W lutowym newsletterze UODO dla inspektorów ochrony danych, Urząd przedstawił swoje stanowisko w kwestii niezależności IOD w strukturze administratora. Prezes UODO zaprezentował swoją opinię w oparciu o sprawę, w której Inspektor Ochrony Danych wykonywał obowiązek administratora jakim jest nadawanie upoważnień do przetwarzania danych osobowych.
Postępowanie zakończyło się udzieleniem upomnienia administratorowi w związku z nałożeniem na IOD obowiązków, które należą do zadań administratora, a które monitoruje IOD. „Prezes UODO konsekwentnie wskazuje, że do zadań inspektora ochrony danych (IOD) należy m.in. monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk danego administratora, a także nadzorowanie prawidłowego wykonywania wynikających z nich obowiązków, doradzanie i podnoszenie świadomości w tym zakresie. Dlatego IOD nie powinien być osobą, która wyręcza administratora w realizacji należących do niego zadań. Mogłoby to prowadzić do powstania konfliktu interesów, którego występowania zakazuje w odniesieniu do inspektorów art. 38 ust. 6 RODO.”
Ponadto, UODO na stronie internetowej wskazuje, że IOD nie może zajmować stanowiska, na którym określa się sposoby i cele przetwarzania danych. Podkreślając jednocześnie, że „ocena czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.”
Czy Inspektor Ochrony Danych (IOD) nadający upoważnienia pozostaje w konflikcie interesów?
Zakres zadań Inspektora Ochrony Danych determinują przepisy zawarte w RODO, przede wszystkim chodzi tu o art. 39 ust. 1 RODO, ale także art. 38, a szczególnie ust. 4.
Generalnie obowiązki te można podzielić na kilka kategorii:
- informowanie o obowiązkach spoczywających na podmiotach, m.in. administratorze, podmiocie przetwarzających, pracowników wynikających z przepisów dotyczących ochrony danych oraz doradzanie w tych kwestiach;
- monitorowanie przestrzegania ww. przepisów przez ww. podmiotach, szkolenie personelu, zwiększanie świadomości w zakresie ochrony danych;
- udzielanie zaleceń co do oceny skutków;
- współpraca z Prezesem UODO;
- pełnienie funkcji punktu kontaktowego dla Prezesa UODO oraz osób, których dane podmiot przetwarza.
Uprawnienia IOD i jego miejsce w organizacji określają kolejne przepisy, gdzie wskazuje się wyraźnie, że Inspektor Ochrony Danych może podlegać jedynie najwyższemu kierownictwu organizacji, nie może otrzymywać również instrukcji w zakresie wykonywanych przez niego zadań. Przepisy RODO wprost wskazują także, że Inspektor Ochrony Danych powinien być niezależny.
Idąc tym tropem, postanowiliśmy jako redakcja gdpr.pl zbadać jakie jest stanowisko innych organów w tej kwestii. Chcieliśmy się dowiedzieć, czy oni również dostrzegają możliwość występowania konfliktów interesów a jeśli tak to jak można im zapobiegać?
Zapytaliśmy więc, czy wydawanie upoważnień przez IOD stanowi konflikt interesów? A jeśli tak, jakie zadania może wykonać inspektor ochrony danych, aby uniknąć konfliktu, szczególnie gdy weźmiemy pod uwagę, że IOD często wykonuje szereg codziennych zadań przypisanych administratorowi?
W odpowiedzi na nasze pytania organy konsekwentnie wskazywały na wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych („DPO”) przyjęte 13 grudnia 2016 r. Wytyczne przyjęła również następczyni Grupy Roboczej art. 29 – Europejska Rada Ochrony Danych. W szczególności zwrócono nam uwagę na sekcję 3.5 wytycznych.
3.5 Konflikt interesów
Artykuł 38(6) umożliwia DPO wykonywanie „innych zadań i obowiązków”. Dalej w artykule widnieje zapis, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.”
Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć DPO mogą posiadać inne zadania i obowiązki to jednak te nie mogą powodować konfliktu interesów. Oznacza to, że DPO nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.
Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Ponadto, konflikt interesów może powstać, gdy zewnętrzny DPO zostanie poproszony o reprezentowanie administratora lub podmiotu przetwarzającego przed sądem w sprawie dotyczącej ochrony danych osobowych.
