Przypomnijmy, że wyznaczony przez administratora (lub podmiot przetwarzający) w jego jednostce organizacyjnej inspektor ochrony danych (IOD) korzysta ze szczególnej ochrony przewidzianej w RODO. Zgodnie z art. 38 ust. 3 zd. drugie RODO, IOD nie może odwoływany ani karany za wypełnianie swoich zadań przez administratora (podmiot przetwarzający). Jednocześnie RODO dopuszcza dwie alternatywne podstawy wykonywania funkcji IOD: stosunek pracy lub umowę cywilnoprawną („umowę o świadczenie usług”).  

Trybunał Sprawiedliwości UE w wyroku z 9 lutego br. (X‑FAB Dresden, C-453/21), a wcześniej w wyroku z dnia 22 czerwca 2022 r. (Leistritz, C‑534/20) zajął się zakresem ochrony przysługującej inspektorowi ochrony danych (IOD) na podstawie właśnie tego przepisu RODO.

Czytaj również: UODO sprawdza, jak pracują inspektorzy ochrony danych>>

WZORY DOKUMENTÓW:

• Polityka zarządzania konfliktem interesów IOD w Urzędzie Miasta NOWOŚĆ >
• Regulamin funkcjonowania Inspektora ochrony danych >
• Ocena niezależności IOD >
• Powierzenie Inspektorowi Ochrony Danych wykonywania innych obowiązków >

Ochrona służy niezależności inspektora

W obu wyrokach Trybunał słusznie zauważył, że art. 38 ust. 3 zd. drugie RODO nie ma na celu kompleksowego uregulowania stosunków pracy między administratorem danych (podmiotem przetwarzającym) a pracownikiem, jeżeli wykonuje on funkcję IOD. Nie temu służą przecież przepisy RODO. Celem tego przepisu jest jedynie ochrona niezależności inspektora, a co za tym idzie zapewnienie skuteczności przepisów RODO. Zgodnie bowiem z motywem 97 RODO, inspektorzy, bez względu na to, czy są pracownikami administratora, powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Taka niezależność ma umożliwiać inspektorom wypełnianie ich zadań zmierzających do zapewnienia wysokiego poziomu ochrony danych osobowych w jednostce administratora.

Czytaj też: Inspektor ochrony danych na rynku pracy - zewnętrzny czy wewnętrzny? >>>

W zakresie tak rozumianej niezależności IOD RODO chroni przed wszelkimi decyzjami skutkującymi zakończeniem pełnienia przez inspektora swojej funkcji lub stawiającymi go w niekorzystnej sytuacji, lub takimi, które stanowiłyby sankcję wobec niego (Leistritz, C‑534/20, pkt 21; X‑FAB Dresden, C-453/21, pkt 21). Według TSUE, ochrona w szczególności będzie odnosiła się do rozwiązania stosunku pracy z inspektorem ochrony danych przez pracodawcę, jeżeli w konsekwencji zakończyłby on pełnienie swojej funkcji w danym przedsiębiorstwie (Leistritz, C‑534/20, pkt 22). Oznacza to, że art. 38 ust. 2 zd. drugie RODO powoduje jednak określone implikacje w zakresie trwałości stosunku pracy, ale w ściśle ograniczonym zakresie i celu.

Jednak kluczowe w obu wyrokach jest przyjęcie, że przedstawiona ochrona inspektora nie może zagrażać realizacji celów RODO, a takie zagrożenie spowoduje brak wymaganych w RODO kwalifikacji zawodowych oraz niewywiązywanie się ze swoich zadań przez IOD (Leistritz, C‑534/20, pkt 35; X‑FAB Dresden, C-453/21, pkt 32), jak również zaistnienie konfliktu interesów w działalności inspektora (X‑FAB Dresden, C-453/21, pkt 34). Moim zdaniem z orzeczeń wynika nie tylko przyzwolenie na weryfikowanie przez administratora (podmiot przetwarzający) spełniania tych warunków przez inspektora, ale również podstawa do odwołania z funkcji inspektora w sytuacji „zagrożenia realizacji celów RODO”, czyli gdy dojdzie do naruszenia wspomnianych wymagań.

To niezwykle celowościowe podejście do funkcji IOD, która ma charakter służebny wobec podstawowego celu RODO, jakim jest zapewnienie wysokiego stopnia ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych. Jeżeli cel ten nie jest realizowany, a nawet gdy tylko jest zagrożony, inspektorowi nie przysługuje ochrona zajmowania swojej funkcji.

Jednocześnie TSUE akceptuje przepisy krajowe (bezpośrednio ich bowiem dotyczą pytania prejudycjalne), które wprowadzają wyższy poziom ochrony pracowniczej inspektora niż przewiduje RODO, jednak – jak już wspomniano - takie uregulowania krajowe nie mogą zagrażać realizacji celów RODO.

Czytaj też: Weryfikacja kwalifikacji IOD-a i zadań przez niego realizowanych ze wskazaniem środków kontroli >>

Nowość / Bestseller

Nowość / Bestseller

Meritum Prawo pracy 2023

Kazimierz Jaśkowski

Sprawdź  

Konflikt interesów

Drugą kwestię, którą badał TSUE w wyroku z 9 lutego (X‑FAB Dresden, C-453/21) jest ustanowiony w RODO zakaz konfliktu interesów w przypadku inspektorów, którzy wykonują jednocześnie inne zadania i obowiązki w jednostce organizacyjnej. Przypomnijmy, że zgodnie z art. 38 ust. 6 RODO inspektor może wykonywać inne zadania i obowiązki, ale wyznaczający go administrator (podmiot przetwarzający) muszą zapewnić, aby takie zadania i obowiązki nie powodowały konfliktu interesów. Zaistnienie konfliktu interesów jest o tyle istotne, ponieważ zagraża ono niezależnemu wykonywania zadań przez inspektora (X‑FAB Dresden, C-453/21, pkt 34).

W tym zakresie wyrok w sprawie X‑FAB Dresden nie zaskakuje, ponieważ TSUE za taki konflikt uznał sytuację, w której inspektor otrzymuje do wykonania inne zadania prowadzące do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora. Tymczasem jako inspektor musiałby niezależnie monitorować zgodność z RODO tych swoich działań dotyczących przetwarzania danych osobowych. Takie podejście stanowi podtrzymanie stanowisk dotychczas zajmowanych przez poszczególne krajowe organy nadzorcze, a wcześniej przyjętych przez Grupę Roboczą art. 29 dyrektywy 95/46/WE w Wytycznych dotyczące inspektorów ochrony danych z kwietnia 2017 r. (WP 243).

Czytaj też: Jak powinien wyglądać plan sprawdzeń wykonywany przez inspektora ochrony danych >>>

Pewien niedosyt po lekturze wyroku spowodowany jest brakiem bezpośredniej odpowiedzi na pytanie prejudycjalne, które dotyczyło zaistnienia konfliktu w sytuacji łączenia funkcji IOD ze stanowiskiem przewodniczącego rady zakładowej (pracowników) utworzonej w przedsiębiorstwie administratora. TSUE jedynie ogólnie stwierdził, że istnienie konfliktu należy ustalać „od przypadku do przypadku” na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej podmiotu.

Dr hab. Grzegorz Sibiga, doktor habilitowany nauk prawnych, profesor w Instytucie Nauk Prawnych Polskiej Akademii Nauk, kierownik Zakładu Prawa Administracyjnego i kierownik studiów podyplomowych dla inspektorów ochrony danych w INP PAN, wykładowca akademicki, adwokat, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy.

Wyrok z 9 lutego br. (X FAB Dresden, C-453/21)