Inspektor Ochrony Danych (dalej jako IOD) może być członkiem personelu Administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Zgodnie z art. 38 RODO Administrator oraz podmiot przetwarzający wspierają IOD w wypełnianiu przez niego jego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. IOD nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań, pomimo tego, że formalnie podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Zarówno prawo Unii, jak i polski ustawodawca nie przewidzieli żadnych szczególnych form dotyczących rozwiązania umowy z IOD. Oznacza to, że rozwiązanie umowy może nastąpić więc zgodnie z wskazanymi w umowie łączącej strony terminami dotyczącymi jej rozwiązania (w przypadku umowy o cywilnoprawnej) bądź zgodnie z przepisami Kodeksu pracy, w stosunku do osób zatrudnionych na podstawie umowy o pracę za wypowiedzeniem.

Należy jednak pamiętać, że rozwiązując umowę z IOD, niezwłocznie należy powołać nowego IOD oraz poinformować o tym organ nadzorczy w terminie 14 dni od dnia wyznaczenia.

Administrator może rozwiązać stosunek pracy z inspektorem ochrony danych, będącym członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli rozwiązanie stosunku pracy nie jest związane z wypełnianiem przez tego inspektora jego zadań, o ile takie uregulowanie nie zagraża realizacji celów tego rozporządzenia.

Takie stanowisko przyjął Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku wydanym w dniu  22 czerwca 2022 r. w sprawie C-534/20 Leistritz.

Przywołana sentencja wyroku jest pokłosiem sprawy, gdzie pracodawca rozwiązał stosunek pracy z pracownikiem, który był zatrudniony na stanowisku kierownika zespołu ds. prawnych oraz pełnił funkcję inspektora ochrony danych (dalej jako: IOD). Pracodawca rozwiązując z pracownikiem będącym IOD umowy o pracę dochował terminów dot. okresu wypowiedzenia a jako przyczynę takiego działania wskazał restrukturyzację spółki, powołując się na to, że obsługę prawną, również tę w zakresie ochrony danych osobowych ma zamiar powierzyć podmiotowi zewnętrznemu.

Dotychczasowy IOD odwołał się od decyzji swego pracodawcy do Sądu. Zgodnie ze stanowiskiem niemieckiego sądu  stosunek pracy z IOD może zostać rozwiązany bez zachowania terminu wypowiedzenia jedynie z ważnej przyczyny, a restrukturyzacja spółki nie mieści się zdaniem Sądu w tym katalogu.

Sąd rozpoznający odwołanie IOD wskazał, że zastosowanie  § 38 ust. 2 w zw. z § 6 ust. 4 zdanie drugie BDSG (federalnej ustawy o ochronie danych) zależy od tego, czy prawo Unii, a w szczególności art. 38 ust. 3 zdanie drugie RODO, pozwala na uregulowanie państwa członkowskiego, w którym rozwiązanie stosunku pracy z IOZ jest obarczone warunkami bardziej restrykcyjnymi niż warunki unijne.

W związku ze sprawą, zwrócono się do TSUE, który wydał orzeczenie, w którym wskazał, że:

 „Wykładni art. 38 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy dokonywać w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający może rozwiązać stosunek pracy z inspektorem ochrony danych, będącym członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli rozwiązanie stosunku pracy nie jest związane z wypełnianiem przez tego inspektora jego zadań, o ile takie uregulowanie nie zagraża realizacji celów tego rozporządzenia.”

Takie podejście TSUE uznać należy jako krok w dobrym kierunku, bowiem zapewnia to IOD niezależność, o której mowa w motywie 97 RODO oraz w art. 38 RODO, która jest jedną z najważniejszych gwarancji skutecznego i prawidłowego wykonywania jego zadań, a tym samym realnego zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa.

W tym miejscu dodać należy, że w ocenie PUODO celowe jest rozważenie zmiany przepisów prawa krajowego pod kątem doprecyzowania w polskim porządku prawnym regulacji art. 38 ust. 3 zdanie drugie RODO, a tym samym wzmocnienia pozycji inspektora ochrony danych.

Taką opinię UODO przekazał Kancelarii Prezesa Rady Ministrów pytany przez nią o to, czy w związku wyrokiem TSUE, o którym mowa w niniejszej publikacji, konieczna jest zmiana w Polsce prawa lub praktyki jego stosowania.

Według PUODO „art. 38 ust. 3 zdanie drugie RODO nie stoi na przeszkodzie przepisowi prawa krajowego, na mocy którego inspektor ochrony danych uzyska dalej idącą ochronę prawną  przed odwołaniem lub karaniem. Art. 38 ust. 3 RODO jest bowiem ogólnym wskazaniem zasady, jaką powinny kierować się państwa ze względu na bezpośredniość stosowania unijnego rozporządzenia.

Ustawodawca polski, wprowadzając do porządku prawnego nowe regulacje prawne na podstawie RODO, zwłaszcza ustawę z dnia 10 maja 2018 r. o ochronie danych, nie uregulował w żaden szczególny sposób ochrony pełnienia funkcji IOD. Dlatego regulacje szczegółowe dotyczące ochrony stabilności pełnienia tej funkcji powinny zostać doprecyzowane we właściwych przepisach obejmujących zarówno przypadki stosunku pracy, jak i umowy o świadczenie usług. TSUE w powołanym wyroku ocenił, że art. 38 ust. 3 zdanie drugie RODO ma zastosowanie zarówno do IOD będącego członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i do osoby wykonującej te zadania na podstawie umowy o świadczenie usług, zgodnie z art. 37 ust. 6 RODO (pkt 23 wyroku). Pozycja inspektora ochrony danych w obu przypadkach powinna zatem zostać wzmocniona.

W odniesieniu do umów o pracę na czas określony obecnie w polskim porządku prawnym brak jest podstaw prawnych dających IOD roszczenie o przywrócenie do pracy lub odszkodowanie w przypadku, gdy wypowiedzenie nastąpiło bez naruszenia przepisów o wypowiadaniu umowy na czas określony, mimo naruszenia przez pracodawcę (administratora) zakazu wskazanego w art. 38 ust 3 zdanie 2 RODO.

W polskim porządku prawnym w art. 18 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy prawodawca ustanowił zasadę uprzywilejowania pracownika będącą normą semidyspozytywną, która pozwala na umowne ukształtowanie stosunku pracy w sposób korzystniejszy dla pracownika. W związku z tym, mając m.in. na względzie wyrok TSUE w sprawie C-534/20, uzasadnione jest dążenie do wzmocnienia pozycji IOD. Im bowiem stabilniejsza jest jego pozycja, tym większa szansa na niezależne wykonywanie przypisanych mu zadań, co wpływa na jakość jego pracy oraz zapewnianie wysokiego poziomu ochrony danych osób fizycznych.”

Treść wyroku:

https://curia.europa.eu/juris/document/document.jsf?text=&docid=261462&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=10013034&s=03

opracowanie: adw. Piotr Stankiewicz z Kancelarii Prawnej „CKC SOLUTION”