EN Kontakt

Belgický úrad pre ochranu údajov udelil vysokú pokutu

Kedy musí mať Prevádzkovateľ vymenovanú zodpovednú osobu za ochranu osobných údajov? Podľa článku 37 odsek 1 Nariadenia (EÚ) 2016/679 (ďalej len „GDPR“) ak:  

    • spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;
    • hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo
    • hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10;

Belgický úrad pre ochranu údajov (ďalej len „DPA“) vydal 28. apríla 2020 rozhodnutie (ďalej len „rozhodnutie“), ktorým organizácii Proximus SA uložil pokutu 50 000,- EUR.

Pokutu DPA udelil za:

    • nedodržanie povinnosti spolupracovať podľa článku 31 GDPR a
    • na vymenovanie riaditeľa odboru ako zodpovednú osobu za ochranu osobných údajov („DPO“),

čo je v rozpore s článkom 38 ods. 6 GDPR, ktorý hovorí:

„Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh alebo povinností neviedla ku konfliktu záujmov.“

V rozhodnutí sa predovšetkým uvádza, že vymenovaná zodpovedná osoba za ochranu údajov pracovala ako riaditeľ odboru vnútorného auditu, riadenia rizík a dodržiavania predpisov, pričom všetky tieto útvary majú poradný charakter. V rozhodnutí sa však zdôrazňuje, že zodpovedná osoba za ochranu údajov  sa nedostatočne zapojila do diskusií o porušovaní osobných údajov a že organizácia nemala politiku, ktorá by zabránila akémukoľvek konfliktu záujmov. V rozhodnutí sa preto konštatuje, že funkciu zodpovednej osoby za ochranu údajov nemožno vykonávať na nezávislom základe, čo malo za následok konflikt záujmov.

Pre stredné a menšie spoločnosti, ktoré vymenovali zodpovednú osobu na ochranu údajov, ktorej činnosť sa kombinuje s inými funkciami, sa môže ukázať ako praktická výzva, ktorú je ťažké prekonať.

Kombináciu pracovných pozícií si je v tomto prípade potrebné podrobne analyzovať. V snahe ušetriť a konsolidovať by si mali spoločnosti uvedomiť aj možný dopad na porušenie GDPR požiadavky a to konflinkt záujmov, ktorý môže úrad spochybniť.

Z tohto pohľadu je pre spoločnosti, ktoré nepotrebujú alebo nechcú vytvárať pracovnú pozíciu zodpovednej osoby za ochranu osobných údajov, výhodnejšie si aktivitu ochrany osobných údajov outsourcovať od externej spoločnosti, ktorá sa problematikou zaoberá na dennej báze a v širšom kontexte.

Takou spoločnostou sme aj my a našou výhodou je okrem GDPR aj znalosť v oblasti technickej, informačnej, kybernetickej a objektovej bezpečnosti.

Zdroj: https://www.dataguidance.com/news/belgium-belgian-dpa-issues-%E2%82%AC50000-fine-organisation-dpo-appointment-violationhttps://www.dpocentre.com/news/dpo-conflict-of-interest/


Clouds
chránime Vaše hodnoty

Aktuality

Contact
Kontaktné informácie

Sídlo spoločnosti

Na mape

V prípade záujmu o bližšie informácie alebo v prípade potreby produktovej podpory kontaktujte nás prosím cez tento formulár.