Početna Blog Službenik za zaštitu podataka - kazna zbog sukoba interesa

Službenik za zaštitu podataka - kazna zbog sukoba interesa

Svi članci
12.10.2022.

Berlinski povjerenik za zaštitu podataka i slobodu informacija (dalje u tekstu: Povjerenik) kaznio je lanac maloprodaje s 525.000 eura zbog kršenja članka 38. stavka 6. GDPR-a - sukoba interesa njihovog službenika za zaštitu podataka.

Službenik je u isto vrijeme bio direktor dviju tvrtki koje su obrađivale podatke u ime voditelja obrade (izvršitelji obrade). Ove tvrtke su također pružale usluge korisnicima i izvršavala narudžbe.

U izvršavanju svojih zakonskih dužnosti, službenik je morao nadzirati usklađenost sa zakonima o zaštiti podataka od strane uslužnih tvrtki koje djeluju u okviru obrade, dok je također bio odgovoran za donošenje upravljačkih odluka unutar njih.

Povjerenik je izdao upozorenje voditelju obrade. No, nakon ponovnog nadzora utvrdio je da se prekršaj nastavio unatoč upozorenju.

Članak 38. stavak 6. GDPR-a jasno navodi da voditelj obrade ili izvršitelj obrade osigurava da zadaće i dužnosti službenika ne dovedu do sukoba interesa.

Službenik mora djelovati neovisno o voditelju obrade ili izvršitelju obrade u skladu s člankom 38. stavkom 3. GDPR-a.

Prilikom izricanja kazne, Povjerenik  je uzeo u obzir promet voditelja obrade koji je iznosio stotine milijuna eura u prethodnoj poslovnoj godini, ulogu službenika kao kontakt osobe za zaposlenike i klijente te nastavak kršenja unatoč upozorenju.

Unatoč tome, voditelj obrade je uvelike surađivao s Povjerenikom  i prestao kršiti GDPR tijekom kaznenog postupka koji je bio u tijeku. To je kulminiralo smanjenom ukupnom kaznom od 525.000 eura. Kazna, međutim, još nije pravomoćna jer se na nju može uložiti žalba.

Svaki voditelj koji imenuje službenika za zaštitu podataka trebao bi osigurati sve zahtjeve propisane Općom uredbom o zaštiti podataka. Službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti, ali voditelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa. U osnovi to znači da službenik za zaštitu podataka ne može zadržati vodeću poziciju unutar organizacije čija funkcija je određivanje svrhe i načine obrade osobnih podataka (kao što su glavni izvršni direktor, voditelj financijskog odjela, voditelj odjela marketinga, voditelj ljudskih resursa ili voditelj IT odjela).

Službenik za zaštitu podataka ne može biti onaj djelatnik unutar organizacije čiju svrhu i načine obrade osobnih podataka mora utvrditi.

Službenicima se ne smiju davati upute o načinu rješavanja predmeta (npr. o ishodu koji bi trebalo ostvariti, načinu vođenja istrage o pritužbi ili o tomu treba li tražiti savjet nadzornog tijela.)

Ako voditelj/izvršitelj obrade donese odluke nespojive s Općom uredbom i savjetom službenika, trebalo bi omogućiti službeniku da svoje suprotno mišljenje jasno da do znanja najvišoj rukovodećoj razini te onima koji donose odluke.

Zbog posebne organizacijske strukture svakog poslovnog nastana o tome tko će biti službenik mora se odlučivati na pojedinačnoj osnovi.

Radna skupina iz članka 29. navodi u Smjernicama o službenicima za zaštitu podataka da je nepisano pravilo da radna mjesta koja mogu biti u sukobu interesa u okviru organizacije mogu biti:

•             POLOŽAJI U VIŠEM RUKOVODSTVU (kao što su predsjednik uprave, direktor poslovanja, direktor financija, glavni medicinski službenik, voditelj odjela za marketing, voditelj ljudskih resursa ili voditelj odjela za informacijsku tehnologiju), ali i

•             NIŽE ULOGE U HIJERARHIJSKOJ STRUKTURI ORGANIZACIJE ako takvi položaji ili uloge podrazumijevaju utvrđivanje svrhe i načina obrade osobnih podataka.

•             DODATNO: sukob interesa može nastati, na primjer, ako se od vanjskog službenika za zaštitu podataka zatraži da pred sudovima predstavlja voditelja ili izvršitelja obrade u slučajevima koji uključuju pitanja zaštite podataka

Ovisno o djelatnostima, veličini i strukturi organizacije, za voditelje obrade ili izvršitelje u praksi bi moglo biti dobro sljedeće:

•             utvrditi funkcije koje su nespojive s funkcijom službenika za zaštitu podataka,

•             sastaviti interna pravila za tu svrhu kako bi se izbjegao sukob interesa,

•             dodati i šire objašnjenje o sukobu interesa,

•             izjaviti da njihov službenik za zaštitu podataka nije u sukobu interesa s obzirom na njegovu dužnost službenika za zaštitu podataka, što će pridonijeti podizanju svijesti o postojanju te obveze,

•             u interna pravila organizacije uvrstiti zaštitne mjere i osigurati da je natječaj za radno mjesto službenika za zaštitu podataka ili ugovor o djelu dostatno precizan i iscrpan radi izbjegavanja sukoba interesa. U tom bi kontekstu trebalo imati na umu da se sukobi interesa mogu pojaviti u raznim oblicima, ovisno o tome je li službenik za zaštitu podataka već bio zaposlenik organizacije ili nije.

Više možete saznati u našem besplatnom priručniku za službenike za zaštitu osobnih podataka!

Želim priručnik!
Odgovaramo u najbržem mogućem roku.

Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.