Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/60

Kraj:

Belgia

Data wydania decyzji:

28.04.2020 r.

Podmiot kontrolowany:

Proximus SA

Wysokość kary (EUR):

50.000

Podstawa prawna naruszenia

Art. 31, art. 58, art. 37 RODO.

Niewystarczające zaangażowanie inspektora ochrony danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło niewłaściwego zarządzania danymi osobowymi przez Proximus SA, w szczególności w zakresie obowiązków inspektora ochrony danych (IOD). Stwierdzono, że IOD pełnił jednocześnie funkcje dyrektora ds. audytu, ryzyka i zgodności, co prowadziło do konfliktu interesów. Ponadto, IOD nie był odpowiednio zaangażowany w procesy związane z ochroną danych osobowych.

 

Opis wydarzeń

  1. Rozpoczęcie czynności kontrolnych: 11 lipca 2019 r. belgijski organ nadzorczy przeprowadził czynności kontrolne w sprawie naruszeń przepisów RODO przez Proximus SA.
  2. Wykryte naruszenia:
    • Brak współpracy z belgijskim organem nadzorczym.
    • Niewłaściwe podejście do oceny ryzyka przy zabezpieczaniu danych osobowych.
    • Konflikt interesów i niewystarczające zaangażowanie IOD.
  3. Tło naruszenia: Naruszenie danych osobowych miało miejsce w wyniku błędnego wysłania zaproszeń do przejścia na faktury elektroniczne na niewłaściwe adresy e-mail.
  4. Procedura: Po wykryciu naruszeń, belgijski organ nadzorczy przedstawił swoje ustalenia, które następnie przekazało sprawę do dalszego rozpatrzenia.
  5. Obrona firmy: Firma argumentowała, że dochodzenie było prowadzone niezgodnie z przepisami, a IOD pełnił jedynie funkcje doradcze, co miało wykluczać konflikt interesów.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wykluczenie konfliktu interesów: Zaleca się, aby administrator zapewnił, że IOD nie będzie pełnił innych funkcji, które mogą prowadzić do konfliktu interesów.
  2. Zaangażowanie IOD: IOD powinien być odpowiednio zaangażowany we wszystkie procesy związane z ochroną danych osobowych.
  3. Dokumentacja naruszeń: Prowadzenie szczegółowej dokumentacji wszystkich naruszeń danych osobowych.
  4. Szkolenia i procedury: Zaleca się przeprowadzenie szkoleń dla pracowników oraz wdrożenie procedur mających na celu poprawę zarządzania danymi osobowymi.

 

Zgodnie z Wytycznymi Grupy Roboczej Art. 29 ds. ochrony danych dotyczącymi inspektorów ochrony danych dobrą praktyką jest: 

  • zidentyfikowanie stanowisk niekompatybilnych z funkcją Inspektora Ochrony Danych, 
  • opracowanie wewnętrznych zasad uniemożliwiających łączenie stanowisk będących w konflikcie interesów, 
  • zapewnienie bardziej ogólnego wyjaśnienia dotyczącego konfliktu interesów, 
  • zadeklarowanie, iż nie ma konfliktu interesów w funkcjonowaniu obecnego Inspektora Ochrony Danych, celem zwiększenia świadomości na temat tego wymogu, 
  • wprowadzenie odpowiednich zabezpieczeń do wewnętrznych zasad organizacji celem zapewnienia, by ogłoszenia rekrutacyjne na stanowisko Inspektora Ochrony Danych czy też umowy o świadczenie usług były wystarczająco jasne i precyzyjne, aby niwelować ryzyko powstania konfliktu interesów. 

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO