Datu aizsardzības speciālists var pildīt citus uzdevumus un pienākumus, ja Pārzinis vai Apstrādātājs nodrošina, lai neviens no minētajiem uzdevumiem un pienākumiem neradītu interešu konfliktu [Datu Regulas 38.6.Pants]
Tā nu tas ir, ka dzirdot vārdus “datu aizsardzības speciālists” uzreiz vienlīdzības zīme tiek likta ar juristu. Atsevišķos gadījumos ar sistēmadministratoru vai drošības pārvaldnieku, bet, kā jau minēju - atsevišķos gadījumos. Vairumā gadījumā, it sevišķi, valsts pārvaldē, datu aizsardzības speciālists ir jurists, kas kaut ko dara. Pamatā, tas “kaut ko dara” ,ir sataisa dokumentu “mapīti”, pildot jurista pienākumus, lai priekšnieks ir laimīgs. Un tad, protams, bez ievērības nevar atstāt situāciju, kad jurists dara savas jurista lietas un IT dara savas IT lietas un viens otra lietās nejaucās, jo katram taču ir sava kompetence. Un ja vēl IT lietas nosedz “Informācijas sistēmu drošības pārvaldnieks”, tad nu vispār- tas taču visu kontrolē un visu zina. Ko tur jaukties iekšā juristam (nu tam, kurš arī skaitās datu aizsardzības speciālists un raugās, lai organizācijā viss ir kārtībā ar “personas datu aizsardzību”), jo tās taču tehniskās lietas, kurās juridisku izaicinājumu nav. Un jā, ja būs kāds pikšķerēšanas uzbrukums vai atklāsies kāds caurums, tad tā taču ir IT problēma un, visticamākais, vadības problēma - IT problēma, lai atvairītu uzbrukumu, aizvērtu caurumu, vadības - IT noteikti nāks un prasīs papildus līdzekļus kaut kādam štruntam (dzelzim, programnodrošinājumam vai cilvēkresursam, tas jau nav būtiski, galvenais - naudas nav)…
Beļgijas uzraudzības iestāde piemērojusi 50'000 EUR sodu par Datu aizsardzības speciālista nenozīmēšanu. Publiski pieejama informācija liecina, ka uzņēmumā tika uzsākta pārbaude, jo tika konstatēts, ka, iespējams, ir noticis personas datu aizsardzības pārkāpums, kur kļūdaini atlasot e-pastus no datu bāzes tika nosūtīti e-pastu sūtījumi personām, kurām tos nevajadzēja saņemt.
Pārbaudei beidzoties, tika konstatēts:
a) Regulas 31. panta pārkāpums (Sadarbība ar uzraudzības iestādi
Pārzinis un apstrādātājs un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma sadarbojas ar uzraudzības iestādi tās uzdevumu izpildē);
b) Regulas 5.2.panta minētā pārskatatbildības principa pārkāpums,kas izpaudās kā iepriekšminētā Regulas 31.panta neizpilde un Regulas 36.panta neievērošana (uz riska pieeju balstīta datu apstrāde un iepriekšējas apspriešanās ar uzraudzības iestādi neizpilde);
c) Regulas 38.1. panta un 38.6.panta pārkāpums - nenodrošinot adekvātu datu aizsardzības speciālista iesaisti, kā arī, nenodrošinot, ka tam nav interešu konflikts ar citiem pienākumiem;
Ievērojot nacionālo procesuālo kartību, pieņemot gala lēmumu, tika konstatēts, ka attiecīgajā gadījumā nav saskatāms Regulas 31.panta pārkāpums, jo faktiski ir grūti novilkt robežu starp aizstāvības pozīciju administratīvajā procesā un tiesībām "neapsūdzēt" sevi no "nesadarbošanās".
