Belgijski organ właściwy do spraw ochrony danych osobowych (Gegevensbeschermingsautoriteit) nałożył karę na belgijskiego operatora telekomunikacyjnego – Proximus SA. Kwota jest znaczna – 50 000 euro (około 220 000 zł). Organ zarzucił ukaranej spółce nieprawidłowości w zakresie powołania inspektora ochrony danych (IOD) oraz braku jego niezależności. To najwyższa dotychczas kara nałożona przez belgijskiego regulatora.
Konflikt interesów
W toku postępowania organ nadzorczy ustalił, że spółka powołała na stanowisko IOD swojego pracownika, który jednocześnie był odpowiedzialny za kierowanie trzema strategicznymi departamentami o charakterze doradczym – audytu wewnętrznego, zarządzania ryzykiem i zgodności. Sytuacja ta – zdaniem regulatora – spowodowała, że IOD nie miał możliwości sprawowania swojej funkcji w sposób niezależny, co prowadziło do konfliktu interesów (naruszenie art. 38 ust. 6 RODO). Kumulacja obowiązków nałożonych na IOD ukaranej spółki mogła bowiem w ocenie organu skutkować zagrożeniem dla tajemnic służbowych oraz poufności w odniesieniu do jej pracowników.
Podczas postępowania wyjaśniającego belgijski organ nadzorczy ustalił, że IOD był w niewystarczającym stopniu zaangażowany w pracę w związku z pełnieniem swojej funkcji. Spółka ponadto nie miała opracowanej procedury dotyczącej naruszeń danych osobowych, ani polityki, która zapobiegałaby występowaniu konfliktów interesów.
Niezależność przede wszystkim
Belgijski regulator podkreślił w swoim rozstrzygnięciu, że to na administratorze spoczywa obowiązek zagwarantowania, aby zadania nałożone na IOD (w tym przypadku kierowanie aż trzema komórkami organizacyjnymi ukaranej spółki) oraz obowiązki związane z pełnieniem tej funkcji nie prowadziły do konfliktu interesów. IOD powinien mieć niezależny status w organizacji i zapewnioną swobodę w podejmowaniu autonomicznych decyzji. Osoba pełniąca tę funkcję nie może – zdaniem organu – być również odpowiedzialna za wykonywanie innych zadań u administratora, które wiązałyby się z określaniem celu i środków związanych z czynnościami przetwarzania danych osobowych.
Niezależnie od nałożonej kary pieniężnej, ukarana spółka została również zobowiązana do dostosowania operacji przetwarzania do przepisów RODO, w tym w szczególności spełnienie wymogów dotyczących IOD, o których mowa w art. 38 ust. 6 RODO.
Czy Inspektor Ochrony Danych (IOD) nadający upoważnienia pozostaje w konflikcie interesów?
Problem wielu podmiotów
To bardzo ciekawe rozstrzygnięcie belgijskiego organu nadzorczego. Z problemem łączenia funkcji IOD z innymi zadaniami w organizacji z pewnością boryka się wielu administratorów w całej unii europejskiej. Należy zwrócić uwagę, że zgodnie z art. 38 ust. 6 RODO, IOD może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Warto przypomnieć, że Grupa Robocza art. 29 ds. ochrony danych (poprzednik EROD) podkreśliła w Wytycznych dotyczących inspektorów ochrony danych (WP 243), że IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określenie sposobów i celów przetwarzania danych osobowych. Co do zasady – w ocenie GR 29 – powodujące konflikt interesów uważane będą zarówno stanowiska kierownicze (m.in. dyrektor generalny, dyrektor ds. organizacyjnych, czy też kierownik działu marketingu), jak i niższe stanowiska, jeżeli biorą udział w określaniu celów i sposobów przetwarzania danych osobowych.
Zgodnie z przepisami, IOD powinien być wybrany na podstawie kwalifikacji zawodowych, przy uwzględnieniu jego wiedzy specjalistycznej w zakresie ochrony danych. W przypadku wielu podmiotów, w tym w szczególności tych mniejszych, może okazać się, że wyznaczenie niezależnego IOD (w rozumieniu art. 38 ust. 6 RODO), który pełnić będzie również inne funkcje u administratora, jest w praktyce bardzo trudne. Warto zauważyć, że w razie konieczności, to administrator będzie musiał wykazać, że powołany przez niego IOD działa w pełni niezależnie. W przeciwnym razie może liczyć się z nieprzyjemnymi konsekwencjami finansowymi ze strony organu nadzorczego.
Źródła:
https://www.enforcementtracker.com/#
Zapraszamy na wzięcia udziału w Akademii IOD-5-dniowym szkoleniu dla Inspektorów Ochrony Danych
