ACRESIA

Okolnosti

Subjekt údajů, kteřý případ nahlásil, zejména tvrdil, že: správce údajů neinformoval dozorový úřad o jmenování svého pověřence ochrany údajů podle čl. 34 odst. 1 písm. a) GDPR ; došlo ke střetu zájmů mezi funkcemi vykonávanými osobou jmenovanou do funkce pověřence; v zásadách ochrany osobních údajů správce údajů chyběly odpovídající informace a správce údajů používal na svých internetových stránkách soubory cookie bez získání souhlasu.

Úřad pro ochranu osobních údajů zahájil u správce údajů, kolegia architektů, šetření a oznámil mu, aby předložil svou obhajobu. Kolegium architektů v odpovědi uznalo, že je nutné upravit jehich politiku ochrany osobních údajů a cookies, ale tvrdilo, že již provádí audity a zavádí nápravná opatření. Pokud jde o údajný střet zájmů, správce údajů tvrdil, že se jedná o pouhou domněnku, která nebyla konkrétně prokázána. Sdělil však, že na tuto pozici jmenoval novou osobu.

Úřad pro ochranu údajů pokračoval v šetření a navštívil internetové stránky správce, aby shromáždil důkazy.

Stanovisko

Úřad pro ochranu osobních údajů zdůraznil význam pověřence pro ochranu osobních údajů pro zajištění souladu s předpisy o ochraně osobních údajů. Připomněl, že toto postavení je upraveno v článcích 37 až 39 GDPR, tedy v ustanoveních, které pracovní skupina zřízená podle článku 29 vyložila v Pokynech k pověřencům pro ochranu osobních údajů. Kromě poradenství plní totiž pověřenec i další důležité funkce, jako je provádění DPIA (Data Protection Impact Assessment) a provádění interních inspekcí a funkce kontaktního místa pro styk s dozorovým úřadem. Pro řádné plnění těchto úkolů je nezbytná nezávislost. V tomto smyslu čl. 38 odst. 3 obecného nařízení o ochraně osobních údajů stanoví, že pověřenec pro ochranu osobních údajů nesmí dostávat pokyny, nesmí být správcem/zpracovatelem odvolán ani potrestán za výkon svých funkcí.

Mezi konfliktní pozice v organizaci mohou zpravidla patřit pozice ve vyšším managementu (např. výkonný ředitel, provozní ředitel, finanční ředitel, lékařský ředitel, vedoucí marketingového oddělení, vedoucí lidských zdrojů nebo vedoucí oddělení IT), ale i další pozice níže v organizační struktuře, pokud tyto pozice vedou k určování prostředků a účelů zpracování osobních údajů. Ke střetu zájmů může dojít například také tehdy, pokud je pověřenec pro ochranu osobních údajů požádán, aby zastupoval správce nebo zpracovatele údajů u soudu v případech týkajících se ochrany osobních údajů.

V daném případě úřad zjistil, že funkce, kterou zastává osoba jmenovaná jako pověřenec, je neslučitelná s plněním těchto úkolů, neboť by mohla vést ke střetu zájmů ve zpracování osobních údajů. Proto shledal porušení čl. 38 odst. 6 obecného nařízení o ochraně osobních údajů.

Úřad dále potvrdil, že formulář pro stížnosti dostupný na internetových stránkách správce údajů neposkytoval všechny nezbytné informace požadované článkem 13 nařízení GDPR. Došlo k porušení ustanovení GDPR týkajících se informací, které mají být uživatelům poskytnuty při shromažďování jejich osobních údajů, jako jsou totožnost a kontaktní údaje správce, účely zpracování, pro které jsou osobní údaje určeny, a právní základ zpracování; případné příjemce nebo kategorie příjemců osobních údajů; dobu, po kterou budou osobní údaje uchovávány, nebo, pokud to není možné, kritéria použitá pro stanovení této doby nebo právo podat stížnost u dozorového úřadu, čímž došlo k porušení platných právních předpisů o ochraně osobních údajů.

Nakonec úřad po prohlídce webových stránek dospěl k závěru, že správce nainstaloval analytické soubory cookie třetích stran, které nebyly popsány v jeho zásadách, na něž se nevztahuje výjimka ze souhlasu. Z tohoto důvodu úřad zjistil porušení čl. 22 odst. 2 LSSI (španělské Právo služeb informační společnosti a elektronického obchodu).

S ohledem na výše uvedená porušení uložil úřad následující pokuty:

- 5 000 EUR za porušení čl. 38 odst. 6 GDPR;

- 8 000 EUR za porušení čl. 13 GDPR;

- 1 000 EUR za porušení čl. 22 odst. 2 LSSI.

Zdroj