Attiecībā uz pārskatatbildības principa neizpildi, uzraudzības iestāde nav varējusi iegūt paskaidrojumus par to, kā notiek riska analīze personas datu aizsardzības pārkāpumu gadījumā, tik vien kā saskatījusi tendenci, ka pēdējos gados uzņēmumā "sistēmiski tika konstatēti "zemi" vai "maznozīmīgi" riski". Pat atbildes par to, kas pieņem lēmumu par riska līmeni un pēc kādas metodikas tie tiek noteikti īsti neesot tikušas saņemtas. Tik vien, izsecināms, ka organizācijas datu aizsardzības speciālists nepiedalās diskusijās par piemērojamo riska līmeni, viņš tiek tikai "informēts". Gala lēmuma pieņemšanas laikā, Uzņēmums pārliecināja lēmumu pieņēmējus, ka tam ir pietiekama metodika, demonstrējot dokumentāciju, kas skar sākotnēji minēto personas datu aizsardzības pārkāpumu, kur viss, tas ir process kā tiek pieņemti lēmumi, esot saprotams. Rezultātā, netika konstatēts pārskatatbildības principa pārkāpums.
Visbeidzot, jautājums par datu aizsardzības speciālistu. Konkretajā gadījumā datu aizsardzības speciālista pienākumus pildīja iekšējā audita, riska pārvaldības un atbilstības nodrošinājuma nodaļas direktors. Pārbaudes laikā tika konstatēts, ka, kā jau minēts iepriekš, datu aizsardzības speciālists par pieņemtajiem lēmumiem tika tikai informēts, nenodrošinot tā iesaisti. Par to, cita starpā, liecināja apstāklis, ka pieejamajā dokumentācijā sadaļa "DPO padoms" līdz šim ne reizi nav ticis aizpildīts.
Uzņēmums norādījis, ka šajos ieņemtajos amatos, direktoram/ datu aizsardzības speciālistam nav jāpieņem lēmumi, kas skar personas datu apstrādes mērķa un līdzekļu noteikšanu, kā rezultātā, tas ir rīkojies atbilstoši Regulas un vadlīniju par datu aizsardzības speciālistu noteikumiem. Uz ko tika iebilsts, ka izvērtējot vai faktiski pastāv interešu konflikts ir jāveic case-by-case analīze, kā rezultātā, lēmuma pieņemšanas procesā tika analizēts ne tikai iepriekš minētais par nesavlaicīgu iesaisti, bet arī kā tiek nodrošināta datu aizsardzības speciālista neatkarība, ievērojot to, ka tas ir iekšējā audita nodaļas sastāvdaļa un ka direktors vienlaicīgi ir atbildīgs arī par šīs nodaļas darbu un funkciju (iekšējā audita, riska pārvaldības un atbilstības nodrošināšanas) izpildi. Šajā gadījumā, tika konstatēts, ka iztrūkst būtisks aspekts - neatkarīga datu aizsardzības speciālista uzraudzība pār nodaļas darbu.
Pēcvārda vieta.
Pirmkārt, neapšaubāmi, ja citas Eiropas uzraudzības iestādes sekos Beļģijas uzraudzības iestādes interpretācijai, tad tas nozīmē, ka organizācijā praktiski neeksistē amati, ar kuru ir iespējams apvienot Datu aizsardzības speciālista pienākumu izpildi. Pirmšķietami, atliek divi ceļi - ārpkalpojuma sniedzēja pakalpojumi vai Datu aizsardzības speciālists bez jebkādiem citiem amata pienākumiem. Bet arī šajos gadījumos, ir ļoti uzmanīgi jāpārskata iekšējās procedūras un to faktiskā norise, lai izvairītos no tā, ka Datu aizsardzības speciālistam ir jāpieņem biznesa lēmumi. Pieredze liecina, ka vēl joprojām, visbiežāk ekonomējot vai vienkārši neizprotot (jo nav nepieciešamība) Datu aizsardzības speciālista lomu, populāri ir mīti par Datu aizsardzības speciālistu. Jā, viens no mītiem ir, ka ja organizācijai ir Datu aizsardzības speciālists, tad tas visu "sakārtos", jo datu aizsardzības jautājumi ir tikai un vienīgi Datu aizsardzības speciālista lauciņš (visbiežāk ar to domājot - papīru sakārtošanu). Un tā kā Datu aizsardzības speciālistam ir viss jāsakārto, tad nav šķēršļu juristam būt par Datu aizsardzības speciālistu, aizmirsot Regulā izvirzītos kritērijus - neatkarība un interešu konflikta neesamība (par ko, starp citu, atbildīgs ir neviens cits kā pati organizācija). Par organizāciju juristiem/Datu aizsardzības speciālistiem paturinot - kur nu vēl lielāku interešu konfliktu atrast!? Vai tad nav tā, ka jurista pienākums ir aizstāvēt organizāciju un atrast jebkuram likumam līkumu, bet Datu aizsardzības speciālistam rūpēties, lai organizācija bez jebkādiem līkumiem godprātīgi izpildītu Regulas prasības? Te būtiski ir atcerēties, ka Datu aizsardzības speciālists ir "iekšējā Datu valsts inspekcija" organizācijā, atsevišķos gadījumos tam pat ir jābūt kā iekšējai "opozīcijai", piemēram, izvērtējot vai notikušais personas datu aizsardzības pārkāpums netiek novērtēts par zemu (protams, bizness, rūpējoties par savu reputāciju darīs visu iespējamo, lai atklāto nesmukumu pēc iespējas vairāk paslaucītu zem tepiķa, bet te arī ir saskatāma neērtā Datu aizsardzības speciālista loma).
