Oprócz zewnętrznych inspektorów ochrony danych, pracownik może być również wyznaczony (wewnętrznym) inspektorem ochrony danych. Tutaj jednak dowiesz się, jakie ograniczenia obowiązują i jakie mogą być konsekwencje ich naruszenia.
Powołanie inspektora ochrony danych
Niektóre firmy są zobowiązane do powołania inspektora ochrony danych. Możesz dowiedzieć się dokładnie, które z nich tutaj.
Podsumowując, można powiedzieć, że głównym zadaniem inspektora ochrony danych jest doradzanie firmie w zakresie jej obowiązków związanych z ochroną danych oraz monitorowanie zgodności z przepisami dotyczącymi ochrony danych. Zadanie to może wykonywać ktoś wewnętrzny, kto jest już pracownikiem firmy lub można zatrudnić zewnętrznego inspektora ochrony danych. Dowiedz się więcej o różnicach między tymi opcjami i sposobie pracy zewnętrznego inspektora ochrony danych tutaj.
Ograniczenie: Konflikt interesów
W odniesieniu do powołania inspektora ochrony danych art. 38 VI 2 GDPR nakłada ograniczenie. Urząd inspektora ochrony danych mogą sprawować wyłącznie osoby, które nie podlegają konfliktowi interesów z powodu innych obowiązków.
Problem ten pojawia się zwłaszcza w przypadku pracowników własnej firmy. Przykładowo, pracownicy na stanowiskach kierowniczych nie mogą pełnić funkcji inspektora ochrony danych w firmie, jeśli w ramach swojej pracy podejmują istotne decyzje związane z przetwarzaniem danych osobowych. Doszłoby wówczas do konfliktu interesów, ponieważ pracownik musiałby weryfikować własne decyzje w ramach pełnienia funkcji inspektora ochrony danych, czyli monitorować samego siebie.
Przykład konfliktu interesów z Berlina
Komisarz ds. ochrony danych i wolności informacji w Berlinie nałożył niedawno na spółkę-córkę berlińskiej grupy handlowej grzywnę w wysokości 525 000 euro z powodu konfliktu interesów odpowiedniego pełnomocnika ds. ochrony danych. Grzywna nie jest jeszcze prawomocna.
Osoba wyznaczona przez spółkę na inspektora ochrony danych była jednocześnie dyrektorem zarządzającym dwóch usługodawców, którzy przetwarzali dane jako podmioty realizujące zamówienia dla spółki. Te firmy usługowe również wchodziły w skład grupy. Powstała tu sytuacja opisana powyżej. Inspektor ochrony danych musiał monitorować i kontrolować działania, które były prowadzone pod jego kierownictwem jako dyrektora zarządzającego.
Pełniący obowiązki szefa berlińskiego pełnomocnika ds. ochrony danych tak podsumował problem: "Pełnomocnik ds. ochrony danych nie może z jednej strony kontrolować przestrzegania prawa o ochronie danych, a z drugiej strony współdecydować o tym. Taka samokontrola jest sprzeczna z funkcją komisarza ochrony danych, który ma być właśnie niezależnym organem działającym na rzecz przestrzegania ochrony danych w przedsiębiorstwie."
Nakładając karę wzięto pod uwagę, że w ubiegłym roku firma była już upominana za te same fakty.
Więcej o tym zdarzeniu można też przeczytać w. Komunikat prasowy pełnomocnika ds. ochrony danych osobowych w Berlinie.
Wskazówki dotyczące praktyki
Wybór inspektora ochrony danych musi być dobrze przemyślany. W przypadku oficerów wewnętrznych szybko może dojść do konfliktu interesów, co sprawiłoby, że powołanie byłoby sprzeczne z prawem ochrony danych.
Problemowi temu można przeciwdziałać, powołując zewnętrznego inspektora ochrony danych. Dowiedz się więcej o zaletach zewnętrznego inspektora ochrony danych tutaj.
Skontaktuj się z namiaby uzyskać porady od naszego zespołu ekspertów na temat możliwości, jakie możemy Ci zaoferować jako zewnętrzny inspektor ochrony danych!