GDPR Academy

Konflikt záujmov poverenej zodpovednej osoby, ktorý viedol k vysokej pokute

Popis problému, ktorý vznikol

Belgický úrad na ochranu údajov ((APD, Autorité de protection des données) prijal sťažnosť dotknutej osoby, ktorá sa domáhala svojich práv voči prevádzkovateľovi – banke. Úrad začal sťažnosť riešiť.
Pôvodný predmet sťažnosti však rozšíril aj o podozrenia z konfliktu záujmov poverenej zodpovednej osoby prevádzkovateľa.
Podľa čl. 38 ods. 6 GDPR zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ však zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov. Je to z toho dôvodu, aby zodpovedná osoba mohla svoju úlohu vykonávať nezávisle.
V rámci šetrenia sťažnosti v podmienkach prevádzkovateľ však kontrolný úrad zistil, že výkon dohľadu nad ochranou osobných údajov v banke vykonáva zodpovedná osoba, u ktorej dochádza ku konfliktu záujmov. (V rámci sporu bola riešená aj otázka, či je zodpovedná osoba priamo podriadená vedeniu prevádzkovateľa. V tomto porušenie GDPR nebolo zistené.)
Prevádzkovateľ poveril zodpovednú osobu – vlastného pracovníka, čo by nebol problém. Vyplýva to priamo z usmernenia pracovnej skupiny pre ochranu údajov zriadenej podľa čl. 29 (WP243 rev.01), podľa ktorého nie je v rozpore s nariadením, keď sa prevádzkovateľ rozhodne zastrešiť si výkon dohľadu nad ochranou osobných údajov s využitím vlastných interných zdrojov.

Tento pracovník však okrem výkonu činnosti zodpovednej osoby, zároveň zastával aj pracovnú pozíciu:

  • vedúceho útvaru riadenia operačných rizík,
  • vedúceho riadenia informačných rizík
  • a vedúceho špeciálnej vyšetrovacej jednotky.

Prevádzkovateľ na svoju obhajobu tvrdil, že ako vedúci uvedených útvarov, tento pracovník nerozhoduje o účeloch a prostriedkov spracúvania a že v rámci svojich činností má výhradne poradnú a kontrolnú právomoc. Podľa jeho tvrdenia preto ani nedochádza ku konfliktu záujmov.
Kontrolný orgán teda zisťoval, či je možné, aby pracovník, ktorý je vedúcim troch oddelení mohol túto funkciu vykonávať bez toho, aby určoval účel a prostriedky spracúvania osobných údajov. Kontrolou bolo zistené, že to možné nie je. Nie je možné zastávať vedúcu funkciu na oddeleniach, kde dochádza bežne k systematických spracovateľským činnostiam a kontrolovať priebeh týchto činností bez toho, aby ako vedúci pracovník neurčoval účel a prostriedky spracúvania osobných údajov.

Poľahčujúcou okolnosťou pre prevádzkovateľa bolo, že nedošlo k ujme na právach dotknutých osôb a ani k porušeniu ochrany osobných údajov.
Prevádzkovateľovi bola udelená pokuta 75000 eur.

zdroj: https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-141-2021.pdf

Čo urobiť, aby ste sa neocitli v podobnej situácii?

V prvom rade si preverte, či máte povinnosť poveriť výkonom dohľadu zodpovednú osobu. Všeobecné nariadenia o ochrane údajov vymedzuje prevádzkovateľov, ktorí sú povinní mať zodpovednú osobu v čl. 37.
Ak ste spadli do kategórie tých subjektov, ktorí túto povinnosť majú alebo chcete poveriť zodpovednú osobu na dobrovoľnej báze, vyberte takú osobu, ktorá spĺňa požiadavky čl. 37 a 38 GDPR. Pri zvažovaní možné konfliktu záujmov myslite aj na príklad z Belgicka a síce, či vami vybraný jednotlivec skutočne neurčuje účel a prostriedky spracúvania osobných údajov.
Následne zabezpečte, aby údaje tejto osoby boli oznámené Úradu na ochranu osobných údajov SR.

Kde v GDPR Academy nájdete vysvetlenia, ako to urobiť?

Ako vybrať, poveriť a úradu oznámiť zodpovednú osobu v súlade so všeobecným nariadením sa dozviete v 11 lekcii online kurzu GDPR pre firmy a organizácie.

Praktické otázky a ich riešenia, ktoré sa týkajú povinného informovania nájdete aj v databáze znalostí GDPR Academy. Stačí si vyhľadať napríklad slovné spojenie “zodpovedná osoba”.

Pripojte sa k odberateľom GDPR spravodaja

Náš newsletter práve teraz odoberá
Aktívnych odberateľov

Scroll to Top