Administratorzy i podmioty przetwarzające, zgodnie z wymogami RODO, wyznaczają IOD. To jednak nie koniec obowiązków, jakie nakłada RODO w kontekście IOD. Warto zatem podjąć odpowiednie działania, aby zapobiec konfliktowi interesów np. opracować politykę jego unikania.
RODO w art. 38 zapewnia IOD znaczną niezależność organizacyjną. Oczywiście w większości organizacji nie jest możliwe, ani celowe powierzenie wszystkich zadań związanych z ochroną danych osobowych. Dlatego też ustawodawca przewidział w ust. 6 art. 38 RODO, że IOD może wykonywać inne zadania oraz obowiązki, o ile takie zadania i obowiązki nie powodują konfliktu interesów.
Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (obecnie EROD) w swoich Wytycznych dotyczących IOD wyjaśnia, kiedy może dojść do konfliktu. Dochodzi do niego, gdy IOD zajmuje w organizacji stanowisko, na którym określa się sposoby i cele przetwarzania danych. Mowa tu o stanowiskach kierowniczych, jak dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, kierownik działu marketingu, kierownik działu HR czy kierownik działu IT. Skoro podejmowanie decyzji, co do celów oraz sposobów przetwarzania danych, powoduje konflikt interesów, nie jest także dopuszczalne zawieranie przez IOD umów powierzenia w imieniu lub na rzecz administratora, u którego pełni on funkcję IOD. Za niedopuszczalne należy uznać również samodzielne nadawanie przez IOD upoważnień do dostępu do danych osobowych.
Z kolei rekomendowane na stanowiska IOD są osoby z działów prawnych oraz niższych stanowisk pod warunkiem, że nie decydują o określeniu celów i sposób przetwarzania danych. Ponadto IOD może zostać osoba spoza grona pracowników (outsourcing), zgodnie z art. 37 ust. 6 RODO. Konflikt interesów w przypadku IOD zewnętrznego może również się pojawić. Ostatnie zwłaszcza, jeśli IOD zewnętrzny obsługuje pewną liczbę organizacji (w tym konkurujących ze sobą). Dodatkowo wtedy, gdy zewnętrzny IOD zostanie poproszony o reprezentowanie administratora przed sądem w sprawie dotyczącej ochrony danych osobowych.
W związku z powyższymi trudnościami, Prezes UODO rekomenduje opracowanie wewnętrznej polityki zarządzania konfliktem interesów IOD. W polityce takiej warto określić, czym jest konflikt interesów oraz w jakich sytuacjach może wystąpić. Należy wymienić stanowiska, jakich nie należy łączyć z funkcją IOD, opisać zasady audytu pracy IOD, wprowadzić procedury zgłaszania konfliktów. Natomiast idąc za Wytycznymi Grupy Roboczej, warto wprowadzić wymóg deklaracji, że IOD nie ma konfliktu interesów w odniesieniu do pełnionej przez siebie funkcji, celem zwiększenia świadomości na temat tego wymogu. Warto także zadbać o to, by ogłoszenie o naborze na stanowisko DPO lub umowa o świadczenie usług były wystarczająco jasne i precyzyjne, aby uniknąć konfliktu interesów.
W celu prawidłowego przygotowania stosownej polityki, warto zwrócić się do kancelarii prawnej specjalizującej się w ochronie danych osobowych.
Materiał Partnera beinsured.pl: