Jak zapewnić odpowiedni status IOD w organizacji – 7 rad dla administratora

Wprawdzie IOD pozostający w zatrudnieniu na podstawie stosunku pracy podlega pracodawcy – administratorowi, niemniej jednak administrator ani żadna inna osoba reprezentująca administratora nie może wydawać mu instrukcji dotyczących wykonywania jego zadań, o których mowa w art. 39 RODO. W tym zakresie inspektor ochrony danych jest bowiem niezależny. To samo dotyczy IOD wykonujących swoje zadania na podstawie umowy cywilnoprawnej. Umowa ta nie może stwarzać możliwości nakazywania IOD podejmowania konkretnych działań w ramach kompetencji ujętych w art. 39 RODO.

Ograniczenie to nie dotyczy jednak innych obowiązków, nieujętych w art. 39 RODO.

Inspektor ochrony danych powinien podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Innymi słowy IOD, o ile wchodzi w skład struktury organizacyjnej administratora, powinien być usytuowany na drugim poziomie w schemacie organizacyjnym ADO. To oznacza, że personel niższego szczebla nie może wydawać IOD jakichkolwiek poleceń służbowych.

Inspektor ochrony danych nie może być odwoływany ani karany za wypełnianie swoich zadań. Innymi słowy, jeżeli IOD wykonuje swoje zadania ze starannością, której powinniśmy wymagać od profesjonalisty, to nawet jeżeli jego działania nie wydają się korzystne dla administratora, nie powinien podlegać on z tego tytułu sankcjom. Takie sytuacje mogą mieć miejsce – zauważmy, że działania IOD polegają m.in. na doradzeniu administratorowi i jego personelowi, jak przetwarzać dane osobowe zgodnie z RODO i innymi przepisami powszechnie obowiązującego prawa, ale także monitorowaniu przestrzegania tych przepisów w organizacji.

Wprawdzie IOD może wykonywać także inne zadania i obowiązki. Niemniej jednak nie może generować to konfliktu interesów.

Co istotne, konflikt interesów dotyczy nie tylko inspektora będącego pracownikiem. Zawierając z inspektorem umowę cywilnoprawną, należy więc przewidzieć takie rozwiązania, które wykluczą ten konflikt. Co więcej, jeżeli pomiędzy administratorem danych lub podmiotem przetwarzającym a osobą mającą zostać powołaną na inspektora ochrony danych istnieje już jakiekolwiek powiązanie (np. umowa, powołanie), to należy je zweryfikować pod kątem występowania konfliktu interesów.

Reasumując, IOD nie może zajmować:

• stanowisk zarządzających pierwszego szczebla,
• wyższych stanowisk informatycznych,
• stanowisk kierowniczych średniego i niższego szczebla,
• prawnika lub reprezentanta procesowego.

Przede wszystkim inspektor ochrony danych nie może jednocześnie piastować stanowisk zarządzających wyższego szczebla (w szczególności członka zarządu, dyrektora generalnego, dyrektora oddziału itp.). Wszak osoby na tych stanowiskach najczęściej reprezentują administratora danych osobowych, którym jest zarządzana przez nich organizacja. Tymczasem zadania IOD, o których mowa w art. 39 RODO, są tak ukształtowane, że do ich realizacji inspektor ochrony danych musi być niezależny od administratora (np. współpraca z organem nadzorczym). Poza tym inspektor ma podlegać najwyższemu kierownictwu administratora, a więc sam nie może stanowić tego kierownictwa.

Niewłaściwe z punktu widzenia konfliktu interesów jest umożliwienie łączenia funkcji IOD z wyższymi stanowiskami informatycznymi (np. główny informatyk, administrator systemów informatycznych, kierownik działu IT, itp.). Wynika to z faktu, że informatycy na tych stanowiskach są odpowiedzialni m.in. za wdrożenie i nadzór nad bezpieczeństwem systemów informatycznych, administrowanie nośnikami danych i serwerami, na których zapisywane są dane osobowe, nadawanie uprawnień dostępowych pozostałym pracownikom, wykrywanie, diagnozowanie i przeciwdziałanie nieautoryzowanym dostępom do zasobów przedsiębiorcy. Tymczasem IOD ma monitorować, czy rozwiązania te są zgodne z RODO i innymi przepisami dotyczącymi ochrony danych osobowych a także, czy zapewniają odpowiedni poziom bezpieczeństwa przetwarzanych danych. Inspektor ochrony danych, zajmując jednocześnie wyższe stanowisko informatyczne, kontrolowałby w istocie własną pracę lub pracę swojego zespołu.

Nie tylko wyższe stanowiska kierownicze mogą wygenerować konflikt interesów IOD. Inspektor nie powinien zajmować również stanowisk kierowniczych średniego a nawet niższego szczebla (dyrektor działu, naczelnik sekcji, kierownik, menedżer, itp.), o ile osoby zatrudnione na tego typu stanowiskach posiadają kompetencje do określania sposobów i celów przetwarzania danych zarządzanego przez nie działu, sekcji, komórki itp.

Dlaczego? Zauważmy, że osoby zajmujące te stanowiska kompetencje te wywodzą od administratora danych.

Jeżeli natomiast podmiot zatrudniający inspektora ochrony danych byłby podmiotem przetwarzającym, to inspektor ochrony danych nie mógłby pełnić funkcji związanych z kierowaniem wykonywania czynności przez ten podmiot na rzecz administratora. Inspektor bowiem zobligowany jest do kontrolowania prawidłowości przetwarzania danych osobowych, w tym zatem także w ramach relacji zachodzącej pomiędzy procesorem i administratorem danych.

Konflikt interesów może powstać także w przypadku łączenia stanowiska inspektora ochrony danych z funkcją adwokata, radcy prawnego, prawnika in-house (nawet jeżeli nie byłby profesjonalnym pełnomocnikiem) a nawet prawnika zatrudnionego w kancelarii prawnej obsługującej dany podmiot. Dotyczy to również doradcy podatkowego i rzecznika patentowego, a także inne osoby mające reprezentować administratora przed sądami, urzędami i osobami trzecimi.

Wszak osoby te działają w interesie oraz na rzecz swojego klienta czyli administratora. Tymczasem inspektor ochrony danych nie wszystkie działania wykonuje w interesie ADO. Wszak musi on dbać o ochronę danych osobowych pochodzących najczęściej nie od ADO ale od jego klientów i kontrahentów. Poza tym wiele jego poczynań, jak już wskazano, w szczególności w zakresie monitorowania przestrzegania RODO, może wydawać się sprzeczne z interesem administratora.