16.oktoobril 2024. määras Austria andmekaitse järelevalveasutus (Datenschutzbehörde – DSB)  5 000 eurot trahvi GDPR alusel ning nõudis siseriikliku õiguse alusel välja 500 euro suurused menetluskulud ettevõttelt, kes määras tegevdirektori täitma andmekaitsespetsialisti ülesandeid.

Vastutav töötleja oli selles asjas ettevõte, kes pidas Covid 19 pandeemia ajal diagnostikaga tegelevat laborit.

DSB alustas menetlust, mille käigus selgitas ettevõte, et tegevdirektori ja andmekaitsespetsialisti ametkohad liideti tõhususe eesmärgil, kuna ettevõte väljastab testide tulemusi, ning olevat otstarbekohane, et kogu suhtlus kliendiga toimub üheainsa kontaktisiku kaudu.

Ettevõte kinnitas, et direktor oli oma topeltrollist teadlik ning andmekaitse alaste kohustuste hooletusse jätmise riski ei nähtud.

Järelevalveasutus leidis, et vastutav töötleja oli rikkunud GDPR artiklit 38(6). Ettevõte ei olnud seisnud aktiivselt hea selle eest, et tegevdirektoril, kes täitis samaaegselt ka andmekaitsespetsialisti ülesandeid, ei tekiks huvide konflikti.

GDPR artikkel 38(6) võimaldab olukorda, kus andmekaitsespetsialistil on ka muid ülesandeid, kuid isikuandmete töötleja peab tagama, et sellised ülesanded ja kohustused ei põhjusta huvide konflikti.

DSB tõi esile, et ettevõte töötles suures koguses terviseandmeid, mistõttu huvide konflikt võib tekkida ka olukorras kui andmekaitsespetsialisti ülesannete täitmiseks ei jätku muude ülesannete tõttu piisavalt aega. Muuhulgas meenutas DSB EL Kohtu otsust asjas C-452/21, kus kohus leidis, et andmekaitsespetsialist ei tohi määrata isikuandmete töötlemise viise ja eesmärke, sest neid aspekte peab ta sõltumatult seirama.

Andmekaitsespetsialisti huvikonflikti tõttu määras hiljuti trahvi 5 000 ettevõttele Asper Biogene OÜ ka Andmekaitse Inspektsioon, vt:

https://www.aki.ee/uudised/trahviotsus-85-000-suurune-rahatrahv-asper-biogene-ou-le