Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) har bötfällt ett dotterbolag till en e-handelskoncern från Berlin med 525 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av BlnBDI:s pressmeddelande framgår att företaget utsett ett dataskyddsombud som samtidigt var verkställande direktör för två tjänsteföretag som behandlade personuppgifter på uppdrag av just det företag för vilket han arbetade som dataskyddsombud. Dessa serviceföretag var också en del av koncernen genom att tillhandahålla kundservice och utföra beställningar. Dataskyddsombudet skulle således övervaka att de tjänsteföretag som verkar inom ramen för den uppdragsbaserade behandlingen och som han själv ledde i egenskap av verkställande direktör följde dataskyddslagstiftningen.
Enligt BlnBDI har företagens dataskyddsombud en viktig uppgift, de ger företaget råd om dess skyldigheter enligt dataskyddslagstiftningen och övervakar att dataskyddsbestämmelserna följs. Enligt artikel 38.6 GDPR får denna funktion endast utövas av personer som inte är föremål för intressekonflikter på grund av andra uppgifter. Detta gäller till exempel personer med ledande funktioner i företaget som själva fattar viktiga beslut om behandlingen av personuppgifter i företaget. Uppgiften får därför inte utföras av personer som därmed skulle övervaka sig själva.
I det aktuella fallet har en intressekonflikt uppstått i strid med artikel 38.6 GDPR eftersom dataskyddsombudet befunnit sig i en position där han agerade som dataskyddsombud med ansvar för behandlingen av personuppgifter i de företag som han samtidigt varit verkställande direktör för.
BlnBDI utfärdade en första varning mot företaget år 2021. Efter att en förnyad granskning 2022 visade att överträdelsen fortsatte trots varningen, ålade BlnBDI företaget böter på 525 000 euro, ett beslut som ännu inte är rättsligt bindande.
När BlnBDI utdömde böterna tog myndigheten hänsyn till e-handelskoncernens omsättning på tresiffriga miljonbelopp under det föregående räkenskapsåret och till dataskyddsombudets viktiga roll som kontaktperson för det stora antalet anställda och kunder. Den avsiktliga fortsatta utnämningen av dataskyddsombudet i nästan ett år trots den varning som redan utfärdats togs också i beaktande. Bland annat ansågs det faktum att företaget samarbetade i stor utsträckning med BlnBDI och upphörde med överträdelsen under det pågående bötesförfarandet minska bötesbeloppet.