Ναι, σύμφωνα με την απόφαση της Εποπτικής Αρχής Προστασίας Δεδομένων του Βελγίου, η οποία επέβαλε σε οργανισμό για τον λόγο αυτό πρόστιμο 50.000 Ευρώ.
Για πολλούς οργανισμούς τα τελευταία χρόνια, ο διορισμός ενός Υπεύθυνου Προστασίας Δεδομένων (Data Protection Officer – “DPO”) αποτελεί μια από τις πιο περίπλοκες απαιτήσεις που πρέπει να αντιμετωπίσουν, εάν θέλουν να συμμορφωθούν πλήρως με τις απαιτήσεις του GDPR. Η λεπτομερής περιγραφή της εργασίας του, οι υψηλές απαιτήσεις από άποψη εμπειρογνωμοσύνης, αλλά και οι προσδοκίες για την συνεχή διαθεσιμότητα και τις γλωσσικές και επικοινωνιακές του δεξιότητες θέτουν τον πήχη πολύ ψηλά. Εάν μάλιστα κανείς αναλογιστεί το γεγονός ότι η θέση αυτή αποτελεί πρωτοπορία των τελευταίων ετών για τα κράτη μέλη της ΕΕ, δημιουργώντας τεράστια ζήτηση όσον αφορά τις νομικές απαιτήσεις και τα προσόντα ενός DPO, φαίνεται μάλλον εναργώς γιατί πολλοί οργανισμοί αντιμετωπίζουν ζητήματα στο να βρουν το … «σωστό άτομο για την δουλειά».
Δεν είναι λοιπόν περίεργο που πολλοί οργανισμοί αποφάσισαν να διορίσουν ως DPO κάποιον εσωτερικό υπάλληλό τους. Σε τελική ανάλυση, το άρθρο 38 παρ. 6 του GDPR επιτρέπει στους οργανισμούς να ορίσουν έναν DPO που εκπληρώνει και «άλλα καθήκοντα» εφόσον δεν οδηγεί σε σύγκρουση συμφερόντων.
Σύμφωνα ωστόσο με την απόφαση της Βελγικής Αρχής Προστασίας Δεδομένων, πρόστιμο επεβλήθη σε Εταιρεία επειδή η τελευταία είχε αναθέσει τα καθήκοντα του DPO στο πρόσωπο του ίδιου υπάλληλου που τελούσε Προϊστάμενος των Τμημάτων Εσωτερικού Ελέγχου, Risk Management και Εταιρικής Συμμόρφωσης.
Συγκεκριμένα, η εναγόμενη Εταιρεία ισχυρίστηκε ότι δεν υπήρχε σύγκρουση συμφερόντων μεταξύ αυτών των θέσεων, στον βαθμό που ο DPO δεν συμμετείχε στη λήψη αποφάσεων σχετικά με τον τρόπο επεξεργασίας προσωπικών δεδομένων. Η Εποπτική Αρχή όμως διαφώνησε, επισημαίνοντας ότι το πρόσωπο αυτό, υπό την ιδιότητα του Προϊσταμένου Εταιρικής Συμμόρφωσης, Risk Management και Εσωτερικού Ελέγχου, διαφαίνεται ξεκάθαρα ότι ως DPO αποτελεί πάντοτε τον τελικό υπεύθυνο για τον καθορισμό των σκοπών και των μέσων επεξεργασίας.
Ως εκ τούτου, η Εποπτική Αρχή έκρινε ότι ήταν αδύνατο για τον DPO να ασκήσει ανεξάρτητη εποπτεία σε αυτές τις δραστηριότητες επεξεργασίας. Επιπλέον, θεώρησε ότι η συγκέντρωση των ιδιοτήτων αυτών σε ένα πρόσωπο θα μπορούσε να συνιστά και παραβίαση της υποχρέωσης τήρησης του απορρήτου και της εμπιστευτικότητας του DPO, η οποία και προβλέπεται στο άρθρο 38 παρ. 5. του GDPR.
Έτσι, η Εταιρεία υποχρεώθηκε να προβεί άμεσα στη λύση αυτής της σύγκρουσης συμφερόντων και επιπλέον της επιβλήθηκε πρόστιμο ύψους 50.000€.
Το ύψος του προστίμου μπορεί να φαίνεται ασήμαντο (πρόκειται περίπου για το 0,001% του ετήσιου κύκλου εργασιών), ωστόσο είναι μακράν το υψηλότερο διοικητικό πρόστιμο που έχει επιβληθεί από τη βελγική Εποπτική Αρχή μέχρι στιγμής, ενώ παράλληλα υποδεικνύει και μία σαφή κατεύθυνση για τον διορισμό προσώπων κατάλληλων για την καίρια αυτή θέση του DPO σε έναν οργανισμό.