Jā, jā, jā Datu aizsardzības speciālista amats īstenībā nav nemaz tik patīkams. Visiem labs nebūsi! Savukārt, ja būsi labs, tad rodas jautājums vai pilnvērtīgi tiek pildīti Datu aizsardzības speciālista pienākumi? Reālajā dzīvē, manuprāt, neeksistē tādas organizācijas uz kurām nevarētu attiecināt tēzi "..uz šo mēs nedaudz pieversim acis..". Vai nu tam par iemeslu ir tehnoloģiskā risinājuma trūkums/ nepietiekamība, vai nu uzņemtās saistības , vai nu - galu galā naudas jautājums. Un tam pa vidu, protams, Datu aizsardzības speciālists, kas mēģina manevrēt starp savu pienākumu izpildi un organizācijas biznesa interesēm.
Īstenībā šo rakstot, aizdomājos arī par Datu aizsardzības speciālista atbildību. Vai gadījumā tiem Datu aizsardzības speciālistiem, kuri pilda konfliktējošus uzdevumus organizācijā, nevajadzētu rakstīt, iespējams, pirmo ziņojumu organizācijas vadībai ar norādi, ka šāda prakse var novest pie administratīvā soda? Ja apskatītajā Beļģijas gadījumā, situācija bija, es pat teiktu, neviennozīmīga, tad mums ikdienā ir pietiekami daudz situācijās, kas kliedz, ka organizācijā nav Datu aizsardzības speciālists, bet ir tikai amata nosaukums "Datu aizsardzības speciālists".
Tādejādi, noslēgumā aicinu tomēr padomāt par Datu aizsardzības speciālistu un atcerēties paralēles ar Datu valsts inspekciju - Kādus padomus un skaidrojumus mēs prasītu Datu valsts inspekcijai? Diez vai ir tā, ka mēs prasīsim padomu, kā neievērot Regulu?
Ja tomēr sasāpējušais jautājums ir "kā apiet Regulas prasību izpildi ar līkumu", tad, iespējams ar to ir jānodarbojas konsultantam (juristam), kas ir eksperts datu aizsardzības jautājumos.
***
Pārbaudei beidzoties, tika konstatēts:
a) Regulas 31. panta pārkāpums (Sadarbība ar uzraudzības iestādi
Pārzinis un apstrādātājs un attiecīgā gadījumā pārziņa vai apstrādātāja pārstāvis pēc pieprasījuma sadarbojas ar uzraudzības iestādi tās uzdevumu izpildē);
b) Regulas 5.2.panta minētā pārskatatbildības principa pārkāpums,kas izpaudās kā iepriekšminētā Regulas 31.panta neizpilde un Regulas 36.panta neievērošana (uz riska pieeju balstīta datu apstrāde un iepriekšējas apspriešanās ar uzraudzības iestādi neizpilde);
c) Regulas 38.1. panta un 38.6.panta pārkāpums - nenodrošinot adekvātu datu aizsardzības speciālista iesaisti, kā arī, nenodrošinot, ka tam nav interešu konflikts ar citiem pienākumiem;
Ievērojot nacionālo procesuālo kartību, pieņemot gala lēmumu, tika konstatēts, ka attiecīgajā gadījumā nav saskatāms Regulas 31.panta pārkāpums, jo faktiski ir grūti novilkt robežu starp aizstāvības pozīciju administratīvajā procesā un tiesībām "neapsūdzēt" sevi no "nesadarbošanās".
