Nasprotje interesov med pooblaščeno osebo za varstvo podatkov (DPO) in odgovorno osebo za upravljanje informacijske varnosti (CISO) v bančnem sektorju

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede nasprotja  interesov po 6. odstavku 46. člena ZVOP-2. Kot ste navedli ZVOP-2 v šestem odstavku 46. člena določa, da sta funkciji pooblačene osebe za varstvo podatkov (v nadaljevanju: DPO) in vodje informacijske varnosti (v nadaljevanju: CISO) v konfliktu interesov. Neposredno to velja za javni sektor, med tem ko se za zasebni sektor to »smiselno uporablja«, kot to določa zadnja poved tega odstavka. Ocenjujete, da je zakonodajalec glede na način zapisa določbe namenoma želel poudariti razliko med javnim in zasebnim sektorjem, kar pomeni, da obstaja možnost, da nasprotje interesov v zasebnem sektorju ne nastopa v vseh primerih. V zvezi s  tem navajate, da je eden takih primerov področje bančništva, kjer položaj, naloge in odgovornosti opredeljujeta naslednja dokumenta:

1.       EBA smernice o  upravljanju tveganj, povezanih z IKT in varnostjo  (točka 11 v poglavju 1.3.1 - https://www.eba.europa.eu/sites/default/documents/files/document_library/Publications/Guidelines/2020/GLs%20on%20ICT%20and%20security%20risk%20management/Updated%20Translations/880827/Final%20draft%20Guidelines%20on%20ICT%20and%20security%20risk%20management_COR_SL.pdf)

2.       Sklep Banke Slovenije o ureditvi notranjega upravljanja, upravljalnem organu in procesu ocenjevanja ustreznega notranjega kapitala za banke in hranilnice (člen 50 - http://www.pisrs.si/Pis.web/pregledPredpisa?id=SKLE12489).

Iz Sklepa Banke Slovenije izhaja, da osebe, ki opravljajo naloge funkcije upravljanja informacijske varnosti (npr. CISO), ne smejo opravljati nobenih operativnih nalog, ki spadajo v obseg dejavnosti, ki naj bi jih ta funkcija spremljala in kontrolirala. Iz dokumenta EBA pa izhaja, da mora banka odgovornost za upravljanje in nadzorovanje tveganj, povezanih z IKT in varnostjo, dodeliti funkciji notranjih kontrol, pri čemer se upoštevajo zahteve iz oddelka 19 Smernic organa EBA o notranjem upravljanju (EBA/GL/2017/11). Poleg tega mora biti zagotovljena neodvisnost in nepristranskost te funkcije notranjih kontrol tako, da jo ustrezno ločijo od procesov operacij informacijsko-komunikacijskih tehnologij (IKT). Ta funkcija notranjih kontrol mora biti odgovorna neposredno upravljalnemu organu ter pristojna za spremljavo in nadzor nad spoštovanjem okvira upravljanja tveganj, povezanih z IKT in varnostjo.

Glede na navedeno menite, da je funkcija CISO v bančništvu neodvisna, ne sme biti znotraj IT in ne sme izvajati operativnih nalog, ki spadajo v obseg dejavnosti, ki jih ta funkcija kot druga linija obrambe spremlja in kontrolira. Praviloma se vsebinsko z osebnimi podatki srečuje zgolj pri obravnavi incidentov ali izvajanju nadzora tistih, ki operativno delajo z osebnimi podatki. V bančništvu CISO podobno kot DPO ne odloča o obdelavi osebnih podatkov na sistemskem nivoju, temveč kot druga linija obrambe ocenjuje varnostna tveganja in predlaga ukrepe za zaščito podatkov, ki se jih potem uvede v organizacijo, ter nadzira njihovo izvajanje. Tako banka na primer na podlagi ocene tveganj uvede orodje SIEM ali DLP, s katerim v celoti upravlja IT, CISO pa ima zgolj dostop do poročil ter nadzorne plošče, da izvaja kontrolne aktivnosti. Posledično CISO enako kot DPO niti ne spada v isto poslovno področje kot npr. IT.

Na osnovi opisanega ocenjujete, da pri funkciji CISO in DPO v primeru bančnega sektorja ne gre za konflikt interesov oziroma ravno obratno – gre za zelo dobro dopolnjevanje pravnih in varnostnih znanj, ki v načinu umestitve v organizaciji, kot je banka, kvalitetno pripomore k večji varnosti osebnih podatkov.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZustS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP pojasnjuje, da Splošna uredba izrecno ne opredeljuje, katere funkcije so v nasprotju interesov, temveč gre za specifiko ZVOP-2,  in meni, da so lahko v konkretnih okoliščinah podani utemeljeni argumenti, da konkretni vlogi DPO in CISO nista v nasprotju interesov in tako nista v nasprotju z določbami ZVOP-2, gre pa za odgovornosti konkretnega upravljavca, ki mora znati to izkazati, ne pa za zaključek, ki ga je mogoče posploševati, med drugim zaradi v praksi vendarle pogostega združevanja funkcij vodij IT in vodij informacijske varnosti.

