IOD i właściciel firmy w jednym? Sprawdź, czy to możliwe
Nie, ponieważ doszłoby wówczas do konfliktu interesów.
Czym jest konflikt interesów
Art. 38 ust. 6 RODO stanowi, że inspektor ochrony danych może wykonywać inne zadania i obowiązki a administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Innymi słowy inspektor ochrony danych w wykonywaniu swojej funkcji powinien niezależny, w szczególności aby inne przydzielone mu zadania lub obowiązki nie kolidowały z jego podstawową funkcją jaką jest ochrona danych osobowych u konkretnego administratora danych lub procesora. W tym celu administrator lub procesor ma zapewnić na przykład odpowiednie usytuowanie IOD w strukturze organizacyjnej oraz zapewnić mu środki niezbędne do wykonywania jego pracy.
Konfliktem takim będzie zatem każda konfiguracja zadań, obowiązków i stanowisk piastowanych przez inspektora ochrony danych, która może wpływać na obiektywizm jego działań. Wykluczone jest zatem łączenie stanowisk, a nawet tylko samych kompetencji lub obowiązków, które wzajemnie na siebie nachodzą.
Inspektor nie może zatem dokonywać czynności, polegających na:
- kontrolowaniu, bądź nadzorowaniu efektów własnej pracy na innym stanowisku,
możliwości wydawania poleceń, czy też akceptacji rezultatów pracy wykonanych przez inspektora na innym stanowisku, bądź wykonanej jako inspektor ochrony danych, - konieczności zgłaszania naruszeń występujących na innym stanowisku pracy zajmowanym przez IOD,
- podejmowania decyzji na innym stanowisku zajmowanym przez tę samą osobę w oparciu o zalecenia, zgłoszenia, bądź informacje powstałe w trakcie pełnienia funkcji inspektora ochrony danych.
IOD nie może kierować firmą
Spełnienie tego warunku nie jest możliwe, gdy to właściciel firmy a więc reprezentant administratora (czyli firmy) stanie się IOD. Konflikt interesów powstanie bowiem w związku z łączeniem funkcji IOD i stanowisk kierowniczych wyższego szczebla (członkowie zarządu, dyrektor generalny, dyrektor oddziału, itp.) – wynika to po pierwsze z faktu, że w jednostkach organizacyjnych organ zarządzający – w praktyce zatem jego członkowie – jest uznawany za administratora danych. Inspektor ochrony danych musi być natomiast niezależny w swoich działaniach od administratora. Łączenie funkcji zarządzającej (administrator danych) i nadzorczej (inspektor ochrony danych) nie jest zatem możliwe. Ponadto, inspektor ochrony danych w strukturze organizacyjnej ma podlegać bezpośrednio ww. stanowiskom zarządzającym, nie może zatem, również z tego powodu, być piastunem organu zarządzającego.
Pobierz: oświadczenie IOD o braku konfliktu interesów
Autorzy:
Michał Koralewski
Michał Kowalski
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Umowa podpowierzenia przetwarzania danych w związku z realizacją projektu unijnego
- Opłatomat w placówce medycznej – czy wymaga powierzenia przetwarzania danych osobowych według RODO
- Rekrutacja elektroniczna w szkole – czy konieczna umowa powierzenia przetwarzania danych
- Osoba współpracująca jako inspektor ochrony danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
