Podstawa prawna naruszenia
Art. 38 ust. 1, 3, art. 39 ust. 1 lit. a), b) RODO.
Niewystarczające zaangażowanie inspektora ochrony danych.
Przyczyna naruszenia
Naruszenie dotyczyło nieprzestrzegania przepisów RODO przez firmę transportową, w szczególności w zakresie obowiązków Inspektora Ochrony Danych (IOD). Stwierdzono, że firma nie zapewniła odpowiedniego zaangażowania IOD we wszystkie kwestie związane z ochroną danych osobowych, nie zagwarantowała jego autonomii, oraz nie wdrożyła formalnych procedur raportowania i kontroli.
Opis wydarzeń
- Rozpoczęcie czynności kontrolnych: W 2018 roku luksemburski organ nadzorczy rozpoczął czynności kontrolne dotyczące funkcji IOD w różnych organizacjach, w tym w firmie transportowej.
- Przeprowadzenie audytu: Firma transportowa otrzymała kwestionariusz i została poddana wizytacji w lutym 2019 roku. Na podstawie zebranych informacji sporządzono raport pokontrolny.
- Stwierdzone naruszenia:
- Brak formalnego zaangażowania IOD w kwestie ochrony danych.
- Brak autonomii IOD, który był hierarchicznie podporządkowany innym działom.
- Brak formalnych procedur raportowania działalności IOD do zarządu.
- Brak formalnego planu kontroli zgodności z RODO.
- Działania naprawcze: Firma w trakcie audytu podjęła działania naprawcze, takie jak zmiana struktury organizacyjnej, formalizacja raportowania i zatrudnienie Compliance Officera.
Źródło
Pełna treść decyzji organu nadzorczego
Aby uniknąć podobnych naruszeń, zalecamy:
- Zapewnienie zaangażowania IOD: Należy formalnie określić udział IOD we wszystkich istotnych grupach roboczych.
- Gwarancja autonomii IOD: IOD powinien być bezpośrednio podporządkowany najwyższemu kierownictwu, z możliwością bezpośredniego raportowania.
- Formalizacja raportowania: Wdrożenie regularnych, formalnych raportów działalności IOD do zarządu.
- Plan kontroli: Opracowanie i wdrożenie formalnego planu kontroli zgodności z RODO, dokumentującego działania kontrolne IOD.
Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu