Kto może być inspektorem danych osobowych w spółce?

Wyznaczenie inspektora ochrony danych osobowych stanowi jeden z podstawowych obowiązków Administratora wynikających z przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Kto może zostać inspektorem ochrony danych i jakie w tym zakresie są ograniczenia?

Inspektorem ochrony danych osobowych (dalej „IOD”) może zostać osoba fizyczna mająca pełną zdolność do czynności prawnych oraz posiadająca odpowiednią wiedzę. Niejednokrotnie, szczególnie z mniejszych organizacjach, niewielu pracowników posiada wiedzę niezbędną do pełnienia tej funkcji. W takim wypadku członkowie zarządu niekiedy zastanawiają się, czy funkcje IOD może pełnić ktoś z grona zarządu, czy też lepiej zlecić wykonywanie czynności IOD na zewnątrz Spółki, profesjonalnym osobom bądź firmom.

W pierwszej kolejności podkreślenia wymaga, że IOD zgodnie z art. 38 ust. 3 zdanie 3 RODO podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Rozporządzenie wprowadza zatem hierarchiczną zależność IOD od najwyższego kierownictwa organizacji, wskutek czego trudno jest uznać, że możliwe jest jednoczesne pełnienie funkcji członka najwyższego kierownictwa administratora czy podmiotu przetwarzającego i funkcji inspektora ochrony danych. Powyższe rozróżnienie i podporządkowanie uwarunkowane jest m. in. szeregiem obowiązków spoczywających na inspektorze, które podlegają kontroli i raportowaniu najwyższemu kierownictwu organizacji. W związku z powyższym, już z samej specyfiki sprawowana i funkcji IOD i związanych z nią obowiązków, żaden z członków zarządu nie powinien sprawować funkcji IOD.

Poza podporządkowaniem organizacyjnym najwyższemu kierownictwu organizacji, przesłanką negatywną do pełnienia jednoczesnej funkcji członka najwyższego kierownictwa organizacji i IOD jest potencjalny konflikt interesów wynikający ze sprawowania każdej z opisanych powyżej funkcji.

Jak wskazuje art. 38 ust. 6 RODO IOD może wykonywać inne zadania i obowiązki przy czym administrator lub podmiot przetwarzający powinno zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Jednocześnie przepisy Rozporządzenia nie precyzują na czym wspomniany konflikt interesów mógłby polegać. Pomocne w tym zakresie wydają się być Wytyczne Grupy Roboczej art. 29 dotyczące ochrony danych (DPO), w których wskazuje się przykłady stanowisk jakie nie powinny być łączące z pełnieniem funkcji inspektora ochrony danych. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, jak również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych. Niewątpliwym jest, że stanowiskiem kierowniczym będzie również stanowisko związane z pełnieniem funkcji członka najwyższego kierownictwa organizacji Administratora.

Dodatkowo, niezależnie od kryteriów organizacyjnych oraz związanych z uniknięciem konfliktu interesów IOD musi również dysponować odpowiednią wiedzą merytoryczną oraz przestrzenią czasową na pełnienie sprawowanej funkcji. Jak wskazuje Urząd Ochrony Danych Osobowych Administrator rozważając wyznaczenie na Inspektora ochrony danych kierownika komórki w organizacji, powinien uwzględnić co najmniej trzy kryteria:

• organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej – skutkiem czego nie powinien podlegać sam sobie),

• merytoryczne (inne obowiązki nie powinny negatywie wpływać na niezależne wykonywanie zadań IOD),

• czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m. in. liczby obowiązków czy stopnia ich skomplikowania).

Podkreślenia wymaga, że odpowiednie przygotowanie merytoryczne dotyczy kwestii związanych ściśle z ochroną danych osobowych. Niejednokrotnie Administratorzy błędnie poczytują, że kryterium wiedzy ma charakter niedookreślony lub dotyczy ogólnych kwestii związanych z funkcjonowaniem organizacji Administratora czy ogólnymi kwestiami prawnymi. Powyższe staje się wówczas podstawą do wyznaczenia do pełnienia funkcji inspektora ochrony danych członka najwyższego kierownictwa organizacji, co uznać należy za działanie błędne, bowiem rozumienie przesłanki merytorycznej wiedzy w realiach RODO sprowadza się do wiedzy szczegółowej, specjalistycznej i unikatowej.

Natomiast uwzględnienie kryterium czasowego powinno obejmować analizę Administratora czy pełnienie przez inspektora ochrony danych również innej funkcji pozwoli na prawidłowe wykonywanie obowiązków z zakresy ochrony danych osobowych, szczególnie mając na uwadze stopień skomplikowania oraz liczbę zadań spoczywających na inspektorze.

Podsumowując, jednoczesne pełnienie funkcji inspektora ochrony danych oraz członka zarządu co do zasady nie jest zakazane przez przepisy ogólnego rozporządzenia o ochronie danych. Jednak zważywszy na konieczność spełnienia szeregu wymogów opisanych powyższej, uznać należy, że w zdecydowanej większości przypadków jednoczesne pełnienie funkcji członka najwyższego kierownictwa organizacji Administratora i inspektora ochrony danych będzie działaniem nieprawidłowym.

W przypadku braku możliwości powierzenia pełnienia funkcji inspektora ochrony danych wewnętrznie w ramach organizacji, sugerowanym byłoby rozważenie powierzenia funkcji podmiotowi zewnętrznemu, zajmującemu się profesjonalnie realizacją obowiązków inspektora ochrony danych. Takie rozwiązanie jest dopuszczalne przez przepisy RODO i stanowi rozwiązanie problemu braku możliwości wyznaczenia inspektora wewnątrz organizacji.