Czy funkcję IOD można łączyć z wykonywaniem zawodu adwokata lub radcy prawnego?

Kwestia dopuszczalności jednoczesnego pełnienia funkcji inspektora ochrony danych i wykonywania zawodu radcy prawnego i adwokata w świetle przepisów regulujących wykonywanie tych zawodów stała się w 2018 r. przedmiotem skierowanych do obu samorządów wystąpień Prezesa UODO. Na prośbę Prezesa UODO  oba samorządy przedstawiły swoje opinie, a z korespondencją dotyczącą tego zagadnienia można zapoznać się pod następującym linkiem: https://www.giodo.gov.pl/pl/1520282/10461.

W opinii Naczelnej Rady Adwokackiej (NRA) wykonywanie zawodu adwokata nie wyklucza jednoczesnego pełnienia funkcji inspektora ochrony danych (IOD), bowiem przepisy RODO gwarantują IOD niezależność, co jest również podstawą wykonywania zawodu adwokata. Zadania powierzone IOD nie uwłaczają godności adwokata, nie ograniczają jego niezawisłości oraz nie podważają zaufania do adwokatury. W przypadku inspektora ochrony danych niezależność gwarantuje mu m.in. podległość najwyższemu kierownictwu, zakaz wydawania IOD instrukcji oraz zakaz odwołania IOD z powodu wykonywania przez niego jego zadań. Z uwagi na brzmienie art. 1 ust. 3 ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze (Dz. U. z 2018 r. poz. 1184 ze zm.) dopuszczalne jest pełnienie funkcji IOD przez adwokata na podstawie umowy cywilnoprawnej (art. 37 ust. 6 RODO). W swojej opinii NRA podkreśliła, że niezbędnym warunkiem jest poosiadanie przez adwokata wiedzy z zakresu ochrony danych osobowych zgodnie art. 37 ust. 5 RODO.

Krajowa Rada Radców Prawnych (KRRP) przekazała opinię, zgodnie z którą wykonywanie zadań IOD nie może być kwalifikowane jako podkategoria pojęcia świadczenia pomocy prawnej, chociaż te obszary mają pewne wspólne zakresy. Ze względu na określone ryzyka, w szczególności związane z potencjalnym  naruszeniem zasad etyki zawodowej oraz rozbieżnymi charakterystykami funkcji radcy prawnego oraz IOD, KRRP rekomenduje niełączenie wykonywania tych ról w ramach jednego podmiotu (administratora danych/klienta). KRRP wskazała również na konieczność posiadania przez IOD odpowiednich kwalifikacji , w szczególności w zakresie zadań leżących poza zakresem pojęcia świadczenia pomocy prawnej np. znajomości aspektów technicznych, funkcjonowania systemów informatycznych, bezpieczeństwa IT, oceny ryzyka, prowadzenia audytów.

Dostarczone przez samorządy opinie potwierdzają, że rzetelna analiza co do możliwości powierzenia IOD dodatkowych obowiązków powinna obejmować wiele aspektów związanych z regulacjami danego zawodu oraz statusem, zdaniami i wymaganiami w zakresie kwalifikacji stawianymi IOD. Należy podkreślić, że na administratorze spoczywa obowiązek zapewnienia, by powierzenie IOD dodatkowych zadań i obowiązków nie powodowało konfliktu interesów (art. 38 ust. 6 RODO).

2019-06-28 Metadane artykułu
Podmiot udostępniający: Zespół Współpracy z Administratorami Danych
Wytworzył informację: Monika Młotkiewicz 2019-06-28
Wprowadził‚ informację: Łukasz Kuligowski 2019-06-28 13:06:15
Ostatnio modyfikował: Łukasz Kuligowski 2019-06-28 13:04:14