Czy funkcję IOD można łączyć z wykonywaniem zawodu adwokata lub radcy prawnego?

Kwestia dopuszczalności jednoczesnego pełnienia funkcji inspektora ochrony danych i wykonywania zawodu radcy prawnego i adwokata w świetle przepisów regulujących wykonywanie tych zawodów stała się w 2018 r. przedmiotem skierowanych do obu samorządów wystąpień Prezesa UODO. Na prośbę Prezesa UODO  oba samorządy przedstawiły swoje opinie, a z korespondencją dotyczącą tego zagadnienia można zapoznać się pod następującym linkiem: https://www.giodo.gov.pl/pl/1520282/10461.

W opinii Naczelnej Rady Adwokackiej (NRA) wykonywanie zawodu adwokata nie wyklucza jednoczesnego pełnienia funkcji inspektora ochrony danych (IOD), bowiem przepisy RODO gwarantują IOD niezależność, co jest również podstawą wykonywania zawodu adwokata. Zadania powierzone IOD nie uwłaczają godności adwokata, nie ograniczają jego niezawisłości oraz nie podważają zaufania do adwokatury. W przypadku inspektora ochrony danych niezależność gwarantuje mu m.in. podległość najwyższemu kierownictwu, zakaz wydawania IOD instrukcji oraz zakaz odwołania IOD z powodu wykonywania przez niego jego zadań. Z uwagi na brzmienie art. 1 ust. 3 ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze (Dz. U. z 2018 r. poz. 1184 ze zm.) dopuszczalne jest pełnienie funkcji IOD przez adwokata na podstawie umowy cywilnoprawnej (art. 37 ust. 6 RODO). W swojej opinii NRA podkreśliła, że niezbędnym warunkiem jest poosiadanie przez adwokata wiedzy z zakresu ochrony danych osobowych zgodnie art. 37 ust. 5 RODO.

Krajowa Rada Radców Prawnych (KRRP) przekazała opinię, zgodnie z którą wykonywanie zadań IOD nie może być kwalifikowane jako podkategoria pojęcia świadczenia pomocy prawnej, chociaż te obszary mają pewne wspólne zakresy. Ze względu na określone ryzyka, w szczególności związane z potencjalnym  naruszeniem zasad etyki zawodowej oraz rozbieżnymi charakterystykami funkcji radcy prawnego oraz IOD, KRRP rekomenduje niełączenie wykonywania tych ról w ramach jednego podmiotu (administratora danych/klienta). KRRP wskazała również na konieczność posiadania przez IOD odpowiednich kwalifikacji , w szczególności w zakresie zadań leżących poza zakresem pojęcia świadczenia pomocy prawnej np. znajomości aspektów technicznych, funkcjonowania systemów informatycznych, bezpieczeństwa IT, oceny ryzyka, prowadzenia audytów.

Dostarczone przez samorządy opinie potwierdzają, że rzetelna analiza co do możliwości powierzenia IOD dodatkowych obowiązków powinna obejmować wiele aspektów związanych z regulacjami danego zawodu oraz statusem, zdaniami i wymaganiami w zakresie kwalifikacji stawianymi IOD. Należy podkreślić, że na administratorze spoczywa obowiązek zapewnienia, by powierzenie IOD dodatkowych zadań i obowiązków nie powodowało konfliktu interesów (art. 38 ust. 6 RODO).

Informacja na temat pełnienia funkcji inspektora ochrony danych i wykonywania zawodu radcy prawnego i adwokata

Samorządy adwokatów i radców prawnych o dopuszczalności jednoczesnego wykonywania zawodu i pełnienia funkcji IOD

GIODO wystąpił do samorządu radców prawnych i samorządu adwokatów z prośbą o przedstawienie stanowiska w sprawie możliwości wykonywania tych zawodów i jednoczesnego pełnienia funkcji administratora bezpieczeństwa informacji lub inspektora ochrony danych. Wskazał, że opinia samorządów w tej sprawie będzie istotną pomocą dla wszystkich podmiotów przygotowujących się obecnie do stosowania od 25 maja 2018 r. przepisów RODO i będzie odpowiedzią na wiele wątpliwości, które były sygnalizowane Generalnemu Inspektorowi.

     W opinii Naczelnej Rady Adwokackiej wykonywanie zawodu adwokata nie wyklucza jednoczesnego pełnienia funkcji inspektora ochrony danych (IOD) bowiem przepisy RODO gwarantują IOD niezależność, co jest również podstawą wykonywania zawodu adwokata. W przypadku inspektora ochrony danych niezależność gwarantują mu podległość najwyższemu kierownictwu danego podmiotu, zakaz wydawania IOD instrukcji oraz zakaz zwolnienia z powodu wykonywania przez niego czynności przewidzianych przepisami.

Krajowa Rada Radców Prawnych przekazała opinię, zgodnie z którą wykonywanie zadań IOD/ABI nie może być kwalifikowane jako podkategoria pojęcia świadczenia pomocy prawnej, chociaż te obszary mają pewne wspólne zakresy. Radcy prawni, jako profesjonaliści w zakresie świadczenia pomocy prawnej, po uzyskaniu dodatkowych kwalifikacji wymaganych dla wykonywania zadań IOD, mogą podejmować się pełnienia tej funkcji, choć zaznaczyć należy, że rzetelne wykonywanie zadań IOD może wymagać znacznej ilości czasu. Ponadto ze względu na określone ryzyka związane z konfliktem interesów, w szczególności związane z potencjalnym  naruszeniem zasad etyki zawodowej oraz rozbieżnymi charakterystykami funkcji radcy prawnego oraz IOD, rekomenduje się niełączenie wykonywania tych ról w ramach jednego podmiotu (administratora danych/klienta).

Generalny Inspektor dziękuje samorządom za przekazanie stanowisk zawierających cenne zalecenia i wskazówki, a wszystkich zainteresowanych zaprasza do zapoznania się z treścią wystąpień GIODO i przedstawionych przez samorządy stanowisk.

Załączniki do korespondencji: