tuv-iso-logo tuv-iso-27001-logo

Βέλγικη ΑΠΔΠΧ: Ο DPO δεν μπορεί να έχει συγκρουόμενους ρόλους

Του Στέργιου Κωνσταντίνου*


Την 16η Δεκεμβρίου 2021, η Βελγική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «Βέλγικη ΑΠΔΠΧ») εξέδωσε απόφαση με την οποία επέβαλε διοικητικό πρόστιμο ύψους 75.000 ευρώ σε τράπεζα που εδρεύει στο Βέλγιο, επειδή δεν συμμορφώθηκε με την απαίτηση του άρθρου 38 του Κανονισμού (ΕΕ) 2016/679 (εφεξής «ΓΚΠΔ»), σύμφωνα με το οποίο τα καθήκοντα και οι αρμοδιότητες του Υπεύθυνου Προστασίας Δεδομένων (εφεξής «ΥΠΔ» ή «DPO») δεν πρέπει να οδηγούν σε σύγκρουση συμφερόντων.

Η Βέλγικη ΑΠΔΠΧ, στο πλαίσιο εξέτασης καταγγελίας σχετικά με τον τρόπο διαχείρισης αιτήματος διόρθωσης υποκειμένου δεδομένων από τράπεζα, ξεκίνησε έρευνα σχετικά με τη συμμόρφωση της τελευταίας με τον ΓΚΠΔ, η οποία επικεντρώθηκε αρχικά στο ερώτημα κατά πόσον τα πληροφοριακά συστήματα της τράπεζας επέτρεπαν ή όχι στα υποκείμενα των δεδομένων να ασκούν αποτελεσματικά τα δικαιώματά τους βάσει του ΓΚΠΔ. Ωστόσο, βάσει των ευρημάτων της έρευνας της, η Βέλγικη ΑΠΔΠΧ αποφάσισε να επικεντρωθεί και στον ρόλο του DPO της τράπεζας.

Σημειώνεται ότι ο ΓΚΠΔ επιβάλλει μια σειρά υποχρεώσεων στους υπευθύνους επεξεργασίας με στόχο να διασφαλιστεί ότι ο ΥΠΔ που θα ορίσουν είναι σε θέση να ενεργεί ανεξάρτητα, χωρίς να περιορίζεται από άλλους ρόλους, καθήκοντα ή υποχρεώσεις. Το άρθρο 38 παράγραφος 3 του ΓΚΠΔ, για παράδειγμα, απαιτεί από τους υπευθύνους επεξεργασίας να διασφαλίζουν ότι ο ΥΠΔ δεν λαμβάνει οδηγίες σχετικά με την άσκηση των καθηκόντων του. Ο ΥΠΔ δεν μπορεί να απολύεται ή να τιμωρείται από τον υπεύθυνο επεξεργασίας για ενέργειες στο πλαίσιο της άσκησης των καθηκόντων του και πρέπει να μπορεί να αναφέρεται απευθείας στην ανώτατη διοίκηση του υπεύθυνου επεξεργασίας. Το άρθρο 38 παράγραφος 6 του ΓΚΠΔ επιτρέπει στον ΥΠΔ να εκτελεί και άλλα καθήκοντα και υποχρεώσεις, αλλά ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν οδηγούν σε σύγκρουση συμφερόντων.

Στην περίπτωση της τράπεζας, η Βέλγικη ΑΠΔΠΧ διαπίστωσε ότι υπήρχε ζήτημα με τους διαφορετικούς ρόλους που αναλάμβανε ο ΥΠΔ, με αποτέλεσμα τη σύγκρουση συμφερόντων.

Εκτός από DPO της τράπεζας, το εν λόγω άτομο ήταν επίσης επικεφαλής του τμήματος Διαχείρισης Λειτουργικού Κινδύνου της τράπεζας, του τμήματος Διαχείρισης Κινδύνου Πληροφοριών, καθώς και της Ειδικής Μονάδας Ερευνών της τράπεζας. Κατά τη διάρκεια της έρευνας, η Βέλγικη ΑΠΔΠΧ εξέφρασε ανησυχίες ότι ο συνδυασμός αυτών των ρόλων θα οδηγούσε σε σύγκρουση συμφερόντων, καθώς η θέση του επικεφαλής τμήματος συνεπάγεται ορισμένες ευθύνες και καθήκοντα που είναι ασυμβίβαστα με τη λειτουργία του DPO.

