GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kara za brak niezależności IOD 

Kara za brak niezależności IOD 

Belgijski organ właściwy do spraw ochrony danych osobowych (Gegevensbeschermingsautoriteit) nałożył karę na belgijskiego operatora telekomunikacyjnego – Proximus SA. Kwota jest znaczna – 50 000 euro (około 220 000 zł). Organ zarzucił ukaranej spółce nieprawidłowości w zakresie powołania inspektora ochrony danych (IOD) oraz braku jego niezależności. To najwyższa dotychczas kara nałożona przez belgijskiego regulatora.

Konflikt interesów

W toku postępowania organ nadzorczy ustalił, że spółka powołała na stanowisko IOD swojego pracownika, który jednocześnie był odpowiedzialny za kierowanie trzema strategicznymi departamentami o charakterze doradczym – audytu wewnętrznego, zarządzania ryzykiem i zgodności. Sytuacja ta – zdaniem regulatora – spowodowała, że IOD nie miał możliwości sprawowania swojej funkcji w sposób niezależny, co prowadziło do konfliktu interesów (naruszenie art. 38 ust. 6 RODO). Kumulacja obowiązków nałożonych na IOD ukaranej spółki mogła bowiem w ocenie organu skutkować zagrożeniem dla tajemnic służbowych oraz poufności w odniesieniu do jej pracowników.

Podczas postępowania wyjaśniającego belgijski organ nadzorczy ustalił, że IOD był w niewystarczającym stopniu zaangażowany w pracę w związku z pełnieniem swojej funkcji. Spółka ponadto nie miała opracowanej procedury dotyczącej naruszeń danych osobowych, ani polityki, która zapobiegałaby występowaniu konfliktów interesów.

Kamery samochodowe według Belgijskiego Organu

Niezależność przede wszystkim

Belgijski regulator podkreślił w swoim rozstrzygnięciu, że to na administratorze spoczywa obowiązek zagwarantowania, aby zadania nałożone na IOD (w tym przypadku kierowanie aż trzema komórkami organizacyjnymi ukaranej spółki) oraz obowiązki związane z pełnieniem tej funkcji nie prowadziły do konfliktu interesów. IOD powinien mieć niezależny status w organizacji i zapewnioną swobodę w podejmowaniu autonomicznych decyzji. Osoba pełniąca tę funkcję nie może – zdaniem organu – być również odpowiedzialna za wykonywanie  innych zadań u administratora, które wiązałyby się z określaniem celu i środków związanych z czynnościami przetwarzania danych osobowych.

Niezależnie od nałożonej kary pieniężnej, ukarana spółka została również zobowiązana do dostosowania operacji przetwarzania do przepisów RODO, w tym w szczególności spełnienie wymogów dotyczących IOD, o których mowa w art. 38 ust. 6 RODO.

Czy Inspektor Ochrony Danych (IOD) nadający upoważnienia pozostaje w konflikcie interesów?

Problem wielu podmiotów

To bardzo ciekawe rozstrzygnięcie belgijskiego organu nadzorczego. Z problemem łączenia funkcji IOD z innymi zadaniami w organizacji z pewnością boryka się wielu administratorów w całej unii europejskiej. Należy zwrócić uwagę, że zgodnie z art. 38 ust. 6 RODO, IOD może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Warto przypomnieć, że Grupa Robocza art. 29 ds. ochrony danych (poprzednik EROD) podkreśliła w Wytycznych dotyczących inspektorów ochrony danych (WP 243), że IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określenie sposobów i celów przetwarzania danych osobowych. Co do zasady – w ocenie GR 29 – powodujące konflikt interesów uważane będą zarówno stanowiska kierownicze (m.in. dyrektor generalny, dyrektor ds. organizacyjnych, czy też kierownik działu marketingu), jak i niższe stanowiska, jeżeli biorą udział w określaniu celów i sposobów przetwarzania danych osobowych.

Kamery samochodowe według Belgijskiego Organu

Zgodnie z przepisami, IOD powinien być wybrany na podstawie kwalifikacji zawodowych, przy uwzględnieniu jego wiedzy specjalistycznej w zakresie ochrony danych. W przypadku wielu podmiotów, w tym w szczególności tych mniejszych, może okazać się, że wyznaczenie niezależnego IOD (w rozumieniu art. 38 ust. 6 RODO), który pełnić będzie również inne funkcje u administratora, jest w praktyce bardzo trudne. Warto zauważyć, że w razie konieczności, to administrator będzie musiał wykazać, że powołany przez niego IOD działa w pełni niezależnie. W przeciwnym razie może liczyć się z nieprzyjemnymi konsekwencjami finansowymi ze strony organu nadzorczego.

Źródła:

https://www.portelio.be/nl/nieuws-en-inzichten/gdpr-boete-van-50000-euro-denk-goed-na-over-wie-u-aanstelt-als-data-protection-officer?fbclid=IwAR3eF64fZY0NFxFw9YnW5QNVkGkvgom0l52VnZr0j5EFxiyKIyWLV85-ENM

https://www.dataguidance.com/news/belgium-belgian-dpa-issues-%E2%82%AC50000-fine-organisation-dpo-appointment-violation?fbclid=IwAR3DD4Bte178LzCBNmpBTh6aP1WWRCsurK0DJVj2eIRIfUBa5IO9IhAyT6Q

https://www.enforcementtracker.com/#

 

Zapraszamy na wzięcia udziału w Akademii IOD-5-dniowym szkoleniu dla Inspektorów Ochrony Danych

Poznaj szczegóły i zapisz się