Czy kierownik działu kadr i płac będzie mógł być inspektorem ochrony danych

Co do zasady pracownika, który jest kierownikiem działu kadr i płac, nie będzie można wyznaczyć na inspektora ochrony danych. Taki wniosek można wysnuć z wytycznych Grupy Roboczej Art. 29 do ogólnego rozporządzenia o ochronie danych w sprawie inspektorów ochrony danych. Grupa Robocza Art. 29 wskazuje w nich, łączenie jakich stanowisk z funkcją inspektora ochrony danych, może potencjalnie powodować konflikt interesów.

Zgodnie z art. 38 ust. 6 ogólnego rozporządzenia o ochronie danych inspektor ochrony danych będzie mógł wykonywać „inne zadania i obowiązki”, ale jednocześnie „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć inspektorzy ochrony danych będą mogli wykonywać inne zadania i obowiązki, to jednak nie mogą one powodować konfliktu interesów. Oznacza to, że inspektor ochrony danych nie może zajmować w organizacji stanowiska, które wiąże się z określaniem sposobów i celów przetwarzania danych osobowych. Takim stanowiskiem będzie np. kierownik działu kadr i płac, który odpowiada za przetwarzanie i ochronę danych kadrowych.

Jak wynika z wytycznych Grupy Roboczej Art. 29 do ogólnego rozporządzenia o ochronie danych dotyczących inspektorów ochrony danych, za powodujące konflikt interesów uważane będą stanowiska kierownicze, jak np.:

Zdaniem Grupy Roboczej Art. 29 konflikt interesów mogą powodować także niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Inspektor ochrony danych może więc wykonywać inne zadania i obowiązki niż związane z ochroną danych osobowych, jednak takie zadania i obowiązki nie mogą powodować konfliktu interesów. Musi o to zadbać administrator lub podmiot przetwarzający, który wyznacza inspektora ochrony danych.