U oktobru 2024. godine, Austrijska agencija za zaštitu podataka (u daljem tekstu: DSB) poslala je nedvosmislenu poruku: imenovanje generalnog direktora kao Lice za zaštitu podataka (DPO) je rizičan potez koji može skupo da vas košta.
DSB je izrekla novčanu kaznu u iznosu od 5.000 evra jednoj kompaniji zato što je na funkciju DPO-a postavila svog generalnog direktora. Agencija je zaključila da ovakva dvostruka funkcija predstavlja očigledan rizik od sukoba interesa, jer nisu postojale odgovarajuće mere koje bi osigurale nezavisnost DPO-a u izvršavanju njegovih zakonskih obaveza.
Kompanija nije obezbedila posvećeno radno vreme za obavljanje ove funkcije, nije dodelila poseban budžet, niti je uspostavila direktnu liniju izveštavanja prema nadzornom odboru — što su sve mere koje DSB smatra ključnim za očuvanje stvarne nezavisnosti DPO-a. Ovakvo rešenje predstavljalo je kršenje člana 38(6) Opšte uredbe o zaštiti podataka (GDPR)1, koji izričito propisuje da DPO ne sme obavljati dužnosti koje bi dovele do sukoba interesa.
Ovaj slučaj je ozbiljno upozorenje za sve organizacije koje razmatraju imenovanje DPO-a iz redova izvršnog rukovodstva. Pre nego što donesu takvu odluku, dužne su da procene da li imenovana osoba može zaista i objektivno da obavlja ovu funkciju. Nepridržavanje ovog pravila može dovesti do novčanih kazni, ali i trajnog narušavanja poverenja i ugleda kompanije.
EU sankcije za DPO-a koji istovremeno obavlja druge ključne funkcije (marketing, IT, pravna ili finansijska uloga)
Austrijski slučaj nije izuzetak. U 2023. godini, belgijska Agencija za zaštitu podataka izrekla je kaznu jednom telekom operateru čiji je DPO istovremeno bio i direktor marketinga. Agencija je zaključila da strategije marketinga direktno utiču na definisanje svrhe obrade podataka, što onemogućava objektivan nadzor nad tim istim procesima.
Godinu dana ranije, u Nemačkoj, Savezni poverenik za zaštitu podataka izrekao je javnu opomenu maloprodajnom lancu čiji je interni DPO takođe bio zadužen za IT bezbednost i istovremeno je obavljao pravne poslove. U ovom slučaju je zaključeno da samo blokiranje „sati za zaštitu podataka“ u nečijem kalendaru nije dovoljno da bi se obezbedila stvarna nezavisnost.
Francuska agencija CNIL je, takođe, upozorila da kombinovanje DPO funkcije sa finansijskim ili strateškim poslovima zahteva angažovanje eksternog DPO-a, ukoliko se želi zadovoljiti zahtev o nezavisnosti koji GDPR propisuje.
U januaru 2024. godine, Evropski odbor za zaštitu podataka (EDPB) objavio je izveštaj o Koordinisanom nadzoru za 2023. godinu, koji je sproveden u okviru Evropskog ekonomskog prostora. U ovoj inicijativi je učestvovalo 25 nacionalnih nadzornih tela, koja su zajednički ocenjivala usklađenost sa članovima 37–39 GDPR-a.
Izveštaj je ukazao na brojne izazove u vezi sa funkcijom DPO-a:
- Neimenovanje DPO-a iako to predstavlja zakonsku obavezu;
- Nedovoljni resursi, uključujući budžet, vreme i podršku;
- Neodgovarajuća stručnost i obuka DPO-a;
- Sukobi interesa kod DPO-a koji imaju druge funkcije;
- Ograničen pristup najvišim nivoima rukovodstva, što onemogućava delotvorno obavljanje dužnosti.
EDPB je u svojoj preporuci naglasio da nacionalne agencije treba proaktivno da sprovode kontrole i primenjuju sankcije kada je reč o funkciji DPO-a.
Zašto je sukob interesa toliko ozbiljan?
U svojoj suštini, GDPR osigurava pravo DPO-a da funkcioniše nezavisno i da direktno izveštava najviši menadžment. Ako DPO ima moć odlučivanja o budžetu ili o samim svrhama obrade, izložen je nedopustivim pritiscima.
Da li će takva osoba biti spremna da predloži skupe mere usklađivanja koje štete njenom sektoru? Hoće li prijaviti bezbednosni incident ako time rizikuje sopstveni projekat?
Regulatori danas temeljno analiziraju ugovore DPO-a, linije izveštavanja, dodeljene resurse i sistem nagrađivanja — sve kako bi utvrdili postoji li stvarna autonomija.
Iako se njegove dužnosti ne iscrpljuju isključivo navedenim, lice za zaštitu podataka (DPO) ima najmanje sledeće obaveze:
Ove obaveze su veoma složene i usko specijalizovane, što znači da lice za zaštitu podataka (DPO) mora biti stručno i kvalifikovano lice koje sa posebnom pažnjom procenjuje rizike koji proizlaze iz aktivnosti obrade podataka, uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade.
