Czy funkcję IOD można łączyć z wykonywaniem zawodu adwokata lub radcy prawnego?

Biorąc pod uwagę brzmienie art. 1 ust. 3 ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze (Dz. U. z 2018 r. poz. 1184 ze zm.) dopuszczalne jest pełnienie funkcji IOD przez adwokata na podstawie umowy cywilnoprawnej (art. 37 ust. 6 RODO) jednak niezbędnym warunkiem do tego jest posiadanie przez adwokata wiedzy z zakresu ochrony danych osobowych zgodnie art. 37 ust. 5 RODO. W opinii Naczelnej Rady Adwokackiej (NRA) wykonywanie zawodu adwokata nie wyklucza jednoczesnego pełnienia funkcji inspektora ochrony danych (IOD), bowiem przepisy RODO gwarantują IOD niezależność, co jest również podstawą wykonywania zawodu adwokata. W przypadku pełnienia funkcji IOD niezależność gwarantuje mu m.in. podległość najwyższemu kierownictwu, zakaz wydawania IOD instrukcji oraz zakaz odwołania IOD z powodu wykonywania przez niego jego zadań.

Uzasadnienie

Krajowa Rada Radców Prawnych (KRRP) przekazała opinię, zgodnie z którą wykonywanie zadań IOD nie może być kwalifikowane jako podkategoria pojęcia świadczenia pomocy prawnej, chociaż te obszary mają pewne wspólne zakresy. Ze względu na określone ryzyka, w szczególności związane z potencjalnym  naruszeniem zasad etyki zawodowej oraz rozbieżnymi charakterystykami funkcji radcy prawnego oraz IOD, KRRP rekomenduje niełączenie wykonywania tych ról w ramach jednego podmiotu (administratora danych/klienta). KRRP wskazała również na konieczność posiadania przez IOD odpowiednich kwalifikacji w zakresie zadań leżących poza zakresem pojęcia świadczenia pomocy prawnej np. znajomości aspektów technicznych, funkcjonowania systemów informatycznych, bezpieczeństwa IT, oceny ryzyka, prowadzenia audytów.