Как сэкономить сотни тысяч евро при назначении офицера информационной безопасности?
Data protection officer отвечает за внедрение политики информационной безопасности в компании. Его функции может выполнять сотрудник по совместительству, но важно избегать конфликта интересов. Не все компании справляются с этой задачей. IT-юристы Stalirov&Co рассказали про 3 кейса, когда компаниям пришлось заплатить штрафы за нарушение конфликта интересов, и поделились как избежать такой ситуации.
50 000 евро штрафа за совмещение функций руководителя отдела аудита и DPO
В 2020 году Бельгийский орган по защите данных наложил 50 000 евро штрафа на оператора связи. Сотрудник компании выполнял обязанности как руководителя отдела аудита, рисков и соответствия, так и DPO. Такую ситуацию можно охарактеризовать как “самоконтроль”.
Data protection officers не могут быть сотрудники, которые одновременно определяют цели и средства обработки персональных данных. Это существенный конфликт интересов. Роль руководителя отдела несовместима с функцией DPO, который должен выполнять свои задачи независимо.
75 000 евро штрафа за совмещение функций директора по безопасности и DPO
В 2021 году Бельгийский орган по защите данных наложил штраф на банк, в котором один сотрудник совмещал позицию DPO с должностью директора по безопасности. Кроме этого, он руководил отделом управления операционными и информационными рисками банка, а также отделом специальных расследований.
Руководитель отделов определял цели и средства обработки данных в своих службах. Это было отражено в протоколе операций банка, где перечислены категорий персональных данных, которые обрабатываются тремя отделами. Совмещение должности DPO с должностью начальника трех отделов невозможно без конфликта интересов.
Орган по защите данных указал, что нарушение является серьезной халатностью. Банк обрабатывает персональные данные большого количества клиентов. Отсутствие эффективных гарантий защиты, в том числе из-за назначения DPO, который не соответствует требованиям независимости GDPR, может повлиять на огромное количество субъектов данных.
525 000 евро за совмещение функций директора сервисных компаний и DPO
В сентябре 2022 года Комиссар Берлина по защите данных и свободе информации принял решение о самом большом штрафе за нарушение конфликта интересов. Один сотрудник был управляющим директором двух сервисных розничных компаний, которые обрабатывали личные данные заказчиков. Для этих же компаний, при обслуживании клиентов и выполнении заказов, он был DPO. Но недопустимо одновременно контролировать соблюдение закона о защите данных сервисными компаниями и управлять ими в качестве директора.
Как обеспечить соблюдение правил GDPR о конфликте интересов?
Независимость DPO — это важный критерий. Поэтому, прежде чем назначать на должность Data protection officer кого-то из текущих сотрудников, убедитесь, что такое лицо не принимает решения об обработке персональных данных.
Кроме совместительства, есть еще одно решение — найм внешнего консультанта, DPO на аутсорсе. Это поможет вам сэкономить тысячи евро, если надзорный орган решит проверить насколько эффективно вы внедрили регламент GDPR.
Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co