Administratorzy i podmioty przetwarzające, zgodnie z wymogami RODO, wyznaczają IOD. To jednak nie koniec obowiązków, jakie nakłada RODO w tym kontekście. Warto zatem podjąć odpowiednie działania, aby zapobiec konfliktowi interesów np. opracować politykę unikania sporu.
RODO w art. 38 zapewnia IOD znaczną niezależność organizacyjną. Oczywiście w większości organizacji nie jest możliwe, ani celowe powierzenie wszystkich zadań związanych z ochroną danych osobowych. Dlatego też ustawodawca przewidział w ust. 6 art. 38 RODO, że IOD może wykonywać inne zadania oraz obowiązki, o ile takie zadania i obowiązki nie powodują konfliktu interesów.
Wytyczne dotyczące IOD
Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (obecnie EROD) w swoich Wytycznych dotyczących Inspektora Ochrony Danych wyjaśnia, kiedy może dojść do konfliktu. Dochodzi do niego, gdy IOD zajmuje w organizacji stanowisko, na którym określa się sposoby i cele przetwarzania danych. Mowa tu o stanowiskach kierowniczych, jak dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy. Ponadto dotyczy to posady kierownika działu, np.: marketingu, HR czy IT. Skoro podejmowanie decyzji, co do celów oraz sposobów przetwarzania danych, powoduje konflikt interesów, nie jest także dopuszczalne zawieranie przez Inspektora umów powierzenia w imieniu lub na rzecz administratora, u którego pełni on funkcję IOD. Za niedopuszczalne należy uznać również samodzielne nadawanie upoważnień do dostępu do danych osobowych.
Z kolei rekomendowane na stanowiska Inspektora Ochrony Danych są osoby z działów prawnych oraz niższych stanowisk. Wskazane pod warunkiem, że nie decydują o określeniu celów i sposobie przetwarzania danych. IOD może także zostać osoba spoza grona pracowników (outsourcing), zgodnie z art. 37 ust. 6 RODO. Może pojawić się również konflikt interesów w przypadku Inspektora zewnętrznego. Ostatnie zwłaszcza, jeśli obsługuje pewną liczbę organizacji (w tym konkurujących ze sobą). Dodatkowo wtedy, gdy zewnętrzny IOD zostanie poproszony o reprezentowanie administratora przed sądem w sprawie dotyczącej ochrony danych osobowych.
Konflikt interesów
W związku z powyższymi trudnościami, Prezes UODO rekomenduje opracowanie wewnętrznej polityki zarządzania konfliktem interesów Inspektora Ochrony Danych. W polityce takiej warto określić, czym jest konflikt interesów oraz w jakich sytuacjach może wystąpić. Należy wymienić stanowiska, jakich nie należy łączyć z funkcją IOD, opisać zasady audytu pracy, wprowadzić procedury zgłaszania konfliktów. Natomiast, idąc za Wytycznymi Grupy Roboczej, warto wprowadzić wymóg deklaracji, że Inspektor nie ma konfliktu interesów w odniesieniu do pełnionej przez siebie funkcji, celem zwiększenia świadomości na temat tego wymogu. Trzeba także zadbać o to, by ogłoszenie o naborze na stanowisko DPO lub umowa o świadczenie usług były wystarczająco jasne i precyzyjne, aby uniknąć konfliktu interesów.
W celu prawidłowego przygotowania stosownej polityki, warto zwrócić się do kancelarii prawnej specjalizującej się w ochronie danych osobowych.