Zodpovedná osoba podľa GDPR a konflikt záujmov

Zodpovedná osoba podľa GDPR sa môže dostať do konfliktu záujmov. Jedná sa najmä o prípady, kedy zodpovedná osoba (DPO) môže plniť iné úlohy a povinnosti. GDPR konflikt záujmov u zodpovednej osoby definuje tak, že prevádzkovateľ a / alebo sprostredkovateľ majú zabezpečiť, aby pri vykonávaní takýchto úloh neviedla žiadna úloha ku konfliktu záujmov.¹

Na účely článku 38 ods. 6 GDPR Nariadenia, zodpovedná osoba (DPO) môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z takýchto úloh neviedla ku konfliktu záujmov.

GDPR konflikt záujmov u zodpovednej osoby (DPO)

Z predmetného ustanovenia vyplýva, že in-house DPO má možnosť vykonávať aj iné pracovné úlohy, ktoré však nemôžu viesť ku konfliktu záujmov. V zmysle usmernení Pracovnej skupiny zriadenej podľa čl. 29, absencia konfliktu záujmov úzko súvisí s požiadavkou, aby DPO konal nezávisle.² To znamená, že zodpovedná osoba k GDPR  nemôže v organizácií zastávať pozíciu, v ktorej by určoval / a účely a prostriedky spracúvania osobných údajov.

Ako predísť konfliktu záujmov DPO?

Každá organizácia by za účelom posúdenia konfliktu záujmov in-house DPO mala postupovať v súlade s  „best practice“ nasledovné:

• vypracovanie zoznamu pracovných pozícií, ktoré sú s  výkonom internej funkcie DPO nezlučiteľné,
• určenie rolí a zodpovedností DPO v interných smerniciach,
• deklarácia neexistencie konfliktu záujmov DPO,
• prijatie vhodných záruk na zabezpečenie kontinuity role DPO vhodným a odborne zdatným kandidátom,
• nezávislosť DPO v posudzovaní otázok ochrany osobných údajov, v prípade potreby zabezpečenie dostatočných zdrojov alternatívnych „second opinions“,
• priama reportovacia línia na manažment organizácie.

Taktiež platí zodpovednosť prevádzkovateľov a sprostredkovateľov za splnenie podmienky podľa čl. 38 ods. 6 GDPR a to nepretržite, t. j. po dobu trvania funkcie DPO.

Pokuty a sankcie v rámci GDPR za konflikt záujmov

Je známe, že za porušenie povinností vyplývajúcich z článku 38 ods. 6 GDPR je možné prevádzkovateľom a sprostredkovateľom uložiť pokutu. A to do výšky 10 000 000 eur alebo v prípade podniku až do výšky 2% z celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho ktorá suma je vyššia.³

Kto by nemal byť zodpovedná osoba GDPR pre vylúčenie konfliktu záujmov?

V závislosti od typu a veľkosti organizácie je otázka možného konfliktu záujmov in-house DPO predmetom posúdenia na case-by-case báze. Avšak úlohy DPO by nemali vykonávať najmä nasledovné pozície:

• generálny riaditeľ,
• CEO organizácie,
• riaditeľ HR,
• finančný riaditeľ,
• členovia štatutárneho a dozorného orgánu,
• vedúci oddelenia informačných technológií,
• riaditeľ marketingového oddelenia,
• vrátane iných pozícií na nižšej úrovni organizačnej štruktúry, ak sú tieto spojené s rozhodovaním o účeloch a prostriedkoch spracúvania.

Pokuty z rozhodovacej praxe

Stručný prehľad prípadov z rozhodovacej praxe:

1. Pokuta 525 000 eur (Nemecko – september 2022)

Príslušný dozorný orgán uložil dcérskej spoločnosti v rámci skupiny e-commerce so sídlom v Berlíne  pokutu z dôvodu porušenia konfliktu záujmov, ktorý súvisel s výkonom funkcie DPO. Dôvodom pre uloženie pokuty bol konflikt záujmov DPO, nakoľko DPO zároveň plnil úlohy štatutárneho zástupcu v dvoch servisných spoločnostiach v rámci skupiny. T. j. DPO vykonával v rámci servisných spoločností monitorovanie súladu s príslušnou legislatívou na úseku ochrany osobných údajov a zároveň tieto spoločnosti manažoval.

V danom prípade príslušný dozorný orgán v roku 2021 v rámci dozornej činnosti organizáciu upozornil na nesúlad s príslušnými predpismi. Aj napriek varovaniu zo strany regulátora však organizácia nezjednala nápravu (vyhodnotené ako úmyselné konanie) a za danú praktiku uložil pokutu vo výške 525 000  eur.⁴

Pri ukladaní pokuty boli vzaté do úvahy viaceré faktory, najmä výška obratu dosiahnutého za predchádzajúce účtovné obdobie, veľký počet klientov, vrátanie úmyselného konania organizácie.

2. Pokuta 50 000 eur (Belgicko – apríl 2020)

Príslušný dozorný orgán vydal rozhodnutie, ktorým uložil prevádzkovateľovi (banka) so sídlom v Belgicku pokutu z dôvodu porušenia konfliktu záujmov v rámci plnenia úloh DPO. Podľa názoru regulátora, v danom prípade funkcia DPO nebola riadne vykonávaná a zlučiteľná s plnením ďalších úloh, nakoľko osoba DPO bola zároveň riaditeľom odborov Compliance, rizík a auditu. T. j. riaditeľ troch odborov zároveň určoval prostriedky a účely spracúvania osobných údajov organizácie.

V danom prípade bola pokuta vo výške 50 000 eur uložená s cieľom presadzovania pravidiel na úseku ochrany osobných údajov. Príslušný dozorný orgán v rozhodnutí zdôraznil, že nešlo o úmyselné, ale o závažné nedbanlivostné konanie zo strany dotknutej organizácie.⁵

Ako predísť konfliktu záujmov – spoločnosť vs. GDPR

Aplikačná prax niektorých jurisdikcií reflektuje snahu dôsledného presadzovania právnej úpravy na úseku ochrany osobných údajov aj v oblasti posudzovania konfliktu záujmov výkonu funkcie DPO.

Z uvedeného dôvodu odporúčame prehodnotiť možnú existenciu konfliktu záujmov interného DPO vo Vašej organizácií a prípadné zváženie zabezpečenie funkcie DPO externou formou na základe zmluvy o poskytovaní služieb.

1. V zmysle čl. 38 ods. 6 GDPR Nariadenia ↩

2. Usmernenie k zodpovednej osobe v Slovenskom jazyku ↩

3. Za „závažnejšie“ porušenia je možné udeliť pokutu do 20 000 000 eur alebo v prípade podniku až do výšky 4% z celkového svetového ročného obratu za predchádzajúci účtovný rok. ↩

4. Rozhodnutie z Nemecka ku konfliktu záujmov DPO 2022 ↩

5. Nezlučiteľnosť a GDPR konflikt záujmov pri DPO – rozhodnutie z Belicka ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb