Powyższe zagadnienie, które omawiamy w tym artykule, może być istotne szczególnie z perspektywy przedsiębiorców, którzy według przesłanek wynikających z przepisów RODO, zobowiązani są do ustanowienia inspektora ochrony danych (IOD).
Stanowisko UODO
Opierając się na tzw. dyrektywie o ochronie sygnalistów nr 2019/1937, swoje stanowisko przedstawił w tym zakresie Urząd Ochrony Danych Osobowych. Urząd podkreślił, że przepisy dyrektywy nie regulują kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami, w przeciwieństwie do przepisów RODO.
Zgodnie bowiem z art. 38 ust. 6 RODO, IOD może wykonywać „inne zadania i obowiązki”, przy czym dalsza część przepisu przewiduje, że „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.
IOD a osoba przyjmująca zgłoszenia – konflikt interesów?
Konflikt interesów wystąpi w sytuacji, gdy IOD nie może pogodzić prawidłowego wykonywania swoich obowiązków związanych ze stanowiskiem z realizacją innych przewidzianych zadań z powodu występujących sprzeczności, uniemożliwiających ich realizację.
Za konflikt interesów można również uznać nadmiar obowiązków jaki został powierzony IOD, który powoduje, że nie jest on w stanie ich wszystkich efektywnie zrealizować.
Jeżeli więc administrator zdecyduje się na powierzenie IOD innych zadań lub obowiązków powinien przeprowadzić analizę w przedmiocie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań z zakresu ochrony danych osobowych. Ocena taka powinna zostać przeprowadzona przy uwzględnieniu właściwych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych.
Na podstawie przedstawionego stanowiska Urzędu można zatem przyjąć, że zarówno przepisy ustawy o ochronie sygnalistów, jak i przepisy RODO nie przewidują przeszkód w zakresie łączenia tych dwóch funkcji. Należy natomiast pamiętać, że powierzenie IOD funkcji związanej z obsługą wniosków sygnalistów powinno być poprzedzone staranną analizą przeprowadzoną przez administratora, czy IOD będzie w stanie wykonywać prawidłowo swoje obowiązki. Przy okazji przeprowadzenia takiej oceny, administrator powinien również pamiętać o jednej z naczelnych zasad przewidzianych w RODO tj. zasadzie rozliczalności. Tak więc analiza taka powinna być właściwie uzasadniona oraz udokumentowana.
Przyjęcia zgłoszenia sygnalisty vs. działania następcze
Niezależnie od powyższego zapatrywania Urzędu, należy jednak mieć na uwadze, że nie każdy IOD będzie mógł pełnić obie funkcje tj. przyjmowanie zgłoszeń oraz podejmowanie działań następczych w odpowiedzi na zgłoszenie sygnalisty.
Warto przypomnieć, że wykonywanie zadań IOD może być powierzone osobie, która nie jest członkiem personelu administratora. Dopuszczalny jest zatem outsourcing funkcji IOD.
Z drugiej strony przepisy ustawy o ochronie sygnalistów przewidują, że do przyjmowania zgłoszeń w ramach procedury podmiot prawny może upoważnić osobę lub jednostkę (np. dział prawny/compliance/HR lub indywidualną osobę), a także podmiot zewnętrzny (np. kancelarię adwokacką/radcowską; dostawcę usług informatycznych).
W przeciwieństwie do podmiotu przyjmującego zgłoszenia, który może być podmiotem zewnętrznym, do podejmowania działań następczych upoważnić można jedynie bezstronną, wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej.
Jeżeli zatem zadania IOD zostały powierzone podmiotowi zewnętrznemu, niezależenie od przeprowadzonej przez administratora analizy wymaganej przepisami RODO, IOD będzie mógł zajmować się wyłącznie przyjmowaniem zgłoszeń od sygnalistów, zaś obowiązki z zakresu prowadzenia działań następczych będą spoczywały na upoważnionej do tego jednostce lub osobie.
Wnioski dla przedsiębiorców
W przypadku powołania Inspektora Ochrony Danych Osobowych spośród osób własnych pracowników lub współpracowników, warto rozważyć powierzenie takiej osobie również obowiązków z zakresu przyjmowania zgłoszeń sygnalistów oraz podejmowania działań następczych planując wdrożenie ochrony sygnalistów warto przeanalizować obowiązujące już w przedsiębiorstwie procedury dotyczące ochrony i przetwarzania danych osobowych.
W razie powierzenia zadań IOD podmiotowi zewnętrznemu, w zakresie ochrony sygnalistów osoba taka będzie mogła zajmować się wyłącznie przyjmowanie zgłoszeń naruszenia prawa. Działania następcze należy w takiej sytuacji powierzyć bezstronnej wewnętrznej jednostce lub osobie.
W razie pytań, zachęcamy do kontaktu z naszymi ekspertami, który wspierają organizacje zarówno w zakresie ochrony sygnalistów, ochrony danych osobowych oraz szeroko pojmowanego compliance.
Autor: Adwokat Grzegorz Półtorak