IOD wykonuje również inne obowiązki? Zobacz, jak unikać konfliktu interesów
Niejednokrotnie, szczególnie w mniejszych podmiotach, funkcja inspektora ochrony danych – o ile taki inspektor został wyznaczony - jest łączona z innymi obowiązkami. Przepisy RODO nie wykluczają wprawdzie takiej możliwości. Z drugiej strony RODO wyraźnie wskazuje, iż inspektor może pełnić inne funkcje oraz wykonywać inne zadania wyłącznie wówczas, gdy nie powodują one konfliktu interesów. Sprawdź, jak zgodnie z prawem umożliwić IOD wykonywanie innych czynności tak, aby nie doszło do konfliktu interesów.
Niezależność i bezinteresowność IOD
Inspektor ochrony danych może wykonywać inne zadania i obowiązki a administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów (art. 38 ust. 6 RODO). IOD w wykonywaniu swojej funkcji musi być bowiem niezależny, a przydzielone mu zadania lub obowiązki mogą kolidować z jego podstawową funkcją, jaką jest ochrona danych osobowych u konkretnego administratora danych lub procesora. Ponadto administrator oraz podmiot przetwarzający muszą zapewnić, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Nie może być on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Zgodnie z RODO inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
Powyższe rozwiązanie nie wyklucza więc możliwości wykonywania innych czynności przez inspektora ochrony danych.
Przykład 1.
Nie ma przeszkód w udzieleniu pełnomocnictwa do dokonywania nawet takich czynności, które nie są bezpośrednio związane z pełnieniem funkcji IOD. Udzielenie zaś pełnomocnictwa do takich czynności jakie podpisywanie umów powierzenia, udostępnienia czy nadawanie upoważnień pracownikom administratora jest wręcz standardem w funkcjonowaniu IOD i pozwala zarządowi upoważnić IOD do dokonywania w imieniu i na rzecz ADO czynności prawnych związanych z ochroną danych osobowych.
Z drugiej strony ta możliwość jest zauważalnie ograniczona.
Czym jest konflikt interesów?
W pierwszej kolejności należy wyjaśnić, co to jest konflikt interesów, aby później prawidłowo ocenić, jak faktycznie przełoży się on na funkcjonowanie IOD w organizacji. Z konfliktem interesów mamy do czynienia wówczas, gdy dochodzi do nierówności pomiędzy interesami stron, przykładowo pomiędzy interesem prywatnym a interesem firmy lub pomiędzy interesami poszczególnych departamentów. Inspektorzy ochrony danych, którzy pełnią także inne obowiązki mówić o następujących przykładach konfliktu interesów:
Przykład 2.
Inspektor ochrony danych pełni również funkcję dyrektora departamentu sprzedaży, a jego premia zależy wyłącznie od wyników sprzedaży. Musi podjąć decyzję o tym, czy zainwestować środki w bardzo drogie rozwiązanie, które podniesie sprzedaż, czy w nowy system bezpieczeństwa, wymagający dokładnie takich samych nakładów finansowych. W ten sposób dochodzi do konfliktu interesów pomiędzy interesem inspektora a interesem danego departamentu.
Przykład 3.
Zarząd zadecydował, że inspektorem ochrony danych będzie pracownik dużego zespołu, nad którym jest osoba przełożonego. Inspektor musi poinformować Zarząd o naruszeniu ochrony danych w firmie. Wie jednak, że naruszenie powstało w wyniku błędu jego przełożonego, z którym ma bardzo dobre relacje prywatne, co budzi w nim wątpliwości odnośnie zgłoszenia.
Przykład 4.
Inspektor ochrony danych zajmuje jednocześnie stanowisk specjalisty ds. marketingu w związku z czym odpowiada za marketing i PR firmy. Może to wpłynąć na to, iż w następstwie naruszenia nie będzie działał uczciwie.
Przykład 5.
Inspektor ochrony danych odpowiada również za wybór dostawców, co może spowodować nieprawidłowości przy wyborze konkretnej firmy np. inspektor widzi, że dana firma znacząco odbiega od wymagań prawnych w zakresie ochrony danych. Jest jednak konkurencyjna na rynku pod względem ceny.
Nie wystarczy samo oświadczenie o braku konfliktu interesów
W praktyce dość często stosuje się rozwiązanie, w którym inspektorzy ochrony danych składają oświadczenia o braku konfliktu interesów. Oświadczenia te mają w pewnym zakresie potwierdzić, że nie występują okoliczności godzące w niezależność inspektora ochrony danych i kolidujące z jego podstawowymi obowiązkami. Warto odebrać takie oświadczenie od inspektora, niemniej jednak należy mieć na względzie, że obowiązek zagwarantowania braku konfliktu interesów spoczywa w pierwszym rzędzie (choć nie wyłącznie) na administratorze lub procesorze. Tym samym złożenie przez IOD oświadczenia o niewystępowaniu takiego konfliktu interesów, choć zalecane, to jednak nie zwalnia administratora lub procesora z obowiązku zapewnienia aby zadania i obowiązki IOD nie powodowały konfliktu interesów. Ważne jest bowiem to, czy faktycznie konflikt interesów zachodzi czy też nie, a nie tylko to czy i kto złożył stosowne oświadczenie.
Zobacz także: Oświadczenie inspektora ochrony danych dotyczące braku konfliktów interesów
IOD nie może odpowiadać za cele i środki przetwarzania danych
Aby już na pierwszym etapie zminimalizować ryzyko wystąpienia konfliktu interesów, należy mieć na względzie, że osoba pełniąca funkcje inspektora ochrony danych nie może równocześnie odpowiadać za cele i środki przetwarzania danych.
