DPA din Belgia reafirmă: DPO nu poate fi o persoană din departamentul juridic al companiei
7 minute • Ana-Maria Udriste • 02 mai 2020
Este cazul să ne gândim la un DPO extern? Mai ales unul care să lucreze remote, online?
Starea de urgență la nivel mondial cauzată de COVID-19 nu înseamnă că GDPR trebuie ignorat. Dimpotrivă.
Deloc surprinzător, autoritatea privind protecția datelor din Belgia reafirmă ceea ce noi la avocatoo.ro am susținut mereu: o persoană care conduce departamentul juridic al unei companii nu poate îndeplini funcția de DPO (ofițer responsabil cu protecția datelor personale).
Ce s-a întâmplat?
Autoritatea din Belgia a sancționat societatea Proximus, care se ocupă de securitate cibernetică cu 50.000 euro pentru că DPO-ul numit de ei era conducătorul departamentului juridic al firmei (head of legal).
Decizia poate fi citită, doar în daneză, aici, dar se poate traduce cu ușurință cu Google Translate.
În decizia din 28 aprilie 2020, DPA din Belgia a sancționat Proximus pentru lipsa de cooperare, precum și pentru numirea directorului unui departament ca responsabil privind protecția datelor („DPO”), cu încălcarea articolului 38 alineatul (6) din GDPR.
În special, decizia subliniază că DPO-ul desemnat a funcționat ca director al departamentelor de audit intern, managementul riscurilor și conformitate, despre care Proximus a susținut că au toate caracterul consultativ.
Cu toate acestea, decizia subliniază că DPO-ul nu a fost implicat suficient în discuțiile privind încălcările datelor cu caracter personal și că Proximus nu a avut o politică de prevenire a conflictelor de interese.
Prin urmare, DPA din Belgia constată că funcția DPO nu poate fi desfășurată în mod independent și a dus la conflicte de interese.
Citește și: când avem nevoie de un DPO?
Ce înseamnă un conflict de interese?
Potrivit articolul 38 alin. (6) din GDPR,
”Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese. ”
Pentru multe organizații, numirea unui DPO a fost una dintre cerințele mai complicate de a face față în cadrul GDPR. Descrierea detaliată a activității de muncă, cerințele ridicate din punct de vedere al expertizei ridic o ștachetă destul de mare.
Dacă adăugam faptul că această funcție nu a existat în majoritatea statelor membre ale UE, s-a creat o cerere imensă pentru numărul limitat de persoane care îndeplinesc cerințele legale și este clar că multe organizații au avut probleme uriașe pentru a găsi persoana potrivită pentru acest serviciu.
O parte din ele au decis să externalizeze acest serviciu în sarcina unor persoane care se pot ocupa din exterior de aceste atribuții, cum facem și noi la avocatoo.ro pentru companiile cărora le oferim sprijin în activitatea curentă sub forma unui DPO extern online.
Dar nu este de mirare că multe organizații au decis să numească DPO din cadrul organizației. La urma urmei, articolul 38 alin. (6) din GDPR la care am făcut referire mai sus permite în mod expres organizațiilor să numească un DPO care îndeplinește „alte sarcini și îndatoriri”, atât timp cât nu are ca rezultat un conflict de interese.
În ceea ce privește conflictul de interese, Grupul de Lucru Articolul 29 a menționat clar că ”persoanele din managementul senior” se află de la bun început într-o poziție de conflict: CEO, COO, Directorul departamentului de RU/HR, Directorul de Marketing, Directorul de IT.
Dar Directorul departamentului juridic? Teoretic acesta nu intră în conflict și mai mult, știe cum merg lucrurile în cadrul organizației pentru a putea oferi îndrumările cele mai bune în linie cu protecția datelor personale. Ei bine, așa cum am afirmat anterior în cadrul cursurilor și webinariilor ținute, poziția de directorul al departamentului juridic intră în conflict cu poziția de DPO.
