Inspektorowi Ochrony Danych przysługują określone gwarancje w zakresie niezależności i ochrony przed konfliktem interesów. Czy zatem naruszenie tych gwarancji przez administratora jest naruszeniem RODO? I czy zainteresowanej osobie przysługuje skarga na naruszenie niezależności IOD? I, nieco rozszerzając zagadnienie: czy można wnieść skargę na naruszenie RODO — czy jednak tylko na naruszenie przepisów o przetwarzaniu danych osobowych? (nieprawomocny wyrok WSA w Warszawie z 21 lutego 2024 r., II SA/Wa 1154/23).
Sprawa zaczęła się od wyznaczenia przez urząd jednego ze swoich pracowników jako inspektora ochrony danych — bez zmiany dotychczasowego stanowiska (głównego specjalisty) i bez zmiany dotychczasowych obowiązków.
Zdaniem pracownika doszło w ten sposób do naruszenia przepisów RODO o statusie i niezależności inspektora ochrony danych, zatem złożył skargę do PUODO (por. „Czy IOD może wykonywać jeszcze inną pracę na rzecz administratora?”).
Organ uznał, że skoro skarga dotyczy nieprawidłowości w powołaniu i zatrudnieniu IOD, a nie nieprawidłowości w przetwarzaniu danych osobowych, to skarga nie przysługuje. Co więcej taka materia leży całkowicie poza zakresem kompetencji PUODO, który może się zająć ogólnymi praktykami administratorów, ale nie na podstawie skargi zainteresowanej osoby, lecz z urzędu (i odmówił wszczęcia postępowania).
W skardze na odmowę zainteresowany podkreślił, że skoro PUODO zajmuje się m.in. egzekwowaniem stosowania RODO, to powinien zająć się także działaniami pracodawcy skutkującymi naruszeniem niezależności IOD.
art. 38 ust. 3 i 6 RODO
3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
art. 57 ust. 1 lit. a) i h) RODO
Bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium:
a) monitoruje i egzekwuje stosowanie niniejszego rozporządzenia;
h) prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego;
art. 77 ust. 1 RODO
(…) każda osoba, której dane dotyczą, ma prawo wnieść skargę (…) jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
WSA nie zgodził się z tymi zarzutami: po pierwsze PUODO powołany jest wyłącznie do wypełniania zadań określonych przepisami RODO, a więc m.in. do rozstrzygania skarg dotyczących legalności przetwarzania danych. Po drugie mimo tego, że inspektor ochrony danych powinien cieszyć się daleko idącą niezależnością w wykonywaniu swych zadań (można napomknąć, że w tym zakresie RODO stanowi lex specialis wobec przepisów kodeksu pracy o podległości pracowniczej), skarga do PUODO przysługuje wyłącznie na naruszenie przepisów o przetwarzaniu danych osobowych — ale nie na naruszenie niezależności IOD.
Z tego względu, nie wdając się w merytoryczne rozważania na temat zakresu kompetencji PUODO (tj. na ile organ może zająć się określonymi uchybieniami z urzędu, a na ile po otrzymaniu skargi, WSA uznał, że odmowa wszczęcia postępowania była prawidłowa.