Grupa Robocza art. 29 w wytycznych dotyczących inspektorów ochrony danych (WP 243) w aspekcie łączenia funkcji IOD wprost wskazuje, że nie powinny być łączone stanowiska kierownicze oraz stanowiska niższego rzędu, jeżeli biorą udział w określaniu celów oraz sposobów przetwarzania danych. Wymieniono następujące stanowiska kierownicze:
- dyrektor generalny,
- dyrektor ds. operacyjnych,
- dyrektor finansowy,
- dyrektor ds. medycznych,
- kierownik działu marketingu,
- kierownik działu HR,
- kierownik działu IT.
Co więcej, Grupa Robocza Art. 29 wskazuje, że również niższe stanowiska mogą oznaczać konflikt interesów, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.
Analizując to, czy działania wykonywane przez inspektora nie prowadzą do powstania konfliktu interesów, należy przede wszystkim określić sytuacje, w których taki konflikt może powstać oraz czynności zapobiegające tym sytuacjom. Należy również mieć świadomość skutków wystąpienia konfliktu interesów, jednak nie tylko w związku z własną działalnością, ale również w aspekcie jego wpływu na osoby trzecie.
Warto wdrożyć procedurę zarządzania konfliktem interesów
W celu usystematyzowania działań w zakresie zapobiegania konfliktowi interesów inspektora ochrony danych warto opracować procedurę zarządzania konfliktem interesów. Nie musi to być dokument bardzo obszerny, warto jednak, aby wskazywał najwyższemu kierownictwu jak zarządzać tematem konfliktu interesów w ramach firmy zaś dla pracowników był podpowiedzią w sytuacji, kiedy pojawią się po ich stronie wątpliwości. W tego typu procedurze można zawrzeć następujące elementy:
1. Opis działalności firmy, jej celów oraz wizji.
2. Wykaz sytuacji, jakie powodują konflikt interesów (i mogą mieć wpływ na elementy wymienione w pkt 1.).
3. Wykaz funkcji, jakich nie wolno łączyć w firmie, aby uniknąć konfliktu interesów.
4. Zasady sprawowania nadzoru nad osobami, w przypadku których może dojść do konfliktu interesów oraz opis mechanizmów kontrolnych.
5. Zawiadamianie o zauważonym konflikcie interesów lub nieetycznym działaniu.
a) Kogo należy zawiadomić? (dedykowany adres e-mail, telefon, możliwość wysłania zawiadomienia pocztą tradycyjną, bądź wyznaczona osoba)
b) Kto może zawiadamiać? (sugerowane jest to, aby o konflikcie interesów mogli zawiadamiać wszyscy pracownicy w sposób gwarantujący anonimowość)
c) Opis sytuacji.
d) Zasady wyjaśniania zgłoszenia.
- Rozmowa z osobą, której dotyczy zgłoszenie
- Rozmowa z osobą zgłaszającą
- Ocena faktycznego wystąpienia konfliktu
- Ocena skutków sytuacji na działalność firmy
- Ocena skutków sytuacji na klientów firmy/pracowników/osoby fizyczne
- Przekazanie osobie zgłaszającej oraz osobie podejrzanej o nieetyczne działanie informacji o wynikach analizy zgłoszenia.
- Podjęcie ewentualnych dalszych działań naprawczych bądź dyscyplinarnych.
6. Sposoby przeciwdziałania konfliktom interesów
a) Regularne spotkania kierownictwa firmy celem omówienia bieżących działań
b) Program szkoleń pracowników
c) Zasady wykonywania szkolenia
d) Wdrożenie programu zapobiegającego przeciwdziałaniu nadużyciom wewnątrz firmy
e) Promowanie etycznych zachowań – jakie to zachowania, jak są promowane?
f) Zasady prowadzenia procesu rekrutacyjnego
g) Obowiązek jasnego i precyzyjnego formułowania zakresu obowiązków
h) Obowiązek niezależności w procesie rekrutacji
i) Cykliczna komunikacja do pracowników w związku z zasadami przeciwdziałania konfliktom interesów.
Oczywiście zalecane jest przedstawienie procedury pracownikom firmy w sposób zwyczajowo w niej przyjęty (z zaakcentowaniem konieczności jej stosowania w swoim otoczeniu oraz praktycznych i pozytywnych przykładów związanych z tą procedurą), a także odpowiednie jej wdrożenie przedstawienie jej pracownikom i przede wszystkim odpowiednie wdrożenie.
Grupa Robocza Art. 29 zaleca, aby w zależności od działalności, wielkości i struktury organizacji, administratorzy lub podmioty przetwarzające:
- ustalili stanowiska, które nie będą współgrały z wypełnianiem roli inspektora ochrony danych,
- opracowali przepisy wewnętrzne w tym zakresie, aby uniknąć konfliktu interesów,
- zadeklarowali, że nie ma konfliktu interesów między pełnieniem funkcji inspektora a realizacją innych zadań,
- zapewnić, że w ogłoszeniach o naborze na stanowisko inspektora lub umowach o świadczenie usług, jest wystarczająco precyzyjnie skonstruowane, by uniknąć konfliktu interesów.
IOD w Twojej firmie wykonuje również inne obowiązki? Masz wątpliwości czy nie generuje to konfliktu interesów. Zadaj dedykowane pytanie do eksperta albo skorzystaj z audytu zgodności z RODO.
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
