GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Wyrok TSUE o statusie IOD i możliwości jego odwołania

Trybunał Sprawiedliwości UE w wyroku z 9 lutego 2023 r. odpowiedział na pytania prejudycjalne Federalnego Sądu Pracy w Niemczech dotyczące Inspektora Ochrony Danych. TSUE przedstawiło swoje stanowisko ws. statusu IOD w organizacji, możliwości jego odwołania oraz ewentualnego konfliktu interesów.

Powództwo w sądzie pracy

Pan FC był zatrudniony w spółce X-FAB ponad 20 lat. Pełnił funkcję przewodniczącego rady zakładowej i był z tego tytułu częściowo zwolniony ze świadczenia pracy. W 2015 r. został wyznaczony na IOD przez X-FAB oraz spółki podległe, w celu zapewnienia jednolitego poziomu ochrony danych w tych przedsiębiorstwach. W 2017 r. FC został odwołany ze stanowiska IOD w spółce matce i spółkach podległych  na wniosek Inspektora Ochrony Danych i Wolności Informacji w Turyngii (urzędu landowego w Turyngii ds. ochrony danych osobowych). Niestety w wyroku nie zostało przedstawione, na jakiej podstawie inspektor złożył ten wniosek. Natomiast parę miesięcy później w maju 2018 r. spółki podległe  ponownie odwołały FC ze stanowiska IOD tym razem na podstawie art. 38 ust.3 zdanie drugie RODO.

 

FC złożył powództwo do sądu pracy, mające na celu stwierdzenie, że wciąż przysługuje mu stanowisko IOD w X-FAB. W odpowiedzi  spółka podnosiła, że jeżeli Pan FC pełni jedocześnie funkcje IOD i przewodniczącego rady zakładowej, to istnieje możliwość konfliktu interesu, i to jest ważną przyczyną jego odwołania. Prawo niemieckie stanowi, że IOD może zostać odwołany z funkcji, jedynie z ważnej przyczyny, nawet jeśli odwołanie nie jest związane z wypełnianiem przez inspektora jego zadań. Ten przepis może stać w sprzeczności z art. 38 ust. 3 zdanie drugie RODO, który stanowi:

(IOD) „Nie jest on odwoływany ani karany przez administratora, ani podmiot przetwarzający za wypełnianie swoich zadań”

W końcu sprawa trafiła do federalnego sądu pracy, który skierował pytania prejudycjalne do TSUE.

Kiedy można odwołać IOD?

TSUE w odpowiedzi na pierwsze pytanie, wskazał, że zasadniczo zmierza ono do ustalenia:

Czy art. 38 ust. 3 zdanie drugie RODO należy interpretować w ten sposób, że sprzeciwia się on uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający mogą odwołać IOD, będącego członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli odwołanie nie jest związane z wypełnianiem przez tego inspektora jego zadań.”

Zgłoszenie IOD tylko w postaci elektronicznej – UODO ponownie przypomina

 

TSUE wskazuje, że art. 38 ust. 3 zdanie drugie RODO zmierza zasadniczo do ochrony niezależności IOD, a poprzez to zapewnienia skuteczności przepisów RODO. Trybunał następnie podkreśla, że każde państwo członkowskie może w ramach swoich kompetencji ustanowić przepisy szczególne, zapewniające większą ochronę w zakresie odwoływania IOD, o ile jest to zgodne z przepisami UE, a zwłaszcza RODO. Taka wzmożona ochrona nie może sprzeciwiać się celom RODO, tj. w przypadku gdyby uniemożliwiała odwołanie przez administratora lub podmiot przetwarzający IOD, w przypadku nieposiadania przez niego kwalifikacji zawodowych wymaganych do wykonywania swoich zadań zgodnie z art. 37 ust. 5 RODO lub IOD niewywiązującego się z nich zgodnie z przepisami.

TSUE podkreślił, że RODO nie sprzeciwia się uregulowaniu, które przewiduje, że administrator lub podmiot przetwarzający mogą odwołać IOD będącego członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli odwołanie nie jest związane z wypełnianiem przez niego jego zadań, o ile takie uregulowanie nie zagraża realizacji celów Rozporządzenia. TSUE zasadniczo nie odpowiedział, czy przepis prawa niemieckiego jest zgodny z RODO, wskazał jedynie, że to do sądu krajowego należy ustalenie odpowiedzi, kierując się przy tym jednak wskazówkami Trybunału.

Czy Inspektor Ochrony Danych (IOD) nadający upoważnienia pozostaje w konflikcie interesów?

Konflikt interesów

W dalszej kolejności TSUE zajął się zagadnieniem, w jakich okolicznościach można stwierdzić istnienie „konfliktu interesów” w rozumieniu art. 38 ust. 6 RODO.  Trybunał podkreślił, że RODO nie wprowadza zasadniczej niezgodności między sprawowaniem funkcji IOD a sprawowaniem innych funkcji u administratora czy podmiotu przetwarzającego. Do ADO i podmiotu przetwarzającego należy upewnienie się, aby te inne zadania i funkcje nie powodowały konfliktu interesów. Oznacza to, że IOD nie można powierzyć obowiązków lub zadań, które mogłyby zaszkodzić pełnieniu funkcji IOD. TSUE podkreśla, że ochrona przed konfliktem interesu oznacza, że nie można powierzyć IOD w szczególności tych zadań lub obowiązków, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych. Dodatkowo TSUE wskazuje, że ustalenie istnienia konfliktu interesów należy dokonywać odrębnie dla każdego przypadku, biorąc pod uwagę wszelkie okoliczności, w szczególności strukturę organizacyjną administratora.

IOD to nie święta krowa

TSUE w swoim wyroku podkreśla, że IDO mimo swojej szczególnej ochrony, nie jest nieodwoływalny. Ten, który utracił swoje kwalifikacje, może zostać odwołany, jak również ten, którego inne obowiązki prowadzą do konfliktu interesu. Warto zauważyć, że sam IOD nie odpowiada za badanie, które zadania mogłyby powodować konflikt interesów – co jest rolą podmiotu go wyznaczającego.

 

Źródło: https://curia.europa.eu/juris/document/document.jsf;jsessionid=42AD9FB49FFA1F57D09F362BD59E807D?text=&docid=270323&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=1050935