Inspektor ochrony danych może realizować inne zadania niż ochroną danych

Jak wskazuje art. 38 ust. 6 ogólnego rozporządzenia o ochronie danych osobowych (rodo), inspektor ochrony danych (Data Protection Officer – DPO) może wykonywać także inne obowiązki niż te, związane z ochroną danych. Jednak zastrzega, że administrator danych lub podmiot przetwarzający muszą zapewnić, że ich realizacja nie powoduje konfliktu interesów.

Grupa Robocza Art. 29 w swoich wytycznych dotyczących inspektorów ochrony danych podkreśla, że brak konfliktu interesów jest ściśle związany z wymogiem działania w sposób niezależny.

Zdaniem Grupy Roboczej, aby nie doszło do konfliktu interesów, inspektor ochrony danych nie może sprawować funkcji w organizacji, która umożliwi mu decydowanie o celach i sposobach przetwarzania danych osobowych. Jak podkreśla Grupa Robocza w swoich wytycznych ze względu na specyficzną strukturę organizacyjną w każdym podmiocie, musi to być rozpatrywane indywidualnie w każdym przypadku.

Grupa Robocza Art. 29 wskazuje, że funkcja inspektora ochrony danych nie powinna być łączona ze stanowiskami kierowniczymi, jak np.: dyrektor operacyjny, dyrektor finansowy, kierownik działu marketingu, szef działu HR.

Grupa Robocza zaleca, aby w zależności od działalności, wielkości i struktury organizacji, administratorzy lub podmioty przetwarzające:

• ustalili stanowiska, które nie będą współgrały z wypełnianiem roli inspektora ochrony danych,
• opracowali przepisy wewnętrzne w tym zakresie, aby uniknąć konfliktu interesów,
• zadeklarowali, że nie ma konfliktu interesów między pełnieniem funkcji DPO a realizacją innych zadań,
• zapewnić, że w ogłoszeniach o naborze na stanowisko inspektora lub umowach o świadczenie usług, jest wystarczająco precyzyjnie skonstruowane, by uniknąć konfliktu interesów.

Jak podkreśla Grupa Robocza Art. 29 konflikt interesów może przybierać różne formy w zależności od tego, czy inspektor jest zatrudniony wewnętrznie czy zewnętrznie.