logo-print

Πρόστιμο για τον άτυπο ορισμό Υπευθύνου Προστασίας Δεδομένων

Η πολωνική αρχή προστασίας δεδομένων διαπίστωσε πως δεν υπήρχε διοικητική πράξη ή σύμβαση για τον ορισμό του DPO, ο οποίος είχε αναλάβει καθήκοντα με προφορική εντολή

Δίκαιο πληροφορικής - E έκδοση
Διαδίκτυο & τεχνητή νοημοσύνη στο ελληνικό δίκαιο

ΓΕΩΡΓΙΟΣ ΖΕΚΟΣ

ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ

Πρόστιμο 5.700 ευρώ επέβαλε η πολωνική αρχή προστασίας δεδομένων UODO στην αρμόδια πολεοδομική αρχή της πόλης Τσενστοχόβα (PINB) για την παραβίαση των απαιτήσεων του Γενικού Κανονισμού Προστασίας Δεδομένων ως προς τον ορισμό Υπευθύνου Προστασίας Δεδομένων (DPO).

Η εποπτική αρχή ζήτησε από τον PINB ενημέρωση σχετικά με την εκπλήρωση της υποχρέωσής του για ορισμό DPO και έλαβε δύο υπηρεσιακούς φακέλους, υπαλλήλων που είχαν ασκήσει τα καθήκοντα αυτά.

Στους φακέλους αυτούς περιλαμβάνονταν πιστοποιητικά ολοκλήρωσης προγραμμάτων κατάρτισης για DPO, ρήτρες επεξεργασίας προσωπικών δεδομένων, εξουσιοδοτήσεις για πρόσβαση στα πληροφοριακά συστήματα του φορέα και η περιγραφή των καθηκόντων τους, όπως αυτά τους είχαν ανατεθεί προφορικά.

Ο Πρόεδρος του UODO διαπίστωσε πως από τα έγγραφα που είχαν διαβιβαστεί δεν προέκυπτε με βεβαιότητα ο ορισμός DPO, όπως επιτάσσει το άρθρο 37 παρ. 1α για τις δημόσιες αρχές, αλλά συναγόταν μόνο εμμέσως πως τα αναφερόμενα στους φακέλους πρόσωπα είχαν ασκήσει τα καθήκοντα αυτά. Αυτό που απουσίαζε ήταν μια πράξη ορισμού του DPO, με την προφορική ανάθεση καθηκόντων να μη δύναται να υποκαταστήσει την πράξη αυτή.

Η υποχρέωση του υπευθύνου επεξεργασίας να αποδείξει ενώπιον της εποπτικής αρχής τον ορισμό του DPO συνεπάγεται την υποχρέωσή του να προσκομίσει διοικητική πράξη περί ανάθεσης καθηκόντων ή σύμβαση με το πρόσωπο που θα αναλάβει τα καθήκοντα, στην οποία θα αναφέρεται ρητώς ο ορισμός του προσώπου αυτού ως DPO και θα καταγράφονται με ακρίβεια τα καθήκοντά του, σύμφωνα με τις προβλέψεις των άρθρων 38 και 39 ΓΚΠΔ.

Οι προϋποθέσεις αυτές εκπληρώθηκαν τον Μάρτιο του 2024, μετά την έναρξη της έρευνας του UODO, με τον υπεύθυνο επεξεργασίας να ανακοινώνει επίσημα στην εποπτική αρχή τα στοιχεία επικοινωνίας του DPO του, όπως προβλέπει το άρθρο 37 παρ.7 ΓΚΠΔ.

Αυτό που παρέβλεψε να κάνει, ωστόσο, ο υπεύθυνος επεξεργασίας είναι να εκπληρώσει και τη δεύτερη υποχρέωση της διάταξης αυτής, ήτοι να δημοσιεύσει τα στοιχεία επικοινωνίας αυτά στον ιστότοπό του. Αυτό έγινε αντιληπτό από την πολωνική αρχή λίγο πριν την έκδοση της απόφασής της, στα μέσα του Οκτωβρίου 2024.

Για τις παραβάσεις αυτές, ο UODO επέβαλε στον υπεύθυνο επεξεργασίας πρόστιμο ύψους 25.000 ζλότι, περίπου 5.700 ευρώ. Ο UODO επεσήμανε το πόσο σημαντικό είναι να τηρούνται με ακρίβεια οι απαιτήσεις του ΓΚΠΔ σχετικά με τον ορισμό του DPO. Έναν ορισμό, ο οποίος πρέπει να γίνεται εγγράφως και με τους αναγκαίους κατά περίπτωση τύπους και ο οποίος πρέπει να οδηγεί στη γνωστοποίηση των στοιχείων επικοινωνίας του Υπευθύνου Προστασίας Δεδομένων, τόσο προς τα υποκείμενα των δεδομένων, όσο και προς την αρμόδια εποπτική αρχή.

Από το δελτίο τύπου της πολωνικής αρχής.

Η ηλεκτρονική υποβολή και καταχώριση πράξεων στο λειτουργούν Κτηματολόγιο, 2024
Μεσιτεία Ακινήτων - Δημοσιεύματα ΕπΑΚ Νο 5
send