EU: Odločitve organov glede DPO

EU: Odločitve organov glede DPO
29. 08. 2023 objavil/a Bojana Pleterski
37. člen GDPR
38. člen GDPR
39. člen GDPR
DPO

V času izvajanja letošnjega usklajenega ukrepa EDPB, usmerjenega na imenovanje in položaj DPO, velja izpostaviti pomembne odločbe evropskih nadzornikov na tem področju.

Članek je bil objavljen 31.7.2023

Izvršilni ukrep, v okviru katerega poteka koordinirana aktivnosti 26 evropskih nadzornih organov za varstvo podatkov, da bi zagotovili, da pooblaščene osebe za varstvo podatkov izpolnjujejo zahteve iz členov 37–39 GDPR, je v teku. Veliko število upravljavcev je spomladi izpolnilo vprašalnik.

Zelo koristno je ponovno preleteti, kako nadzorni organi ocenjujejo uspešnost te vloge. V članku je navedenih tudi nekaj odločitev v zvezi s to tematiko. Pred tremi leti je Iapp povzel nekaj ključnih vidikov ustreznih odločitev o vlogi DPO, ki so jih opisali evropski nadzorni organi:

  • poleg imenovanja DPO pri pristojnem nadzornem organu mora organizacija v primeru podružnic v drugih državah kljub mehanizmu doslednosti sama obvestiti drugi nadzorni organ;

  • DPO ne sme nastopati v vlogi predstavnika upravljavca pred nadzornim organom, saj bi to lahko ogrozilo avtonomijo ali neodvisnost DPO;

  • ni mogoče najeti podjetja kot zunanjega DPO in hkrati najeti tudi zunanjega posameznika za opravljanje te vloge;

  • organizacija s kolegijskim organom za varstvo podatkov ne nadomesti obveznosti imenovanja ene osebe kot DPO;

  • če je DPO izbran za vodjo skladnosti, revizije in obvladovanja tveganj, je lahko ogrožena avtonomija ali neodvisnost te vloge. To je treba analizirati od primera do primera.

Odločbe zadnji dveh let

Berlinski nadzorni organ za varstvo podatkov je septembra 2022 spletni trgovini izrekel globo v višini 525.000 EUR zaradi navzkrižja interesov DPO. O tem smo pisali tudi na portalu GDPR GURU.

Luksemburški nadzorni organ je oktobra 2021 ravno tako odločal o konfliktu interesa zaradi opravljanja funkcije DPO in vodje skladnosti in svetovalo podjetju, da imenuje alternativno pooblaščeno osebo za obdelave v okviru službe za skladnost.

Isti nadzorni organ je v tem obdobju v dveh različnih primerih navedel tri situacije neskladnosti glede zunanjih DPO:

  • Zunanji DPO ni mogel prostovoljno posredovati, ampak je ukrepal le, ko je to zahteval upravljavec.

  • Vlogo zunanjega DPO je treba formalizirati v obliki nadzornega načrta ali postopkov spremljanja, da se zagotovi, da lahko svetuje in učinkovito spremlja organizacijo pri zagotavljanju skladnosti z varstvom podatkov.

  • Upravljavec mora zunanjemu DPO dodeliti potrebna sredstva, da slednji lahko izvaja svoje naloge.

Conseil d'État (najvišje francosko sodišče, ki odloča o izzivih in primeri javne uprave) je oktobra 2022 pritrdilo  odločbi CNIL, da je lahko DPO odpuščen brez kršitve GDPR. Slednji namreč ni v celoti izpolnil zahtev njegovega položaja, npr. pomanjkanje odgovorov na zahteve, neupoštevanje notranjih postopkov in odsotnost brez obvestila.  

Dostop do celotnega članka tukaj

Vir: Iapp

Naslovna slika: Bigstock