Кримінальна та особиста відповідальність ОДВ - Моя зовнішня ОДВ

Відповідальність посадової особи з питань захисту даних (DPO), як правило, є предметом багатьох питань. Однак режим відповідальності DPO є відносно чітким, як під час читання Загального регламенту захисту даних (RGPD), різних французьких національних законів, що стосуються захисту персональних даних, так і різних повідомлень від CNIL (National Nationale de l'Informatique et des Libertés) та "EDPB ( Європейська рада з захисту даних). В цьому контексті, Чи може ОДВ бачити свою кримінальну та особисту відповідальність? Дайте відповідь у решті статті.

кримінальна

Відповідальність за дотримання GDPR не несе відповідальний за захист даних (DPO)

Хоча DPO є важливим гравцем у дотриманні приватних та державних організацій GDPR, і в цілому, правил щодо захисту персональних даних, він не несе відповідальності за те, щоб суб'єкт господарювання відповідав вимогам. Швидше за все, особа, що відповідає за замовлення, повинна розглядатися як “поруччя", a"запуск панелі попереджень", a"координатор“, Чиї щоденні місії дозволять висвітлювати ситуації, що не відповідають вимогам, пропонувати рішення щодо дотримання та, в кращому випадку, застосовувати їх.

Загальний регламент про захист даних (GDPR) передбачає у цій статті у своїй статті 24:

(...) контролер застосовує відповідні технічні та організаційні заходи, щоб забезпечити та мати можливість продемонструвати, що обробка здійснюється відповідно до цього Регламенту. (...)

Відповідальність за відповідність обробці даних лежить на контролері (а в певних ситуаціях - субпідрядникам), а не DPO.

Тому, DPO не несе відповідальності за недотримання GDPR. Цю позицію також нагадує CNIL, а також G29 (орган, який об'єднав органи захисту даних на європейському рівні і який з тих пір був замінений Європейським комітетом із захисту даних).

ОДП не може бачити, як ця відповідальність передається йому шляхом делегування повноважень

Механізм делегування влади

Механізм делегування влади дозволяє менеджеру компанії передавати частину своїх навичок на користь третім особам (члени керівництва його суб'єкта взагалі). Це делегування також дозволяє, за певних умов (особливо якщо особа має ефективні засоби для здійснення цих навичок), перекладає кримінальну відповідальність менеджера на делегата, для домену, наданого в рамках делегування.

Зверніть увагу, що реальність та масштаби делегування повноважень, реалізованих в рамках організації, підпадають під суверенна вдячність суддів, які розглядають справи.

З огляду на функції, які займає посадова особа з питань захисту даних (DPO), може виникнути спокуса для керівника організації (в якості контролера даних) захотіти перекласти на DPO відповідальність та зобов'язання, покладені на нього відповідно до GDPR.

Однак таке делегування не допускається з кількох причин.

Місії та завдання ОДВ не повинні призводити до конфлікту інтересів

Незалежно від того, чи є DPO інтерналізацією чи аутсорсингом (Переваги аутсорсингу DPO), місії та завдання, які він виконує, не повинні призводити до конфлікту інтересів при належному виконанні його місій, як визначено в GDPR (зокрема, у статті 39).

Ця відсутність конфлікту інтересів передбачає, зокрема, те, що посадова особа з питань захисту даних не може виконувати функції в межах відповідної організації. що призвело б його до визначення цілей та засобів обробки персональні дані зазначеного суб’єкта. Дійсно, визначаючи такі цілі, ОДІ буде одночасно і органом, що приймає рішення, і контролером власних рішень. Позиція, що не відповідає суті ролі відповідального органу у справах відповідальності. Цю позицію також дотримується Європейська рада з захисту даних у своїх керівних принципах щодо ОІЗ (wp243rev.01).

В результаті вищезазначеного:

  • ОДІ не повинна виконувати функції прийняття рішень які породжують конфлікт інтересів і які можуть поставити його в змогу визначати цілі та засоби обробки даних. Це може бути у випадку директора з маркетингу, члена виконавчого комітету, директора з управління персоналом тощо. Аутсорсинг вашої організації з обмеженими можливостями може бути простим та ефективним способом виконання ваших регуляторних зобов’язань, уникаючи будь-якого ризику конфлікту інтересів та гарантуючи незалежність вашої організації;
  • DPO не може отримати вигоду від делегування повноважень що призведе до відповідальності за відповідність нормативно-правових актів його суб'єкту господарювання, оскільки це означатиме надання повноважень уряду, який приймає рішення щодо цілей та засобів обробки, що створить конфлікт інтересів.