Przepisy RODO określają, jakie zadania powinien realizować inspektor ochrony danych. Nie wskazują natomiast, jakich czynności wykonywać nie powinien. Wiemy jedynie, że istnieje możliwość wykonywania innych obowiązków, niż wymienione w RODO, o ile nie powoduje to konfliktu interesów. Jakie są to obowiązki? Analizujemy to w artykule.
Wprawdzie IOD pozostający w zatrudnieniu na podstawie stosunku pracy podlega pracodawcy – administratorowi, niemniej jednak administrator ani żadna inna osoba reprezentująca administratora nie może wydawać mu instrukcji dotyczących wykonywania jego zadań, o których mowa w art. 39 RODO. W tym zakresie inspektor ochrony danych jest bowiem niezależny. To samo dotyczy IOD wykonujących swoje zadania na podstawie umowy cywilnoprawnej. Umowa ta nie może stwarzać możliwości nakazywania IOD podejmowania konkretnych działań w ramach kompetencji ujętych w art. 39 RODO.
Ograniczenie to nie dotyczy jednak innych obowiązków, nieujętych w art. 39 RODO.
Administrator może nakazać IOD (w umowie czy też w przypadku pracownika – w drodze polecenia służbowego, raportowanie swoich działań).
Inspektor ochrony danych powinien podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Innymi słowy IOD, o ile wchodzi w skład struktury organizacyjnej administratora, powinien być usytuowany na drugim poziomie w schemacie organizacyjnym ADO. To oznacza, że personel niższego szczebla nie może wydawać IOD jakichkolwiek poleceń służbowych.
Inspektor ochrony danych nie może być odwoływany ani karany za wypełnianie swoich zadań. Innymi słowy, jeżeli IOD wykonuje swoje zadania ze starannością, której powinniśmy wymagać od profesjonalisty, to nawet jeżeli jego działania nie wydają się korzystne dla administratora, nie powinien podlegać on z tego tytułu sankcjom. Takie sytuacje mogą mieć miejsce – zauważmy, że działania IOD polegają m.in. na doradzeniu administratorowi i jego personelowi, jak przetwarzać dane osobowe zgodnie z RODO i innymi przepisami powszechnie obowiązującego prawa, ale także monitorowaniu przestrzegania tych przepisów w organizacji.
IOD nie może być karany za to, że w ramach monitorowania wykrył nieprawidłowości w przetwarzaniu danych i zarekomendował rozwiązanie, które ma na celu przywrócić zgodność z prawem tego przetwarzania ale jednocześnie jest kosztowne dla administratora, a tym samym – w ocenie ADO – sprzeczne z jego interesem. Może natomiast zostać pociągnięty do odpowiedzialności, gdyby mimo wykrycia nieprawidłowości nie podjął dalszych działań – to bowiem mogłoby świadczyć o nienależytym wykonywaniu jego obowiązków.
Wprawdzie IOD może wykonywać także inne zadania i obowiązki. Niemniej jednak nie może generować to konfliktu interesów.
Konfliktem interesów będzie każda konfiguracja zadań, obowiązków i stanowisk piastowanych przez inspektora ochrony danych, która może wpływać na obiektywizm jego działań. IOD nie może więc wykonywać zadań, które „nachodzą” na zadania inspektora ujęte w art. 39 RODO. Inspektor nie może zatem dokonywać czynności, polegających przykładowo na:
Co istotne, konflikt interesów dotyczy nie tylko inspektora będącego pracownikiem. Zawierając z inspektorem umowę cywilnoprawną, należy więc przewidzieć takie rozwiązania, które wykluczą ten konflikt. Co więcej, jeżeli pomiędzy administratorem danych lub podmiotem przetwarzającym a osobą mającą zostać powołaną na inspektora ochrony danych istnieje już jakiekolwiek powiązanie (np. umowa, powołanie), to należy je zweryfikować pod kątem występowania konfliktu interesów.
Do konfliktu interesów może dojść wówczas, gdy IOD niebędący pracownikiem
Reasumując, IOD nie może zajmować:
Przede wszystkim inspektor ochrony danych nie może jednocześnie piastować stanowisk zarządzających wyższego szczebla (w szczególności członka zarządu, dyrektora generalnego, dyrektora oddziału itp.). Wszak osoby na tych stanowiskach najczęściej reprezentują administratora danych osobowych, którym jest zarządzana przez nich organizacja. Tymczasem zadania IOD, o których mowa w art. 39 RODO, są tak ukształtowane, że do ich realizacji inspektor ochrony danych musi być niezależny od administratora (np. współpraca z organem nadzorczym). Poza tym inspektor ma podlegać najwyższemu kierownictwu administratora, a więc sam nie może stanowić tego kierownictwa.