Attiecībā uz pārskatatbildības principa neizpildi, uzraudzības iestāde nav varējusi iegūt paskaidrojumus par to, kā notiek riska analīze personas datu aizsardzības pārkāpumu gadījumā, tik vien kā saskatījusi tendenci, ka pēdējos gados uzņēmumā "sistēmiski tika konstatēti "zemi" vai "maznozīmīgi" riski". Pat atbildes par to, kas pieņem lēmumu par riska līmeni un pēc kādas metodikas tie tiek noteikti īsti neesot tikušas saņemtas. Tik vien, izsecināms, ka organizācijas datu aizsardzības speciālists nepiedalās diskusijās par piemērojamo riska līmeni, viņš tiek tikai "informēts". Gala lēmuma pieņemšanas laikā, Uzņēmums pārliecināja lēmumu pieņēmējus, ka tam ir pietiekama metodika, demonstrējot dokumentāciju, kas skar sākotnēji minēto personas datu aizsardzības pārkāpumu, kur viss, tas ir process kā tiek pieņemti lēmumi, esot saprotams. Rezultātā, netika konstatēts pārskatatbildības principa pārkāpums.
Visbeidzot, jautājums par datu aizsardzības speciālistu. Konkretajā gadījumā datu aizsardzības speciālista pienākumus pildīja iekšējā audita, riska pārvaldības un atbilstības nodrošinājuma nodaļas direktors. Pārbaudes laikā tika konstatēts, ka, kā jau minēts iepriekš, datu aizsardzības speciālists par pieņemtajiem lēmumiem tika tikai informēts, nenodrošinot tā iesaisti. Par to, cita starpā, liecināja apstāklis, ka pieejamajā dokumentācijā sadaļa "DPO padoms" līdz šim ne reizi nav ticis aizpildīts.
Uzņēmums norādījis, ka šajos ieņemtajos amatos, direktoram/ datu aizsardzības speciālistam nav jāpieņem lēmumi, kas skar personas datu apstrādes mērķa un līdzekļu noteikšanu, kā rezultātā, tas ir rīkojies atbilstoši Regulas un vadlīniju par datu aizsardzības speciālistu noteikumiem. Uz ko tika iebilsts, ka izvērtējot vai faktiski pastāv interešu konflikts ir jāveic case-by-case analīze, kā rezultātā, lēmuma pieņemšanas procesā tika analizēts ne tikai iepriekš minētais par nesavlaicīgu iesaisti, bet arī kā tiek nodrošināta datu aizsardzības speciālista neatkarība, ievērojot to, ka tas ir iekšējā audita nodaļas sastāvdaļa un ka direktors vienlaicīgi ir atbildīgs arī par šīs nodaļas darbu un funkciju (iekšējā audita, riska pārvaldības un atbilstības nodrošināšanas) izpildi. Šajā gadījumā, tika konstatēts, ka iztrūkst būtisks aspekts - neatkarīga datu aizsardzības speciālista uzraudzība pār nodaļas darbu.
Pēcvārda vieta.
