BI CONSULT - Neuključivanje grupnog DPO u sva GDPR pitanja i ograničavanje mu resursa

GDPR Croatia

Napisao/la BI CONSULT 03 Studeni 2024

Grupa poduzetnika je u skladu s člankom 37. GDPR-a imenovala grupnog službenika za zaštitu podataka (grupni DPO), ali su dodatno u podružnici u Luksemburgu angažirali odvjetnika kao lokalnu kontaktnu točku za grupnog DPO-a.

Ista ta grupa poduzetnika je uspostavila i tzv. GDPR upravu u Luksemburgu sa svrhom donošenja odluka u području zaštite osobnih podataka, ali, nevjerojatno, grupni DPO nije bio članom imenovane GDPR uprave. Molim???

Štoviše, GDPR uprava ga je samo izvješćivala o zaključcima s njihovih sastanaka šaljući mu minute tih sastanaka, a eventualna pitanja i zahtjevi su mu bili dostavljani od strane angažiranog odvjetnika kao lokalne kontaktne točke.

Nadzorno tijelo je tijekom nadzora u toj grupi poduzetnika utvrdilo da ne mogu dokazati da je grupni DPO bio na izravan način, formalno i kontinuirano bio uključen u sva pitanja u području zaštite osobnih podataka sukladno članku 38. GDPR-a, iako je sudjelovao u brojnim sastancima. Izrečena je kazna od 18.000 EUR jer grupa poduzetnika nije svom grupnom DPO-u osigurala sve potrebne resurse i ovlasti kako bi mogao obavljati svoje zadaće.

Predmetna grupa poduzetnika osporavala je nalaze i odluku nadzornog tijela pred upravnim sudom u Luksemburgu, koji je utvrdio i potvrdio slijedeće:

֍ Nužno je da DPO bude uključen u pitanja i projekte koji se tiču problematike zaštite osobnih podataka u najranijoj mogućoj fazi

֍ Postupanje sa zahtjevima i pritužbama ispitanika obavljao je angažirani odvjetnik bez involviranja grupnog DPO-a.

֍ Grupni DPO bio je uključen samo kada ispitanik nije bio zadovoljan postupanjem lokalnog odvjetnika.

֍ Iako se grupa poduzetnika „vadila“ da su održavali redovitu komunikaciju putem telefona, video konferencija i emaila između lokalnog odvjetnika i grupnog DPO-a, nisu prikazali dokaze o toj komunikaciji. Također nisu dokazali da je grupni DPO bio pravovremeno i u cijelosti konzultiran o osnivanju GDPR uprave.

֍ Sud je potvrdio da DPO mora biti uključen u sva pitanja povezana sa zaštitom osobnih podataka, opće konzultacije nisu dovoljne.

֍ Sud je stoga utvrdio da je voditelj obrade prekršio članak 38. stavak 2. GDPR-a time što nije osigurao dovoljno resursa svom grupnom DPO-u.

Više o slučaju:

https://gdprhub.eu/index.php?title=TADM_-_46401&mtc=today

Image by FreePik

#gdprcroatia

Neuključivanje grupnog DPO u sva GDPR pitanja i ograničavanje mu resursa

Kontaktiraj nas

Izbornik

Neuključivanje grupnog DPO u sva GDPR pitanja i ograničavanje mu resursa

Dok vi gradite svoj poslovni uspjeh

mi brinemo o zaštiti podataka

Kontaktiraj nas

Izbornik