Pretekstem do powstania tego artykułu było spotkanie pt. „Niezależność inspektora ochrony danych w świetle skoordynowanego działania EROD CEF DPO”, zorganizowane przez wybranego w styczniu br. Prezesa UODO – Mirosława Wróblewskiego. W środowisku eksperckim sam pomysł organizacji takiego spotkania spotkał się z pozytywnym odbiorem jako próba zbudowania nowego oblicza urzędu opartego o ducha eksperckości i wzajemnego dialogu.
Urząd przedstawił stanowisko, które mocno akcentuje niezależność Inspektorów Ochrony Danych (IOD) oraz wskazał na nowe okoliczności, które mogą świadczyć o braku niezależności lub zaistnieniu konfliktu interesów.
Obowiązki IOD
Dla porządku, w pierwszej kolejności warto spróbować zdefiniować pojęcie konfliktu interesów w kontekście sprawowania funkcji IOD. Najprostszą definicją będzie ta, zgodnie z którą konflikt interesów występuje, gdy IOD pełni inne zadania, które mogą wpłynąć na jego obiektywizm, niezależność i skuteczność. IOD musi działać bezstronnie, aby zapewnić zgodność z przepisami o ochronie danych.
Zgodnie z art. 38 ust. 6 RODO, IOD może mieć dodatkowe obowiązki, pod warunkiem, że nie prowadzą one do konfliktu interesów. UODO podkreśla, że zadania te nie mogą wpływać na niezależność i obiektywizm IOD. W praktyce oznacza to, że organizacje muszą zapewnić, aby IOD nie był obciążony dodatkowymi obowiązkami, które mogłyby utrudnić skuteczne wykonywanie jego podstawowych zadań.
Zgodnie z art. 39 RODO, do obowiązków IOD należą: informowanie i doradzanie administratorowi oraz pracownikom, monitorowanie przestrzegania przepisów, doradzanie w zakresie oceny skutków dla ochrony danych, współpracę z organem nadzorczym oraz funkcja punktu kontaktowego dla organu nadzorczego.
Stanowisko UODO
W tym miejscu pojawia się rozłam w postrzeganiu roli IOD w organizacji przez UODO i środowisko eksperckie. UODO w swojej interpretacji roli IOD w organizacji trzyma się literalnej wykładni przepisów RODO, podnosząc przede wszystkim prymat niezależności IOD względem efektywności organizacji. Środowisko eksperckie jest temu poglądowi w dużej mierze przeciwne, wskazując, że spojrzenie to jest co najmniej nierealistyczne, a ograniczanie obowiązków do tych literalnie wskazanych w art. 39 RODO, powoduje szereg konsekwencji, z punktu widzenia organizacji raczej negatywnych.
Należy do nich choćby konieczność powoływania co najmniej dwóch osób do obsługi obszaru danych osobowych w organizacji: niezależnego IOD, zajmującego się wspomnianymi kwestiami o charakterze doradczym i kogoś na kształt specjalisty ds. danych osobowych, do którego obowiązków należałoby wypełnienie innych obowiązków o charakterze wykonawczym spoczywających na organizacji nakładanych przez RODO, a których IOD wykonywać nie może z uwagi na zachowanie jego niezależnego charakteru, np. tworzenie dokumentacji systemów, prowadzenie rejestrów, klauzul informacyjnych, dokonywanie zgłoszeń, reprezentacja w postępowaniach.
W optyce urzędu model pełnienia funkcji IOD ma być statyczny, gdzie IOD ogranicza się do monitorowania przestrzegania przepisów. Środowisko eksperckie wskazuje zaś, że w przewarzającej mierze w praktyce biznesowej przeważa model dynamiczny, gdzie IOD aktywnie uczestniczy w rozwiązywaniu problemów związanych z ochroną danych.
Krytyka modelu statycznego
Jako przykłady niechcianych następstw statycznego podejścia do funkcji IOD, wskazuje m.in., że:
– zamiast o bezpieczeństwie danych osobowych, organizacje będą myślały jak bezpiecznie uniknąć konfliktu interesów na linii ADO-IOD;
– konieczne będzie zmodyfikowanie Polityk Ochrony Danych, wdrożonych według wytycznych Grupy Roboczej WP 243, według których IOD mógł np. prowadzić dokumentację lub rejestr czynności przetwarzania;
– konieczne będzie przeprowadzenie szkoleń związanych z ww. modyfikacją;
– ADO otrzymają IOD-a w „okrojonej wersji”, ograniczonego do funkcji audytorsko wspomagających;
– nie jest do końca jasne, dlaczego przygotowanie projektu dokumentacji miałoby wykraczać poza czynność doradczą w zakresie obowiązków, jakie spoczywają na organizacja na podstawie RODO.
Podsumowanie
Niezależność IOD jest kluczowa dla zapewnienia zgodności z RODO. Równie ważne jest jednak znalezienie równowagi między niezależnością a efektywnością organizacyjną. Stanowisko urzędu jest z pewnością poparte szczegółową analizą treści przepisów. Nie uwzględnia ono jednak praktyki ich stosowania, jaka wykształciła się przez 6 lat stosowania RODO. Ta perspektywa jest nie mniej ważna.
aplikant adwokacki Wiktor Klimczewski
adwokat Robert Gruz
