«Первый пошел» или первый штраф за нарушение условий привлечения Data Protection Officer (DPO)
Как мы писали в предыдущих статьях, роль Data Protection Officer, в рамках деятельности компании, довольно специфической, однако компании, продолжая пренебрегать требованиями GDPR, все же начинают работу с DPO наражаюxb себя риску быть привлеченными к ответственности. В апреле 2020 года, первый штраф за несоблюдение таких требований был наложен бельгийской контролирующим органом.
предпосылки
Как и во многих других случаях, компании продолжают назначать на роль DPO своих представителей, считая, что таким образом они могут оптимизировать свои финансовые расходы и держать все действия DPO под контролем. Такая практика может послужить основой к привлечению компании к ответственности за нарушение требований статьи 38 GDPR.
В соответствии с пунктом (6) ст. 38 GDPR, Data Protection Officer может выполнять другие задачи и обязанности, при этом они не должны противоречить прямым обязанностям DPO, что может привести к появлению конфликта интересов. Стоит заметить, что ответственность за возникновение конфликта интересов несет именно компания, которая привлекает Data Protection Officer, и которая действует в качестве контроллера или обработчика персональных данных.
Если же назначать на роль DPO кого-либо из работников компании, выполняющей, например, роль специалиста по персональным данным и реализует меры по обеспечению соответствия компании требованиям GDPR, в таком случае, однозначно будет возникать конфликт интересов. Это подтверждает и кейс, описанный в этой статье.
Фактические обстоятельства дела.
В 2018 году, бельгийская компания, которую контролирующий орган в своем отчете не идентифицировал, обратилась к нему с заявлением о возможном нарушении порядка обработки персональных данных, так как некоторые счета для клиентов отправлялись за неверными адресами. Как результат, контролирующий орган инициировал проведение комплексной проверки компании на предмет соблюдения законодательства об обработке персональных данных.
В апреле 2020 года, в результате проведения комплексного расследования в рамках деятельности бельгийской компании, было установлено, что компания сотрудничала с Data Protection Officer, при этом он параллельно выполнял обязанности руководителя департамента соответствия, управления рисками и аудита. Такое совмещение должностей имеет не абы конфликт интересов, ведь лицо осуществляло действия и была ответственной за обеспечение соответствия компании требованиям GDPR и одновременно осуществляла контрольную функцию DPO за соблюдением компанией требований GDPR.
В своем отчете контролирующий орган заявил, что:
Если DPO как руководитель департамента внутренней соответствия, управления рисками и аудита имеет полномочия по принятию решений об увольнении работников, это не совместимо с ролью DPO как советника по вопросам защиты персональных данных.
Если руководитель департамента внутренней соответствия, управления рисками и аудита выступает в качестве руководителя DPO компании, то есть выполняет независимую и консультативную роль по отношению к другим подразделений бизнеса, такая деятельность не обязательно означает, что задача человека как руководителя департамента, которым он руководит, противоречит природе обязанности «связей DPO.
Если руководитель департамента внутренней соответствия, управления рисками и аудита выступает в качестве руководителя DPO компании и определяет цели и средства обработки персональных данных, в контексте этих подразделений, такая деятельность является прямым основанием считать, что присутствует конфликт интересов внутри компании, а следовательно является нарушение требований GDPR.
ответственность
В соответствии с положениями GDPR, ответственность за нарушение порядка назначения DPO, предусматривает наложение штрафа в размере, эквивалентный 2 (двум) процентам от годового оборота компании, или 10 (десяти) миллионам евро.
В соответствии с решением контролирующего органа Бельгии от 28 апреля 2020 года, на компанию был наложен штраф в размере всего 50 000 евро, в силу того, что компания заявила о своем валовой оборот в прошлом году в размере 4 (четырех) миллиардов евро. Это может свидетельствовать лишь о том, что контролирующие органы все еще пытаются максимально лояльно влиять на представителей бизнеса, исходя из несовершенной практики применения норм GDPR в Европе и мире в целом.
выводы
К моменту назначения Data Protection Officer внутри компании, убедитесь, что нет никаких конфликтов интересов в рамках осуществления им своих обязанностей. Это важно, ведь пренебрежение такими требованиями может привести к наложению значительных штрафных санкций. И хотя компании с кейса, описанного выше, посчастливилось не получить штраф и сумма с шестью нулями, именно в вашей компании может быть применена такая ответственность.
Советуем вам обращаться к специалистам, которые смогут разъяснить вам как корректно организовать работу Data Protection Officer в компании или же начинать сотрудничать с независимыми профессиональными DPO на контрактной основе.
