Συστάσεις σε Πανεπιστήμιο για παραβίαση των διατάξεων του ΓΚΠΔ για τον DPO
Η πολωνική αρχή προστασίας δεδομένων προχώρησε σε εξονυχιστικό έλεγχο επί των απαιτήσεων του Γενικού Κανονισμού ως προς την εκτέλεση καθηκόντων του DPO
Συστάσεις απηύθυνε ο Πρόεδρος της πολωνικής αρχής προστασίας δεδομένων UODO στο Πανεπιστήμιο Lazarski για τη μη τήρηση των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων ως προς τα καθήκοντα του Υπευθύνου Προστασίας Δεδομένων (DPO).
Η πολωνική αρχή εξέτασε τις συνθήκες της συνεργασίας του Πανεπιστημίου με τον DPO, ζητώντας πληροφορίες από το ίδρυμα και αναλύοντας τις απαντήσεις του. Διαπιστώθηκε ότι οι παραβάσεις αποκαταστάθηκαν μόνο μετά την εισαγωγή νέων εσωτερικών πολιτικών για την εκτέλεση των καθηκόντων του DPO, στις 3 Απριλίου και 9 Οκτωβρίου 2023.
Διαβάστε επίσης: Οι Υπεύθυνοι Προστασίας Δεδομένων (DPO) δεν αποτελούν μέρος της «εξυπηρέτησης πελατών» σε μία εταιρεία
Συγκεκριμένα, διαπιστώθηκαν οι ακόλουθες παραβάσεις:
1. Μη συμμετοχή του DPO: Το πανεπιστήμιο δεν διασφάλισε την έγκαιρη και δέουσα συμμετοχή του DPO σε όλα τα ζητήματα που αφορούν την προστασία δεδομένων προσωπικού χαρακτήρα, καθώς δεν είχε θεσπίσει συγκεκριμένους κανόνες μέσω της πολιτικής προστασίας δεδομένων ή άλλων εσωτερικών κανονισμών.
2. Ανεπαρκείς πόροι για τη διατήρηση της εμπειρογνωσίας: Δεν υπήρχαν μηχανισμοί που να διασφαλίζουν στον DPO τους απαραίτητους πόρους για τη διατήρηση της εμπειρογνωσίας του, όπως προβλέπει το άρθρο 38 παρ.2 ΓΚΠΔ.
3. Έλλειψη ανεξαρτησίας: Έως τις 9 Οκτωβρίου 2023, το Πανεπιστήμιο δεν είχε εφαρμόσει μέτρα που να εγγυώνται ότι ο DPO δεν θα λαμβάνει εντολές σχετικά με την εκτέλεση των καθηκόντων του.
4. Πιθανή σύγκρουση συμφερόντων: Έως τις 3 Απριλίου 2023, το Πανεπιστήμιο δεν είχε εφαρμόσει μέτρα που να διασφαλίζουν ότι άλλα καθήκοντα και υποχρεώσεις του DPO δεν προκαλούν σύγκρουση συμφερόντων. Η κατάσταση βελτιώθηκε μόνο μετά την τροποποίηση της πολιτικής προστασίας προσωπικών δεδομένων και την εφαρμογή πρόσθετων κανονισμών.
5. Έλλειψη εποπτείας: Πριν από τις 9 Οκτωβρίου 2023, το Πανεπιστήμιο δεν είχε εφαρμόσει οργανωτικές ή άλλες λύσεις για τη διασφάλιση του ελέγχου της ορθής εκτέλεσης όλων των καθηκόντων του DPO, σύμφωνα με το άρθρο 39 παρ.1 ΓΚΠΔ.
Συνεπώς, το Πανεπιστήμιο Lazarski, ως υπεύθυνος επεξεργασίας, δεν εκπλήρωσε τις απαιτήσεις που θεσπίζονται στις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων και ειδικότερα στα άρθρα 38 παρ.1, 2, 3, 6 και 39 παρ.1.
Η παραβίαση θεωρήθηκε αποκατασταθείσα μετά την εισαγωγή νέων εσωτερικών πολιτικών από το πανεπιστήμιο στις 3 Απριλίου και 9 Οκτωβρίου 2023, οι οποίες διασφάλισαν τη συμμόρφωση με τις απαιτήσεις του ΓΚΠΔ, σχετικά με τον ρόλο, τις αρμοδιότητες και τα καθήκοντα του DPO.
