Nałożenie kary pieniężnej w ramach kontroli funkcji pełnionej przez Inspektora Ochrony Danych

Luksemburski organ ochrony danych (CNPD) na podstawie decyzji z  dnia 13 października 2021 roku nałożył na Spółkę grzywnę w wysokości 13200 EURO za naruszenia RODO stwierdzone w trakcie kontroli dotyczącej funkcji pełnionej przez Inspektora Ochrony Danych (IOD).

Ze względu na znaczącą rolę jaką pełnią Inspektorzy Ochrony Danych, luksemburski organ ochrony danych rozpoczął tzw. kampanię audytową, której celem miała być kontrola funkcji sprawowanej przez IOD. Organ kontrolny dokonał audytu w 28 organizacjach.

 

Organ w kontrolowanej Spółce wykrył łącznie cztery naruszenia związane z ochroną danych osobowych:

  1. Naruszenie wymogu wyznaczania IOD na podstawie jego kwalifikacji zawodowych (art. 37 ust. 5 RODO). Kontrola wykazała, że powołany IOD nie posiadał żadnej szczególnej wiedzy z zakresu ochrony danych osobowych.
  2. Naruszenie obowiązku włączania IOD we wszystkie sprawy związane z ochroną danych osobowych w organizacji (art. 38 ust. 1 RODO). Zdaniem organu wymóg ten jest spełniony jeśli IOD bierze udział np. w komitetach koordynujących projekty, komitetach ds. nowych produktów, komitetach ds. bezpieczeństwa lub wszelkich innych komitetach uznanych za użyteczne w kontekście ochrony danych. W raporcie z audytu wskazano, że nie było to przewidziane w procedurach Spółki.
  3. Naruszenie obowiązku zapewnienia IOD niezbędnych zasobów (art. 38 ust. 2 RODO). Wedle organu kontrolnego cel ten jest spełniony, jeżeli co najmniej jedna osoba pracuje w pełnym wymiarze czasu pracy jako IOD oraz ma ona możliwość korzystania z usług innych działów, takich jak dział prawny, IT, bezpieczeństwa. Podczas kontroli ustalono, że zespołowi ds. ochrony danych przyznano łącznie około 0,7 etatu.
  4. Naruszenie obowiązku zapewnienia, że IOD ma za zadanie monitorowanie zgodności polityki administratora z RODO (art. 39 ust. 1 pkt B RODO). Według CNPD cel ten jest spełniony, jeżeli organizacja posiada sformalizowany plan kontroli ochrony danych, w którym określone są zadania zespołu inspektora ochrony danych w zakresie monitorowania. W sprawozdaniu z audytu stwierdzono, że Spółka wprowadziła pewne procedury np. procedurę dotyczącą odpowiadania na wnioski osób, których dane dotyczą, ale nie wprowadziła procedur monitorowania.

Odnośnie naruszenia wskazanego w pkt 2., Spółka podjęła kroki w celu wdrożenia IOD w strukturalne organy konsultacyjne, a także w wewnętrzne procedury i polityki, jako działania zapewniające zgodność z ustawodawstwem i wytycznymi Europejskiej Rady Ochrony Danych.

Natomiast w zakresie naruszenia wskazanego w pkt 4.,  Spółka ujawniła dokumenty mające na celu wykazanie, że zostały wdrożone wewnętrzne procedury zgodności i monitorowania w zakresie przetwarzania danych osobowych.

W związku z tym, organ kontrolny pierwotnie stwierdził cztery naruszenia, ale podtrzymał tylko dwa z nich, ponieważ organizacja podjęła już środki w celu naprawienia dwóch ze wskazanych naruszeń. Organ stwierdził jednak, że środki te zostały podjęte po rozpoczęciu kontroli, a zatem organizacja nie spełniła wymogów wcześniej i dlatego nałożył na spółkę grzywnę w wysokości 13200 EURO.

Kara ta pokazuje, że dla zgodności działalności przedsiębiorstwa z RODO nie wystarczy jedynie samo wyznaczenie Inspektora Ochrony Danych. Unijne rozporządzenie nakłada bowiem w tym zakresie wiele obowiązków, których niewypełnienie może grozić nałożeniem sankcji przez organ kontrolny.