Status Inspektora Ochrony Danych

Trybunał Sprawiedliwości UE wydał wyrok w przedmiocie statusu Inspektora Ochrony Danych (IOD) oraz przekazywania mu innych zadań i obowiązków. 

RODO wymaga, aby administrator i podmiot przetwarzający zapewnili, aby IDO nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. IOD nie może być odwoływany ani karany za wypełnianie swoich zadań i musi podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.  

Trybunał UE stwierdził, że ustalenie zasad ochrony przed odwołaniem IOD należy do dziedziny ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wyłącznie w zakresie, w jakim zasady te mają na celu zachowanie niezależności funkcjonalnej IOD. RODO ma na celu zapewnienie wysokiego poziomu ochrony osób fizycznych w Unii w związku z przetwarzaniem ich danych osobowych oraz że dla realizacji tego celu IOD powinien być w stanie wykonywać swoje funkcje i zadania w sposób całkowicie niezależny.

IOD może wykonywać inne zadania i obowiązki w spółce, jednak administrator lub podmiot przetwarzający muszą zapewnić, żeby takie zadania i obowiązki nie powodowały konfliktu interesów.

Trybunał UE stwierdził, że nie można powierzyć IOD zadań lub obowiązków, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego. Zgodnie RODO monitorowanie tych celów i sposobów powinno być prowadzone w sposób niezależny przez IOD.

Wystąpienie konfliktu interesów należy badać odrębnie dla każdego przypadku na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej administratora lub podmiotu przetwarzającego oraz w świetle całości obowiązujących przepisów, w tym ewentualnych regulacji wewnętrznych administratora lub podmiotu przetwarzającego. 

Źródło: wyrok TSUE w sprawie C‑453/21.