Jaką rolę odgrywa IOD w procesie wdrażania dyrektywy NIS 2 w organizacji?
ODPOWIEDŹ
Rola Inspektora Ochrony Danych (IOD) w procesie wdrażania dyrektywy NIS 2 w organizacji rodzi zasadne pytania — zwłaszcza w kontekście ryzyka konfliktu interesów.
Zgodnie z art. 38 ust. 6 RODO, IOD może wykonywać inne zadania i obowiązki, ale tylko pod warunkiem, że nie prowadzą one do konfliktu interesów. W praktyce oznacza to, że IOD nie powinien pełnić funkcji związanych z określaniem celów i sposobów przetwarzania danych osobowych, ponieważ osłabia to jego niezależność i obiektywizm.
Dyrektywa NIS 2 nakłada na organizacje liczne obowiązki w zakresie cyberbezpieczeństwa, m.in. przeprowadzanie ocen ryzyka, wdrażanie środków technicznych i organizacyjnych czy zgłaszanie incydentów. Jeśli jednak IOD zostanie zaangażowany w te procesy w sposób decyzyjny, pojawia się problem: w praktyce oceni działania, które sam wcześniej zaplanował lub wdrożył. To klasyczny przykład konfliktu interesów.
Potwierdzają to także decyzje Prezesa UODO, w których jasno wskazano, że powierzanie IOD zadań mogących prowadzić do konfliktu interesów stanowi naruszenie przepisów RODO (np. tutaj). IOD nie może bowiem jednocześnie projektować rozwiązań (np. w zakresie cyberbezpieczeństwa) i być ich późniejszym kontrolerem. Taka podwójna rola podważa jego bezstronność i naraża organizację na ryzyko zarzutu naruszenia przepisów.
Dlatego angażowanie IOD w projekt NIS 2 powinno ograniczać się do roli doradczej i nadzorczej — bez powierzania mu zadań decyzyjnych czy wykonawczych w zakresie cyberbezpieczeństwa. Tylko w ten sposób organizacja może zapewnić jego niezależność, a jednocześnie uniknąć potencjalnych konfliktów interesów.