Kako izbjeći sukob interesa službenika za zaštitu podataka
Uz sve zahtjeve koje Opća uredba o zaštiti podataka propisuje za ulogu Službenika za zaštitu podataka, onaj o kojem se dosad najmanje raspravljalo je vjerojatno zahtjev za njegovom neovisnosti. Moguće je da razlog leži i u tome što je najmanje određen i specifičan u odnosu na ostale zahtjeve koji se odnose na Službenika, poput potrebne stručnosti, znanja i sposobnosti izvršavanja povjerenih mu zadaća; situacije u kojima ga je obvezno imenovati; njegova zaduženja i zadaće itd.
Sve veći broj poslovnih subjekata odlučuje se za vanjskog suradnika na toj poziciji, upravo kako bi bili sigurni da važnu zadaću brige o zaštiti osobnih podataka u njihovom poslovanju obavlja stručnjak s adekvatnom razinom znanja o tematici, uz potpuno objektivan i nepristran pristup kakav uloga zahtjeva. Ipak, u slučaju da ispunjava sve propisane zahtjeve za tu ulogu, Službenik za zaštitu podataka može biti i ranije zaposlen radnik organizacije ili društva.
U takvim situacijama nužno je paziti na zahtjev neovisnosti, jer koliko god se u tom trenutku činilo najjednostavnije Službenikom imenovati nekoga tko je dobro upoznat s radom organizacije – nekoga tko je duže vrijeme u organizaciji, ili je čak i na menadžerskoj ili seniorskoj poziciji, pritom treba uzeti u obzir mogućnost da bi se takva osoba mogla naći u sukobu interesa.
Sukob interesa
Radi se o specifičnom sukobu interesa u smislu zaštite osobnih podataka, a koji proizlazi iz zahtjeva neovisnosti rada Službenika za zaštitu osobnih podataka u izvršavanju svojih zadataka iz članka 38. GDPR-a. Moglo bi se reći da se radi o svojevrsnoj organizacijskoj neovisnosti, prema kojoj voditelj obrade ne smije davati upute ni usmjeravati Službenika u tome kako da obavlja svoj posao.
Ključno je da sam Službenik u obavljanju svog “redovnog” posla ne smije imati ulogu u određivanju načina, temelja i svrhe obrade podataka jer bi u tom slučaju došlo do miješanja uloge voditelja obrade i službenika za zaštitu osobnih podataka, dakle tog specifičnog sukoba interesa. Takvu je definiciju dala Radna skupina iz članka 29 u svojim Smjernicama za službenike za zaštitu podataka iz 2016. godine.
To prvotno znači da Službenik ne bi smio zauzimati položaj unutar organizacije na kojem bi utvrđivao način obrade podataka, tj. ne bi smio biti na radnom mjestu na kojem bi to obavljao. Zbog specifične organizacijske strukture u svakoj organizaciji, takva procjena se mora raditi pojedinačno od slučaja do slučaja.
Pritom bi Službenik trebao davati izvještaje o zaštiti osobnih podataka najvišoj razini upravljanja u društvu, dakle upravi, umjesto direktno nadređenoj osobi u okviru njegovog “redovnog” radnog mjesta.
Uloga Službenika za zaštitu osobnih podataka se može nazvati i ulogom internog nadzornog tijela u organizaciji, a treba istaknuti da on nije osobno odgovaran za nepridržavanje odredaba GDPR-a jer odgovornost leži isključivo na voditelju obrade.
Službenik također ne bi smio biti voditelj aktivnosti obrade (kao primjer, Europski nadzornik za zaštitu osobnih podataka ustvrđuje kako DPO ne bi smio biti na funkciji voditelja ljudskih resursa ili voditelja IT odjela). Zgodno je napomenuti i kako neovisnost uloge Službenika, prema tumačenju Europskog nadzornika za zaštitu osobnih podataka također znači i to da se Službenik ne bi smio zapošljavati na kratkoročni ili ugovor o radu na određeno vrijeme, a uz to bi, prema mišljenju EDPS-a, trebao imati vlastiti budžet s kojim bi raspolagao u obavljanju svojih zadaća.
Kazne nadzornih tijela
Prošle je godine belgijsko nadzorno tijelo donijelo odluku kojom je kaznilo jedno društvo s 50.000,00 EUR zbog sukoba interesa Službenika za zaštitu osobnih podataka. Kako se GDPR jednako primjenjuje na teritoriju cijele EU, a naše nadzorno tijelo, AZOP, nema još objavljene prakse oko tog pitanja, korisno je pogledati argumentaciju belgijskog nadzornog tijela i situaciju na koju se odnosi.
Nadzorno tijelo je ustanovilo sukob interesa iz razloga što je društvo imalo istu osobu na funkciji DPO-a i osobe odgovorne za usklađenost poslovanja i reviziju. Prema takvom tumačenju nadzornog tijela, funkcija Povjerenika za usklađenost poslovanja je funkcija direktno suprotstavljena ulozi Službenika za zaštitu podataka. “Kvaka” je bila u tome što je osoba koja je na funkciji Službenika za zaštitu osobnih podataka istovremeno bila na funkciji voditelja odjela koji bi Službenik za obradu podataka trebao nadzirati – iz čega proizlazi da se posao Službenika ne može provesti na neovisan način.
Drugim riječima, čim je radnik zaposlen na poziciji na kojoj implementira i utječe na načine obrade podataka, tj. mora brinuti o interesima društva u kojem je zaposlen, smatra se da se ne može istovremeno brinuti o interesima zaštite podataka (radnika i drugih ispitanika), jer se radi o dva suprotstavljena interesa.
