Pověřenec pro ochranu údajů jako loutka? Pokuta 18.000 EUR!

Lucemburský soud potvrdil pokutu ve výši 18 000 € za nedostatečné zdroje a nedostatečné zapojení pověřence pro ochranu osobních údajů (DPO) do interních procesů organizace.

Pověřenec pro ochranu údajů jako loutka? Pokuta 18.000 EUR!

Tak trochu izolovaný pověřenec…

Lucemburský úřad pro ochranu osobních údajů (CNPD) zahájil vyšetřování skupiny společností se zaměřením na dceřinou společnost se sídlem v Lucembursku. Tato skupina jmenovala jednoho pověřence pro ochranu osobních údajů (DPO) podle článku 37 odst. 2 obecného nařízení o ochraně osobních údajů (GDPR), který se měl zabývat záležitostmi ochrany dat v celé skupině. V Lucembursku dostal skupinový DPO na pomoc jako místní kontaktní osobu místního právníka.

Jak to fungovalo v praxi?

Přestože byl v lucemburské společnosti zřízen GDPR výbor, DPO nebyl jeho členem. O jednáních výboru byl informován pouze prostřednictvím zápisů z jednání a od místní kontaktní osoby.

Ovšem během vyšetřování už správce vlastního DPO pro Lucembursko jmenoval a ten nastoupil 1. října 2020.

Kontrola lucemburského úřadu pro ochranu dat

CNPD zjistil, že zapojení DPO na úrovni skupiny a interakce prostřednictvím místních kontaktních osob nebyly dostatečné k prokázání přímého a trvalého zapojení do záležitostí ochrany dat. To úřad považoval za porušení článku 38 odst. 1 a článku 39 GDPR. Skupinový DPO dále nedisponoval odpovídajícími zdroji a pravomocemi, a svoji funkci tedy plnil jen formálně. Podle lucemburského dozorového úřadu se jednalo o porušení článku 38 odst. 2 GDPR. V důsledku toho udělil správci pokutu 18.000 EUR.

Soud potvrdil závěry úřadu

Správce se proti rozhodnutí odvolal k Administrativnímu soudu Velkovévodství lucemburského, s tím, že CNPD překročila své pravomoci a že pokuta byla nepřiměřená. Kontrolovaný správce rovněž uvedl, že mateřskou společnost kontroloval francouzský úřad pro ochranu osobních údajů (CNIL) a nenašel žádná taková porušení pravidel.

Soud konstatoval, že aby DPO mohl plnit své povinnosti podle GDPR, musí být zapojen do záležitostí ochrany dat od nejranějších fází. Soud zjistil, že místní kontaktní osoba vyřizovala žádosti a stížnosti subjektů údajů bez zásahu DPO. Správce neposkytl žádnou dokumentaci o pravidelné komunikaci mezi místní kontaktní osobou a DPO, ani nebylo prokázáno, že by byl DPO konzultován například o zřízení GDPR výboru.

K otázce kapacit soud poznamenal, že místní kontaktní osoba byla jediným právníkem v lucemburské kanceláři, která se zabývala značným objemem záležitostí ochrany dat bez jasně dedikovaného pracovního času. S ohledem na rozsah činnosti správce v Lucembursku – 70 pracovišť, 1.600 až 2,100 zaměstnanců a 25.000 spotřebitelů denně – existovala oprávněná potřeba alespoň jednoho pracovníka na plný úvazek.

Soud rovněž odmítl argumentaci závěry francouzského úřadu (CNIL), protože se týkala situace ve Francii a nikoli v Lucembursku. Rovněž zamítl tvrzení správce, že jmenování vlastního DPO během vyšetřování zmírnilo zjištěné porušení, protože rozhodující byly skutečnosti ke dni zahájení kontroly.

Soud proto potvrdil rozhodnutí lucemburského úřadu pro ochranu osobních údajů (CNPD), že správce porušil článek 38 odst. 1 a 2 a článek 39 GDPR.

Chcete se vyhnout pokutě? Berte svého DPO vážně!

Toto rozhodnutí zdůrazňuje nezbytnost toho, aby byl DPO aktivně a přímo zapojen do všech záležitostí týkajících se ochrany dat. Stejně tak důležité je poskytnout pověřenci pro ochranu osobních údajů dostatečné zdroje, kapacitu a pravomoci. Jen tak bude moci svoji roli vykonávat v souladu s GDPR, ve prospěch subjektu údajů i organizace jako takové.

Loading...