Pirmkārt, neapšaubāmi, ja citas Eiropas uzraudzības iestādes sekos Beļģijas uzraudzības iestādes interpretācijai, tad tas nozīmē, ka organizācijā praktiski neeksistē amati, ar kuru ir iespējams apvienot Datu aizsardzības speciālista pienākumu izpildi. Pirmšķietami, atliek divi ceļi - ārpkalpojuma sniedzēja pakalpojumi vai Datu aizsardzības speciālists bez jebkādiem citiem amata pienākumiem. Bet arī šajos gadījumos, ir ļoti uzmanīgi jāpārskata iekšējās procedūras un to faktiskā norise, lai izvairītos no tā, ka Datu aizsardzības speciālistam ir jāpieņem biznesa lēmumi. Pieredze liecina, ka vēl joprojām, visbiežāk ekonomējot vai vienkārši neizprotot (jo nav nepieciešamība) Datu aizsardzības speciālista lomu, populāri ir mīti par Datu aizsardzības speciālistu. Jā, viens no mītiem ir, ka ja organizācijai ir Datu aizsardzības speciālists, tad tas visu "sakārtos", jo datu aizsardzības jautājumi ir tikai un vienīgi Datu aizsardzības speciālista lauciņš (visbiežāk ar to domājot - papīru sakārtošanu). Un tā kā Datu aizsardzības speciālistam ir viss jāsakārto, tad nav šķēršļu juristam būt par Datu aizsardzības speciālistu, aizmirsot Regulā izvirzītos kritērijus - neatkarība un interešu konflikta neesamība (par ko, starp citu, atbildīgs ir neviens cits kā pati organizācija). Par organizāciju juristiem/Datu aizsardzības speciālistiem paturinot - kur nu vēl lielāku interešu konfliktu atrast!? Vai tad nav tā, ka jurista pienākums ir aizstāvēt organizāciju un atrast jebkuram likumam līkumu, bet Datu aizsardzības speciālistam rūpēties, lai organizācija bez jebkādiem līkumiem godprātīgi izpildītu Regulas prasības? Te būtiski ir atcerēties, ka Datu aizsardzības speciālists ir "iekšējā Datu valsts inspekcija" organizācijā, atsevišķos gadījumos tam pat ir jābūt kā iekšējai "opozīcijai", piemēram, izvērtējot vai notikušais personas datu aizsardzības pārkāpums netiek novērtēts par zemu (protams, bizness, rūpējoties par savu reputāciju darīs visu iespējamo, lai atklāto nesmukumu pēc iespējas vairāk paslaucītu zem tepiķa, bet te arī ir saskatāma neērtā Datu aizsardzības speciālista loma).
Jā, jā, jā Datu aizsardzības speciālista amats īstenībā nav nemaz tik patīkams. Visiem labs nebūsi! Savukārt, ja būsi labs, tad rodas jautājums vai pilnvērtīgi tiek pildīti Datu aizsardzības speciālista pienākumi? Reālajā dzīvē, manuprāt, neeksistē tādas organizācijas uz kurām nevarētu attiecināt tēzi "..uz šo mēs nedaudz pieversim acis..". Vai nu tam par iemeslu ir tehnoloģiskā risinājuma trūkums/ nepietiekamība, vai nu uzņemtās saistības , vai nu - galu galā naudas jautājums. Un tam pa vidu, protams, Datu aizsardzības speciālists, kas mēģina manevrēt starp savu pienākumu izpildi un organizācijas biznesa interesēm.
Īstenībā šo rakstot, aizdomājos arī par Datu aizsardzības speciālista atbildību. Vai gadījumā tiem Datu aizsardzības speciālistiem, kuri pilda konfliktējošus uzdevumus organizācijā, nevajadzētu rakstīt, iespējams, pirmo ziņojumu organizācijas vadībai ar norādi, ka šāda prakse var novest pie administratīvā soda? Ja apskatītajā Beļģijas gadījumā, situācija bija, es pat teiktu, neviennozīmīga, tad mums ikdienā ir pietiekami daudz situācijās, kas kliedz, ka organizācijā nav Datu aizsardzības speciālists, bet ir tikai amata nosaukums "Datu aizsardzības speciālists".
Tādejādi, noslēgumā aicinu tomēr padomāt par Datu aizsardzības speciālistu un atcerēties paralēles ar Datu valsts inspekciju - Kādus padomus un skaidrojumus mēs prasītu Datu valsts inspekcijai? Diez vai ir tā, ka mēs prasīsim padomu, kā neievērot Regulu?
Ja tomēr sasāpējušais jautājums ir "kā apiet Regulas prasību izpildi ar līkumu", tad, iespējams ar to ir jānodarbojas konsultantam (juristam), kas ir eksperts datu aizsardzības jautājumos.
***