Kto nie może być inspektorem ochrony danych (IOD)?

Przepis art. 38 ust. 6 RODO stanowi wyraźnie, że inspektor ochrony danych (IOD) może wykonywać u administratora lub podmiotu przetwarzającego także inne zadania i obowiązki pod warunkiem, że nie będzie to powodowało konfliktu interesów. RODO nie zawiera jednak katalogu sytuacji, czy stanowisk, których pełnienie przez IOD może skutkować wystąpieniem takiego konfliktu. W przypadku, gdy dany przedsiębiorca ma wątpliwości, czy wyznaczony przez niego IOD może zajmować w przedsiębiorstwie dane stanowisko lub pełnić daną funkcję, warto sięgnąć do wyjaśnień Grupy Roboczej Art. 29, która wskazuje, że funkcji inspektora ochrony danych nie należy łączyć, np. z funkcjami członka zarządu, członka rady nadzorczej, dyrektora finansowego, szefa marketingu lub IT.

Co do zasady, za powodujące konflikt interesów uważane będą także stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Wyznaczając IOD warto mieć na uwadze powyższe wytyczne, aby podczas kontroli uniknąć zarzutu, że zadania lub obowiązki wykonywane przez IOD skutkują konfliktem interesów i dana osoba nie może pełnić skutecznie obowiązków IOD.