Στην υπεράσπισή της, η τράπεζα τόνισε ότι τα εν λόγω τμήματα είναι επιφορτισμένα με την εκτέλεση λειτουργιών δεύτερης γραμμής, δηλαδή λειτουργιών που δεν αποτελούν μέρος των πρωταρχικών δραστηριοτήτων της τράπεζας (δηλαδή δραστηριοτήτων που σχετίζονται με τις βασικές λειτουργίας των τραπεζών) και ότι, ως εκ τούτου, τα τμήματα αυτά δεν εμπλέκονται τα ίδια σε χωριστές εργασίες επεξεργασίας δεδομένων.  Τα καθήκοντά τους είναι μόνο η εποπτεία, η δημιουργία πλαισίων και η διενέργεια ελέγχων.  Κατά συνέπεια, ο επικεφαλής αυτών των τμημάτων δεν έχει εξουσία λήψης αποφάσεων όσον αφορά τους σκοπούς και τα μέσα των δραστηριοτήτων επεξεργασίας δεδομένων της τράπεζας, αλλά ενεργεί απλώς σε συμβουλευτικό και εποπτικό ρόλο.

Η Βέλγικη ΑΠΔΠΧ, ωστόσο, δεν ακολούθησε το σκεπτικό της τράπεζας. Η Βέλγικη ΑΠΔΠΧ διαπιστώνει αρχικά ότι οι υπηρεσίες δεύτερης γραμμής που εκτελούνται από τα τρία ενδιαφερόμενα τμήματα της τράπεζας δεν μπορούν να εκτελούνται χωρίς τον καθορισμό των σκοπών και των μέσων των συγκεκριμένων δραστηριοτήτων που συνεπάγονται επεξεργασία προσωπικών δεδομένων. Αυτό σημαίνει ότι ο επικεφαλής των τμημάτων των υπηρεσιών δεύτερης γραμμής είναι υπεύθυνος για τον καθορισμό των σκοπών και των μέσων των δραστηριοτήτων επεξεργασίας στο πλαίσιο των δικών του υπηρεσιών δεύτερης γραμμής. Αυτό αντικατοπτρίζεται επίσης στο αρχείο δραστηριοτήτων επεξεργασίας της τράπεζας, το οποίο απαριθμεί σημαντικό αριθμό κατηγοριών προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία από τα τρία τμήματα. Επιπλέον, η Βέλγικη ΑΠΔΠΧ διαπίστωσε ότι οι συμβουλευτικές και εποπτικές λειτουργίες στις οποίες αναφέρεται η τράπεζα απαιτούν αναπόφευκτα την επεξεργασία δεδομένων από τις υπηρεσίες πρώτης γραμμής της τράπεζας, δηλαδή τις βασικές δραστηριότητές της. Ως εκ τούτου, ο επικεφαλής των τριών τμημάτων καθορίζει επίσης τους σκοπούς και τα μέσα των δραστηριοτήτων επεξεργασίας δεδομένων που αφορούν τις υπηρεσίες πρώτης γραμμής της τράπεζας.

Αυτό οδήγησε την Βέλγικη ΑΠΔΠΧ στο συμπέρασμα ότι ο συνδυασμός της θέσης του ΥΠΔ με τη θέση του επικεφαλής τριών τμημάτων δεν είναι διαχειρίσιμος χωρίς σύγκρουση συμφερόντων εκ μέρους του ΥΠΔ. Ως εκ τούτου, η Βέλγικη ΑΠΔΠΧ διαπιστώνει ότι υπάρχει παραβίαση του άρθρου 38 παράγραφος 6 του ΓΚΠΔ.

Υπό το πρίσμα αυτής της παραβίασης του άρθρου 38 παρ. 6 ΓΚΠΔ, η Βέλγικη ΑΠΔΠΧ έδωσε εντολή στην τράπεζα να διασφαλίσει ότι η επεξεργασία συμμορφώνεται με το άρθρο 38 παρ. 6 ΓΚΠΔ και ότι τα καθήκοντα ή οι αρμοδιότητες του DPO δεν οδηγούν πλέον σε σύγκρουση συμφερόντων. Εκτός από αυτό το διορθωτικό μέτρο, η Βέλγικη ΑΠΔΠΧ επέβαλλε διοικητικό πρόστιμο ύψους 75.000 ευρώ, ως ένδειξη «σθεναρής επιβολής» του ΓΚΠΔ.

Στην απόφασή της, η Βέλγικη ΑΠΔΠΧ εκθέτει προσεκτικά τις εκτιμήσεις της που οδήγησαν στις διάφορες κυρώσεις που επιβλήθηκαν στην τράπεζα.

Η Βέλγικη ΑΠΔΠΧ επισημαίνει ότι, αν και δεν πρόκειται για εσκεμμένη παραβίαση, η παραβίαση προκύπτει από σοβαρή αμέλεια εκ μέρους της τράπεζας. Η λειτουργία του ΥΠΔ δεν είναι καινούργια για δίκαιο προστασίας προσωπικών δεδομένων και η ομάδα εργασίας του άρθρου 29 (νυν Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων – «ΕΣΠΔ») έχει δημοσιεύσει ήδη από το 2016 οδηγίες σχετικές με τον ΥΠΔ .

