Strona główna IOD w organizacji Gwarancje IOD IOD w stanie konfliktu interesów. Kiedy jest to możliwe?

IOD w stanie konfliktu interesów. Kiedy jest to możliwe?

Maciej Chodorowski
-
0
IOD w stanie konfliktu interesów. Kiedy jest to możliwe?
Management Team

RODO w art. 38 ust. 6 daje IOD możliwość wykonywania innych zadań i obowiązków niż te, które zostały określone w art. 37 RODO. Obowiązki te jednak nie mogą prowadzić do konfliktu interesów. Konflikt interesów to sytuacja, w której IOD zajmowałby stanowisko, umożliwiające mu określanie sposobów i celów przetwarzania danych co mogłoby wykluczać jego niezależność, a także wymagać stawiania celów biznesowych ponad prawa i wolności podmiotu danych.

ERDO (dawna Grupa Robocza Art. 29) w wytycznych WP 243 wskazuje stanowiska, które co do zasady powodują konflikt interesów. Jednocześnie zaznacza, że każda organizacja posiada indywidualny charakter, a wystąpienie konfliktu należy analizować indywidualnie w konkretnych okolicznościach.

Czy dyrektor może być IOD?

Powołanie na IOD kierownika określonego działu w firmie, np. dyrektora departamentu IT, który jako kierownik decydowałby o sposobach zabezpieczeń systemów informatycznych, czy też projektowałby systemy informatyczne lub dyrektora działu kadr, który decydowałby np. jakie dane są zbierane od potencjalnych kandydatów do pracy może powodować konflikt interesów. Wynika to z tego, że jako IOD z jednej strony kierownik badałby zgodność przetwarzania danych z RODO, a z drugiej strony byłby odpowiedzialnych za ich wykonanie i uzyskiwane rezultaty. Warto zaznaczyć, że nawet jeżeli kierownik osobiście nie wykonuje obowiązków związanych z przetwarzaniem danych lub ich nie projektuje, ale dokonuje tego podległy mu pracownik, nie niweluje to stanu konfliktu interesów. Kierownik odpowiada za całość działań komórki, w tym podległych mu pracowników. Stanowiskami kierowniczymi, których łączenie z funkcją IOD może powodować konflikt interesów są stanowiska dyrektora generalnego, dyrektora ds. operacyjnych, dyrektora ds. finansów, dyrektora ds. medycznych, kierownika działu marketingu, dyrektor ds. IT czy dyrektora działu kadr/HR.

Kiedy pracownik nie może być IOD?

Pracownicy zatrudnieni na niższych stanowiskach, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych lub ich praca jest oceniana na podstawie realizacji celów przetwarzania (np. pracownicy marketingu lub osoby odpowiedzialne za rekrutację pracowników) również mogą przebywać w stanie „konfliktu interesów” pełniąc jednocześnie funkcję IOD.

W wytycznych EROD (dawnej Grupy Roboczej Art. 29) wskazano także, że konflikt interesów może powstać w sytuacji sporów sądowych, gdy IOD będąc np. radcą prawnym lub pracownikiem kancelarii prawnej świadczące obsługę prawną organizacji, miałby reprezentować administratora danych lub podmiot przetwarzający przed sądem w sprawie dotyczącej ochrony danych osobowych. Również Krajowa Rada Radców Prawnych przekazała do PUODO opinie, w której rekomenduje nie łączenie wykonywania tych ról w ramach jednego podmiotu (administratora danych/klienta). Wynika to z tego, że profesjonalni pełnomocnicy są obowiązani dbać o interesy swojego klienta, natomiast Inspektor Ochrony Danych po pierwsze powinien mieć na względzie pełna transparentność przetwarzania danych oraz uszanowanie praw i wolności osób fizycznych, których dane osobowe przetwarza organizacja.

Jak uniknąć konfliktu interesów IOD?

Wyżej wspomniane wytyczne zawierały także dobre praktyki dla administratorów, które pomagają w uniknięciu konfliktu interesów przez IOD.

Po pierwsze administratorzy powinni stworzyć listę stanowisk, które nie mogą być łączone z funkcją Inspektora Ochrony Danych oraz opracować wewnętrzną procedurę, która wykluczy możliwość łączenia stanowisk i funkcji pozostających w konflikcie. Pracodawca powinien także zadbać, by jego pracownicy byli świadomi, czym jest konflikt interesów, jak go rozpoznać oraz jak postępować w przypadku jego wystąpienia.

W przypadku funkcjonowania już IOD w organizacji powinna nastąpić deklaracja, że jego funkcja oraz nałożone nań obowiązki nie powodują konfliktu interesów. Działanie to ma na celu głównie zwiększenie świadomości na temat zjawiska konfliktu interesów.

Administratorzy powinni także pamiętać, by odpowiednio konstruować zakres obowiązków w umowach o pracę (bądź umowach o świadczenie usług), aby wykluczona była możliwość zaistnienia tegoż konfliktu.

Obniżeniem ryzyka z tego tytułu może być również skorzystanie z usług zewnętrznego inspektora ochrony danych. W tym zakresie należy również pamiętać, że konflikt interesów może powstawać przy outsourcingu IOD w szczególności, gdy powierzamy tą funkcję firmie, która świadczy już na nasza rzecz obsługę prawną/ zastępstwo procesowe lub obsługę informatyczną. Firma ta będzie rozliczana za efekty wykonania umów biznesowych, których efektywność może stać często w jawnej opozycji co do poziomu gwarancji praw i wolności osób fizycznych. Przykładowo firma informatyczna może rekomendować zastosowanie technologii, która będzie bardziej efektywna biznesowo, ale będzie również rodziła więcej zagrożeń dla bezpieczeństwa danych osobowych. Pełniąc funkcje IOD powinna rekomendować bardziej bezpieczne rozwiązanie, ale jako firma informatyczna rozwiązanie efektywniejsze biznesowo.

Na koniec należy jeszcze podkreślić, że badanie konfliktu interesów powinno zachodzić dla każdej organizacji z uwzględnieniem jej indywidualnych cech, albowiem ów konflikt może przybierać różne formy, zwłaszcza w zależności od tego, czy zatrudniamy IOD wewnętrznego, czy korzystamy z outsourcingu IOD.

Maciej Chodorowski

Prawnik, doświadczony specjalista w dziedzinie ochrony danych osobowych, audytor wewnętrzny ISO 27001, Inspektor Ochrony Danych (IOD), a także prezes zarządu firmy doradczej Data Legal Solutions Sp. z o.o.

© Newspaper WordPress Theme by TagDiv