logo-print

Ο DPO δεν μπορεί να είναι προϊστάμενος Τμήματος, σύμφωνα με την Αρχή Προστασίας Δεδομένων του Βελγίου

Πρόστιμο 50.000 ευρώ για τη σύγκρουση συμφερόντων στην άσκηση καθηκόντων του DPO - Η απόφαση καταλαμβάνει τα τμήματα internal audit, risk management και compliance αλλά και τις νομικές υπηρεσίες των εταιριών

04/05/2020

10/06/2020

Ένα από τα πιο περίεργα ζητήματα της εφαρμογής των διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων, είναι αυτό της έτερης θέσης που μπορεί να κατέχει παράλληλα ο Υπεύθυνος Προστασίας Δεδομένων σε έναν οργανισμό, καθώς και της σύγκρουσης συμφερόντων που μπορεί να προκαλείται από τη θέση αυτή, αναφορικά με την άσκηση των καθηκόντων του.

Σύμφωνα με το άρθρο 38 παρ. 6 του Γενικού Κανονισμού Προστασίας Δεδομένων: «Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων».

Γενικές κατευθύνσεις για το ζήτημα αυτό έχουν δοθεί η Ομάδα Εργασίας του Άρθρου 29, η οποία έκρινε ότι: «ο υπεύθυνος προστασίας δεδομένων δεν μπορεί να κατέχει στους κόλπους του οργανισμού θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επειδή κάθε οργανισμός έχει διαφορετική οργανωτική δομή, το συγκεκριμένο ζήτημα θα πρέπει να εξετάζεται για κάθε περίπτωση χωριστά».

Επί του ζητήματος αυτού, ιδιαίτερη εντύπωση αναμένεται να προκαλέσει η πρόσφατη [28-4] απόφαση της Αρχής Προστασίας Δεδομένων του Βελγίου, σε υπόθεση στην οποία κλήθηκα να διερευνήσει περιστατικό παραβίασης δεδομένων.

Κατά τον έλεγχο του περιστατικού, η Αρχή διαπίστωσε ότι η εμπλεκόμενη εταιρεία είχε αναθέσει καθήκοντα DPO στο ίδιο πρόσωπο που τελούσε Προϊστάμενη των Τμημάτων Εσωτερικού Ελέγχου, Risk Management και Εταιρικής Συμμόρφωσης.

Στο πλαίσιο της αρμοδιότητάς της να ελέγχει αυτεπαγγέλτως τη συμμόρφωση με τον ΓΚΠΔ, η Αρχή έκρινε ότι πρέπει να διερευνήσει και το κατά πόσον η πρακτική αυτή είναι σύμφωνη με το άρθρο 38 παρ. 6 του Γενικού Κανονισμού.

Η ελεγχόμενη εταιρεία ισχυρίστηκε ότι δεν αντίκειται στον ΓΚΠΔ η ανάθεση των ιδιοτήτων αυτών στο ίδιο πρόσωπο, καθώς πρόκειται για θέσεις με συμβουλευτικό ρόλο, οι οποίες δεν περιλαμβάνουν την αρμοδιότητα της λήψης αποφάσεων.

Υπό το δεδομένο αυτό, η εταιρεία σημείωσε ότι δεν προκύπτει σύγκρουση συμφερόντων κατά την εκτέλεση των καθηκόντων της DPO, γεγονός που τεκμηριωνόταν και με προσκομισθέν εσωτερικό έγγραφο που είχε συνταχθεί, σύμφωνα με τις εισηγήσεις της ΟΕ29 ως ορθή πρακτική για τη διευθέτηση του ζητήματος.

Τα επιχειρήματα αυτά φαίνεται πως δεν έπεισαν τη βελγική Αρχή, η οποία έκρινε ότι:

- Η ιδιότητα του διευθύνοντος τα τρία αυτά Τμήματα σημαίνει ξεκάθαρα ότι το πρόσωπο αυτό καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των Τμημάτων αυτών, άρα συνιστά ουσιώδη σύγκρουση συμφερόντων, σύμφωνα με τα συμπεράσματα της ΟΕ29.

- Ο ρόλος του προϊσταμένου ενός Τμήματος είναι ασύμβατος με τη θέση του Υπευθύνου Προστασίας Δεδομένων, ο οποίος πρέπει να ασκεί τα καθήκοντά του με ανεξαρτησία.

- Με το να ανατίθενται, στο ίδιο πρόσωπο, τα καθήκοντα του διευθύνοντος τα τρία Τμήματα και του Υπευθύνου Προστασίας Δεδομένων καθίσταται αδύνατη η αντικειμενική επίβλεψη της συμμόρφωσης με τον Γενικό Κανονισμό.

- Περαιτέρω, η συνένωση των ιδιοτήτων αυτών θα μπορούσε να συνιστά και παραβίαση της υποχρέωσης απορρήτου και εμπιστευτικότητας του DPO, που προβλέπει το άρθρο 38 παρ. 5 ΓΚΠΔ.

Συμπερασματικά, η Αρχή διαπίστωσε ότι: «[…] δεν υπάρχει αμφιβολία ότι η συνένωση της θέσης του Υπευθύνου Προστασίας Δεδομένων με τη θέση του προϊσταμένου Τμήματος, το οποίο ο ΥΠΔ πρέπει να επιβλέπει, δεν μπορεί να γίνει υπό εγγυήσεις ανεξαρτησίας».

Στην εταιρεία επιβλήθηκε πρόστιμο 50.000 ευρώ, όχι για την παραβίαση δεδομένων, που αποτέλεσε το λόγο επέμβασης της Αρχής, αλλά για τη σύγκρουση συμφερόντων στην άσκηση καθηκόντων του DPO, κατά παραβίαση του άρθρου 38 παρ. 6 ΓΚΠΔ.

Η απόφαση είναι διαθέσιμη στα ολλανδικά.

Με πληροφορίες από fieldfisher.com

send