29 Sep DPO NË KONFLIKT INTERESI: GJOBË GJYSËM MILIONI EURO
Emërimi i një Data Protection Officer (Përgjegjësi për mbrojtjen e të dhënave) në konflikt interesi kushtoi një gjobë prej 525,000 eurosh për një degë të një grupi gjerman të e-commerce.
Në Gjermani, emërimi i oficerit të mbrojtjes së të dhënave (DPO) në disa raste është fakultativ, ndërsa në raste të tjera është i detyrueshëm, si për shembull nëse kompania punëson të paktën 20 persona të përfshirë vazhdimisht në përpunimin e automatizuar të të dhënave personale, ose kur hyn në dispozitat e nenit. 37 të Rregullores së BE-së 2016/679 (GDPR).
Në çdo rast, Data Protection Officer kanë detyrën e rëndësishme të këshillojnë kompaninë për detyrat dhe detyrimet në lidhje me mbrojtjen e të dhënave dhe gjithashtu të mbikëqyrin respektimin e rregulloreve përkatëse dhe për shkak të detyrave që u janë ngarkuar është e nevojshme që kontrolluesi i të dhënave të caktojë një person i cili, përveçse zotëron aftësitë e kërkuara, nuk i nënshtrohet asnjë konflikti interesi për shkak të detyrave të tjera dhe vepron në mënyrë të pavarur pa marrë udhëzime nga askush, siç kërkohet nga neni 38 i GDPR.
Në disa raste, konflikti i interesit mund të ekzistojë nëse, për shembull, detyra u besohej njerëzve me pozicione drejtuese në kompani, të cilët marrin vendime të rëndësishme në lidhje me përpunimin e të dhënave personale. Në thelb, një DPO nuk duhet të kryejë kurrë detyrën e tij duke kontrolluar punën e tij, dhe kjo ishte pikërisht situata e grupit të e-commerce të sanksionuar nga autoriteti i Berlinit.
DPO i një dege të grupit gjerman të tregtisë elektronike ishte në fakt edhe CEO i dy kompanive të shërbimit që përpunonin të dhënat personale në emër të kompanisë për të cilën ai kishte rolin e Oficerit të Mbrojtjes së të Dhënave. Kompanitë nga ana e tyre ishin pjesë e grupit dhe ishin përgjegjëse për shërbimin ndaj klientit dhe ekzekutimin e porosive. “Prandaj DPO-ja duhej të monitoronte respektimin e legjislacionit për mbrojtjen e të dhënave nga kompanitë e shërbimeve aktive në fushën e përpunimit të porosive, të cilat ai vetë i drejtonte si CEO”, sqarohet në njoftimin për shtyp të autoritetit.
Në këtë situatë, komisioneri gjerman i mbrotjes së të dhënave kishte konstatuar një konflikt interesi dhe për rrjedhojë shkelje të GDPR që në vitin 2021, kur kishte njoftuar zyrtarisht grupin e tregtisë elektronike.
Megjithatë, pas një kontrolli tjetër të kryer këtë vit, autoritetet konstatuan se shkelja ishte ende në vazhdim pavarësisht paralajmërimit dhe për këtë arsye vendosën të sanksionojnë me dënimin e rëndë, i cili aktualisht nuk është ende përfundimtar. “Kjo gjobë nënvizon rolin e rëndësishëm të zyrtarëve për mbrojtjen e të dhënave brenda kompanisë. Një OPAK nuk mund, nga njëra anë, të monitorojë pajtueshmërinë me ligjin për mbrojtjen e të dhënave dhe, nga ana tjetër, të ketë fjalën “, komentoi Volker Brozio, kreu i përkohshëm i autoritetit mbikëqyrës gjerman. Ky vetërregullim bie ndesh me vetë funksionin e të dhënave. Oficeri i Mbrojtjes, i cili duhet të jetë organ i pavarur
Në përcaktimin e masës së gjobës mbi gjysmë milioni euro, janë marrë parasysh disa faktorë, duke përfshirë faturimin e grupit në vitin e kaluar dhe rolin e rëndësishëm të përgjegjësit për mbrojtjen e të dhënave si person kontaktues për një numër të madh punonjësish dhe klientësh. Për më tepër, autoriteti mori parasysh edhe faktin se DPO ishte emëruar qëllimisht për gati një vit, pavarësisht paralajmërimit të marrë. Nga ana tjetër, bashkëpunimi i treguar nga kompania ndaj Autoritetit dhe fakti që shkelja ka pushuar përfundimisht gjatë procedurës së sanksionimit, janë konsideruar si faktorë lehtësues në përcaktimin e shumës.
Në zbulimin e dispozitës, BlnBDI u kujtoi kompanive nevojën për të kontrolluar gjithmonë çdo konflikt interesi në çdo rol të dyfishtë të mbuluar nga DPO, në mënyrë që të shmangen shkeljet e mbrojtjes së të dhënave, dhe kjo është veçanërisht e vërtetë kur ka përgjegjësi të përbashkëta midis kompanive të grupi.
burimi: federprivacy.org