Este responsabilul cu protecția datelor (DPO-ul) sancționabil?
Ne propunem prin această analiză să examinăm implicațiile pe care le are activitatea unui reponsabil cu protecția datelor personale (DPO) pe termen scurt, răspunzând în principal întrebărilor: poate fi sancționat responsabilul cu protecția datelor, atât angajat cât și externalizat, atunci când se stabilește că societatea a încălcat dispozițiile în materia prelucrării datelor cu caracter personal? Dacă da – când, prin ce mijloace și în ce măsură?
Pentru claritate, vom considera că societatea și-a respectat obligațiile în relația cu DPO-ul până la momentul la care ne situăm în timp cu analiza și i-a acordat tot sprijinul în vederea îndeplinirii saricinilor sale: i-a oferit independență, l-a implicat în deciziile care au privit prelucrarea datelor cu caracter personal, i-a acordat acces la modul de funcționare a societății, precum și la resursele pentru formare și perfecționare în domeniul prelucrării datelor cu caracter personal, a respectat avizele sale întocmai, i-a oferit timpul necesar pentru îndeplinirea funcției.
Cu toate acestea, se poate întâmpla ca societatea să fie pasibilă de răspundere pecuniară și/sau reputațională pentru modul în care prelucrează datele cu caracter personal. Astfel de situații ar putea surveni ca urmare a unei investigații (inopinate sau nu) efectuate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (din oficiu sau la plângere) ori, eventual, a unei hotărâri judecătorești definitive. Semnale de îngrijorare pot fi și o eventuală sancționare a unui alt jucător din piață care are o practică similară cu societatea ori chiar simpla atenționare în mediul on-line de către o persoană vizată referitoare la modul în care societatea prelucrează datele.
DPO-ul nu este inamovibil
Deși Grupul de Lucru Art. 29 (în prezent, Comitetul European pentru Protecția Datelor), în Ghidul nr. 243, „Orientări privind responsabilii cu protecția datelor” a prevăzut că acesta nu este responsabil personal pentru neconformitatea angajatorului cu cerințele în domeniu, nu este în totalitate protejat. Această prevedere urmărește ca entitățile care beneficiază de prelucrarea datelor cu caracter personal să acopere prejudiciile cauzate.
Deși art. 38 alin. (3) din GDPR prevede, printre altele, că responsabilul „nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale” prevăzute de art. 39, sintagmă ce a adus noi confuzii, el nu este pe deplin exceptat de orice culpă. Această dispoziție este de natură a asigura persoanelor care au rolul de DPO autonomie, independență în decizii, punerea acestora la adăpost de repercusiuni în fața organelor de conducere ale societății pentru a lua deciziile corecte atunci când ar exista presiuni asupra sa. O atare situație ar putea fi, de exemplu, pentru a înclina balanța în interesul angajatorului atunci când analizează prelucrarea datelor cu caracter personal în interesul legitim al acestuia, este amenințat ori i se promite o avansare (a remunerației ori a altei funcții pe care o îndeplinește).
Dispozițiile de mai sus nu au avut în vedere asigurarea inamovibilității DPO-ului, indiferent de modul cum își exercită rolul. Îndeplinirea sarcinilor presupune, printre altele, conform art. 39 din GDPR, ca acesta să urmărească asigurarea conformității modului de prelucrare a datelor cu caracter personal în societate.
Când devine un DPO culpabil?
Dacă societatea a respectat întocmai avizele sale și, totuși, a fost sancționată, înseamnă că responsabilul nu și-a îndeplinit sarcinile sale, iar acesta va răspunde pentru lipsa de diligență, pentru neglijența sa gravă, vădită (malpraxis), GDPR neinterzicând, pe bună dreptate, acest lucru.
Un exemplu ar putea fi cel al ținerii evidențelor activităților de prelucrare a datelor, conform art. 30 din GDPR. Astfel, printre sarcinile DPO-ului poate fi prevăzută în contract (cu toate că GDPR o prevede, în principiu, în sarcina operatorului, ca entitate), ținerea registrului de prelucrări. În cadrul unei inspecții, se observă o gravă neglijență în modul de gestionare a acestuia, respectiv lipsa tuturor câmpurilor necesare.
Un alt caz ar putea fi acela în care DPO-ul nu a recomandat să se obțină consimțământul pentru activitățile de marketing on-line pentru persoane care nu au fost niciodată clienți ai societății.
