Πρόστιμο ύψους 75.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Βελγίου σε τράπεζα για σύγκρουση συμφερόντων του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer). Σύμφωνα με τα στοιχεία της υπόθεσης, το πρόσωπο που είχε αναλάβει καθήκοντα Υπεύθυνου Προστασίας Δεδομένων διατελούσε ταυτόχρονα επικεφαλής τριών τμημάτων με αρμοδιότητες λήψης αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Το γεγονός αυτό οδήγησε σε σύγκρουση συμφερόντων κατά παράβαση του άρθρου 38 παρ. 6 του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR).

O θεσμός του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer ή DPO) παρουσιάστηκε για πρώτη φορά με την εφαρμογή του GDPR το 2018, ως μία από τις καινοτόμες διατάξεις που εισήγαγε στο γενικότερο πλαίσιο της συνολικής αναβάθμισης του πλαισίου προστασίας προσωπικών δεδομένων, προκειμένου να εξασφαλιστεί από τη μία πλευρά η ουσιαστική προστασία των ατόμων σε ένα διαρκώς μεταβαλλόμενο τεχνολογικό περιβάλλον και από την άλλη, η ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα. Προβλέπεται από τον GDPR στα άρθρα 37-39, από την εθνική νομοθεσία (ν. 4624/2019) στα άρθρα 6-8, στα άρθρα 32-34 της Οδηγίας 2016/680, καθώς και στις διευκρινιστικές οδηγίες σχετικά με τον ρόλο και την ευθύνη του νέου θεσμού που εξέδωσε η Ομάδα Εργασίας του άρθρου 29 (Article 29 Working Party) την 16η Δεκεμβρίου 2016.

Οι κύριες αρμοδιότητες του DPO είναι:

  1. Η εκπροσώπηση του φορέα ενώπιον των αρμόδιων αρχών και η συνεργασία με την Ευρωπαϊκή και Εθνική Αρχή Προστασίας Προσωπικών Δεδομένων.
  2. Η λειτουργία του ως σημείου επαφής της εποπτικής αρχής για ζητήματα που αφορούν την επεξεργασία, συμπεριλαμβανομένης της διαβούλευσης που αναφέρεται στο άρθρο 36 του Κανονισμού για την Προστασία Προσωπικών Δεδομένων.
  3. Η παρακολούθηση και η διαρκής ενημέρωση του φορέα για τη συμμόρφωση με τις διατάξεις του GDPR και τις εθνικές διατάξεις περί προστασίας δεδομένων.
  4. Η καθοδήγηση του φορέα και των εργαζομένων του σχετικά με τις υποχρεώσεις τους σύμφωνα με τον GDPR και την εθνική νομοθεσία περί προστασίας δεδομένων.
  5. Η παροχή συμβουλών, αναφορικά με την εκτίμηση των επιπτώσεων στην προστασία δεδομένων και η παρακολούθηση της απόδοσής του φορέα σύμφωνα με τον GDPR.
  6. Η παροχή εξατομικευμένης εκπαίδευσης σχετικά με τον GDPR ανά τμήμα του φορέα.
  7. Η σύνταξη και η υποβολή για έγκριση των Πολιτικών Προστασίας Δεδομένων.
  8. Η διεξαγωγή Εκτίμησης Αντικτύπου δεδομένων προσωπικού χαρακτήρα (DPIA) με τη χρήση προκαθορισμένων προτύπων και εξασφάλισης της υποβολής τους στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ανάλογα με την περίπτωση.
  9. Η συνεχής επικαιροποίηση των συμβάσεων και εντύπων προς κάθε πιθανή τροποποίηση ή/και προσθήκη στο νομικό πλαίσιο για τα προσωπικά δεδομένα.

Προκειμένου να αντεπεξέλθει στα ανωτέρω, ο DPO πρέπει να μπορεί να αναλάβει έναν πολυσύνθετο ρόλο, με τελικό σκοπό την συμμόρφωση και την διατήρηση της νομιμότητας του φορέα σε βάθος χρόνου. Περαιτέρω, πρέπει να αποτελεί ανεξάρτητο ειδικό στο χώρο των προσωπικών δεδομένων, με αποδεδειγμένη γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των Προσωπικών Δεδομένων με εχέγγυα ανεξαρτησίας.

Η έρευνα της παρούσας υπόθεσης από την Αρχή ξεκίνησε όταν ένα υποκείμενο δεδομένων υπέβαλε καταγγελία κατά της τράπεζας σχετικά με παραβίαση του δικαιώματός του για διόρθωση στοιχείων. Η Αρχή ξεκίνησε τότε έρευνα, η οποία με την πάροδο του χρόνου διεύρυνε το πεδίο εφαρμογής της σε σχέση με τον ρόλο του DPO της τράπεζας. Από την έρευνα προέκυψε ότι ενδέχεται να υπάρχει σύγκρουση συμφερόντων βάσει του άρθρου 38 παρ. 6 του GDPR, καθώς ο DPO ήταν επιφορτισμένος με σειρά από άλλες αρμοδιότητες, συμπεριλαμβανομένης της διεύθυνσης της Διαχείρισης Λειτουργικού Κινδύνου της τράπεζας, του τμήματος Διαχείρισης Κινδύνων Πληροφοριών και της Μονάδας Ειδικών Ερευνών. Σύμφωνα με άρθρο που εξέτασε η Αρχή «ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.» Η τράπεζα υποστήριξε ότι ο επικεφαλής αυτών των υπηρεσιών δεν είχε εξουσία λήψης αποφάσεων για τον καθορισμό των σκοπών και των μέσων επεξεργασίας προσωπικών δεδομένων, αλλά καθαρά συμβουλευτικό και εποπτικό ρόλο.

Η βελγική Αρχή αντέκρουσε το επιχείρημα της τράπεζας δηλώνοντας ότι ο ρόλος δεν ήταν «καθαρά συμβουλευτικός και εποπτικός». Μάλιστα έκρινε ότι ο DPO μπορούσε ακόμη να καθορίσει τα μέσα και τους σκοπούς της επεξεργασίας προσωπικών δεδομένων. Αυτό αποδείχθηκε και από το Αρχείο Δραστηριοτήτων Επεξεργασίας της τράπεζας, το οποίο απαριθμούσε έναν σημαντικό αριθμό κατηγοριών προσωπικών δεδομένων που επεξεργάζονται αυτά τα τμήματα. Έτσι, επειδή ο DPO είχε την τελική ευθύνη για τα αναφερόμενα τμήματα, η Αρχή έκρινε ότι υπήρχε σύγκρουση συμφερόντων, επιβάλλοντας πρόστιμο 75.000 ευρώ στην τράπεζα.

[ Βλ. το κείμενο της απόφασης στην ολλανδική γλώσσα εδώ: https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-141-2021.pdf ]