaščenca:

– obveščati in svetovati upravljavcu, obdelovalcu in zaposlenim, ki izvajajo obdelavo, o njihovih obveznostih v zvezi s pravili o obdelavi osebnih podatkov;

– spremljati skladnost s predpisi, pa tudi ozaveščati in usposabljati osebje, ki sodeluje pri postopkih obdelave;

– po potrebi svetovati glede ocene učinka. Smernice WP29 jasno dajejo pooblaščeni osebi za varstvo podatkov pomembno vlogo pri tej oceni. Z njo se je treba posvetovati o pravočasnosti, metodologiji in vsebini, nato pa presoditi njeno kakovost;

– sodelovati z nadzornim organom in biti kontaktna oseba zanj. V času pisanja tega besedila CNIL pripravlja obrazec za imenovanje pooblaščene osebe za varstvo podatkov.

Tega sicer ni v članku, vendar skupina G29 dodaja dodatno in neobvezno nalogo pooblaščeni osebi za varstvo podatkov: »Nič ne preprečuje upravljavcu ali obdelovalcu, da pooblaščeni osebi za varstvo podatkov zaupa nalogo vodenja registra postopkov obdelave, ki se izvajajo v pristojnosti upravljavca ali obdelovalca.« Morda je to predlog za lažji pretok informacij med različnimi akterji?

To ne bi bilo neuporabno. Ker si na koncu analize te funkcije rečemo, da ne bo lahko najti, niti v velikem podjetju, osebe, ki je hkrati usposobljena za to pomembno vlogo in prosta kakršne koli odgovornosti pri obdelavi podatkov, da bi se izognili navzkrižju interesov. Resnično ni lahko poznati določb predpisa in zlasti njihovih posledic, če jih ni treba sam izvajati v okviru svojega dela.

Na tej točki je opis problema imenovanja pooblaščene osebe za varstvo podatkov preprost, čeprav gre pravzaprav za tri ločene izjave:

Pri notranjem imenovanju je treba premagati številne ovire, kot sta socialni vidik in ponovna pogajanja o pogodbi o zaposlitvi. Dejansko je v tem primeru mogoče staviti, da obseg te nove misije ob prvotnem podpisu pogodbe ni bil znan. Če dodamo še pojem tveganja, neposredno in izključno podrejenost upravljanju podjetja in ničemur drugemu, gre za bistveno spremembo pogodbe, torej za novo pogodbo o zaposlitvi. In kdo jo bo notranje ocenil, nadzoroval? In kdo bo opravljal svoje delo, saj ne more več biti sodnik in arbiter ...

Če ga zaposlite, povpraševanje po njem močno naraste. Njegova profilna profila je tako iskana med velikimi in srednje velikimi podjetji, da zaradi pomanjkanja prihaja do prave inflacije. In problem ostaja: kdo ga bo ocenjeval in spremljal?

Zakaj torej te funkcije pooblaščene osebe za varstvo podatkov ne bi prenesli na zapriseženega strokovnjaka, ki bi svojo vlogo lahko opravljal s spretnostjo in neodvisnostjo, ki ju je interno težko uskladiti? Uredba o tej možnosti ne omenja ničesar in v praksi bo treba preveriti, ali je to mogoče in predvideno (nič nam ne preprečuje, da bi o tej temi povprašali CNIL). V vsakem primeru se nam zdi zanimivo, saj gre za zagotovilo za dober odnos med upravljavcem podatkov in pooblaščeno osebo za varstvo podatkov.

In končno, lahko se preprosto odločimo, da ne bomo imenovali pooblaščene osebe za varstvo podatkov, ker preprosto niste strogo dolžni to storiti.