Czy IOD może jednocześnie pełnić funkcję pełnomocnika do spraw ochrony informacji niejawnych?
RODO nie zakazuje wprost łączenia obu tych funkcji. W każdym konkretnym przypadku konieczne jest jednak dokonanie rzetelnej oceny pod kątem spełnienia wszystkich warunków gwarantujących IOD niezależne i prawidłowe wykonywanie swoich zadań.
Po pierwsze, powyższe rozwiązanie nie może wpływać na prawidłowe umiejscowienie IOD w strukturze administratora i wykonywanie jego zadań w sposób niezależny. W zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych, IOD nie może podlegać ani otrzymywać poleceń od jakichkolwiek innych osób niż kierownika jednostki organizacyjnej lub osoby fizycznej będącej administratorem. Analogiczny wymóg dotyczy pełnomocnika ds. ochrony informacji niejawnych, który zgodnie z art. 14 ust. 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej, w której wykonuje swoje obowiązki.
Po drugie, łączenie tych funkcji nie może prowadzić do konfliktu interesów (art. 38 ust 6 RODO). Wystąpienie sprzecznych priorytetów skutkować mogłoby zaniedbaniem obowiązków pełnionych przez IOD. W każdej konkretnej sytuacji należy zatem starannie przeanalizować (podobnie zresztą jak w przypadku łączenia funkcji IOD z jakimikolwiek innymi zadaniami), czy IOD jest w stanie wykonywać swoje zadania w sposób prawidłowy przy pełnieniu obu funkcji jednocześnie. Należy zatem przemyśleć ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków (w tym na współpracę z innymi służbami kontrolnymi), stopień skomplikowania i ważności zadań, rezerwę czasową na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania, obszary ryzyka, związane z tymi procesami. Pod rozwagę należy brać również wiele innych czynników, takich jak np. struktura, wielkość i zasoby kadrowe danego podmiotu (w tym również pod kątem obowiązku prowadzenia szkoleń personelu). W szczególności, w przypadku IOD zatrudnionego w niepełnym wymiarze czasu pracy, albo łączącego obowiązki IOD z innymi zadaniami, priorytetem powinno być zapewnienie IOD odpowiedniej ilości czasu na wykonywanie powierzonych zadań.
Zdaniem Grupy Roboczej art. 29 dobrą praktyką byłoby wskazanie czasu, który należy poświęcić na obowiązki IOD. Takiego samego uwzględnienia i analizy wymagają obowiązki związane z pełnieniem funkcji pełnomocnika do spraw informacji niejawnych. Starannie należy rozważyć ilość informacji niejawnych oraz ich rodzaj, a także czas i możliwości wykonywania wszystkich zadań określonych w art. 15 ustawy o ochronie informacji niejawnych, do których należy m.in. zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego, zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne, zarządzanie ryzykiem bezpieczeństwa, w szczególności szacowanie ryzyka, kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji.
W świetle art. 38 ust. 2 RODO administrator oraz podmiot przetwarzający zapewniają inspektorowi zasoby niezbędne do wykonywania zadań wskazanych w art. 39 RODO oraz zasoby niezbędne do utrzymania jego fachowej wiedzy. Obowiązek ten oznacza, że IOD powinien posiadać takie środki organizacyjne, techniczne, technologiczne oraz finansowe, aby móc efektywnie realizować ciążące na nim obowiązki związane z pełnioną funkcją.
Ustawa o ochronie informacji niejawnych przewiduje natomiast w art. 15 ust. 2, że pełnomocnik ds. informacji niejawnych realizuje swoje zadania przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej do spraw ochrony informacji niejawnych, jeżeli jest ona utworzona w jednostce organizacyjnej. Komórką taką może być też kancelaria tajna zgodnie z art. 42 ust. 4 ustawy o ochronie informacji niejawnych. W przypadku utworzenia takiej komórki, pełnomocnik ds. informacji niejawnych może dysponować pomocą i wsparciem pracowników „pionu ochrony” przy realizacji swoich zadań w związku z pełnioną funkcją, co w konkretnych, uzasadnionych przypadkach może pozytywnie wpłynąć na ocenę możliwości łączenia obu omawianych funkcji. IOD również może być wspierany przez zespół IOD.
Warto zaznaczyć, że zadania IOD dotyczą wszystkich danych osobowych przetwarzanych przez administratora, natomiast zadania pełnomocnika ds. informacji niejawnych koncentrują się na szczególnej kategorii informacji, jakimi są informacje niejawne. Niemniej zadania przypisywane obu funkcjom wykazują pewne podobieństwa, a wiedza i doświadczenie potrzebne do pełnienia jednej z tych funkcji mogą być pomocne w pełnieniu drugiej.