Exact asta a afirmat și DPA din Belgia. Pe baza celei mai recente decizii a autorității, toate aceste organizații riscă amenzi, pentru că au demonstrat un „grad ridicat de neglijență” în numirea directorului departamentului juridic / departamentului de conformitate ca DPO.
Una din soluțiile cele mai ușor de implementat este numirea unui DPO extern, din afara companiei, care să asigure gradul de conformitate.
Citește și: check-listul complet pentru alegerea unui DPO
Ce a zis autoritatea din Belgia?
În urma unei investigații declanșate de o încălcare a datelor, autoritatea a susținut că Proximus nu a respectat articolul 38 alin. (6) din GDPR pentru că și-a desemnat director de conformitate, de risc și de audit (head of legal, audit & risk) ca DPO.
Proximus a susținut că nu există un conflict de interese între aceste roluri, în măsura în care DPO nu a fost implicat în nicio decizie în privința prelucrării datelor cu caracter personal.
Autoritatea nu a fost de acord, subliniind că, în calitatea sa de director de conformitate, de risc și de audit, DPO-ul a fost responsabilul final pentru prelucrarea datelor cu caracter personal în contextul conformității, riscului și activităților de audit ale organizației.
Ca urmare, autoritatea a decis că este imposibil pentru DPO să exercite o supraveghere independentă asupra acestor activități de prelucrare.
Pe baza faptului că „noțiunea de DPO nu este nouă și există de mult timp în multe state membre și în multe organizații” autoritatea a concluzionat că, în combinarea acestor roluri, Proximus a acționat cu un „grad semnificativ de neglijență”.
Lui Proximus i-a fost impus ca măsură să soluționeze conflictul de interese și a fost amendat cu o sumă de 50.000 EUR. Valoarea amenzii poate părea nesemnificativă (aproximativ 0,001% din cifra de afaceri anuală), dar este cea mai mare amendă administrativă aplicată de autoritatea din Belgia până în prezent.
Te-ar putea interesa și: toolkit pentru DPO – ce trebuie să știi ca să pornești pe drumul ăsta
Viziunea noastră: e mai bun un DPO extern?
Este fără doar și poate că rolul unui DPO nu poate fi deținut de o persoană care ar putea influența în vreo manieră decizia asupra prelucrării datelor cu caracter personal ale organizației.
Iar directorul departamentului juridic al unei organizații este una din acele persoane care au control aproape direct asupra procedurilor care se întâmplă intern, chiar și dacă doar trec la final pe la el pentru verificare și aprobare.
Rolul unui DPO în cadrul unei organizații este de a supraveghea întregul proces al prelucrării datelor cu caracter personal, de a compila procedurile și viziunea organizației și de a pune cap la cap toate prelucrările la nivelul organizației pentru a le aduce la un stadiu de conformitate.
În același timp, DPO-ul trebuie să fie o persoană independentă, care să nu se afle sub controlul unei alte persoane și să nu poată fi sancționat pentru îndeplinirea atribuțiilor sale. Iar între organizație și directorul departamentului juridic există de la bun început un raport de subordonare.
Recomandarea ar fi ca organizațiile să se îndrepte mai mult spre un DPO extern și să economisească astfel resurse financiare și timp petrecut pentru instruirea acestuia.
Ce impact are asta asupra întreprinderilor?
În primul rând, firmele ar trebui să înțeleagă că poziția unui DPO este una specială, care de cele mai multe ori nu se poate face în cadrul organizației din persoanele existente, cărora să li se acorde atribuții în plus prin fișa postului.
În al doilea rând, întreprinderile au două opțiuni:
(a) fie decid să externalizeze acest serviciu în afara companiei către o persoană sau o firmă specializată sub forma unui DPO extern sau
(b) instruiesc o persoană în mod special pentru această funcție, care va îndeplini rolul de DPO în conformitate cu cerințele regăsite în GDPR.
La avocatoo.ro vei găsi specialiști care oferă servicii de DPO extern în conformitate cu prevederile GDPR. Economisește timp și resurse financiare și beneficiază de expertiză de calitate.