O b r a z l o ž i t e v:

IP uvodoma ugotavlja, da 6. odstavek 46. člena ZVOP-2 določa naslednje:

»V javnem sektorju se v skladu s prejšnjim odstavkom šteje, da je določena oseba v nasprotju interesov, če je določena kot upravljavec informacijskega sistema, skrbnik informacijskega sistema ali vodja informacijske varnosti, ima položaj predstojnika v osebi javnega sektorja, če je član organov upravljanja ali nadzora pri upravljavcu ali obdelovalcu, če njene druge naloge vključujejo sistemsko odločanje o obdelavi osebnih podatkov pri upravljavcu ali obdelovalcu ali če zastopa upravljavca oziroma obdelovalca v sodnih ali arbitražnih postopkih v zvezi z vprašanji varstva osebnih podatkov. Če pooblaščena oseba izve za okoliščine, ki predstavljajo ali bi lahko predstavljale nasprotje interesov, o tem takoj pisno obvesti upravljavca oziroma obdelovalca. Upravljavec oziroma obdelovalec v tem primeru odpravi nasprotje ali pooblaščeno osebo razreši opravljanja določene naloge kot pooblaščene osebe ali s položaja pri upravljavcu ali obdelovalcu. Določbe tega odstavka se smiselno uporabljajo za zasebni sektor.«

Če sicer začnemo na koncu bi želeli poudariti, da besedno zvezo »se smiselno uporablja« ni mogoče a priori obravnavati, kot da je vsebinsko gledano vloga obeh subjektov v javnem in zasebnem sektorju toliko različna, da določeni vidiki, ki veljajo za DPO in CISO v javnem sektorju, ne veljajo v zasebnem sektorju. Menimo, da so naloge, odgovornosti in položaj DPO in CISO, ob seveda pravilnem razumevanju teh, podobne če ne enake v javnem in zasebnem sektorju, zato po mnenju IP »smiselna uporaba« še ne pomeni, da ne gre za nasprotje interesov med omenjenima vlogama, ko govorimo o zasebnem sektorju.

IP ne more prejudicirati, kakšno je bil vodilo zakonodajalca, da kot konfliktne s položajem in nalogami DPO vidi nekatere naštete funkcije, še zlasti imamo v mislih vodjo informacijske varnosti (CISO), ne pa nekaterih drugih, ki bi po naravi stvari lahko prej omogočale dvome, da niso v nasprotju interesov s nalogami in položajem DPO, kot sta zlasti funkcija vodje trženja ali vodje pravne službe, ki sprejemata pomembne odločitve lede obdelav osebnih podatkov.

Splošna uredba izrecno ne opredeljuje, katere funkcije so v nasprotju interesov  - gre za specifiko ZVOP-2; nekaj več o tej temi je zapisanega v smernicah Evropskega odbora za varstvo podatkov o DPO (WP243rev1; dostopno na: https://ec.europa.eu/newsroom/article29/items/612048; str.18-19), kjer podobno kot zgoraj funkcija vodje informacijske varnosti ni posebej izpostavljena z vidika nasprotja interesov:

»Odsotnost nasprotja interesov je tesno povezana z zahtevo glede neodvisnega delovanja. Čeprav lahko imajo pooblaščene osebe za varstvo podatkov tudi druge funkcije, se jim lahko druge naloge in dolžnosti zaupajo le, če slednje ne povzročajo nasprotij interesov. To zlasti pomeni, da pooblaščena oseba za varstvo podatkov v organizaciji ne sme zavzemati položaja, v okviru katerega lahko določi namene in sredstva obdelave osebnih podatkov. Zaradi posebne organizacijske strukture vsake organizacije je treba to obravnavati za vsak primer posebej.

Splošno gledano lahko nasprotujoči si položaji v organizaciji vključujejo položaje višjega vodstva (kot so izvršni direktor, operativni direktor, finančni direktor, vodja zdravstvene službe, vodja oddelka za trženje, vodja službe za človeške vire ali vodja oddelkov za informacijsko tehnologijo) in tudi druge vloge na nižji ravni organizacijske strukture, če taki položaji ali vloge vodijo v določitev namenov in sredstev obdelave. Nasprotje interesov lahko poleg tega na primer nastopi, če je zunanja pooblaščena oseba za varstvo podatkov zaprošena, da upravljavca ali obdelovalca v zadevah, povezanih z varstvom podatkov, zastopa pred sodišči. Glede na dejavnost, velikost in strukturo organizacije lahko dobra praksa upravljavcev ali obdelovalcev pomeni:

