Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 14 000 euro mot Official College of Architects of Granada för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår en registrerad lämnat in ett klagomål till AEPD och gjorde gällande att Official College of Architects of Granada brutit mot ett antal dataskyddsbestämmelser. Den registrerade hävdade att Official College of Architects of Granada inte informerat tillsynsmyndigheten om utnämningen av sitt dataskyddsombud, att det fanns en intressekonflikt mellan de funktioner som utförs av den person som utsetts till dataskyddsombud, att det saknades tillräcklig information i Official College of Architects of Granada integritetspolicy, samt att Official College of Architects of Granada använde icke väsentliga cookies på sin webbplats utan att inhämta samtycke.
AEPD betonade dataskyddsombudets betydelse för att säkerställa efterlevnaden av dataskyddsbestämmelserna. Den påminde om att denna position regleras i artiklarna 37-39 GDPR, bestämmelser som tolkades av artikel 29-arbetsgruppen i riktlinjerna om dataskyddsombud. Utöver rådgivning har dataskyddsombudet andra viktiga funktioner, såsom att utföra konsekvensbedömningar och interna inspektioner samt att vara kontaktpunkt för tillsynsmyndigheten. För att kunna utföra dessa uppgifter på ett adekvat sätt är det viktigt att vara oberoende. I detta avseende föreskrivs i artikel 38.3 GDPR att dataskyddsombudet inte ska ta emot instruktioner, avskedas eller straffas av den personuppgiftsansvarige/processorn för utövandet av sina funktioner.
Som en allmän regel kan intressekonflikter inom en organisation omfatta ledande befattningar (såsom verkställande direktör, operativ direktör, ekonomidirektör, chefsläkare, chef för marknadsavdelningen, personalchef eller chef för IT-avdelningen), men även andra befattningar lägre ner i organisationsstrukturen om sådana befattningar leder till att medel och ändamål för behandlingen av personuppgifter fastställs. En intressekonflikt kan till exempel uppstå om ett dataskyddsombud ombeds att företräda den personuppgiftsansvarige eller personuppgiftsbiträdet i domstol i dataskyddsärenden.
Efter en genomgång av ärendet konstaterade AEPD att den ställning som innehades av den person som utsetts till dataskyddsombud var oförenlig med utförandet av dessa uppgifter, eftersom den kunde leda till fastställandet av ändamålen och medlen för behandlingen av uppgifter. Därför konstaterades en överträdelse av artikel 38.6 GDPR.
Vidare bekräftade AEPD att det klagomålsformulär som finns tillgängligt på Official College of Architects of Granadas webbplats inte innehöll all nödvändig information som krävs enligt artikel 13 GDPR.
Slutligen konstaterade AEPD att artikel 29-arbetsgruppen i sitt yttrande 4/2012 om undantag från samtycke för cookies ansåg att vissa cookies som exempelvis cookies för att fylla i formulär eller för att hantera en varukorg, cookies för användaridentifiering , cookies för användarsäkerhet, cookies för anpassning av användargränssnitt och vissa plugins för utbyte av socialt innehåll inte kräver samtycke för att användas. Efter att ha kontrollerat Official College of Architects of Granadas webbplats drog AEPD dock slutsatsen att Official College of Architects of Granada installerat analytiska tredjepartscookies som inte beskrevs i skolans policy, vilket inte omfattas av undantaget för samtycke. Av denna anledning fann AEPD en överträdelse av artikel 22.2 LSSI.
Mot bakgrund av ovanstående överträdelser utfärdade AEPD sanktionsavgifter mot Official College of Architects of Granada med 5 000 euro på grund av intressekonflikter i utövandet av skolans dataskyddsombuds uppgifter, 8 000 euro för bristande information på skolans webbplats och ytterligare 1 000 euro för användning av analytiska cookies från tredje part utan samtycke.