Inspektor nie może być dyrektorem IT, marketingu czy sprzedaży

Na stronie GIODO znajdziemy Wytyczne dotyczące inspektorów ochrony danych (‘DPO’)  - WP 243. Dowiadujemy się z nich całokształt zagadnień związanych z powołaniem Inspektora Ochrony Danych, w tym także kiedy jego wyznaczenie jest obowiązkowe (i tu Wytyczne wyjaśniają pojęcia takie jak "główna działalność administratora", "duża skala przetwarzania" czy "regularne i systematyczne monitorowanie"

Mnie najbardziej zaciekawił zapis w rozdziale 3.5

Artykuł 38(6) umożliwia DPO wykonywanie „innych zadań i obowiązków”. Dalej w artykule widnieje zapis, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.” Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć DPO mogą posiadać inne zadania i obowiązki to jednak te nie mogą powstania konfliktu interesów. Oznacza to, że DPO nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.

W przypisie dolnym czytamy też

Jako regułę można uznać, że za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Oznaczałoby to, że większość dyrektorów, którzy mają coś wspólnego z przetwarzaniem danych - nie mogą być Inspektorami Ochrony Danych. Na pierwszy rzut oka cele przetwarzania danych określa Dział Personalny, Sprzedaż, Marketing, Obsługa Klienta. IT zaś decyduje o sposobach przetwarzania danych. Oznaczałoby to, że Inspektor musi być gdzieś indziej - niewiele więc pozostaje miejsc w firmie, które nie powodują konfliktu interesów. Ciekawe.