Inspektor Ochrony Danych, może obsługiwać zgłoszenia sygnalistów?

inspektor Ochrony DanychInspektor Ochrony Danych pełniąc obowiązki w danym podmiocie, może dodatkowo obsługiwać zgłoszenia od sygnalistów?

Przygotowywanie procesu przyjmowania i rozpatrywania zgłoszeń o nieprawidłowościach reguluje dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Obecnie na poziomie krajowym trwają intensywne prace nad ustawą implementującą przepisy dyrektywy. Jednakże nie spodziewajmy się, że odnajdziemy w tych przepisach informację kto może zostać wyznaczony do przyjmowania zgłoszeń i prowadzenia postępowań wyjaśniających.

Zastanawiając się nad tym zagadnieniem warto pamiętać o dwóch istotnych kwestiach, odnoszących się do kompetencji, zaufania, ale i bezstronności na co wskazuje użycie w projekcie ustawy „organizacyjnie niezależny podmiot”. A oznacz to osobę czy zespół, który posiada dość szeroki zakres kompetencji w danej organizacji. Z kolei z art. 12 ust. 4 dyrektywy wiemy, że taka osoba lub zespół odpowiada za:

  • udzielanie wszystkim zainteresowanym osobom informacji na temat procedur dotyczących dokonywania zgłoszeń;
  • przyjmowanie zgłoszeń i podejmowanie działań następczych w związku z tymi zgłoszeniami;
  • kontakt z osobą dokonującą zgłoszenia w celu przekazywania jej informacji zwrotnych.

Dyrektywa czy projekt krajowej ustawy nie wskazuje więc wprost czy jest możliwość łączenia obsługi zgłoszeń z innymi obowiązkami. Decyzję w tym zakresie podejmuje dana Organizacja. Jednakże należy pamiętać, że nie wszystkie funkcje powinno się łączyć nawet jeśli z ekonomicznego punktu widzenia jest to uzasadnione.

Z taką sytuacją możemy mieć do czynienia w sytuacji nałożenia na osobę pełniącą funkcję IOD dodatkowych obowiązków. W tym przypadku w zakresie przyjmowania zgłoszeń sygnalistów i prowadzenia postępowań wyjaśniających. Oczywiście, zgodnie z art. 38 ust. 6 RODO Inspektor Ochrony Danych może wykonywać „inne zadania i obowiązki”, ale no właśnie zawsze jest, ale. W wskazanym przepisie występuje zastrzeżenie, że „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”. W omawianym przypadku konflikt występuje wtedy, gdy nie można pogodzić prawidłowego wykonywania zadań przez IOD. IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu na ich wykonanie.

Wystąpienie konfliktu interesów.

Ważne jest to, aby możliwość wystąpienia konfliktu interesów była systematycznie weryfikowana. Gdyż konflikt może utworzyć się w późniejszym czasie lub po rozpoczęciu pełnienia funkcji przez IOD. Inspektor Ochrony Danych nie może objąć posady, na której określane są cele i sposoby dotyczące przetwarzania danych, np. stanowisko kierownicze. Organizacja zatem musi zastanowić się (wykonać analizę), czy IOD będzie w stanie podołać swoim obowiązkom. Także ustalić, czy realizowane przez niego zadania wzajemnie się nie wykluczają. Wykonanie takiej analizy powinno się odbywać z uwzględnieniem stosowanych przepisów RODO jak i wytycznymi dotyczącymi Inspektorów Ochrony Danych. (https://uodo.gov.pl/pl/10/7)

Brak przeprowadzonej analizy w tym zakresie może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.

Na koniec warto zwrócić uwagę, że uwzględniona w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali rozsądek, na którym oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli takie a nie inne rozwiązania.