Istovremeno, nadzorno je tijelo utvrdilo kako Službenik nije dostatno uključen u pitanja povrede osobnih podataka, a što bi treba temeljem čl. 38., st. 1. GDPR-a, a s obzirom da se radi o voditelju obrade podataka milijuna ispitanika, belgijsko je tijelo posegnulo za novčanom kaznom.
Slično je rezoniralo i bavarsko nadzorno tijelo za zaštitu osobnih podataka, BayLDA, koje je 2016. kaznilo njemačko društvo koje je Službenikom za zaštitu osobnih podataka imenovalo osobu koja je bila na poziciji IT managera. Prema tom tumačenju, dvije pozicije su nespojive – jer se od Službenika tražilo da nadzire vlastite aktivnosti koje provodi kao IT Manager, a takva samokontrola proturječi potrebnoj neovisnosti koja se traži od funkcije Službenika. Istog je stava bilo još jedno njemačko nadzorno tijelo, ono iz Tiringije, kad je odlučivalo o funkciji Chief Security Officera.
Detalje o pet najviših do sada dodijeljenih novčanih kazni za kršenje GDPR-a možete pročitati ovdje.
Mišljenje AZOP-a
Jedino Mišljenje koje je objavila Agencija za zaštitu osobnih podataka, a koje se bavi pitanjem sukoba interesa službenika za zaštitu podataka bavi se ulogom tajnika u obrazovnoj ustanovi te njegovoj mogućnosti da obavlja funkciju Službenika za zaštitu osobnih podataka.
AZOP je pritom iznio sljedeće:
…”Možemo reći da je nepisano pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti položaji u višem rukovodstvu (kao što su predsjednik uprave, direktor poslovanja, direktor financija, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i niže uloge u hijerarhijskoj strukturi organizacije ako takvi položaji ili uloge kada podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka koja se smatra odlučnom činjenicom za sukob interesa.
Ovisno o djelatnostima, veličini i strukturi organizacije, za voditelje obrade ili izvršitelje u praksi bi moglo biti dobro sljedeće:
• utvrditi funkcije koje su nespojive s funkcijom službenika za zaštitu podataka, sastaviti interna pravila za tu svrhu kako bi se izbjegao sukob interesa,
• dodati i šire objašnjenje o sukobu interesa,
• izjaviti da njihov službenik za zaštitu podataka nije u sukobu interesa s obzirom na njegovu dužnost službenika za zaštitu podataka, što će pridonijeti podizanju svijesti o postojanju te obveze,
• u interna pravila organizacije uvrstiti zaštitne mjere i osigurati da je natječaj za radno mjesto službenika za zaštitu podataka ili ugovor o djelu dostatno precizan i iscrpan radi izbjegavanja sukoba interesa. U tom bi kontekstu trebalo imati na umu da se sukobi interesa mogu pojaviti u raznim oblicima, ovisno o tome je li službenik za zaštitu podataka već bio zaposlenik organizacije ili nije.
Slijedom iznijetoga, u odnosu na upit može li tajnik škole biti imenovan službenikom za zaštitu podataka navodimo da je u slučaju ako isti ne utvrđuje svrhe i načina obrade osobnih podataka koja se smatra odlučnom činjenicom za sukob interesa ne nalazimo zapreke za obavljanjem navedene funkcije. Isto tako, navodimo kako službenik za informiranje ujedno može biti službenik za zaštitu podataka, odnosno s aspekta propisa o zaštiti osobnih podataka, uzimajući u obzir sve navedeno, ne vidimo ništa sporno da bi jedna osoba mogla obavljati obje navedene funkcije.”
AZOP je tako iznio popis pozicija u organizaciji koje su, po njihovoj procjeni, u suprotnosti sa zahtjevima funkcije Službenika. Radi se uglavnom o rukovodećim funkcijama: predsjednik uprave, direktor poslovanja, direktor financija, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju – ali i pozicije koje su hijerarhijski niže, a utječu na obradu podataka.
Ističemo kako je prilikom nedavnog redizajna AZOP-ovih web stranica nestalo čitavo citirano mišljenje, a sada na podstranici “Primjena Opće uredbe o zaštiti podataka u školskim ustanovama” stoji znatno kraći naputak povezan sa zahtjevom za neovisnošću službenika u školama.
Zaključak
Kako bi se izbjegle moguće buduće glavobolje, prije imenovanja Službenika za zaštitu podataka, neophodno je pregledati njegov opis radnog mjesta te jasno odvojiti funkciju zaštite osobnih podataka od drugih zadataka. Uz to, potrebno je predvidjeti izvještavanje i podređenost isključivo direktno Upravi društva, a ako je potrebno i dokumentirati mjere kojima bi se ublažilo pitanje suprotstavljenih interesa, postavljanjem granica između drugih zadaća.
S druge strane, angažiranje vanjskog službenika za zaštitu podataka osigurava da poslovni subjekti ne moraju razmišljati o potencijalnom sukobu interesa, dok o zaštiti podataka korisnika i zaposlenika tada brine neovisan stručnjak sa znanjem i kredibilitetom, koji djelatnicima omogućuje fokusiranost na vlastite poslovne aktivnosti.
Ako imate bilo kakvih pitanja o mjerama koje je potrebno poduzeti, trebate dodatna pojašnjenja GDPR obveza ili pak analizu trenutnog stanja zaštite osobnih podataka u svom poslovnom subjektu, slobodno nas kontaktirajte.
