Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) zwiększyło znaczenie wielu podmiotów w bieżącym funkcjonowaniu przedsiębiorstw. Dobrym przykładem jest instytucja tzw. compliance officer.
Compliance officer to osoba o specjalistycznej wiedzy, w skład kompetencji której wchodzi przede wszystkim dbanie o to by bieżąca działalność przedsiębiorstwa odbywała się z poszanowaniem tak przepisów prawa, jak i wewnętrznej polityki firmy. Innymi słowy osoba zatrudniona na tym stanowisku monitoruje, kontroluje oraz porządkuje potencjalne ryzyka mogące wystąpić na gruncie prawnym, ale też etycznym, czy społecznym, w bieżącym funkcjonowaniu przedsiębiorstwa.
Szeroki zakres kompetencji compliance officer skłania do pytania, czy osoba taka może być zarazem inspektorem danych osobowych. Odpowiedź na tak zadane pytanie musi być negatywna, gdyż na gruncie wymogów RODO compliance officer nie może pełnić funkcji inspektora ochrony danych osobowych.
Kto może zostać compliance officer?
Z uwagi na duże wyspecjalizowanie i znaczny zakres obowiązków z pewnością nie każdy może pełnić funkcję compliance officer. Osoby, które chciałby podjąć się takiej pracy powinny legitymować się odpowiednim wykształceniem – na pewno pomocnym może być wykształcenie i praktyka prawnicza, finansowa, ekonomiczna, a także doświadczenie z zakresu przeprowadzania audytów. Compliance officer powinien się również charakteryzować pewnymi umiejętnościami miękkim, jak np. wysoki poziom umiejętności w zakresie kontaktów interpersonalnych, czy zarządzania zasobami ludzkimi.
Kim jest Inspektor Danych Osobowych?
Inspektor danych osobowych (IDO) to podmiot wprost wymieniony w treści RODO. Osoby piastujące tę funkcję odpowiadają za ochronę danych osobowych. Zatrudnienie Inspektora danych osobowych jest obowiązkowe tylko dla części z podmiotów (ich katalog opisany został w art. 37 RODO). Warto jednak rozważyć powołanie Inspektora danych osobowych nawet w jednostce, względem której RODO nie przewiduje obowiązku jego ustanowienia.
Inspektor danych osobowych jest podmiotem wyspecjalizowanym w zakresie ochrony danych osobowych. Do jego podstawowych zadań należy przede wszystkim:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy (art. 39 ust. 1 lit. a) RODO);
- monitorowanie przestrzegania przepisów RODO i innych przepisów dotyczących ochrony danych osobowych (art. 39 ust. 1 lit. b) RODO);
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania (art. 39 ust. 1 lit. c) RODO);
- współpraca z organem nadzorczym (art. 39 ust. 1 lit. d) RODO);
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem (art. 39 ust. 1 lit. c) RODO).
Co istotne, zgodnie z art. 38 ust. 6 RODO inspektor ochrony danych osobowych musi powstrzymać się od działalności mogącej powodować powstanie konfliktu interesów. Zgodnie z zaleceniami Grupy Roboczej art. 29 IOD nie może w szczególności piastować funkcji w zakresie kompetencji których znajduje się określanie sposobów i celów przetwarzania danych.
Dlaczego nie można łączyć funkcji compliance officer oraz inspektora danych osobowych?
Wspomniany wyżej zakaz popadania w konflikt interesów przez inspektora danych osobowych jest główną przyczyną, dla której nie można tej funkcji łączyć ze stanowiskiem compliance officer. Po pierwsze obydwa te stanowiska wiążą się ze znaczną liczbą obowiązków, które mogą pozostawać w konflikcie. Poważny zakres innych obowiązków, nałożonych na Inspektora, które faktycznie uniemożliwiają efektywne wykonywanie zadań, sam w sobie może wiązać się z konfliktem interesów.
Powierzenie obydwu zadań jednej osobie powodowałoby w praktyce konieczność nieustannego wybierania, które obowiązki zrealizować, a które pominąć w danym momencie. Nie jest raczej praktycznie możliwym połączenie obydwu funkcji w sposób, który gwarantowałby że mogą być wykonywane wszystkie zadania.
Dodatkowo w przypadku gdy jedna osoba piastuje te dwa stanowiska mogłoby dojść do sytuacji, w której inspektor danych osobowych, w ramach swoich obowiązków, musiałby monitorować swoją własną pracę jako compliance officera. Tym samym może dojść do powstania bezpośredniego konfliktu interesów pomiędzy funkcjami. Co do zasady łączenie tych dwóch stanowisk nie będzie zatem możliwe. Musimy jednak pamiętać, że ocena kwestii konfliktu interesów musi być zawsze dokonana w odniesieniu do struktury organizacyjnej danego administratora i przyjętych rozwiązań w zakresie podziału obowiązków.