Rukovaoci i obrađivači podataka dužni su da obezbede da njihov DPO može nesmetano da obavlja zadatke propisane GDPR-om, bez prisustva sukoba interesa. Iako DPO može obavljati i druge poslove, te dužnosti ni u kom slučaju ne smeju ugroziti njegovu sposobnost da nepristrasno savetuje o usklađenosti, nadzire aktivnosti obrade ili prijavljuje povrede podataka.
U praksi, interno imenovani DPO često nema dovoljan autoritet u okviru organizacije, ne raspolaže posebnim budžetom niti ima slobodan pristup najvišim rukovodiocima — što je sve neophodno kako bi mogao da se odupre komercijalnim ili političkim pritiscima. Kada se od jedne osobe očekuje da istovremeno definiše politike obrade i vrši nadzor nad njihovim sprovođenjem, time se otvara prostor za pristrasnost ili čak direktan sukob interesa, čime se podrivaju osnovni mehanizmi zaštite koje GDPR nastoji da uspostavi.
DPO koji se nalazi u sukobu interesa ne samo da rizikuje povrede propisa, već može tiho narušiti celokupan sistem zaštite podataka u organizaciji. Kada ista osoba umanjuje rizike radi zaštite sopstvenih projekata, procene uticaja na zaštitu podataka (DPIA) postaju puka formalnost, umesto iskrene i temeljne procene. Izveštaji o povredi podataka mogu biti odloženi ili ublaženi kako bi se izbegla neprijatnost unutar organizacije.
Zaposleni gube poverenje, jer DPO sve više liči na „produženu ruku menadžmenta“, a ne na neutralnog savetnika — što obeshrabruje identifikovanje problema i otvorenu komunikaciju. Upravni odbori, ostavljeni bez jasnih i nepristrasnih informacija, ne mogu objektivno sagledati stanje usklađenosti i time se mogu nenamerno izložiti ličnoj odgovornosti zbog propusta u upravljanju.
Interni naspram eksternog DPO-a
Poveravanje uloge lica za zaštitu podataka eksternom stručnjaku u potpunosti eliminiše gore pomenute rizike. Nezavisni DPO donosi potpunu posvećenost sprovođenju mandata zaštite podataka, koristi proverene metodologije i ima direktnu liniju izveštavanja ka nadzornom odboru.
Osim što omogućava usklađenost sa zakonskim obavezama, ovaj model jača poverenje klijenata i poslovnih partnera, štiti organizaciju od skupih kazni i narušavanja ugleda, i omogućava joj da efikasno odgovori na sve kompleksnije izazove u oblasti privatnosti.
Zbog toga eksterni DPO obezbeđuje:
- Nepobitnu objektivnost, jer je odgovoran isključivo za poštovanje propisa iz oblasti zaštite podataka;
- Stručnost stečenu u različitim industrijama i pristup najboljim praksama;
- Fleksibilne modele angažovanja, bez obaveze zapošljavanja na puno radno vreme;
- Brzu implementaciju, zahvaljujući unapred razvijenim metodologijama i šablonima;
- Kontinuitet u obavljanju funkcije, jer partnerske firme mogu obezbediti zamenu u slučaju privremenih odsustava.
Koji su praktični koraci koje danas možete preduzeti kako biste obezbedili nezavisnost DPO-a?
1. Sprovedite reviziju aktuelnog uređenja funkcije DPO-a: Proverite da li DPO nema ovlašćenja za donošenje odluka u vezi sa obradom podataka, da li mu je obezbeđen poseban budžet i određeno radno vreme za obavljanje te funkcije.
2. Razmotrite eksterni angažman: Organizacije bi trebalo da izbegavaju poveravanje DPO-u zadataka koji mogu dovesti do sukoba interesa i da jasno definišu njegovu nezavisnost unutar organizacione strukture. Ukoliko interni DPO ne može da ispuni ove kriterijume, treba angažovati eksternog stručnjaka koji može obezbediti stvarnu nezavisnost — a time i poverenje da će regulatorni zahtevi biti ispunjeni.
3. Obezbedite kontinuiranu obuku: DPO-ima treba redovno omogućiti stručno usavršavanje kako bi održavali i unapređivali svoje znanje u oblasti zaštite podataka.
4. Omogućite direktnu liniju izveštavanja: DPO mora izveštavati neposredno najviše rukovodstvo kako bi njegovi nalazi, preporuke i upozorenja bili ozbiljno razmatrani i blagovremeno sprovođeni.
Sukob interesa nije samo tehnički propust u smislu člana 38(6) GDPR-a. On podriva samu suštinu organizacione kulture zaštite podataka, slabi kontrole na svim nivoima i višestruko uvećava i finansijski i reputacioni rizik. Obezbeđivanje stvarne nezavisnosti DPO-a nije stvar izbora — to je osnovni preduslov da bi sistem zaštite podataka bio istovremeno zakonit, pouzdan i održiv.
[1] Uredba (EU) 2016/679 Evropskog parlamenta i Saveta od 27. aprila 2016. godine o zaštiti fizičkih lica u vezi sa obradom ličnih podataka i o slobodnom kretanju takvih podataka, kojom se stavlja van snage Direktiva 95/46/EZ (Opšta uredba o zaštiti podataka – GDPR).
