Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 5 000 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att företaget drev ett diagnostiskt laboratorium under covid-19-pandemin. Företagets verkställande direktör utsågs till dataskyddsombud för verksamheten. Denna utnämning anmäldes dock aldrig till DSB.
DSB inledde en utredning på eget initiativ. Företaget uppgav att den verkställande direktören visade lämplig medvetenhet om sina två roller och att det inte hade funnits någon risk för att han skulle försumma sina skyldigheter i fråga om dataskydd. Istället hävdade företaget att man under hela covid-19-pandemin var mer effektiv genom att kombinera rollerna.
DSB ansåg att företaget brutit mot artikel 38.6 GDPR då man inte vidtagit några aktiva åtgärder för att se till att den verkställande direktören kunde undvika intressekonflikter i sin roll som dataskyddsombud.
DSB ansåg vidare att företaget hanterat en stor mängd hälsouppgifter enligt artikel 9.1 GDPR. Enligt DSB kan en intressekonflikt uppstå om dataskyddsombudet saknar lämpliga tidsmässiga resurser för att utföra sina uppgifter på grund av andra arbetsuppgifter. Baserat på EU-domstolens dom C-453/21 konstaterade även DSB att dataskyddsombudet i allmänhet inte kan anförtros att fastställa medlen för och ändamålen med behandlingen, eftersom det är just detta som dataskyddsombudet ska övervaka på ett oberoende sätt.