Wyrok TSUE: Kiedy dochodzi do konfliktu interesów Inspektora Ochrony Danych Osobowych?
Konflikt interesów przy sprawowaniu funkcji Inspektora Ochrony Danych Osobowych powstaje, gdy otrzymuje on zadania lub obowiązki, które prowadzą do określania celów i sposobów przetwarzania danych osobowych u administratora – tak stwierdził Trybunał Sprawiedliwości Unii Europejskiej („TSUE”, „Trybunał”) w jednym ze swoich ostatnich wyroków (9 lutego 2023 roku, sprawa C-453/21).
Trybunał Sprawiedliwości UE zwrócił przy tym uwagę, że RODO nie ustanawia zasadniczej niezgodności między sprawowaniem funkcji IOD a sprawowaniem innych funkcji u administratora danych. Niemniej administrator powinien zapewnić, aby te inne zadania i obowiązki nie prowadziły do konfliktu interesów, tzn. nie można powierzyć osobie będącej IOD wykonywania zadań lub obowiązków, które mogłyby zaszkodzić pełnieniu funkcji, które wykonuje jako IOD.
TSUE wskazał również, że zgodnie z RODO – głównym zadaniem IOD jest monitorowanie przestrzegania regulacji RODO i innych przepisów o ochronie danych.
Trybunał podkreślił, że by stwierdzić istnienie konfliktu interesów, należy przeprowadzić ocenę istotnych okoliczności, w tym struktury organizacyjnej administratora i całości obowiązujących przepisów.
Sprawa, w której TSUE wydał opisywane rozstrzygnięcie dotyczyła osoby, która pełniła łącznie trzy funkcje:
- przewodniczącego rady zakładowej;
- wice-przewodniczącego rady międzyzakładowej grupy spółek;
- inspektora ochrony danych w każdej ze spółek związanych z pracodawcą.
Niemiecki organ nadzorczy zauważył, że łączenie funkcji IOD oraz przewodniczącego rady zakładowej może prowadzić do konfliktu interesów – szczególnie, biorąc pod uwagę, że IOD powinien bezpośrednio podlegać najwyższemu kierownictwu administratora, którego funkcję sam sprawował. W związku z tym pracodawca odwołał pracownika z funkcji IOD.
Pracownik zaskarżył te decyzję, opierając swoją argumentację na art. 38 ust. 3 RODO:
Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
oraz art. 38 ust. 6 RODO:
Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Sprawa trafiła do Federalnego sądu pracy, który postanowił zwrócić się do TSUE z pytaniem o to, jak należy interpretować powyższe przepisy i czy w tym stanie faktycznym dochodzi do konfliktu interesów.
Link do wyroku wraz z uzasadnieniem – InfoCuria – Orzecznictwo.