On July 1, 2021, the Luxembourg Data Protection Authority (CNPD) announced that the logistics company had violated GDPR by not providing to the Data Protection Officer (DPO) an opportunity to attend all the relevant company meetings and report directly to the highest level of management at the company. According to the GDPR requirements, DPO must be involved, properly and in a timely manner, in all issues which relate to the protection of personal data and perform DPO tasks without receiving any instructions regarding their exercise.
After conducting the investigation, it was also found that the company violated requirements related to DPO tasks, for example, the company had not been able to demonstrate an audit plan, therefore, DPO's task to monitor compliance with GDPR and other data protection legislation was also not satisfied.
The CNPD imposed on the company an administrative fine of 15,000 Eur and ordered them to comply with Articles 38(1), 38(3), 39(1)(a) and 39(1)(b) GDPR within four months.
It is the first case when a fine is imposed for such violations of the GDPR. This case shows that companies must pay attention to DPO role and ensure conditions to perform the tasks of DPO as well as the opportunity to operate with the DPO status guaranteed by the GDPR.
Full access to Luxembourg CNPD decision can be found in French using this link: https://cnpd.public.lu/.../Decision-20FR-2021-sous-forme...
--
2021 m. liepos 1 d. Liuksemburgo duomenų apsaugos inspekcija paskelbė, jog logistikos paslaugas teikianti bendrovė pažeidė GDPR, duomenų apsaugos pareigūnui (DAP) neužtikrindama galimybės dalyvauti reikšminguose įmonės susitikimuose ir atsiskaityti tiesiai bendrovės aukščiausiojo lygio vadovybei. Pagal GDPR reikalavimus, DAP turėtų būti tinkamai ir laiku įtrauktas į visų su asmens duomenų apsauga susijusių klausimų nagrinėjimą bei savo užduotis atlikti savarankiškai.
Atlikto tyrimo metu taip pat buvo nustatyta, jog bendrovė pažeidė su DAP užduotimis susijusius GDPR reikalavimus – pavyzdžiui, neturėjo audito plano, todėl pažeidė numatytą reikalavimą DAP stebėti, kaip laikomasi GDPR ir kitų teisės aktų reikalavimų duomenų apsaugos srityje.
Bendrovei buvo skirta 15 000 Eur bauda ir įpareigojimas per keturis mėnesius įgyvendinti bendrovės atitiktį šiems GDPR straipsniuose numatytiems reikalavimams – 38(1), 38(3), 39(1)(a) ir 39(1)(b).
Tai pirmoji GDPR bauda paskirta įmonei už tokio tipo GDPR pažeidimus. Šis atvejis parodo, jog įmonės turi atkreipti dėmesį į DAP vaidmenį bendrovėje ir užtikrinti galimybę tinkamai vykdyti GDPR numatytas DAP užduotis bei galimybę naudotis GDPR garantuojamu DAP statusu.
Nuoroda į pilną priežiūros institucijos sprendimą prancūzų kalba rasite čia:
