Powoływanie Inspektora Ochrony Danych a konflikt interesów

Prawidłowe wykonywanie funkcji Inspektora Ochrony Danych (dalej: IOD) wymaga, aby IOD wykonywał swoje zadania w sposób niezależny[1]. Jednym z aspektów tej niezależności jest zapewnienie braku konfliktu interesów w zakresie, w jakim IOD realizuje swoje obowiązki.

Zgodnie z art. 38 ust. 6 zd. 2 RODO administrator lub podmiot przetwarzający (jeśli wyznacza IOD) zapewniają, by zadania i obowiązki IOD nie powodowały konfliktu interesów. Oznacza to przede wszystkim, że IOD musi zajmować takie stanowisko w strukturach administratora danych, aby wykonywane przez niego obowiązki (np. na dotychczasowym stanowisku pracy) nie prowadziły do konfliktu interesów.

Kiedy dochodzi do konfliktu interesów?

Konflikt interesów związany z wykonywaniem obowiązków przez IOD zachodzi przede wszystkim w sytuacji, gdy osoba pełniąca funkcję IOD zajmowałaby takie stanowisko, które wiązałoby się ze zdecydowaniem o celach i sposobach przetwarzania danych. Grupa Robocza art. 29 w swoich wytycznych dotyczących IOD podaje przykłady stanowisk, które mogą powodować konflikt interesów z pełnieniem funkcji IOD.

Zgodnie z tym dokumentem, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych[2].

To, które stanowiska w danej organizacji mogą powodować konflikt interesów, należy oceniać bardzo indywidualnie. Może się bowiem okazać, zwłaszcza w większych organizacjach, że nawet na stanowiskach średniego szczebla ustala się cel i sposób przetwarzania danych, np. w działach marketingowych, planując kampanie reklamowe w internecie, a tym samym może dojść do potencjalnego konfliktu interesów. Nietrudno bowiem wyobrazić sobie sytuację, w której dział marketingu planuje kampanię reklamową w social mediach, albo z wykorzystaniem zakupionej bazy adresów mailowych, a IOD zgłasza swoje zastrzeżenia dotyczące ochrony danych osobowych i zwraca uwagę na potencjalne zagrożenia i konieczność zadbania o procedury, tak aby tego typu kampanie były prowadzone zgodnie z przepisami RODO i innych ustaw, w tym prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną. W tej sytua­cji nie ma wątpliwości, że osoby odpowiedzialne za planowanie sposobów prowadzenia akcji promocyjnych czy kampanii reklamowanych nie mogą pełnić funkcji IOD.

Podobnie będzie w przypadku osób pełniących funkcje kierownicze w działach IT. Tacy pracownicy są zwykle odpowiedzialni za projektowanie systemów przetwarzających dane osobowe i wdrażanie zabezpieczeń systemów informatycznych. Nawet intuicyjnie można dostrzec w takiej sytuacji konflikt interesów. Zadania IOD to w głównej mierze kontrola i udzielanie wytycznych dotyczących ochrony danych osobowych. Trudno zatem przyjąć, że osoba, która projektowałaby systemy zabezpieczeń, byłaby w stanie obiektywnie je ocenić i wskazać ewentualne nieprawidłowości, a taka m.in. jest rola IOD. Co więcej, model funkcjonowania organizacji, w której niezależny IOD jest w stanie wskazywać nieprawidłowości i dawać wskazówki w zakresie poprawy i zwiększenia zgodności z przepisami systemu przetwarzającego dane osobowe, jest najbardziej optymalny i pożądany z punktu widzenia administratora danych, który powinien dążyć do optymalnego zabezpieczenia danych osobowych w swojej organizacji i przestrzegania przepisów prawa w tym zakresie.

Warto także podkreślić, że bez względu na wielkość podmiotu będącego administratorem danych stanowiska, które będą także powodować konflikt interesów z pełnieniem funkcji IOD, są wszelkie stanowiska kadrowe, bez względu na to, czy u danego administratora danych funkcje kadrowej pełni jedna osoba, czy też jest to cały dział HR.
Podobnie jak w działach IT, również w tym przypadku to kierownicy działów kadrowych decydują o zakresie i sposobach zbierania i wykorzystania danych osobowych kandydatów do pracy oraz samych pracowników. Co więcej, w tych działach może dochodzić do przetwarzania danych szczególnych kategorii lub innych danych, które w potocznym rozumieniu są uważane za „wrażliwe”, np. przy przetwarzaniu danych w związku z Zakładowym Funduszem Świadczeń Socjalny...

Dalsza część jest dostępna dla użytkowników z wykupionym planem