Luksemburski organ nadzoru (Commission Nationale pour la Protection des Données) nałożył 18 tys. euro kary na spółkę zależną grupy kapitałowej za brak bezpośredniego zaangażowania inspektora ochrony danych grupy w sprawy związane z ochroną danych i niezapewnienie mu wystarczających zasobów. Tę decyzję podtrzymał później sąd.
Kontekst sprawy
Organ ochrony danych wszczął dochodzenie w sprawie grupy kapitałowej ze spółką zależną z siedzibą w Luksemburgu (administrator). W trakcie postępowania okazało się, że grupa spółek wyznaczyła jednego inspektora ochrony danych, który działa jako inspektor dla całej grupy, zgodnie z art. 37 ust. 2 RODO. Aby wspomagać jego działania w Luksemburgu, wyznaczono tam prawnika jako lokalny punkt kontaktowy. IOD nie był jednakże członkiem lokalnej Rady RODO, powołanej przez grupę. Informacje o pracach Rady inspektor otrzymywał jedynie poprzez protokoły oraz pytania zadawane przez lokalnego przedstawiciela. Inspektor ochrony danych grupy nie przebywał na stałe w Luksemburgu i jego zaangażowanie w lokalne sprawy było pośrednie, poprzez kontakt z lokalnym punktem kontaktowym. Grupa powołała oddzielnego IOD dla administratora dopiero w trakcie postępowania prowadzonego przez organ ochrony danych.
Organ ochrony danych ustalił, że choć IOD grupy uczestniczył w wielu spotkaniach na poziomie grupy i regularnie spotykał się z lokalnymi punktami kontaktowymi, nie można tego uznać za wystarczające dowody na jego bezpośrednie, formalne i stałe zaangażowanie w sprawy ochrony danych w Luksemburgu. W rezultacie organ uznał, że administrator nie włączył inspektora ochrony danych w wystarczający sposób w kwestie ochrony danych, co stanowi naruszenie art. 38 ust. 1 i art. 39 RODO. Ponadto stwierdzono, że administrator nie zapewnił inspektorowi ochrony danych potrzebnych zasobów i uprawnień, co narusza art. 38 ust. 2 RODO. W konsekwencji organ nałożył na administratora karę w wysokości 18 000 euro.
Administrator odwołał się od tej decyzji do luksemburskiego sądu administracyjnego, w swoim odwołaniu argumentował, że organ ochrony danych nadużył swoich uprawnień, stwierdzając naruszenia art. 38 ust. 1 i 2 oraz art. 39 RODO. Ponadto argumentował, że francuski organ ochrony danych zbadał jego spółkę dominującą i inne podmioty zlokalizowane we Francji i nie stwierdził żadnych naruszeń ani nie przedstawił żadnych uwag dotyczących wyznaczenia inspektora ochrony danych grupy. Administrator argumentował również, że kwota grzywny była nieproporcjonalna do naruszenia.
Zaangażowanie IOD grupy
Sąd orzekł, że aby IOD mógł wywiązać się z obowiązku informowania i doradzania administratorowi zgodnie z art. 39 ust. 1 RODO, konieczne i niezbędne jest, aby IOD był zaangażowany w pytania i projekty dotyczące kwestii związanych z ochroną danych osobowych na jak najwcześniejszym etapie. Sąd stwierdził, że wnioski i skargi osób, których dane dotyczą, były rozpatrywane przez lokalny punkt kontaktowy bez interwencji inspektora ochrony danych grupy. IOD grupy został zaangażowany tylko wtedy, gdy osoba, której dane dotyczą, nie była zadowolona z obsługi przez lokalny punkt kontaktowy. Chociaż administrator danych odnosił się do regularnej komunikacji telefonicznej, wideokonferencji i e-maili między lokalnym punktem kontaktowym a inspektorem ochrony danych grupy, nie przedstawił żadnej dokumentacji tej komunikacji. Nie wykazano również, że inspektor ochrony danych grupy został wstępnie skonsultowany w sprawie wprowadzenia Rady RODO.
Sąd odrzucił również argument, iż francuski organ ochrony danych doszedł do innych wniosków podczas postępowania w sprawie spółki dominującej grupy i innych podmiotów zlokalizowanych we Francji. Sąd uznał, że ustalenia tamtejszego organu nadzorczego nie miały znaczenia, ponieważ nie dotyczyły działalności w Luksemburgu, a zarówno sąd, jak i organ ochrony danych nie są związane decyzjami organów administracyjnych lub sądów w innych krajach.
W związku z tym stwierdził, że inspektor ochrony danych nie był bezpośrednio zaangażowany we wszystkie sprawy związane z ochroną danych. W związku z tym administrator naruszył art. 38(1) RODO i art. 39 RODO.
Narzędzia dostępne dla IOD
Ponadto sąd uznał, że administrator nie przedstawił żadnych informacji na temat sformalizowania czasu pracy poświęconego ochronie danych przez lokalny punkt kontaktowy. Odnotował, że lokalny punkt kontaktowy był jedynym prawnikiem w spółce administratora w Luksemburgu. Dodatkowo uznał, że inspektor ochrony danych musi być zaangażowany we wszystkie sprawy związane z ochroną danych osobowych, zaś ogólne konsultacje nie były wystarczające. Biorąc pod uwagę zakres działalności administratora w Luksemburgu (70 lokalizacji, od 1600 do 2100 pracowników i obsługa 25000 konsumentów dziennie), uzasadniałoby to zatrudnienie co najmniej jednej osoby na pełny etat zajmującej się ochroną danych. Sąd uznał zatem, że administrator naruszył art. 38 ust. 2 RODO, nie zapewniając inspektorowi ochrony danych wystarczających zasobów.
Ponadto sąd uznał, że nałożona kara była proporcjonalna co do naruszeń administratora i oddalił odwołanie administratora.
Nie oszczędzaj na IOD
W celu skutecznej ochrony danych należy angażować IOD we wszystkie sprawy związane z ochroną danych w spółce. IOD nie może być odległym nadzorcą, który jedynie przyklepuje już podjęte decyzje. Jeśli grupa przedsiębiorstw chce powołać jednego wspólnego IOD, to należy przygotować odpowiednie zasoby, które pozwolą mu skutecznie realizować swoje zadania.
Źródło:
https://ja.public.lu/45001-50000/46401.pdf
