Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2ITILArtificial IntelligenceDalší standardy
> > Pověřenec pro ochranu údajů jako loutka? Pokuta 18.000 EUR!

Pověřenec pro ochranu údajů jako loutka? Pokuta 18.000 EUR!

  • Datum: 12.08.2024
  • Autor: Michal Orviský

Lucemburský soud potvrdil pokutu ve výši 18 000 € za nedostatečné zdroje a nedostatečné zapojení pověřence pro ochranu osobních údajů (DPO) do interních procesů organizace.

Tak trochu izolovaný pověřenec…

Lucemburský úřad pro ochranu osobních údajů (CNPD) zahájil vyšetřování skupiny společností se zaměřením na dceřinou společnost se sídlem v Lucembursku. Tato skupina jmenovala jednoho pověřence pro ochranu osobních údajů (DPO) podle článku 37 odst. 2 obecného nařízení o ochraně osobních údajů (GDPR), který se měl zabývat záležitostmi ochrany dat v celé skupině. V Lucembursku dostal skupinový DPO na pomoc jako místní kontaktní osobu místního právníka.

Jak to fungovalo v praxi?

Přestože byl v lucemburské společnosti zřízen GDPR výbor, DPO nebyl jeho členem. O jednáních výboru byl informován pouze prostřednictvím zápisů z jednání a od místní kontaktní osoby.

Ovšem během vyšetřování už správce vlastního DPO pro Lucembursko jmenoval a ten nastoupil 1. října 2020.

Kontrola lucemburského úřadu pro ochranu dat

CNPD zjistil, že zapojení DPO na úrovni skupiny a interakce prostřednictvím místních kontaktních osob nebyly dostatečné k prokázání přímého a trvalého zapojení do záležitostí ochrany dat. To úřad považoval za porušení článku 38 odst. 1 a článku 39 GDPR. Skupinový DPO dále nedisponoval odpovídajícími zdroji a pravomocemi, a svoji funkci tedy plnil jen formálně. Podle lucemburského dozorového úřadu se jednalo o porušení článku 38 odst. 2 GDPR. V důsledku toho udělil správci pokutu 18.000 EUR.

Soud potvrdil závěry úřadu 

Správce se proti rozhodnutí odvolal k Administrativnímu soudu Velkovévodství lucemburského, s tím, že CNPD překročila své pravomoci a pokuta tedy byla nepřiměřená. Kontrolovaný správce rovněž uvedl, že mateřskou společnost kontroloval francouzský úřad pro ochranu osobních údajů (CNIL) a nenašel žádná taková porušení pravidel.

Soud konstatoval, že aby DPO mohl plnit své povinnosti podle GDPR, musí být zapojen do záležitostí ochrany dat od nejranějších fází. Soud zjistil, že místní kontaktní osoba vyřizovala žádosti a stížnosti subjektů údajů bez zásahu DPO. Správce neposkytl žádnou dokumentaci o pravidelné komunikaci mezi místní kontaktní osobou a DPO, ani nebylo prokázáno, že by byl DPO konzultován například o zřízení GDPR výboru.

K otázce kapacit soud poznamenal, že místní kontaktní osoba byla jediným právníkem v lucemburské kanceláři, která se zabývala značným objemem záležitostí ochrany dat bez jasně dedikovaného pracovního času. S ohledem na rozsah činnosti správce v Lucembursku – 70 pracovišť, 1.600 až 2,100 zaměstnanců a 25.000 spotřebitelů denně – existovala oprávněná potřeba alespoň jednoho pracovníka na plný úvazek.

Soud rovněž odmítl argumentaci závěry francouzského úřadu (CNIL), protože se týkala situace ve Francii a nikoli v Lucembursku. Rovněž zamítl tvrzení správce, že jmenování vlastního DPO během vyšetřování zmírnilo zjištěné porušení, protože rozhodující byly skutečnosti ke dni zahájení kontroly.

Soud proto potvrdil rozhodnutí lucemburského úřadu pro ochranu osobních údajů (CNPD), že správce porušil článek 38 odst. 1 a 2 a článek 39 GDPR.

Chcete se vyhnout pokutě? Berte svého DPO vážně!

Toto rozhodnutí zdůrazňuje nezbytnost toho, aby byl DPO aktivně a přímo zapojen do všech záležitostí týkajících se ochrany dat. Stejně tak důležité je poskytnout pověřenci pro ochranu osobních údajů dostatečné zdroje, kapacitu a pravomoci. Jen tak bude moci svoji roli vykonávat v souladu s GDPR, ve prospěch subjektu údajů i organizace jako takové.

Článek je rovněž publikován na GDPR.cz

Štítky
GDPRData Protection OfficerPověřenec pro ochranu osobních údajůOchrana osobních údajůDPOCompliancePokuta

Nejčtenější články

Štítky
Simulation (1)AI Act (9)Management (31)Data (9)BPMN (1)Program Manager (4)Compliance (54)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (16)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (16)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (14)Axelos (6)AI (14)ISO (12)IT Security (5)Marketing (7)ESG (4)Identifikace (1)Lean (3)MoP (7)CMS (1)GDPR (89)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)HR (3)Agile (6)Risk Manager (1)korporace (5)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Data Protection Officer (51)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (10)Whistleblowing Officer (9)DORA (9)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (27)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (14)P3M3 (1)Business Simulation (4)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (1)DPO (10)AgileSHIFT (3)PMI (1)ISMS (23)NIS2 (13)Kritická infrastruktura (4)IT (6)Pověřenec pro ochranu osobních údajů (57)IT Service (4)ISO42001 (1)Soukromí (2)Grab@Pizza (1)Enterprise Architect (5)Business Analytik (1)Project Manager (15)ISO 22301 (1)Ochrana osobních údajů (28)Pokuta (8)Hospodářská soutěž (1)eGovernment (1)Regulace (14)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play