«Перший пішов» або перший штраф за порушення умов залучення Data Protection Officer (DPO)

14 Травня 2020

Як ми писали в попередніх статтях, роль Data Protection Officer, в рамках діяльності компанії, є доволі специфічною, однак компанії, продовжуючи нехтувати вимогами GDPR, все ж розпочинають роботу з DPO наражаюxb себе на ризик бути притягнутими до відповідальності. В квітні 2020 року, перший штраф за недотримання таких вимог був накладений Бельгійськи контролюючим органом.

Передумови

Як і в багатьох інших випадках, компанії продовжують призначати на роль DPO своїх представників, вважаючи, що таким чином вони можуть оптимізувати свої фінансові витрати та тримати всі дії DPO під контролем. Така практика може послужити підґрунтям до притягнення компанії до відповідальності за порушення вимог статті 38 GDPR.

У відповідності до пункту (6) ст. 38 GDPR, Data Protection Officer може виконувати інші задачі та обов’язки, при цьому вони не повинні суперечити прямим обов’язкам DPO, що може спричинити появу конфлікту інтересів. Варто зауважити, що відповідальність за виникнення конфлікту інтересів несе саме компанія, яка залучає Data Protection Officer, та яка діє у якості контролера або обробника персональних даних.

Якщо ж назначати на роль DPO будь-кого із працівників компанії, що виконує, наприклад, роль спеціаліста по персональним даним та реалізує заходи щодо забезпечення відповідності компанії вимогам GDPR, в такому випадку, однозначно буде виникати конфлікт інтересів. Це підтверджує і кейс, описаний в цій статті.

Фактичні обставини справи.  

В 2018 році, бельгійська компанія, яку контролюючий орган у своєму звіті не ідентифікував, звернулася до нього із заявою про можливе порушення порядку обробки персональних даних, так як деякі рахунки для клієнтів відправлялися за невірними адресами.  Як результат, контролюючий орган ініціював проведення комплексної перевірки компанії на предмет дотримання законодавства про обробку персональних даних.

В квітні 2020 року, в результаті проведення комплексного розслідування в рамках діяльності бельгійської компанії, було встановлено, що компанія співпрацювала з Data Protection Officer, при цьому він паралельно виконував обов’язки керівника департаменту відповідності, управління ризиками та аудиту. Таке суміщення посад має не аби який конфлікт інтересів, адже особа здійснювала дії та була відповідальною за забезпечення відповідності компанії вимогам GDPR, та одночасно здійснювала контрольну функцію DPO за дотриманням компанією вимог GDPR.

В своєму звіті контролюючий орган заявив, що:

  • Якщо DPO як керівник департаменту внутрішньої відповідності, управління ризиками та аудиту має повноваження щодо прийняття рішень щодо звільнення працівників, це не є сумісним з роллю DPO як радника з питань захисту персональних  даних.
  • Якщо керівник департаменту внутрішньої відповідності, управління ризиками та аудиту  виступає в якості керівника DPO компанії, тобто виконує незалежну та консультативну роль стосовно інших підрозділів бізнесу, така діяльність не обов’язково означає, що завдання особи як керівника департаменту, яким він керує, суперечить природі обов’язків DPO.
  • Якщо керівник департаменту внутрішньої відповідності, управління ризиками та аудиту  виступає в якості керівника DPO компанії та визначає цілі та засоби обробки персональних даних, в контексті цих підрозділів, така діяльність є прямою підставою вважати, що присутній конфлікт інтересів в середині компанії, а отже є порушення вимог GDPR.

Відповідальність

Відповідно до положень GDPR, відповідальність за порушення порядку призначення DPO, передбачає накладення штрафу у розмірі, що еквівалентний 2 (двом) відсоткам від річного обороту компанії, або 10 (десяти) мільйонам євро.

У відповідності з рішенням контролюючого органу Бельгії від 28 квітня 2020 року, на компанію було накладено штраф у розмірі лише 50 000 євро, в силу того, що компанія заявила про свій валовий оборот в минулому році в розмірі 4 (чотирьох) мільярдів євро. Це може свідчити лише про те, що контролюючі органи все ще намагаються максимально лояльно впливати на представників бізнесу, виходячи з недосконалої практики застосування норм GDPR в Європі та світі в цілому.

Висновки

До моменту призначення Data Protection Officer в середині компанії, переконайтеся, що немає жодних конфліктів інтересів в рамках здійснення ним своїх обов’язків. Це важливо, адже нехтування такими вимогами може призвести до накладення значних штрафних санкцій. І хоча компанії з кейсу, описаного вище, пощастило не отримати штраф з сумою із шістьма нулями, саме до вашої компанії може бути застосована така відповідальність.

Радимо вам звертатися до спеціалістів, які зможуть роз’яснити вам як коректно організувати роботу Data Protection Officer  в компанії або ж починати співпрацювати з незалежними професійними DPO на контрактній основі.