Datu aizsardzības speciālists ir persona ar speciālām zināšanām datu aizsardzības tiesību un praktiskas datu aizsardzības piemērošanā. Līdzīgi kā darba drošības speciālists, kam ir speciālas zināšanas darba aizsardzības sistēmas organizācijā un nepieciešamo prasību nodrošināšanā attiecībā uz darba drošību, tā datu aizsardzības speciālists ir eksperts ar speciālām zināšanām savā atbildības jomā.
Lai skaidrotu datu aizsardzības speciālista lomu, statusu, nepieciešamību norīkot datu aizsardzības speciālistu organizācijā un iespējamo interešu konflikta novēršanu, esam sagatavojuši trešo rakstu sēriju iniciatīvas #DVIskaidro ietvaros par datu aizsardzības speciālista kvalifikāciju un rīcību, lai novērstu interešu konfliktu datu aizsardzības speciālista darbā, kas traucētu tā efektīvai pienākumu izpildei.
Datu aizsardzības speciālista kvalifikācija
Datu aizsardzības speciālistu ieceļ, pamatojoties uz viņa profesionālo kvalifikāciju un jo īpaši speciālām zināšanām datu aizsardzībā [1]. Vērtējot datu aizsardzības speciālista kvalifikāciju, jāņem vērā, gan tā izpratne par personas datu aizsardzības juridiskajiem un tehnoloģiskajiem aspektiem, zināšanas par organizāciju un nozari, kurā organizācija darbojas, gan arī datu aizsardzības speciālista personīgās īpašības.
Attiecīgās prasmes un specializācija ietver vismaz turpmāko:
- valsts un Eiropas datu aizsardzības tiesiskā regulējuma un prakses pārzināšana, tostarp padziļināta izpratne par Datu regulu [2];
- izpratne par organizācijas veiktajām jomas specifiskajām datu apstrādes darbībām;
- izpratne par informācijas tehnoloģijām un datu drošību;
- zināšanas par nozari, kurā darbojas organizācija, un pašas organizācijas darbības specifiku;
- spēja sekmēt datu aizsardzības kultūru organizācijā, aizstāvot savu viedokli un veicinot atbilstošu personas datu aizsardzības lēmumu pieņemšanu.
Katrā atsevišķā gadījumā datu aizsardzības speciālista uzdevumu izpildei nepieciešamā kvalifikācija var būt atšķirīga – tas neatņemami saistīts ar plānotajām datu apstrādes darbībām un aizsardzību, kas nepieciešama apstrādātajiem datiem. Jo datu apstrādes darbības sarežģītākas un lielāku apdraudējumu fiziskas personas tiesībām un brīvībām radošas, jo arī datu aizsardzības speciālista kvalifikācijai jābūt augstākai.
Piemēram, ja organizācija plāno apstrādāt pamatinformāciju par tās klientiem fiziskām personām un lai arī izmanto interneta vietni, tomēr tās darbībā neizmanto trešās personas sīkdatnes. Tās darbības joma pati par sevi nerada īpašu apdraudējumu klientu privātumam, piemēram. pārtikas produktu mazumtirdzniecība. Šādā gadījumā datu aizsardzības speciālistam izvirzāmās prasības attiecībā uz iepriekš pieminētajiem punktiem var būt vairāk pamatzināšanu līmenī. Savukārt, ja, piemēram, uzņēmums klientu informācijas apstrādē izmantotu profilēšanu, interneta vietnē aktīvi izmantotu trešās personas sīkdatnes, personas datu apstrādes procesos būtu plānota informācijas nodošana uz kādu valsti, kas nav Eiropas Savienības vai Eiropas ekonomiskās zonas dalībvalsts, arī piesaistītajam datu aizsardzības speciālistam būs nepieciešamas plašākas un specifiskākas zināšanas par konkrētajiem personas datu aizsardzības elementiem.
Implementējot Datu regulu un ņemot vērā līdzšinējo Latvijas nacionālo pieredzi ar datu aizsardzības speciālista institūtu - Fizisku personu datu apstrādes likuma (FPDAL) V nodaļā tika ieviesta Datu regulai paralēla kārtība datu aizsardzības speciālista kvalifikācijas apliecinājumam [3].
Saskaņā ar spēkā esošo normatīvo regulējumu datu aizsardzības speciālista kvalifikācija vairs nav obligāta prasība un kvalifikācijas eksāmena kārtošana ir brīvprātīga [4].
Esošā kvalifikācijas pārbaudes kārtība neizslēdz, ka datu aizsardzības speciālists var savu kvalifikāciju un atbilstību lomas izpildei apliecināt arī citos veidos. Līdz ar to organizācija par datu aizsardzības speciālistu var norīkot jebkuru personu, kurai ir pietiekoša kvalifikācija uzdevumu veikšanai [5].
Interešu konflikta novēršana
Lai datu aizsardzības speciālists varētu efektīvi strādāt organizācijas interesēs, ir jānodrošina, ka tā pieņemtie lēmumi ir patiesi neatkarīgi. Viens no lielākajiem apdraudējumiem nepieciešamajai neatkarībai ir interešu konflikts.
Lai panāktu to, ka datu aizsardzības speciālists rīkojas neatkarīgi, organizācijas vadība nevar iejaukties tā darba pienākumu izpildē - to nevar atlaist vai sodīt par noteikto uzdevumu izpildi, ja sniegtais viedoklis nav organizācijas vadības cerētais [6]; tam nevar veidoties interešu konflikts ar citiem uzdevumiem un pienākumiem, ko tas pilda organizācijā, ja papildus datu aizsardzības speciālista uzdevumiem, tam ir arī citas lomas [7].
Piemēram, datu aizsardzības speciālists nevar ieņemt amatu, kas viņam liek noteikt personu datu apstrādes mērķus un līdzekļus. Tas nozīmē, ka tas nevar ieņemt kādu no augstākās vadības amatiem (piemēram, izpilddirektors, galvenais finanšu vadītājs, mārketinga nodaļas vadītājs, cilvēkresursu vadītājs vai IT nodaļu vadītājs). [8] Nevar izslēgt, ka organizācijas struktūra pieļauj, ka personas datu apstrādes mērķus un līdzekļus nosaka arī zemāka līmeņa darbinieki. Arī šādā gadījumā vienlaicīga šāda posteņa un datu aizsardzības speciālista lomas pildīšana radīs interešu konfliktu. Ja darbiniekam, kas pilda datu aizsardzības speciālista lomu būs uzdots izstrādāt organizācijas lietvedības aprites kārtību, tad to var uzskatīt par interešu konflikta situāciju, jo minētais darbinieks nevarēs neatkarīgi kā datu aizsardzības speciālists novērtēt paša izstrādāto kārtību. No šādām situācijām jāizvairās.
#DVIskaidro “Datu aizsardzības speciālista funkcijas un uzdevumi”