Zależnie od rodzaju działalności, rozmiaru i struktury organizacji, dobrą praktyką dla administratorów i podmiotów przetwarzających może być:
- Zidentyfikowanie stanowisk niekompatybilnych z funkcją DPO;
- Opracowanie wewnętrznych zasad uniemożliwiających łączenie stanowisk będących w konflikcie interesów;
- Zapewnienie bardziej ogólnego wyjaśnienia dotyczącego konfliktu interesów;
- Zadeklarowanie, iż nie ma konfliktu interesów w funkcjonowaniu obecnego DPO, celem zwiększenia świadomości na temat tego wymogu;
- Wprowadzenie odpowiednich zabezpieczeń do wewnętrznych zasad organizacji celem zapewnienia, by ogłoszenia o rekrutacji na stanowisko DPO czy też umowy o świadczenie usług były wystarczająco jasne i precyzyjne, aby niwelować ryzyko powstania konfliktu interesów. W tym kontekście należy również pamiętać, że konflikt interesów może przybierać różne formy, w zależności od tego, czy rekrutacja na stanowisko DPO ma charakter wewnętrzny czy zewnętrzny.
W wytycznych wskazano, że Inspektor Ochrony Danych nie może przyjmować stanowisk w organizacji w zakresie których obowiązkiem jest ustalanie celów i sposobów przetwarzania. Wytyczne proponują kilka rozwiązań, które mogą zostać wprowadzone by zapobiec konfliktowi interesów. Wspomniano m.in. określenie stanowisk niezgodnych z funkcją IOD, opracowanie wewnętrznych wytycznych pozwalających uniknąć konfliktu interesów.
Czeski organ nie ograniczył się do odwołania do przywołanych wcześniej wytycznych, tak jak w większości zrobiły to inne organy, ale przytoczył ich fragment, „na poziomie ogólnym wskazują one [wytyczne] na stanowiska w organizacji, które mogą prowadzić do konfliktu interesów, mogą to być stanowiska kierownicze wyższego szczebla (jak na przykład stanowisko dyrektora wykonawczego, kierownika operacyjnego, dyrektora finansowego, dyrektora działu zdrowia, kierownik, kierownik kadr lub kierownik IT), ale także stanowiska na niższych poziomach struktury organizacyjnej, jeżeli na tych stanowiskach są zadania związane z określeniem celów i sposobów przetwarzania.”, podkreślając dalej, że raczej skupiłby się na konkretnych wskazanych stanowiskach a nie poszczególnych zadaniach, bo tutaj widzi większy problem.
Co ciekawe hiszpański organ wskazał, że nie dostrzega zagrożenia w postaci możliwego konfliktu interesów w związku z łączeniem kilku pozycji przez IOD w organizacji.
Reasumując, wydaje się, że inne organy nie wchodziły tak głęboko w kwestie konfliktu interesów, bazując na wytycznych z 13 grudnia 2016 r. Być może kwestia ta nie wymagała wyjaśnień, lub nie powodowała zakłóceń w pełnieniu funkcji IOD.
Najbardziej liberalne stanowisko zajął organ hiszpański, który w ogóle nie widzi konfliktu interesów w wydawaniu upoważnień przez IOD. Warto zauważyć, że organ ten jest niezwykle aktywny, przez co wyróżnia się na tle innych organów. Być może uznał, że to konkretne zagadnienie (konflikt interesów w kontekście nadawania upoważnień) nie jest tym, co ma istotny wpływ na bezpieczeństwo danych.
Niezależnie od ewentualnego konfliktu na tle wydawania upoważnień przez IOD, pamiętajmy że wszystkie organy bardzo silnie akcentują konflikt interesów w kontekście łączenia niektórych stanowisk przez IOD (innymi słowy kogo wyznacza się na IOD). Co ważne, są to jednoznaczne i spójne stanowiska. W naszej rzeczywistości wielu administratorów danych zdaje się w ogóle nie dostrzegać tego problemu, wyznaczając na IOD dyrektorów tych komórek, które za opinią Grupy Roboczej wymienił czeski organ. Może warto właśnie to zweryfikować zanim zrobi to organ nadzoru.