Łączenie funkcji IOD z zadaniami związanymi z obsługą wniosków od sygnalistów

Organizowanie procesu przyjmowania i rozpatrywania zgłoszeń o nieprawidłowościach reguluje dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23.10.2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii oraz krajowa ustawa o ochronie sygnalistów.

Na gruncie przepisów ustawodawca nie odnosi się do zadań i kompetencji osób upoważnionych do obsługi wniosków od sygnalistów. Porusza jedynie kwestię stosownego upoważnienia, do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.

Jeśli chodzi o uregulowanie tych kwestii w dyrektywie, to odnosi się ona do nich w szczególności w wymienionych niżej przepisach i motywach.

W motywie 74 dyrektywy wskazano, że w celu rozpatrywania zgłoszeń oraz w celu zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem, członkowie personelu właściwych organów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, między innymi w kwestii mających zastosowanie przepisów o ochronie danych.

Natomiast w motywie 77 wskazano, że konieczne jest, aby członkowie personelu właściwego organu, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, oraz członkowie personelu właściwego organu, którzy mają prawo dostępu do informacji przekazanych przez osobę dokonującą zgłoszenia, przestrzegali obowiązku zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych zarówno w ramach właściwego organu, jak i poza ten organ.

Z kolei w art. 12 ust. 4 dyrektywy wskazano, że państwa członkowskie zapewniają, aby właściwe organy wyznaczyły członków personelu odpowiedzialnych za rozpatrywanie zgłoszeń, a w szczególności odpowiedzialnych za:

przekazywanie wszystkim zainteresowanym osobom informacji na temat procedur dokonywania zgłoszeń;
przyjmowanie zgłoszeń i podejmowanie działań następczych w związku z tymi zgłoszeniami;
utrzymywanie kontaktu z osobą dokonującą zgłoszenia w celu przekazywania jej informacji zwrotnych i zwracania się, w razie potrzeby, o dalsze informacje.

Przepisy dyrektywy nie regulują natomiast kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami.

Więcej treści dot. RODO po zalogowaniu. Nie posiadasz dostępu? Przetestuj

W takiej sytuacji administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań. Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243).

Zgodnie bowiem z art. 38 ust. 6 RODO IOD może wykonywać „inne zadania i obowiązki”. W dalszej części przepisu występuje jednak zastrzeżenie, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.

Konflikt interesów następuje, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. Konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu koniecznego na ich wykonanie.

Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. W powołanych wyżej Wytycznych dotyczących IOD wskazane zostały przykłady takich stanowisk. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych.

Ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.

Administrator powinien przy tym uwzględnić m.in. następujące kryteria:

organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej),
merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywania zadań IOD),
czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania).

Odnosząc się do kryterium organizacyjnego należy zauważyć, że w przypadku jednoczesnego pełnienia funkcji IOD i wykonywania innych zadań wykluczone jest rozwiązanie, w którym osoba taka podlegałaby np. dyrektorowi departamentu, kierownikowi działu lub jakiejkolwiek innej osobie (np. dyrektorowi generalnemu urzędu publicznego), która nie jest najwyższym kierownictwem w rozumieniu art. 38 ust. 3 RODO.

Podsumowując należy wskazać, że administrator przed powierzeniem IOD wykonywania innych zadań powinien dokonać analizy, czy IOD będzie w stanie wykonywać prawidłowo swoje obowiązki. Nieprzeprowadzenie analizy w tym zakresie może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.

Na zakończenie warto zwrócić uwagę, że przewidziana w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania.

Wiele informacji na temat obowiązków administratora określonych w art. 37 i 38 RODO, a także na temat kryteriów oceny, czy osoba pełniąca funkcję IOD może pełnić również inne funkcje i obowiązki można znaleźć w zakładce IOD na naszej stronie internetowej. Cennych wskazówek dostarczają też decyzje Prezesa UODO i innych organów nadzorczych UE, jako organów zobowiązanych doegzekwowania przestrzegania ww. przepisów (m.in. mowa o tym w art. 83 ust. 4 lit. a RODO).

Źródło: PUODO

Kup Legalisa Księgowość Kadry Biznes online i uzyskaj natychmiastowy dostęp! Sprawdź

Zaloguj się do Legalis Księgowość Kadry Biznes

Łączenie funkcji IOD z zadaniami związanymi z obsługą wniosków od sygnalistów

Redakcja poleca

Dostęp policji i prokuratury do danych telekomunikacyjnych. Prezes UODO o wyroku TSUE

Oświadczenie EROD w sprawie roli organów ochrony danych w ramach Rozporządzenia o sztucznej inteligencji

Administrator musi dysponować podstawą do przetwarzania danych

Powiązane kategorie

Bezpłatny dostęp

Wypróbuj Legalis Księgowość Kadry Biznes

Zaloguj się do Systemu Legalis