Czy pracodawca może zwolnić z pracy pracownika, który nie wykonuje poleceń przełożonych? To dość retoryczne pytanie, zatem pójdźmy dalej: czy administrator danych osobowych może pozbawić funkcji inspektora ochrony danych osobowych, bo ten mu staje okoniem — czy jednak takie odwołanie może naruszać RODO? I jeszcze: czy IOD może świadczyć na rzecz administratora jeszcze inne usługi, czy jednak powierzenie mu dodatkowych zadań mogłoby skutkować konfliktem interesów i ograniczać jego niezależność?
wyrok Trybunału Sprawiedliwości UE z 9 lutego 2023 r. w/s X‑FAB Dresden (C-453/21)
1) [RODO] nie sprzeciwia się on uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający mogą odwołać inspektora ochrony danych, będącego członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli odwołanie nie jest związane z wypełnianiem przez niego jego zadań, o ile takie uregulowanie nie zagraża realizacji celów tego rozporządzenia.
2) „Konflikt interesów” w rozumieniu [art. 38 ust. 6 RODO] może istnieć w sytuacji, gdy inspektor ochrony danych otrzymuje inne zadania lub obowiązki, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego, co powinien ustalić sąd krajowy odrębnie dla każdego przypadku na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej administratora lub jego podmiotu przetwarzającego, oraz w świetle całości obowiązujących przepisów, w tym ewentualnych przepisów wewnętrznych administratora lub podmiotu przetwarzającego.
Sprawa dotyczyła wieloletniego pracownika pewnego zakładu pracy, pełniącego funkcję przewodniczącego rady zakładowej i wice-przewodniczącego rady międzyzakładowej dla grupy spółek. Jeszcze przed RODO mężczyzna został także wyznaczony, jako inspektor ochrony danych we wszystkich spółkach powiązanych z pracodawcą. Po jakimś czasie landowy organ ochrony danych osobowych zwrócił uwagę, że łączenie funkcji IOD oraz przewodniczącego rady zakładowej może powodować konflikt interesów, zatem firmy odwołały go ze stanowiska IOD.
Sąd prawomocnie uznał, że na gruncie prawa niemieckiego odwołanie inspektora ochrony danych jest tożsame z wypowiedzeniem stosunku pracy, a więc dopuszczalne jest wyłącznie z ważnej przyczyny i uwzględnił skargę pracownika na decyzję pracodawcy. Natomiast Bundesarbeitsgericht (federalny sąd pracy) dostrzegł, że zastosowane przepisy bardziej restrykcyjne niż RODO i zdecydował się zwrócić do TSUE z pytaniem o relacje między prawem niemieckim i unijnym oraz o to jak interpretować pojęcie konfliktu interesów w przypadku IOD.
art. 38 ust. 3 i 6 rozporządzenia 679/2016 o ochronie danych osobowych
3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Trybunał Sprawiedliwości UE zwrócił uwagę, iż RODO zakazuje odwołania lub karania inspektora ochrony danych za wypełnianie jego zadań, co jest interpretowane jako obowiązek ochrony przed każdą decyzją, która może stanowić sankcję, przy czym zasada ta dotyczy zarówno etatowego pracownika administratora, jak i „zewnętrznego” IOD świadczącego usługi na podstawie umowy cywilnoprawnej (por. wyrok TSUE z 22 czerwca 2022 r. w/s Leistritz AG, C‑534/20). Ochrona taka wynika z konieczności zapewnienia IOD niezależności w wykonywaniu jego obowiązków — inspektor nie może otrzymywać instrukcji od administratora, zaś w strukturze może podlegać wyłącznie najwyższemu kierownictwu podmiotu (od siebie dodam, że zupełnie jak radca prawny na etacie). Skoro więc regułą jest ochrona przed łatwym pozbawieniem funkcji, nie jest sprzeczny z RODO przepis prawa krajowego, który wprowadza pewne ograniczenia jeśli chodzi o możliwość odwołania go ze stanowiska, np. zrównując wymogi z wypowiedzeniem umowy o pracę. (Na marginesie TSUE dodał, że wzmocniona ochrona IOD nie może oznaczać zakazu odwołania z funkcji osoby, która nie posiada kwalifikacji lub nie wywiązuje się prawidłowo ze swoich zadań.)
Niezależność stanowiska inspektora ochrony danych nie wyklucza, by taka osoba świadczyła na rzecz administratora inną pracę, pod warunkiem, że łączenie stanowisk nie wywołuje konfliktu interesów. Oznacza to, że IOD nie może wspierać administratora w określaniu celów i sposobów przetwarzania danych osobowych — bo skoro jego obowiązkiem jest m.in. monitorowanie przestrzegania zasad przetwarzania, a także prowadzenie szkoleń i audytów (art. 39 ust. 1 RODO), to „krzyżowanie” tych zadań wpływałoby na niezależność i powodowało konflikt interesów.
(Resztę musi sobie dośpiewać sąd krajowy — w tym ocenić, czy przewodniczący rady zakładowej określa sposoby przetwarzania danych osobowych u administratora.)