Πρόστιμο ύψους 75.000 ευρώ επέβαλε η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα του Βελγίου σε τράπεζα για σύγκρουση συμφερόντων του Υπευθύνου Προστασίας Δεδομένων (Data Protection Officer).
Συγκεκριμένα, σύμφωνα με τα στοιχεία της υπόθεσης, ο Υπεύθυνος Προστασίας Δεδομένων ήταν επίσης επικεφαλής τριών τμημάτων με εξουσίες λήψης αποφάσεων σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, κάτι που οδήγησε σε σύγκρουση συμφερόντων κατά παράβαση του άρθρου 38 παράγραφος 6 του Γενικού Κανονισμού για την Προστασία Δεδομένων.
Ένα υποκείμενο των δεδομένων υπέβαλε καταγγελία κατά της τράπεζας σχετικά με παραβίαση του δικαιώματός του για διόρθωση στοιχείων.
Η Αρχή ξεκίνησε μια έρευνα, η οποία με την πάροδο του χρόνου διεύρυνε το πεδίο εφαρμογής της σε σχέση με τον ρόλο του DPO της τράπεζας.
Από την έρευνα προέκυψε ότι ενδέχεται να υπάρχει σύγκρουση συμφερόντων, καθώς ο DPO ήταν επιφορτισμένος με σειρά από άλλες αρμοδιότητες, συμπεριλαμβανομένης της διεύθυνσης της Διαχείρισης Λειτουργικού Κινδύνου της τράπεζας, του τμήματος Διαχείρισης Κινδύνων Πληροφοριών και της Μονάδας Ειδικών Ερευνών.
Η τράπεζα υποστήριξε ότι ο επικεφαλής αυτών των υπηρεσιών δεν είχε εξουσία λήψης αποφάσεων για τον καθορισμό των σκοπών και των μέσων επεξεργασίας προσωπικών δεδομένων, αλλά καθαρά συμβουλευτικό και εποπτικό ρόλο.
Η βελγική Αρχή αντέκρουσε το επιχείρημα της τράπεζας δηλώνοντας ότι ο ρόλος δεν ήταν «καθαρά συμβουλευτικός και εποπτικός».
Ειδικότερα, η Αρχή έκρινε ότι ο DPO θα μπορούσε ακόμη να καθορίσει τα μέσα και τους σκοπούς της επεξεργασίας προσωπικών δεδομένων.
Αυτό αποδείχθηκε και από το Αρχείο Δραστηριοτήτων Επεξεργασίας της τράπεζας, το οποίο απαριθμούσε έναν σημαντικό αριθμό κατηγοριών προσωπικών δεδομένων που επεξεργάζονται αυτά τα τμήματα.
Έτσι, επειδή ο DPO είχε την τελική ευθύνη για τα αναφερόμενα τμήματα, η Αρχή έκρινε ότι υπήρχε σύγκρουση συμφερόντων, επιβάλλοντας πρόστιμο 75.000 ευρώ στην τράπεζα.
Η απόφαση είναι διαθέσιμη στην ολλανδική γλώσσα.