Πρόστιμο 50.000 ευρώ από την Βελγική Αρχή Προστασίας Δεδομένων

Πρόστιμο 50.000 ευρώ από την Βελγική Αρχή Προστασίας Δεδομένων για τη σύγκρουση συμφερόντων μεταξύ καθηκόντων DPO και Προϊσταμένου Τμήματος εταιρείας (internal audit, risk management και compliance)

Πρόσφατα η Βελγική Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 50.000 ευρώ σε εταιρεία για παραβίαση του άρθρου 38 (6) του Γενικού Κανονισμού Προστασίας Δεδομένων, καθώς έκρινε ότι υπήρχε σύγκρουση συμφερόντων στην άσκηση καθηκόντων του DPO. Πιο συγκεκριμένα, η Βελγική Αρχή έκρινε ότι δεν συμβαδίζουν τα καθήκοντα Προϊσταμένου Τμήματος Εσωτερικού Ελέγχου, Διαχείρισης Κινδύνου και Εταιρικής Συμμόρφωσης με αυτά του DPO, διότι ο Προϊστάμενος των Τμημάτων αυτών καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων των Τμημάτων αυτών και επομένως έρχεται έτσι σε ουσιώδη σύγκρουση συμφερόντων και στις εγγυήσεις ανεξαρτησίας που πρέπει να έχει ως Υπεύθυνος Προστασίας Δεδομένων, σύμφωνα με τα συμπεράσματα των κατευθυντήριων γραμμών που εξέδωσε τον Απρίλιο του 2017 η (τότε) Ομάδα Εργασίας του άρθρου 29 και νυν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων.

Ο Υπεύθυνος Προστασίας Δεδομένων (DPO) οφείλει να ασκεί τα καθήκοντα του με ανεξαρτησία και αμερόληπτο τρόπο. Μπορεί, σύμφωνα με το άρθρο 37(6) του Γενικού Κανονισμού Προστασίας Δεδομένων,  να  οριστεί ως ΥΠΔ είτε μέλος του προσωπικού του Υπεύθυνου ή Εκτελούντος την επεξεργασία βάσει απόφασης είτε να είναι εξωτερικός συνεργάτης βάσει σύμβασης παροχής υπηρεσιών.

Οι εγγυήσεις του Κανονισμού που διασφαλίζουν την ανεξαρτησία του περιγράφονται στο άρθρο 38 (3) του Κανονισμού και συνοψίζονται στο ότι ο ΥΠΔ δεν πρέπει να λαμβάνει εντολές για την άσκηση των καθηκόντων του ούτε να υπόκειται σε απόλυση ή άλλες κυρώσεις επειδή επιτέλεσε τα καθήκοντα του.

Μπορεί, ωστόσο να επιτελεί και άλλα καθήκοντα και υποχρεώσεις πέραν αυτών ως ΥΠΔ, σύμφωνα με το άρθρο 38(6) αρκεί να μην έρχονται σε σύγκρουση με αυτά που ασκεί με την άνω ιδιότητα (ως ΥΠΔ), δηλαδή να μην συνεπάγονται σύγκρουση συμφερόντων.

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων εξέδωσε στις 5 Απριλίου 2017 κατευθυντήριες γραμμές (WP 243 rev.01) αναφορικά με τον ορισμό του υπευθύνου προστασίας δεδομένων, στις οποίες παραπέμπει και η Επίτροπος Προστασίας Προσωπικών Δεδομένων της Κύπρου.

Συγκεκριμένα, στο  πιο πάνω κείμενο αναφέρεται ότι «Η απουσία σύγκρουσης συμφερόντων συνδέεται στενά με την απαίτηση της επιτέλεσης των καθηκόντων με ανεξάρτητο τρόπο. Μολονότι οι υπεύθυνοι προστασίας δεδομένων επιτρέπεται να επιτελούν και άλλα καθήκοντα, η ανάθεση σ’ αυτούς άλλων καθηκόντων και υποχρεώσεων είναι δυνατή μόνο υπό την προϋπόθεση ότι δεν προκύπτουν συγκρούσεις συμφερόντων. Αυτό συνεπάγεται συγκεκριμένα ότι ο υπεύθυνος προστασίας δεδομένων δεν μπορεί να κατέχει στους κόλπους του οργανισμού θέση από την οποία μπορεί να καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Επειδή κάθε οργανισμός έχει διαφορετική οργανωτική δομή, το συγκεκριμένο ζήτημα θα πρέπει να εξετάζεται για κάθε περίπτωση χωριστά. 

Θα μπορούσε να ειπωθεί, με βάση την εμπειρία, ότι θέσεις στις οποίες εντοπίζονται συνήθως συγκρούσεις συμφερόντων στους κόλπους ενός οργανισμού είναι, μεταξύ άλλων, οι θέσεις της ανώτερης διοίκησης (όπως, διευθύνων σύμβουλος, διοικητικός γενικός διευθυντής, οικονομικός διευθυντής, αρχίατρος, προϊστάμενος τμήματος μάρκετινγκ, προϊστάμενος ανθρωπίνων πόρων ή προϊστάμενος τμήματος πληροφορικής), και άλλες θέσεις κατώτερων βαθμίδων της οργανωτικής δομής, εφόσον από τις θέσεις αυτές είναι δυνατός ο καθορισμός των σκοπών και των μέσων της επεξεργασίας. Σύγκρουση συμφερόντων μπορεί επίσης να προκύψει, π.χ., σε περίπτωση που ζητηθεί από εξωτερικό υπεύθυνο προστασίας δεδομένων να εκπροσωπεί τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία ενώπιον των δικαστηρίων σε υποθέσεις που σχετίζονται με ζητήματα προστασίας των δεδομένων.»

Ενόψει των ανωτέρω, είναι σημαντικό για τις εταιρείες ή οργανισμούς να διασφαλίζουν ότι ο Υπεύθυνος Προστασίας Δεδομένων του Οργανισμού ή της Εταιρείας δεν κατέχει θέση Γενικού Διευθυντή ή Διευθυντή – Προϊσταμένου Τμήματος ιδίως όσων αναφέρονται χαρακτηριστικά πιο πάνω, ώστε να είναι σε συμμόρφωση με τον Κανονισμό.

Ελένη Ζαφείρη, Δικηγόρος LLM

error: Content is protected !!