GDPR Nariadenie

Zodpovedná osoba podľa GDPR a konflikt záujmov

Zodpovedná osoba podľa GDPR a konflikt záujmov

Zodpovedná osoba podľa GDPR sa môže dostať do konfliktu záujmov. Jedná sa najmä o prípady, kedy zodpovedná osoba (DPO) môže plniť iné úlohy a povinnosti. GDPR konflikt záujmov u zodpovednej osoby definuje tak, že prevádzkovateľ a / alebo sprostredkovateľ majú zabezpečiť, aby pri vykonávaní takýchto úloh neviedla žiadna úloha ku konfliktu záujmov.1

Na účely článku 38 ods. 6 GDPR Nariadenia, zodpovedná osoba (DPO) môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh neviedla ku konfliktu záujmov.

GDPR konflikt záujmov u zodpovednej osoby (DPO)

Z predmetného ustanovenia vyplýva, že in-house DPO má možnosť vykonávať aj iné pracovné úlohy, ktoré však nemôžu viesť ku konfliktu záujmov. V zmysle usmernení Pracovnej skupiny zriadenej podľa čl. 29, absencia konfliktu záujmov úzko súvisí s požiadavkou, aby DPO konal nezávisle.2 To znamená, že zodpovedná osoba k GDPR  nemôže v organizácií zastávať pozíciu, v ktorej by určoval / a účely a prostriedky spracúvania osobných údajov.

Ako predísť konfliktu záujmov DPO?

Každá organizácia by za účelom posúdenia konfliktu záujmov in-house DPO mala postupovať v súlade s  „best practice“ nasledovné:

  • vypracovanie zoznamu pracovných pozícií, ktoré sú s  výkonom internej funkcie DPO nezlučiteľné,
  • určenie rolí a zodpovedností DPO v interných smerniciach,
  • deklarácia neexistencie konfliktu záujmov DPO,
  • prijatie vhodných záruk na zabezpečenie kontinuity role DPO vhodným a odborne zdatným kandidátom,
  • nezávislosť DPO v posudzovaní otázok ochrany osobných údajov, v prípade potreby zabezpečenie dostatočných zdrojov alternatívnych „second opinions“,
  • priama reportovacia línia na manažment organizácie.

Taktiež platí zodpovednosť prevádzkovateľov a sprostredkovateľov za splnenie podmienky podľa čl. 38 ods. 6 GDPR a to nepretržite, t. j. po dobu trvania funkcie DPO.

Pokuty a sankcie v rámci GDPR za konflikt záujmov

Je známe, že za porušenie povinností vyplývajúcich z článku 38 ods. 6 GDPR je možné prevádzkovateľom a sprostredkovateľom uložiť pokutu. A to do výšky 10 000 000 eur alebo v prípade podniku až do výšky 2% z celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho ktorá suma je vyššia.3

Kto by nemal byť zodpovedná osoba GDPR pre vylúčenie konfliktu záujmov?

V závislosti od typu a veľkosti organizácie je otázka možného konfliktu záujmov in-house DPO predmetom posúdenia na case-by-case báze. Avšak úlohy DPO by nemali vykonávať najmä nasledovné pozície:

  • generálny riaditeľ,
  • CEO organizácie,
  • riaditeľ HR,
  • finančný riaditeľ,
  • členovia štatutárneho a dozorného orgánu,
  • vedúci oddelenia informačných technológií,
  • riaditeľ marketingového oddelenia,
  • vrátane iných pozícií na nižšej úrovni organizačnej štruktúry, ak sú tieto spojené s rozhodovaním o účeloch a prostriedkoch spracúvania.

Pokuty z rozhodovacej praxe

Stručný prehľad prípadov z rozhodovacej praxe:

  1. Pokuta 525 000 eur (Nemecko – september 2022)

Príslušný dozorný orgán uložil dcérskej spoločnosti v rámci skupiny e-commerce so sídlom v Berlíne  pokutu z dôvodu porušenia konfliktu záujmov, ktorý súvisel s výkonom funkcie DPO. Dôvodom pre uloženie pokuty bol konflikt záujmov DPO, nakoľko DPO zároveň plnil úlohy štatutárneho zástupcu v dvoch servisných spoločnostiach v rámci skupiny. T. j. DPO vykonával v rámci servisných spoločností monitorovanie súladu s príslušnou legislatívou na úseku ochrany osobných údajov a zároveň tieto spoločnosti manažoval.

V danom prípade príslušný dozorný orgán v roku 2021 v rámci dozornej činnosti organizáciu upozornil na nesúlad s príslušnými predpismi. Aj napriek varovaniu zo strany regulátora však organizácia nezjednala nápravu (vyhodnotené ako úmyselné konanie) a za danú praktiku uložil pokutu vo výške 525 000  eur.4

Pri ukladaní pokuty boli vzaté do úvahy viaceré faktory, najmä výška obratu dosiahnutého za predchádzajúce účtovné obdobie, veľký počet klientov, vrátanie úmyselného konania organizácie.

  1. Pokuta 50 000 eur (Belgicko – apríl 2020)

Príslušný dozorný orgán vydal rozhodnutie, ktorým uložil prevádzkovateľovi (banka) so sídlom v Belgicku pokutu z dôvodu porušenia konfliktu záujmov v rámci plnenia úloh DPO. Podľa názoru regulátora, v danom prípade funkcia DPO nebola riadne vykonávaná a zlučiteľná s plnením ďalších úloh, nakoľko osoba DPO bola zároveň riaditeľom odborov Compliance, rizík a auditu. T. j. riaditeľ troch odborov zároveň určoval prostriedky a účely spracúvania osobných údajov organizácie.

V danom prípade bola pokuta vo výške 50 000 eur uložená s cieľom presadzovania pravidiel na úseku ochrany osobných údajov. Príslušný dozorný orgán v rozhodnutí zdôraznil, že nešlo o úmyselné, ale o závažné nedbanlivostné konanie zo strany dotknutej organizácie.5

Ako predísť konfliktu záujmov – spoločnosť vs. GDPR

Aplikačná prax niektorých jurisdikcií reflektuje snahu dôsledného presadzovania právnej úpravy na úseku ochrany osobných údajov aj v oblasti posudzovania konfliktu záujmov výkonu funkcie DPO.

Z uvedeného dôvodu odporúčame prehodnotiť možnú existenciu konfliktu záujmov interného DPO vo Vašej organizácií a prípadné zváženie zabezpečenie funkcie DPO externou formou na základe zmluvy o poskytovaní služieb.

gdpr-poradenstvo-securion


  1. V zmysle čl. 38 ods. 6 GDPR Nariadenia 

  2. Usmernenie k zodpovednej osobe v Slovenskom jazyku 

  3. Za „závažnejšie“ porušenia je možné udeliť pokutu do 20 000 000 eur alebo v prípade podniku až do výšky 4% z celkového svetového ročného obratu za predchádzajúci účtovný rok. 

  4. Rozhodnutie z Nemecka ku konfliktu záujmov DPO 2022 

  5. Nezlučiteľnosť a GDPR konflikt záujmov pri DPO – rozhodnutie z Belicka 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

potrebujete poradiť?

Pomáhame firmám plniť legislatívne povinnosti .

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.