Sytuacja prawna inspektora ochrony danych zatrudnionego w ramach stosunku pracy — wybrane zagadnienia

• Authors: Jacek Borowicz

Title variants

EN

The legal situation of a data protection officer employed under an employment relationship — selected issues

Abstracts

PL

Przepisy art. 37 ust. 1 rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz uchylającego dyrektywę 95/46/WE (RODO) nakładają na wymienione w nim kategorie administratorów danych i podmiotów przetwarzających dane obowiązek wyznaczania inspektora ochrony danych. Zgodnie z przepisami art. 37 ust. 6 RODO inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Ani przepisy RODO, ani obowiązująca ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych nie określają formy prawnej zatrudnienia inspektora ochrony danych jako członka personelu tych podmiotów. Należy zatem przyjąć, że jest on zatrudniany na podstawie umowy o pracę jako pracownik w rozumieniu przepisów ustawy z dnia 26 czerwca 1974 roku Kodeks pracy. Przepisy RODO określają szczególne miejsce inspektora w strukturze organizacyjnej podmiotu, w którym przetwarzane są dane osobowe. Podlegać ma on bezpośrednio najwyższemu kierownictwu tego podmiotu (na przykład kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych). Inspektor ochrony danych osobowych zachowuje szeroką autonomię w zakresie wykonywania przypisanych mu przez prawo obowiązków, pracodawca zaś jest zobowiązany zapewnić mu niezależność w związku z ich wykonywaniem, powstrzymując się od wydawania mu instrukcji dotyczących wykonywania tych zadań. Na mocy przepisów prawa następuje zatem ograniczenie możliwości zarządzania pracą inspektora ochrony danych przez wydawanie mu poleceń dotyczących pracy. Z tego względu należy uznać, że inspektor ochrony danych jest zatrudniony w ramach tak zwanego nietypowego stosunku pracy.

EN

In accordance with the provisions of Article 37(1) of the Regulation (Eu) 2016/679 Of The European Parliament And Of The Council of 27th April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation — GDPR) the controller and the processor shall designate a data protection officer in any case where: a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 GDPR and personal data relating to criminal convictions and offences referred to in Article 10 GDPR. In other cases, the designation of a data protection officer is the right of the personal data administrators or processors. In accordance with the provisions of Article 37(6) GDPR the data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract. Neither GDPR nor the Polish Law of 10th May 2018 on the Protection of Personal Data define the legal form for the employment of data protection officer. It must therefore be assumed that he may be employed under a contract of employment as an employee within the meaning of the provisions of the Polish Labour Code. The provisions of the GDPR specify specific tasks of the data protection officer and designate a special position in the organisational structure of the entity in which personal data are processed. The data protection officer reports directly to the highest management level of the controller or the processor (e.g. head of the organisational unit or to a natural person that is the administrator of personal data). The data protection officer, in the exercise of his tasks of law retains a wide autonomy and independence in the workplace and the employer is obliged to provide him with independence in connection with the performance of his tasks. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. The main consequence of this is reducing the possibility of managing the work of the data protection officer by using the commands of the employer. It should be considered that the data protection officer is employed in an atypical employment relationship.

Keywords

PL

RODO; ochrona danych osobowych; inspektor ochrony danych; administrator danych osobowych; pracownik; pracodawca; obowiązek wykonywania poleceń pracodawcy; nietypowy stosunek pracy

EN

GDPR; data protection officer; employee; employer; obligation to perform the commands of the employer; personal data administrator; protection of personal data; atypical employment relationship

• Publisher: Wydawnictwo Uniwersytetu Wroclawskiego
• Journal: Przegląd Prawa i Administracji
• Year: 2020
• Volume: 120
• Issue: Tom 2
• Pages: 573 - 589

Contributors

author

Jacek Borowicz

• Uniwersytet Wrocławski