Rozhodnutí belgického úřadu

Koncem dubna vydala odvolací komora belgického úřadu pro ochranu osobních údajů rozhodnutí[2], ve kterém potvrdila závěry úřadu z provedené kontroly a konstatovala porušení článku 38 odst. 6 GDPR. Kontrola se týkala nejmenované společnosti s ročním obratem přibližně 4 miliardy eur, jejíž hlavní činnost zahrnuje rozsáhlé zpracování osobních údajů (včetně zvláštních kategorií osobních údajů dle článku 9 GDPR) a která tím pádem podléhá povinnosti jmenovat pověřence pro ochranu osobních údajů podle článku 37 GDPR. Za porušení povinnosti předcházet střetu zájmů pověřence byla společnosti udělena pokuta ve výši 50 000 eur. Při určení výše pokuty přitom úřad přihlédl nejen k povaze, závažnosti a době trvání porušení, ale také k hrubé nedbalosti společnosti, která dlouhodobě provádí rozsáhlé zpracování osobních údajů a měla si tak dle úřadu být vědoma povinností vyplývajících pro ni z právních předpisů.

V posuzovaném případě vedla ke střetu zájmů skutečnost, že osoba jmenovaná do funkce pověřence současně působila jako vedoucí oddělení interního auditu, řízení rizik a compliance. Společnost v řízení uvedla, že tři uvedená oddělení jsou nezávislá na ostatních odděleních společnosti a plní pouze poradní funkci. Dle jejího názoru tak nedošlo ke střetu zájmů, neboť osoba jmenovaná jako pověřenec neměla v rámci těchto oddělení pravomoc rozhodovat o účelech a prostředcích zpracování osobních údajů.

Úřad ve svém rozhodnutí podrobně zkoumal postavení pověřence ve společnosti a jeho nezávislost při vykonávání funkcí vedoucího oddělení interního auditu, řízení rizik a compliance. Dle úřadu je třeba existenci střetu zájmů posuzovat případ od případu, přičemž dozorový úřad je povinen zjišťovat, jak a do jaké míry je zajištěna nezávislost pověřence, s přihlédnutím k zavedeným organizačním opatřením. Taková opatření jsou nezbytná tím spíše, jestliže osoba vykonávající funkci pověřence nejen že působí v dalších odděleních společnosti, ale je navíc za provoz těchto oddělení přímo odpovědná. Přestože osoba vykonávající funkci pověřence nedisponuje při plnění dalších úkolů v rámci společnosti kompetencí rozhodovat o činnostech zpracování, může se tak ocitnout ve střetu zájmů. Z postavení vedoucí osoby jakožto osoby odpovědné za provoz oddělení totiž dle názoru úřadu vyplývá i její odpovědnost za činnosti zpracování osobních údajů prováděné v rámci tohoto oddělení, která je neslučitelná s funkcí pověřence pro ochranu osobních údajů.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Nadto úřad konstatoval, že kompetence vedoucího oddělení interního auditu v souvislosti s posuzováním pracovních výkonů zaměstnanců (jež může vést i k následnému propuštění zaměstnance) jsou neslučitelné s důvěrnou povahou funkce pověřence dle článku 38 odst. 5 GDPR.

V odůvodnění rozhodnutí úřad dále odkázal na pokyny bývalé pracovní skupiny WP29[3] a rozhodnutí bavorského úřadu pro ochranu osobních údajů[4], ve kterém byl střet zájmů konstatován u pověřence, který byl ve společnosti zároveň zaměstnán na pozici vedoucího oddělení IT.

Doporučení pro snížení rizika střetu zájmů

V souvislosti s povinností dle článku 38 odst. 6 GDPR zamezit případnému střetu zájmů pověřence pro ochranu osobních údajů doporučujeme správcům a zpracovatelům přijmout následující opatření:

• Zajistěte, aby byl pověřenec přímo podřízen statutárnímu orgánu společnosti;
• Identifikujte pracovní pozice, které mohou být neslučitelné s funkcí pověřence (zpravidla se jedná o pozice vedoucích pracovníků, jako jsou CEO, COO, CFO, či vedoucí oddělení marketingu, HR a IT);
• Implementujte vnitřní předpisy, které informují o problematice střetu zájmů a zavádějí organizační opatření pro zajištění nezávislosti pověřence;
• Nezadávejte pověřenci pracovní úkoly, při jejichž plnění by mu bylo umožněno rozhodovat o účelech a prostředcích zpracování osobních údajů.

Pro podrobnější analýzu postavení pověřence pro ochranu osobních údajů a výklad povinností správce/zpracovatele dle článku 38 GDPR si Vás dovolujeme odkázat na výše zmíněné pokyny pracovní skupiny WP29[5] a dále na Poziční dokument k roli pověřenců v soukromé sféře vypracovaný Spolkem pro ochranu osobních údajů[6].

Jiří Maršál,
TMT Paralegal 

Kinstellar, s.r.o., advokátní kancelář

Palác Myslbek
Na Příkopě 19
110 00 Praha 1

Tel.:    +420 221 622 111

_________________________________
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] Rozhodnutí Litigation Chamber belgického úřadu pro ochranu osobních údajů ze dne 28. dubna 2020, č. AH-2019-0013, dostupné na www, k dispozici pouze v holandštině >>> zde.
[3] Pracovní skupina pro ochranu údajů zřízená podle článku 29: Pokyny týkající se pověřenců pro ochranu osobních údajů, WP 243 rev.01, ze dne 13. prosince 2016, dostupné na www, k dispozici >>> zde.
[4] Tisková zpráva k rozhodnutí Bayerische Landesamt für Datenschutzaufsicht, dostupné na www, k dispozici pouze v němčině >>> zde.
[5] Pracovní skupina pro ochranu údajů zřízená podle článku 29: Pokyny týkající se pověřenců pro ochranu osobních údajů, WP 243 rev.01, ze dne 13. prosince 2016, dostupné na www, k dispozici >>> zde.
[6] Poziční dokument Spolku pro ochranu osobních údajů, dostupné na www, k dispozici >>> zde.