Egy berlini vállalatnak 525.000 euró összegű bírságot kell fizetnie a GDPR – az általános adatvédelmi rendelet – előírásainak megsértése miatt.
A GDPR megsértése miatt kiszabott bírságoknak arányosaknak kell lenniük, de egyben elrettentő hatással is kell rendelkezniük, magyarázza Michael Rainer ügyvéd az MTR Legal-től. Hogy ez nem üres beszéd, azt most egy berlini kereskedelmi konszern leányvállalata is megtapasztalhatta. A berlini adatvédelmi és információszabadságért felelős biztos (BlnBDI) 2022. szeptember 20-án közölte, hogy a leányvállalatra 525.000 eurós bírságot szabott ki. A bírság még nem jogerős.
Az ok az volt, hogy a vállalat adatvédelmi tisztviselőt nevezett ki, aki függetlenül ellenőrizhette volna azokat a döntéseket, amelyeket más funkcióban maga felelt meg. Ez világos érdekellentétet jelentett az adatvédelmi tisztviselő számára, és így a GDPR megsértését is, állapította meg a BlnBDI.
A vállalati adatvédelmi tisztviselő fontos feladattal bír, mivel a vállalatot tanácsokkal kell ellátnia az adatvédelmi kötelezettségekkel kapcsolatban és ellenőriznie kell az adatvédelmi előírások betartását, magyarázza a berlini adatvédelmi biztos. Ezért ezt a funkciót a GDPR 38. cikkének 6. bekezdésének 2. mondatának alapján csak olyan személyek tölthetik be, akik más feladatok miatt nem állnak összeférhetetlenség alatt. A feladatot így nem olyan személyek végezhetnek, akik önmagukat ellenőrzik.
Pontosan ilyen érdekellentét alakult itt ki, mivel a vállalati adatvédelmi tisztviselő egyben a konszern két leányvállalatának ügyvezetője is volt, amelyek a kereskedelmi vállalat számára dolgozták fel a személyes adatokat. Ez végül ahhoz vezetett, hogy az adatvédelmi tisztviselőnek a leányvállalatok adatvédelmi jogszabályok betartásának ellenőrzését is el kellett végeznie, vagyis azoknak a vállalatoknak, amelyeknek az ügyvezetője. A berlini adatvédelmi biztos ebben egyértelmű érdekellentétet látott, ezért először figyelmeztetést adott ki. Mivel a jogsértés egy újabb ellenőrzéskor a figyelmeztetés ellenére továbbra is fennállt, kiszabta a bírságot.
Az árbevétel és az adatvédelmi tisztviselő jelentős szerepe a vállalatban figyelembe lett véve a bírság megállapításakor.
A magas bírság megmutatja, hogy a vállalatoknak nem szabad a GDPR követelményeit félvállról venniük. Tapasztalt ügyvédek tanácsot adhatnak.
