Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Wyznaczenie jednego IOD przez grupę podmiotów

19-05-2017 Autor: Paweł Litwiński

Jedną z nowości w przepisach regulujących pozycję prawną i obowiązki inspektora ochrony danych (dalej: IOD) jest wyraźnie przewidziana możliwość wyznaczenia jednego inspektora przez kilka podmiotów.

 

Zgodnie z art. 37 ust. 2 rodo grupa przedsiębiorstw może wyznaczyć jednego IOD. Warunkiem możliwości skorzystania z tego rozwiązania jest jednak to, aby można było łatwo nawiązać kontakt z tak wyznaczonym inspektorem z każdej jednostki organizacyjnej wchodzącej w skład grupy podmiotów.

Możliwość wyznaczenia tej samej osoby do pełnienia funkcji ABI (potem IOD) przez więcej niż jeden podmiot nie budzi obecnie wątpliwości na gruncie uodo. Zdarzają się przypadki osób, pełniących tę funkcję w kilkudziesięciu podmiotach jednocześnie1. Jak się wydaje, nie jest to jednak konsekwencja świadomego działania ustawodawcy, a wręcz przeciwnie, efekt swoistej luki w przepisach uodo. Ustawodawca w art. 36a ust. 4 uodo zabrania powierzania ABI wykonywania innych obowiązków przez administratora danych, który wyznaczył daną osobę do pełnienia funkcji ABI. Nie wspomina jednak o powierzaniu tej samej osobie innych obowiązków, w tym obowiązków ABI, przez innych administratorów danych. To właśnie sprawia, że te same osoby pełnią obecnie obowiązki ABI w więcej niż jednym podmiocie, często w podmiotach niepowiązanych ze sobą w żaden sposób.

 

Jeden IOD wyznaczony przez kilka podmiotów


Punktem wyjścia dla dalszych rozważań powinno być ustalenie charakteru prawnego instytucji jednego IOD wyznaczonego przez kilka podmiotów. Wyznaczony w ten sposób inspektor nie różni się od inspektora wyznaczonego na zasadach ogólnych. W szczególności nie mamy tutaj do czynienia ze swoistym inspektorem „wspólnym”, lecz z tą samą osobą fizyczną wyznaczoną do pełnienia funkcji IOD w kilku podmiotach jednocześnie.

Powyższe oznacza, po pierwsze, że czynność wyznaczenia IOD w warunkach opisanych w art. 37 ust. 2 rodo nie powinna odbiegać od czynności wyznaczenia IOD poza tym przypadkiem. W szczególności każdy z członków grupy przedsiębiorstw wyznacza IOD samodzielnie, zgodnie z zasadami reprezentacji i podejmowania tego rodzaju decyzji obowiązujących w tym podmiocie.

Po drugie, IOD wyznaczony jednocześ­nie przez kilka podmiotów nie jest IOD „wspólnym” dla tych podmiotów – jest jednocześnie IOD w tych podmiotach. Inspektor ochrony danych wykonuje swoje obowiązki w odniesieniu do każdego z przedsiębiorstw oddzielnie, kierując się jego interesami i jego dobrem, nie zaś interesami i dobrem grupy podmiotów. Przemawia za tym wymóg sformułowany w art. 37 ust. 2 rodo, aby istniała możliwość łatwego nawiązania kontaktu z IOD z każdej jednostki organizacyjnej wchodzącej w skład grupy. W konsekwencji obowiązek zachowania przez IOD „tajemnicy lub poufności co do wykonywania swoich zadań” (art. 38 ust. 5 rodo) powinien być rozumiany w ten sposób, że dysponentem tajemnicy jest każdy z podmiotów, na rzecz którego IOD pełni swoją funkcję, nie zaś grupa przedsiębiorstw. Jeżeli w ramach grupy przedsiębiorstw nie zapadną inne ustalenia, IOD powinien zostać zobowiązany do zachowania tajemnicy w stosunku do każdego z członków grupy oddzielnie.

Po trzecie, w przypadku działania tego samego IOD na rzecz więcej niż jednego podmiotu pojawia się ryzyko konfliktu interesów. Ryzyko to jest tym większe, jeżeli IOD został wyznaczony w ramach grupy, w której podmiot sprawujący kontrolę oddziałuje na podmioty kontrolowane także w aspekcie ochrony danych osobowych (np. zapewnia system informatyczny służący do przetwarzania danych osobowych).

W przepisach rodo kwestia konfliktu interesów po stronie IOD została uregulowana tylko w jednym aspekcie, gdy IOD wykonuje także inne zadania na rzecz danego podmiotu. Takie dodatkowe zadania nie mogą powodować konfliktu interesów po stronie IOD. W żaden sposób nie została jednak uregulowana kwestia konfliktu interesów w sytuacji, w której dotyczy on zadań IOD (a nie zadań dodatkowych), tyle że wykonywanych na rzecz różnych podmiotów.

Jak się wydaje, ten problem należy rozwiązać poprzez odwołanie do zadań IOD. Inspektor ochrony danych ma bowiem obowiązek monitorowania przestrzegania postanowień rodo i przepisów krajowych (art. 39 ust. 1 pkt b). Inspektor ochrony danych pełni swoje obowiązki w odniesieniu do każdego z przedsiębiorstw oddzielnie, kierując się jego interesami i dobrem. Obowiązek monitorowania przestrzegania postanowień przepisów o ochronie danych oznacza więc, że IOD powinien analizować i oceniać zgodność przetwarzania danych z prawem i następnie informować, doradzać i rekomendować określone działania2 administratorowi z perspektywy tego administratora, dbając o jego interesy. Gdyby więc doszło do sytuacji, w której, np. w międzynarodowych grupach przedsiębiorstw, rozwiązanie wdrażane w grupie byłoby niezgodne z prawem krajowym obowiązującym w państwie, w którym prowadzi działalność jeden z członków grupy, IOD wyznaczony przez podmioty z tej grupy powinien monitorować sytuację niezależnie z perspektywy każdego z podmiotów, na rzecz którego działa, i uwzględniać przestrzeganie postanowień ustawodawstwa każdego z krajów, w których pełni swoją funkcję.

[...]

Autor jest doktorem prawa, adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.