Neatenționarea operatorului despre greșelile clasice, menționate chiar de ANSPDCP în raporturile pe care le publică în fiecare an, precum prelucrarea excesivă a CNP-ului, ignorarea unor cereri ale persoanelor vizate sau depășirea termenelor legale de răspuns, ar putea fi alte cazuri în care vădita neglijență a DPO-ul ar cauza prejudicii, iar societatea s-ar putea întoarce împotriva acestuia pentru pasivitatea sa. Desigur, exemplul este valabil în cazul DPO-ului care are cunoștință ori ar fi trebuit sa aibă cunoștință despre practicile societății în domeniul anunțat.
În aceste situații, un DPO intern va fi tratat ca orice angajat, care, conform legislației muncii, va răspunde, dacă părțile se înțeleg, în limita a cinci salarii minime brute pe economie ori, în caz contrar, astfel cum se va decide în urma unui proces care poata dura o perioadă considerabilă de timp. În cuvinte puține, va putea răspunde limitat, în condiții specifice, iar acoperirea prejudiciului poate dura ani de zile, în practică.
Pe de altă parte, în cazul unui DPO extern, răspunderea acestuia va fi contractuală, societatea, conform art. 1.530 Cod civil, având dreptul la daune-interese pentru repararea prejudiciului pe care debitorul (i.e. DPO-ul) i l-a cauzat și care este consecința directă și necesară a neexecutării fără justificare sau, după caz, culpabile, a obligației. Numirea unui DPO extern poate fi confortabilă din punctul de vedere al răspunderii, întrucât acesta poate dispune de o poliță de asigurare prin care clienții vor fi despăgubiți pentru pierderile cauzate. Din practică însă, mulți asigurători sunt reticenți în emiterea unor astfel de polițe din pricina domeniului nou, imprevizibil.
Ce ar trebui să aibă în vedere societățile, printre altele, când aleg un DPO intern sau extern?
- un DPO intern ar putea necesita, pe termen scurt, costuri pentru perfecționare, în timp ce un DPO extern dispune deja de cunoștințe temeinice, fiind un profesionist în domeniu, iar interesul său este să continue să performeze pentru a putea atrage alți clienți;
- în cazul unui DPO intern, datele cu caracter personal rămân în interiorul societății, iar riscul unui incident de securitate din această cauză scade considerabil – desigur, cu excepția situației în care compania care prestează servicii externalizate de DPO asigură prezența continuă a unei persoane în interiorul operatorului – ceea ce este rar întâlnit, întrucât un prestator de servicii ar fi interesat să aibă cât mai mulți clienți deserviți de același DPO – sau atunci când DPO-ul extern are implementate măsuri de securitate și control exigente;
- un DPO intern implicat va cunoaște mult mai bine modul în care datele cu caracter personal sunt prelucrate în cadrul societății, pe când persoana desemnată ca DPO extern va trebui să se preocupe de conformarea mai multor societăți odată;
- comunicare; personalul din cadrul celorlalte departamente ar putea fi mai deschis să discute cu un terț care acționează ca panaceu;
- loialitate; în principiu, aceasta va exista în ambele cazuri. Angajatul se va îngriji ca angajatorul său să fie în siguranță, iar DPO-ul extern va depune întotdeauna toate diligențele pentru ca portofoliul să nu fie afectat;
- DPO-ul intern va fi mai aproape de societate, dar DPO-ul extern va fi întotdeauna prezent la nevoie; de exemplu, este puțin probabil ca cineva să înlocuiască DPO-ului intern atunci când este indisponibil, pe când, din partea DPO-ului extern va fi întotdeauna un alt profesionist în domeniu care poate prelua atribuțiile;
- relațiile de muncă vor fi dificil de încheiat cu un DPO intern, față de cel extern, putându-se prevedea, în cel din urmă caz, condiții clare în care contractul poate fi reziliat (pact comisoriu).
Toate aceste aspecte trebuie luate în considerare la alegerea DPO-ului, pentru a preveni un eventual prejudiciu în loc de a fi ulterior acoperit, atât financiar, dar și la nivel de reputație. Pentru societățile cu expunere, o sancțiune a modului de prelucrare a datelor, chiar dacă nu le împovărează financiar, odată devenită publică, poate să le creeze un prejudiciu de imagine consistent, care se va putea traduce, pe termen lung, în lipsa de încredere a clienților.
Relevantă în acest sens este opinia din The New York Times a lui Johnny Ryan, chief policy and industry relations officer la web browser-ul Brave, cu privire la recenta amendă aplicată în sarcina Google de către autoritatea de supraveghere a prelucrării datelor cu caracter personal din Franța, CNIL.
Un articol semnat de Silvia Axinescu, Avocat Reff și Asociații și Dragoș Șărban, Avocat Reff și Asociații