Prema odluci belgijskog nadzornog tijela, “službenik za zaštitu osobnih podataka je u sukobu interesa s obzirom da je voditelj odjela za usklađenost, upravljanje rizikom i internu reviziju, a odgovornost za svaki od ova tri odjela jasno podrazumijeva da osoba u tom svojstvu određuje svrhe i sredstva za obradu osobnih podataka unutar odjela i stoga je odgovorna za procese obrade podataka koji spadaju u domenu usklađenosti, upravljanja rizikom i interne revizije”.
Iako u predmetnom slučaju nije utvrđeno da je službenik donosio odluke o obradama osobnih podataka koje se odnose na poslove odjela za koje je odgovoran, niti druge odluke koje bi jasno ukazivale na sukob interesa, nadzorno tijelo je zauzelo stav da se i potencijalni, hipotetski sukob interesa ima smatrati kršenjem GDPR-a. Izrečena je kazna u iznosu 50 tisuća eura, što je do sada najviša izrečena kazna u Belgiji.
Na temelju činjenice da “koncept DPO-a nije nov i postoji već odavno u mnogim državama članicama i mnogim organizacijama” (iako nije postojao u Belgiji prije usvajanja GDPR-a), belgijsko nadzorno tijelo zaključilo je da je predmetna organizacija postupala sa “značajnim stupnjem nepažnje”.
Prema reakciji struke, ova kontroverzna odluka vjerojatno izlazi izvan okvira Smjernica WP29 o službenicima za zaštitu podataka, u kojima se kao tipični primjeri sukoba interesa navode funkcije “predsjednika uprave, direktora poslovanja, direktora financija, voditelja odjela marketinga, voditelja ljudskih resursa ili voditelja odjela za informacijsku tehnologiju”.
U dodatku Smjernica s najčešćim pitanjima i odgovorima o ulozi službenika ističe se kako je “nepisano pravilo” da su navedene uloge u sukobu interesa, te da svakom slučaju treba pristupiti individualno, uzimajući u obzir posebnosti organizacijske strukture.
Iako nepravomoćna i potencijalno u suprotnosti sa Smjernicama WP29, ova odluka postavlja presedan i vjerojatno će imati značajan utjecaj na buduće odluke drugih nacionalnih nadzornih tijela u sličnim predmetima.
Prema ovoj odluci čini se gotovo nemoguće kombinirati funkciju službenika i bilo koju drugu funkciju. U takvim slučajevima, kako bi se izbjegao sukob interesa za pojedine postupke obrade, jedno od rješenja je imenovanje zamjenika službenika koji će pružati savjete za postupke obrade u kojima je imenovani službenik u potencijalnom i stvarnom sukobu interesa. Ako imamo na umu da i zamjenik službenika mora biti kvalificiran za tu funkciju baš kao i sam službenik, možemo zaključiti da je ovo gotovo nemoguća misija, posebno za mala i srednja poduzeća.
? Should all Heads of Compliance/Legal step down as DPO, following the Belgian DPA ruling? ‒ Fieldfisher