·         opredelitev položajev, ki bi bili nezdružljivi s funkcijo pooblaščene osebe za varstvo podatkov;

·         oblikovanje notranjih pravil o tem, da bi preprečili nasprotja interesov;

·         vključitev splošnejše razlage nasprotij interesov;

·         izjavo, da njihova pooblaščena oseba za varstvo podatkov ni v nasprotju interesov v zvezi s svojo funkcijo, kot način seznanjanja s to zahtevo ter

·         vključitev zaščitnih ukrepov v notranja pravila organizacije in zagotovitev, da je razpis prostega delovnega mesta pooblaščene osebe za varstvo podatkov ali pogodba o storitvah dovolj natančna in podrobna za preprečevanje nasprotja interesov. V zvezi s tem bi bilo treba upoštevati tudi, da imajo lahko nasprotja interesov različne oblike glede na to, ali je pooblaščena oseba za varstvo podatkov zaposlena notranje ali zunanje.

Po mnenju IP – kot tudi sami navajate – imate DPO in CISO podobno poslanstvo: tako DPO kot CISO stremita k temu, da je poslovanje organizacije skladno in varno, kar pa recimo ni primarni namen vodij trženja, kjer je poglavitno doseči čim večjo dodano vrednost oglaševalskih aktivnosti, seveda ob upoštevanju varnosti in skladnosti, ne pa s primarnim ciljem skladnosti in varnosti. Vlogi DPO in CISO tako v osnovi stremita k doseganju zelo podobnih ciljev, je pa treba preveriti, ali gre vendarle lahko za nasprotje interesov. Pri tem je najprej treba biti jasen glede vloge in poslanstva DPO – glede na naloge, ki naj bi jih opravljal po 39. členu Splošne uredbe gre za aktivnosti notranjega nadzora, svetovanja in ozaveščanja glede varstva osebnih podatkov v organizaciji. DPO mora ugotavljati napake in neskladnosti z vidika predpisov o varstvu osebnih podatkov in jih sporočati vodstvu, da se lahko sprejmejo ustrezni ukrepi; obenem pa poleg te nadzorne funkcije opravlja tudi aktivnosti za dvig ozaveščenosti, poznavanja in razumevanja zahtev zakonodaje o varstvu osebnih podatkov.

Glede nalog in položaja CISO smernice EBA, na katere se sklicujete, v točki 11 poglavja 1.3.1. navajajo, da:  »…Poleg tega bi morale zagotoviti neodvisnost in nepristranskost te funkcije notranjih kontrol tako, da jo ustrezno ločijo od procesov operacij IKT. Ta funkcija notranjih kontrol bi morala biti odgovorna neposredno upravljalnemu organu ter pristojna za spremljavo in nadzor nad spoštovanjem okvira upravljanja tveganj, povezanih z IKT in varnostjo. Zagotoviti bi morala, da se tveganja, povezana z IKT in  varnostjo, prepoznavajo, merijo, upravljajo, spremljajo in sporočajo. Finančne institucije bi morale zagotoviti, da ta funkcija notranjih kontrol ni odgovorna za nobeno notranjo revizijo.«

Tudi navedeno nakazuje, da ima CISO vsaj v bančnem sektorju podobne naloge in položaj kot DPO, predvsem z vidika neodvisnosti in poročanja najvišji upravljavski ravni, zato je mogoče sprejeti argument, da v teh okoliščinah ne prihaja do konflikta interesov z nalogami DPO.

IP pa ob tem meni, da v številnih organizacijah vloge vodij informacijskih sistemov in vodij informacijske varnosti niso ločene, kot to velja za banke in druge večje organizacije, temveč pogosto te vloge opravlja ista oseba, kar pomeni, da se tudi odločba o obdelavah osebnih podatkov v okviru IT sistemov – zlasti ko gre za manjše zavezance, ki nimajo strogega ločevanja funkcij oziroma zadostnega števila kadra na splošno. Upoštevati je treba, da je bančništvo zelo reguliran sektor, kot nenazadnje izhaja tudi iz dokumentov, ki ste nam jih posredovali, kjer se ločevanje določenih funkcij dobesedno zahteva, kot npr. omenjenih.

IP zaključno meni, da so lahko v posameznih konkretnih okoliščinah podani utemeljeni argumenti, da konkretni vlogi DPO in CISO nista v nasprotju interesov in tako nista v nasprotju z določbami oziroma cilji ureditve glede nasprotja interesov po ZVOP-2, gre pa za odgovornost konkretnega upravljavca, ki mora znati to izkazati, ne pa za zaključek, ki ga je mogoče posploševati, med drugim zaradi vendarle pogostega združevanja funkcij vodij IT in vodij informacijske varnosti.

Lepo vas pozdravljamo,

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

Pripravil:                                                                                      

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke