"Konflikt interesów” w rozumieniu art. 38 ust. 6 RODO

„Konflikt interesów” w rozumieniu art. 38 ust. 6 RODO może istnieć w sytuacji, gdy osoba będąca IOD otrzymuje inne zadania lub obowiązki, które prowadziłyby do określania przez nią celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego, co powinien ustalić sąd krajowy odrębnie dla każdego przypadku na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej administratora lub jego podmiotu przetwarzającego, oraz w świetle całości obowiązujących przepisów, w tym ewentualnych przepisów wewnętrznych administratora lub podmiotu przetwarzającego.

Zgodnie z art. 38 ust. 6 zdanie drugie RODO „[IOD] może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.

Z brzmienia tego przepisu wynika, po pierwsze, że RODO nie ustanawia zasadniczej niezgodności między sprawowaniem funkcji IOD a sprawowaniem innych funkcji u administratora danych lub jego podmiotu przetwarzającego. Artykuł 38 ust. 6 tego rozporządzenia przewiduje bowiem wyraźnie, że IOD można powierzyć wykonywanie zadań i obowiązków innych niż te, które ciążą na nim na mocy art. 39 RODO. Niemniej jednak, administrator lub jego podmiot przetwarzający powinien zapewnić, aby te inne zadania i obowiązki nie powodowały „konfliktu interesów”. W świetle znaczenia tego wyrażenia w języku potocznym należy uznać, że zgodnie z celem realizowanym przez art. 38 ust. 6 RODO nie można powierzyć osobie będącej IOD wykonywania zadań lub obowiązków, które mogłyby zaszkodzić pełnieniu funkcji, które wykonuje jako IOD.

Art. 38 ust. 6 RODO zmierza zasadniczo do zachowania niezależności funkcjonalnej IOD, a tym samym do zapewnienia skuteczności przepisów RODO.

Zgodnie z art. 39 ust. 1 lit. b) RODO zadaniem IOD jest w szczególności monitorowanie przestrzegania RODO, innych przepisów prawa Unii lub prawa państw członkowskich o ochronie danych i przepisów wewnętrznych administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podziału obowiązków, działań zwiększających świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązanych z tym audytów. Wynika z tego w szczególności, że nie można powierzyć IOD zadań lub obowiązków, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego. Zgodnie bowiem z prawem Unii lub prawem państw członkowskich w dziedzinie ochrony danych monitorowanie tych celów i sposobów powinno być prowadzone w sposób niezależny przez IOD.

Ustalenia istnienia konfliktu interesów w rozumieniu art. 38 ust. 6 RODO należy dokonywać odrębnie dla każdego przypadku na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej administratora lub jego podmiotu przetwarzającego, oraz w świetle całości obowiązujących przepisów, w tym ewentualnych przepisów wewnętrznych tego administratora.

Wyrok TSUE z dnia 9 lutego 2023 r., C-453/21

Standard: 84071 (pełna treść orzeczenia)