Czy inspektor ochrony danych może znajdować się w zespole przyjmującym i rozpatrującym zgłoszenia?
ODPOWIEDŹ
Musimy wziąć pod uwagę Wytyczne dotyczące inspektorów ochrony danych (WP 243), w szczególności zapisy dotyczące potencjalnego konfliktu interesów:
„3.5 Konflikt interesów, Artykuł 38(6) umożliwia DPO wykonywanie „innych zadań i obowiązków”. Dalej w artykule widnieje zapis, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć DPO może posiadać inne zadania i obowiązki, to jednak nie mogą one powodować konfliktu interesów. Oznacza to, że DPO nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.
Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Ponadto, konflikt interesów może powstać, gdy zewnętrzny DPO zostanie poproszony o reprezentowanie administratora lub podmiotu przetwarzającego przed sądem w sprawie dotyczącej ochrony danych osobowych.”
Teoretycznie, IOD nie bierze udziału w określaniu celów i sposobów przetwarzania. Z drugiej strony, jest duża szansa (szczególnie w mniejszych organizacjach), że będzie on de facto tworzył procedurę zgłaszania naruszeń przez sygnalistów, a co najmniej ją opiniował. Co więcej, zgłoszenia sygnalistów mogą dotyczyć m.in. naruszeń objętych zakresem stosowania aktów UE, dotyczących ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych. Może wówczas dojść do sytuacji, kiedy IOD w ramach rozpatrywania zgłoszenia będzie oceniał swoja własną pracę, co powodowałoby konflikt interesów.
Podsumowując, w mojej ocenie nie jest wskazane, aby IOD był członkiem zespołu rozpatrującego zgłoszenia.