Balandžio pabaigoje Belgijos duomenų apsaugos tarnyba skyrė 50 000 Eur baudą. Belgijos organizacijai už tai, kad ši neužtikrino, jog organizacijos duomenų apsaugos pareigūnui (DAP), organizacijoje taip pat užimančiam audito, rizikų valdymo ir atitikties skyrių vadovo pareigas nekiltų interesų konfliktas. Todėl, prieš skiriant vidinį duomenų apsaugos pareigūną (asmenį, užimantį ir kitas pareigas organizacijoje), verta apsvarstyti alternatyvą - skirti išorinį duomenų apsaugos pareigūną (paslaugų teikėją).
Kada kyla DAP interesų konfliktas?
Skiriant baudą buvo remtasi vienu iš pagrindinių kriterijų, vertinant, ar dėl konkrečios pareigybės gali kilti interesų konfliktas, t.y., ar asmuo gali (turi įgaliojimus) nustatyti asmens duomenų tvarkymo tikslus ir priemones. Šį kriterijų savo rekomendacijose yra išskyrusi ir Valstybinė duomenų apsaugos inspekcija (VDAI). VDAI teigimu, jei konkreti pareigybė gali nustatyti duomenų tvarkymo tikslus, taip pat, kokius duomenis ir kokia apimtimi rinkti, kaip juos tvarkyti ir pan. (t. y. nustatyti kodėl, ką ir kaip tvarkyti), tuomet darytina išvada, kad galimybė kilti interesų konfliktui būtų reali. Minėtu Belgijos organizacijos atveju buvo pripažinta, kad atsakomybė už kiekvieną iš trijų skyrių (audito, rizikų valdymo ir atitikties) neabejotinai reiškia, kad tas pareigas einantis asmuo nustato asmens duomenų tvarkymo šiuose trijuose skyriuose tikslus ir priemones, taigi yra atsakingas už duomenų tvarkymo procesus, patenkančius į audito, atitikties, rizikos valdymo sritis.
Interesų konfliktą galinčios sukelti pareigybės
Vadovaujantis prieš tai minėtu kriterijumi ir VDAI rekomendacijomis interesų konfliktą galinčiomis sukelti pareigybėmis galėtų būti laikomos:
1) Vyresnioji vadovybė, pavyzdžiui, generalinis direktorius, vyriausiasis finansininkas, vyriausiasis gydytojas, rinkodaros vadovas, žmogiškųjų išteklių vadovas, IT padalinio vadovas, audito vadovas, rizikų valdymo vadovas, atitikties vadovas ir kt.
2) Žemesnio lygio pareigos, jei vykdant tas pareigas arba funkcijas reikia nustatyti duomenų tvarkymo tikslus ir priemones: saugos įgaliotiniai, vadovų pavaduotojai ir kt.
3) Išorinio DAP atveju, jei jo paprašoma atstovauti organizaciją teismuose, kai nagrinėjamos bylos, susijusios su duomenų apsaugos klausimais.
Kokių priemonių organizacijos turėtų imtis, kad nekiltų DAP interesų konfliktas?
Remiantis 29 straipsnio darbo grupės rekomendacijomis priklausomai nuo organizacijos veiklos, dydžio ir struktūros, organizacijoms rekomenduojama taikyti šią gerąją praktiką:
1) nustatyti pareigybes, kurios būtų nesuderinamos su duomenų apsaugos pareigūno funkcijomis;
2) šiuo tikslu parengti vidaus taisykles, kad būtų išvengta interesų konflikto;
3) į taisykles įtraukti paaiškinimą apie interesų konfliktus;
4) paskelbti, kad organizacijos duomenų apsaugos pareigūnui nekyla interesų konflikto dėl jo, kaip duomenų apsaugos pareigūno, funkcijų vykdymo – taip būtų informuojama, kad šis reikalavimas yra suvokiamas;
5) į organizacijos vidaus taisykles įtraukti apsaugos nuostatas ir užtikrinti, kad skelbimas apie laisvą duomenų apsaugos pareigūno pareigybę arba paslaugų sutartis būtų pakankamai tikslūs ir išsamūs ir taip būtų išvengta interesų konflikto.
Todėl, prieš skiriant vidinį duomenų apsaugos pareigūną (asmenį, užimantį ir kitas pareigas organizacijoje), verta apsvarstyti alternatyvą - skirti išorinį duomenų apsaugos pareigūną (paslaugų teikėją). Taip būtų išvengta ne tik galimo interesų konflikto ir su tuo susijusių baudų, bet ir rūpesčių, susijusių su vidinio DAP aprūpinimu reikiamais ištekliais.
