GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Kara za brak niezależności IOD 

Kara za brak niezależności IOD 

Belgijski organ właściwy do spraw ochrony danych osobowych (Gegevensbeschermingsautoriteit) nałożył karę na belgijskiego operatora telekomunikacyjnego – Proximus SA. Kwota jest znaczna – 50 000 euro (około 220 000 zł). Organ zarzucił ukaranej spółce nieprawidłowości w zakresie powołania inspektora ochrony danych (IOD) oraz braku jego niezależności. To najwyższa dotychczas kara nałożona przez belgijskiego regulatora.

Konflikt interesów

W toku postępowania organ nadzorczy ustalił, że spółka powołała na stanowisko IOD swojego pracownika, który jednocześnie był odpowiedzialny za kierowanie trzema strategicznymi departamentami o charakterze doradczym – audytu wewnętrznego, zarządzania ryzykiem i zgodności. Sytuacja ta – zdaniem regulatora – spowodowała, że IOD nie miał możliwości sprawowania swojej funkcji w sposób niezależny, co prowadziło do konfliktu interesów (naruszenie art. 38 ust. 6 RODO). Kumulacja obowiązków nałożonych na IOD ukaranej spółki mogła bowiem w ocenie organu skutkować zagrożeniem dla tajemnic służbowych oraz poufności w odniesieniu do jej pracowników.

Podczas postępowania wyjaśniającego belgijski organ nadzorczy ustalił, że IOD był w niewystarczającym stopniu zaangażowany w pracę w związku z pełnieniem swojej funkcji. Spółka ponadto nie miała opracowanej procedury dotyczącej naruszeń danych osobowych, ani polityki, która zapobiegałaby występowaniu konfliktów interesów.

Niezależność przede wszystkim

Belgijski regulator podkreślił w swoim rozstrzygnięciu, że to na administratorze spoczywa obowiązek zagwarantowania, aby zadania nałożone na IOD (w tym przypadku kierowanie aż trzema komórkami organizacyjnymi ukaranej spółki) oraz obowiązki związane z pełnieniem tej funkcji nie prowadziły do konfliktu interesów. IOD powinien mieć niezależny status w organizacji i zapewnioną swobodę w podejmowaniu autonomicznych decyzji. Osoba pełniąca tę funkcję nie może – zdaniem organu – być również odpowiedzialna za wykonywanie  innych zadań u administratora, które wiązałyby się z określaniem celu i środków związanych z czynnościami przetwarzania danych osobowych.

Niezależnie od nałożonej kary pieniężnej, ukarana spółka została również zobowiązana do dostosowania operacji przetwarzania do przepisów RODO, w tym w szczególności spełnienie wymogów dotyczących IOD, o których mowa w art. 38 ust. 6 RODO.

Problem wielu podmiotów

To bardzo ciekawe rozstrzygnięcie belgijskiego organu nadzorczego. Z problemem łączenia funkcji IOD z innymi zadaniami w organizacji z pewnością boryka się wielu administratorów w całej unii europejskiej. Należy zwrócić uwagę, że zgodnie z art. 38 ust. 6 RODO, IOD może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Warto przypomnieć, że Grupa Robocza art. 29 ds. ochrony danych (poprzednik EROD) podkreśliła w Wytycznych dotyczących inspektorów ochrony danych (WP 243), że IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określenie sposobów i celów przetwarzania danych osobowych. Co do zasady – w ocenie GR 29 – powodujące konflikt interesów uważane będą zarówno stanowiska kierownicze (m.in. dyrektor generalny, dyrektor ds. organizacyjnych, czy też kierownik działu marketingu), jak i niższe stanowiska, jeżeli biorą udział w określaniu celów i sposobów przetwarzania danych osobowych.

Zgodnie z przepisami, IOD powinien być wybrany na podstawie kwalifikacji zawodowych, przy uwzględnieniu jego wiedzy specjalistycznej w zakresie ochrony danych. W przypadku wielu podmiotów, w tym w szczególności tych mniejszych, może okazać się, że wyznaczenie niezależnego IOD (w rozumieniu art. 38 ust. 6 RODO), który pełnić będzie również inne funkcje u administratora, jest w praktyce bardzo trudne. Warto zauważyć, że w razie konieczności, to administrator będzie musiał wykazać, że powołany przez niego IOD działa w pełni niezależnie. W przeciwnym razie może liczyć się z nieprzyjemnymi konsekwencjami finansowymi ze strony organu nadzorczego.

Treść decyzji:

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL.pdf

Źródła:

https://www.portelio.be/nl/nieuws-en-inzichten/gdpr-boete-van-50000-euro-denk-goed-na-over-wie-u-aanstelt-als-data-protection-officer?fbclid=IwAR3eF64fZY0NFxFw9YnW5QNVkGkvgom0l52VnZr0j5EFxiyKIyWLV85-ENM

https://www.dataguidance.com/news/belgium-belgian-dpa-issues-%E2%82%AC50000-fine-organisation-dpo-appointment-violation?fbclid=IwAR3DD4Bte178LzCBNmpBTh6aP1WWRCsurK0DJVj2eIRIfUBa5IO9IhAyT6Q

https://www.enforcementtracker.com/#

Autor: Redakcja
Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter