Konflikt interesów w pracy IOD-a
Inspektorom ochrony danych osobowych często zleca się dodatkowe zadania, które wykraczają poza ramy ich codziennych obowiązków. Niewłaściwe ich łączenie może wywołać konflikt interesów. Kiedy taki konflikt może wystąpić i jak mu zapobiec, dowiesz się z LEX Ochrona Danych Osobowych.
IOD powinien być zaangażowany w każdy proces w organizacji, w którym są lub potencjalnie mogą być przetwarzane dane osobowe. Jego ekspercka wiedza na temat ochrony danych osobowych i sektora, w którym pracuje, umożliwia mu pełnienie roli doradczej. Ma ona duże znaczenie również z perspektywy bezpieczeństwa danych. Wie o tym również Urząd Ochrony Danych Osobowych, który wielokrotnie badał zaangażowanie IOD-ów wydając decyzje administracyjne w odpowiedzi na naruszenia ochrony danych. Podczas akcji weryfikacyjnej z 2022 r. znanej jako 27 pytań na temat IOD-a, organ nadzorczy zażądał od administartorów danych szeregu odpowiedzi i wyjaśnień dotyczących różnych aspektów powoływania i funkcjonowania IOD-a. Część z pytań poświęcona była konfliktowi interesów w pracy inspektora.
Status inspektora ochrony danych w organizacji
Stanowisko inspektora ochrony danych osobowych w organizacji powinno być niezależne i podlegać najwyższemu kierownictwu. Niezależność nie oznacza jednak braku kontroli. Administrator powinien weryfikować efekty pracy IOD-a, a jego zadania powinny być jasno określone, np. w opisie stanowiska pracy, umowie lub regulaminie funkcjonowania IOD-a . Nie wyklucza to jednak możliwości nakładania na IOD-a nowych obowiązków. W takim wypadku ADO lub podmiot przetwarzający muszą wykazać, że nie będą one wywoływały konfliktu interesów.
Konflikt interesów w pracy IOD-a
Artykuł 38 ust. 2 RODO pozwala na łączenie funkcji IOD-a z innymi rodzajami zadań. Stawia jeden warunek - zadania te nie mogą wywoływać konfliktu interesów. Mamy z nim do czynienia wtedy, gdy IOD nie może pogodzić swoich codziennych obowiązków z wykonywaniem innych zadań. Profesor Paweł Fajgielski w komentarzu do RODO wskazuje, że powodem takiej sytuacji może być niezgodność zadań, która blokuje ich wykonywanie (konflikt merytoryczny). Przyczyna tego zjawiska może wynikać także z przeciążenia IOD-a. Z powodu nadmiaru obowiązków może być również zmuszony do selekcji zadań, jakie wykonuje (konflikt czasowy). Do tego zestawienia radca prawny Bartłomiej Żeromski dodaje także sytuacje, w których IOD nie może być niezależny, np. gdy wykonanie zadania zależne jest od czynności innego pracownika (konflikt organizacyjny).
Aby zapobiec występowaniu konfliktów, administrator powinien opracować i wdrożyć politykę zarządzania konfliktem interesów. Z jej wdrożenia może rozliczyć administratora organ nadzorczy (zagadnienie to było bardzo istotne w kontekście akcji 27 pytań o IOD-a).
Prezes UODO zwraca również uwagę, że ocena występowania konfliktu interesów powinna być dokonywana indywidualnie w odniesieniu do konkretnych okoliczności. One jednak mogą się zmieniać, więc możliwość pojawienia się konfliktu powinna być stale monitorowana.
Komplementariusz spółki komandytowej jako IOD
Na temat łączenia roli komplementariusza w spółce komandytowej ze stanowiskim IOD-a wypowiedział się UODO w jednym ze swoich newsletterów. Stanowisko urzędu zakłada, że komplementariusz będący wspólnikiem i osobą reprezentującą spółkę, czyli prowadzącą jej sprawy, decydujący o celach i sposobach przetwarzania danych, nie może równolegle zajmować stanowiska IOD-a. Jeżeli jednak komplementariusz nie pełniłby funkcji reprezentacyjnej (art. 117 KSH), należałoby poddać dokładnej analizie umowę spółki.
UODO wskazuje, że poza komplementariuszem pełniącym funkcje reprezentacyjną, funkcji IOD-a nie mogą pełnić także m.in.:
- członkowie zarządu stowarzyszenia;
- dyrektorowie szkół;
- wójtowie.
Czy IOD może prowadzić Rejestr Czynności Przetwarzania?
Częstym pytaniem jest to, czy IOD może prowadzić RCP. Zdaniem radcy prawnego Bartłomieja Żeromskiego nie ma do tego przeciwskazań. Ze specyfiki rejestru wynika, że nie ma ono charakteru sprawczego. W tym dokumencie nie decyduje się np. o długości przechowywania danych, a jedynie wskazuje na termin, który wynika z ustaleń ADO lub dokumentacji wewnętrznej. Inaczej w sytuacji, gdy RCP służy do decydowania w jaki sposób ma przebiegać proces przetwarzania danych. W takim wypadku IOD nie będzie mógł go prowadzić z uwagi na konflikt merytoryczny.
Więcej na ten temat dowiesz się z nagrania ze szkolenia "IOD idealny – wnioski z kontroli PUODO i praktyczne wskazówki dla administratora dotyczące współpracy z IOD-em", które poprowadził radca prawny Bartłomiej Żeromski. Ekspert poza konfliktem interesów w pracy IOD-a omówił także pozostałe aspekty jego pracy odnosząc się do "27 pytań o IOD-a" autorstwa UODO.
Julia Magulska
Redakcja Publikacji Elektronicznych