Duomenų apsaugos pareigūno (DAP) interesų konfliktas - baudos organizacijai
Balandžio pabaigoje Belgijos duomenų apsaugos tarnyba skyrė 50 000 Eur baudą. Belgijos organizacijai už tai, kad ši neužtikrino, jog organizacijos duomenų apsaugos pareigūnui (DAP), organizacijoje taip pat užimančiam audito, rizikų valdymo ir atitikties skyrių vadovo pareigas nekiltų interesų konfliktas. Todėl, prieš skiriant vidinį duomenų apsaugos pareigūną (asmenį, užimantį ir kitas pareigas organizacijoje), verta apsvarstyti alternatyvą - skirti išorinį duomenų apsaugos pareigūną (paslaugų teikėją).
Kada kyla DAP interesų konfliktas?
Skiriant baudą buvo remtasi vienu iš pagrindinių kriterijų, vertinant, ar dėl konkrečios pareigybės gali kilti interesų konfliktas, t.y., ar asmuo gali (turi įgaliojimus) nustatyti asmens duomenų tvarkymo tikslus ir priemones. Šį kriterijų savo rekomendacijose yra išskyrusi ir Valstybinė duomenų apsaugos inspekcija (VDAI). VDAI teigimu, jei konkreti pareigybė gali nustatyti duomenų tvarkymo tikslus, taip pat, kokius duomenis ir kokia apimtimi rinkti, kaip juos tvarkyti ir pan. (t. y. nustatyti kodėl, ką ir kaip tvarkyti), tuomet darytina išvada, kad galimybė kilti interesų konfliktui būtų reali. Minėtu Belgijos organizacijos atveju buvo pripažinta, kad atsakomybė už kiekvieną iš trijų skyrių (audito, rizikų valdymo ir atitikties) neabejotinai reiškia, kad tas pareigas einantis asmuo nustato asmens duomenų tvarkymo šiuose trijuose skyriuose tikslus ir priemones, taigi yra atsakingas už duomenų tvarkymo procesus, patenkančius į audito, atitikties, rizikos valdymo sritis.
Interesų konfliktą galinčios sukelti pareigybės
Vadovaujantis prieš tai minėtu kriterijumi ir VDAI rekomendacijomis interesų konfliktą galinčiomis sukelti pareigybėmis galėtų būti laikomos:
1) Vyresnioji vadovybė, pavyzdžiui, generalinis direktorius, vyriausiasis finansininkas, vyriausiasis gydytojas, rinkodaros vadovas, žmogiškųjų išteklių vadovas, IT padalinio vadovas, audito vadovas, rizikų valdymo vadovas, atitikties vadovas ir kt.
2) Žemesnio lygio pareigos, jei vykdant tas pareigas arba funkcijas reikia nustatyti duomenų tvarkymo tikslus ir priemones: saugos įgaliotiniai, vadovų pavaduotojai ir kt.
3) Išorinio DAP atveju, jei jo paprašoma atstovauti organizaciją teismuose, kai nagrinėjamos bylos, susijusios su duomenų apsaugos klausimais.
Kokių priemonių organizacijos turėtų imtis, kad nekiltų DAP interesų konfliktas?
Remiantis 29 straipsnio darbo grupės rekomendacijomis priklausomai nuo organizacijos veiklos, dydžio ir struktūros, organizacijoms rekomenduojama taikyti šią gerąją praktiką:
1) nustatyti pareigybes, kurios būtų nesuderinamos su duomenų apsaugos pareigūno funkcijomis;
2) šiuo tikslu parengti vidaus taisykles, kad būtų išvengta interesų konflikto;
3) į taisykles įtraukti paaiškinimą apie interesų konfliktus;
4) paskelbti, kad organizacijos duomenų apsaugos pareigūnui nekyla interesų konflikto dėl jo, kaip duomenų apsaugos pareigūno, funkcijų vykdymo – taip būtų informuojama, kad šis reikalavimas yra suvokiamas;
5) į organizacijos vidaus taisykles įtraukti apsaugos nuostatas ir užtikrinti, kad skelbimas apie laisvą duomenų apsaugos pareigūno pareigybę arba paslaugų sutartis būtų pakankamai tikslūs ir išsamūs ir taip būtų išvengta interesų konflikto.
Todėl, prieš skiriant vidinį duomenų apsaugos pareigūną (asmenį, užimantį ir kitas pareigas organizacijoje), verta apsvarstyti alternatyvą - skirti išorinį duomenų apsaugos pareigūną (paslaugų teikėją). Taip būtų išvengta ne tik galimo interesų konflikto ir su tuo susijusių baudų, bet ir rūpesčių, susijusių su vidinio DAP aprūpinimu reikiamais ištekliais.
[1] https://edpo.com/news/dpo-and-conflict-of-interest-50-000e-fine-by-the-belgian-dpa/