Niewłaściwe z punktu widzenia konfliktu interesów jest umożliwienie łączenia funkcji IOD z wyższymi stanowiskami informatycznymi (np. główny informatyk, administrator systemów informatycznych, kierownik działu IT, itp.). Wynika to z faktu, że informatycy na tych stanowiskach są odpowiedzialni m.in. za wdrożenie i nadzór nad bezpieczeństwem systemów informatycznych, administrowanie nośnikami danych i serwerami, na których zapisywane są dane osobowe, nadawanie uprawnień dostępowych pozostałym pracownikom, wykrywanie, diagnozowanie i przeciwdziałanie nieautoryzowanym dostępom do zasobów przedsiębiorcy. Tymczasem IOD ma monitorować, czy rozwiązania te są zgodne z RODO i innymi przepisami dotyczącymi ochrony danych osobowych a także, czy zapewniają odpowiedni poziom bezpieczeństwa przetwarzanych danych. Inspektor ochrony danych, zajmując jednocześnie wyższe stanowisko informatyczne, kontrolowałby w istocie własną pracę lub pracę swojego zespołu.
Inspektor ochrony danych zajmujący jednocześnie stanowisko kierownika działu IT, wykrył stosowania niewłaściwych zabezpieczeń, brak obowiązkowych aktualizacji, zaniechania tworzenia kopii zapasowych. Odpowiedzialność za te zaniechania może ponieść sam kierownik. Istnieje więc ryzyko, że jako IOD zataiłby te uchybienia przed administratorem.
Nie tylko wyższe stanowiska kierownicze mogą wygenerować konflikt interesów IOD. Inspektor nie powinien zajmować również stanowisk kierowniczych średniego a nawet niższego szczebla (dyrektor działu, naczelnik sekcji, kierownik, menedżer, itp.), o ile osoby zatrudnione na tego typu stanowiskach posiadają kompetencje do określania sposobów i celów przetwarzania danych zarządzanego przez nie działu, sekcji, komórki itp.
Dlaczego? Zauważmy, że osoby zajmujące te stanowiska kompetencje te wywodzą od administratora danych.
IOD nie powinien łączyć swojej funkcji z obowiązkami w zakresie:
Właśnie w tych sferach działalności ADO przetwarzana jest zwykle największa ilość danych osobowych, co podwyższa ryzyko naruszenia ochrony danych. IOD będący zarazem kierownikiem jednego z ww. działów może więc chcieć zataić ewentualne uchybienia w ochronie danych, gdyż jako kierownik sam poniósłby za to odpowiedzialność.
Jeżeli natomiast podmiot zatrudniający inspektora ochrony danych byłby podmiotem przetwarzającym, to inspektor ochrony danych nie mógłby pełnić funkcji związanych z kierowaniem wykonywania czynności przez ten podmiot na rzecz administratora. Inspektor bowiem zobligowany jest do kontrolowania prawidłowości przetwarzania danych osobowych, w tym zatem także w ramach relacji zachodzącej pomiędzy procesorem i administratorem danych.
Konflikt interesów może powstać także w przypadku łączenia stanowiska inspektora ochrony danych z funkcją adwokata, radcy prawnego, prawnika in-house (nawet jeżeli nie byłby profesjonalnym pełnomocnikiem) a nawet prawnika zatrudnionego w kancelarii prawnej obsługującej dany podmiot. Dotyczy to również doradcy podatkowego i rzecznika patentowego, a także inne osoby mające reprezentować administratora przed sądami, urzędami i osobami trzecimi.
Wszak osoby te działają w interesie oraz na rzecz swojego klienta czyli administratora. Tymczasem inspektor ochrony danych nie wszystkie działania wykonuje w interesie ADO. Wszak musi on dbać o ochronę danych osobowych pochodzących najczęściej nie od ADO ale od jego klientów i kontrahentów. Poza tym wiele jego poczynań, jak już wskazano, w szczególności w zakresie monitorowania przestrzegania RODO, może wydawać się sprzeczne z interesem administratora.
Administrator został pozwany o odszkodowanie z tytułu szkody wyrządzonej naruszeniem jego danych osobowych. Naruszenie wykrył oczywiście inspektor ochrony danych, który jest jednocześnie radcą prawnym obsługującym administratora. Nie sposób w takiej sytuacji wyobrazić sobie, że radca prawny reprezentujący administratora, który jednocześnie pełni funkcję IOD u tego administratora, dowodzi przez sądem, że dane zdarzenie nie stanowi naruszenia ochrony danych, choć jako IOD sam je wykrył.
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