Επιπλέον, η Βέλγικη ΑΠΔΠΧ έκρινε ότι ένας οργανισμός, όπως η τράπεζα, μπορεί να αναμένεται ότι έχει προετοιμαστεί προσεκτικά για τον ΓΚΠΔ (ο οποίος άρχισε να εφαρμόζεται τον Μάιο του 2018), δεδομένου ότι η επεξεργασία προσωπικών δεδομένων είναι απαραίτητη για τις βασικές δραστηριότητες της τράπεζας.

Έπειτα, η Βέλγικη ΑΠΔΠΧ έλαβε υπόψη τη χρονική διάρκεια της παράβασης, η οποία ξεκίνησε κατά τη στιγμή που τέθηκε σε ισχύ ο ΓΚΠΔ και διήρκεσε περισσότερο από τρία έτη.

Τέλος, η Βέλγικη ΑΠΔΠΧ έλαβε υπόψη της και τον αριθμό των εμπλεκόμενων υποκειμένων των δεδομένων. Σύμφωνα με τη Βέλγικη ΑΠΔΠΧ, η τράπεζα επεξεργάζεται προσωπικά δεδομένα μεγάλου αριθμού υποκειμένων των δεδομένων. Η έλλειψη αποτελεσματικών εγγυήσεων για την προστασία των προσωπικών δεδομένων, ιδίως μέσω του διορισμού ΥΠΔ που δεν πληροί τις απαιτήσεις ανεξαρτησίας του ΓΚΠΔ, μπορεί να επηρεάσει τεράστιο αριθμό υποκειμένων των δεδομένων.

Σε αυτό το πλαίσιο, η Βέλγικη ΑΠΔΠΧ έλαβε επίσης υπόψη μια σειρά ελαφρυντικών περιστάσεων, συμπεριλαμβανομένης της απουσίας βλάβης στα ενδιαφερόμενα άτομα (αν και δεν αποδείχθηκε ότι δεν προκλήθηκε ούτε βλάβη), της απουσίας προηγούμενων παραβιάσεων και της καλόπιστης συνεργασίας της τράπεζας με την έρευνα της Βέλγικη ΑΠΔΠΧ. Η τράπεζα υποστήριξε επίσης ότι τα μέτρα που είχε λάβει για τον έγκαιρο εντοπισμό και την πρόληψη πιθανών μελλοντικών συγκρούσεων συμφερόντων θα πρέπει να θεωρηθούν ως ελαφρυντική περίσταση. Η Βέλγικη ΑΠΔΠΧ δεν απέκλεισε αυτό το επιχείρημα, διότι, κατά τη γνώμη της, οι εν λόγω πολιτικές και μηχανισμοί για την αποφυγή συγκρούσεων συμφερόντων δεν είχαν εφαρμοστεί εγκαίρως.

Η Βέλγικη ΑΠΔΠΧ κατέληξε τελικά στο συμπέρασμα ότι το σύνολο των στοιχείων αυτών δικαιολογεί μια αποτελεσματική, αναλογική και αποτρεπτική κύρωση που προβλέπεται στο άρθρο 83 ΓΚΠΔ, με αποτέλεσμα την επιβολή του διοικητικού προστίμου των 75.000 ευρώ.

Η υπόθεση αυτή καταδεικνύει ότι όταν οι εποπτικές αρχές ξεκινούν έρευνα για μια συγκεκριμένη ανησυχία ή καταγγελία, δεν θα διστάσουν να διερευνήσουν και – αν χρειαστεί – να αναλάβουν δράση επιβολής κατά άλλων ζητημάτων ελλιπούς συμμόρφωσης.  Ενώ οι πρακτικές της τράπεζας διερευνήθηκαν αρχικά στο πλαίσιο ενός αιτήματος υποκειμένου των δεδομένων, η Βέλγικη ΑΠΔΠΧ διεύρυνε το πεδίο της έρευνας για να αξιολογήσει τη συμμόρφωση της τράπεζας με τον ΓΚΠΔ εν γένει, και τελικά επέβαλε πρόστιμο για τη μη συμμόρφωση με τις ισχύουσες απαιτήσεις του ΥΠΔ. Αποδεικνύει περαιτέρω ότι το πρόγραμμα συμμόρφωσης κάθε οργανισμού προς τον ΓΚΠΔ είναι τόσο ισχυρό όσο ο πιο αδύναμος κρίκος του ΓΚΠΔ.  Είναι δύσκολο να προβλέψει κανείς πότε μια εποπτική αρχή θα εξετάσει πιο προσεκτικά τη συνολική συμμόρφωση ενός οργανισμού με τον ΓΚΠΔ, αλλά όταν αυτό συμβεί, η σταθερή συμμόρφωση είναι η μόνη διέξοδος.


Για τη Δικηγορική Εταιρεία

«ΝΙΚΟΛΑΣ ΚΑΝΕΛΛΟΠΟΥΛΟΣ – ΧΑΡΑ ΖΕΡΒΑ & ΣΥΝΕΡΓΑΤΕΣ»

Στέργιος Κωνσταντίνου

Δικηγόρος – IP & ICT Law (KU Leuven)

CIPP/E, CIPM, FIP