Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów?
Oczekujemy na wejście w życie krajowych regulacji wdrażających tzw. dyrektywę o ochronie sygnalistów nr 2019/1937. Pytanie dotyczy osoby, która miałaby przyjmować ewentualne zgłoszenia sygnalistów oraz prowadzić postępowania wyjaśniające dotyczące zgłaszanych nieprawidłowości. Czy funkcję taką firma może powierzyć osobie pełniącej funkcję IOD? Czy nie będziemy mieli w takim przypadku do czynienia z konfliktem interesów?
Organizowanie procesu przyjmowania i rozpatrywania zgłoszeń o nieprawidłowościach reguluje dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Obecnie w Polsce trwają prace nad projektem ustawy wdrażającej tę dyrektywę, wobec tego nie znamy ostatecznego kształtu przyjętych w niej rozwiązań, w tym tych dotyczących zadań i statusu członków personelu odpowiedzialnych za rozpatrywanie zgłoszeń naruszenia prawa.
Jeśli chodzi o uregulowanie tych kwestii w dyrektywie, to odnosi się ona do nich w szczególności w wymienionych niżej przepisach i motywach.
W motywie 74 dyrektywy wskazano, że w celu rozpatrywania zgłoszeń oraz w celu zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem, członkowie personelu właściwych organów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, między innymi w kwestii mających zastosowanie przepisów o ochronie danych.
Natomiast w motywie 77 wskazano, że konieczne jest, aby członkowie personelu właściwego organu, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, oraz członkowie personelu właściwego organu, którzy mają prawo dostępu do informacji przekazanych przez osobę dokonującą zgłoszenia, przestrzegali obowiązku zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych zarówno w ramach właściwego organu, jak i poza ten organ.
Z kolei w art. 12 ust. 4 dyrektywy wskazano, żepaństwa członkowskie zapewniają, aby właściwe organy wyznaczyły członków personelu odpowiedzialnych za rozpatrywanie zgłoszeń, a w szczególności odpowiedzialnych za:
- przekazywanie wszystkim zainteresowanym osobom informacji na temat procedur dokonywania zgłoszeń;
- przyjmowanie zgłoszeń i podejmowanie działań następczych w związku z tymi zgłoszeniami;
- utrzymywanie kontaktu z osobą dokonującą zgłoszenia w celu przekazywania jej informacji zwrotnych i zwracania się, w razie potrzeby, o dalsze informacje.
Przepisy dyrektywy nie regulują natomiastkwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami.
W takiej sytuacji administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań. Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243).
Zgodnie bowiem z art. 38 ust. 6 RODO IOD może wykonywać „inne zadania i obowiązki”. W dalszej części przepisu występuje jednak zastrzeżenie, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.
Konflikt interesów następuje, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. Konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu koniecznego na ich wykonanie.
Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. W powołanych wyżej Wytycznych dotyczących IOD wskazane zostały przykłady takich stanowisk. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych.
Ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.
Administrator powinien przy tym uwzględnić m.in. następujące kryteria:
- organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej),
- merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywania zadań IOD),
- czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania).
Odnosząc się do kryterium organizacyjnego należy zauważyć, że w przypadku jednoczesnego pełnienia funkcji IOD i wykonywania innych zadań wykluczone jest rozwiązanie, w którym osoba taka podlegałaby np. dyrektorowi departamentu, kierownikowi działu lub jakiejkolwiek innej osobie (np. dyrektorowi generalnemu urzędu publicznego), która nie jest najwyższym kierownictwem w rozumieniu art. 38 ust. 3 RODO.
Podsumowując należy wskazać, że administrator przed powierzeniem IOD wykonywania innych zadań powinien dokonać analizy, czy IOD będzie w stanie wykonywać prawidłowo swoje obowiązki. Nieprzeprowadzenie analizy w tym zakresie może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.
Na zakończenie warto zwrócić uwagę, że przewidziana w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania.
Wiele informacji na temat obowiązków administratora określonych w art. 37 i 38 RODO, a także na temat kryteriów oceny, czy osoba pełniąca funkcję IOD może pełnić również inne funkcje i obowiązki można znaleźć w zakładce IOD na naszej stronie internetowej. Cennych wskazówek dostarczają też decyzjePrezesa UODO i innych organów nadzorczych UE, jako organów zobowiązanych doegzekwowania przestrzegania ww. przepisów (m.in. mowa o tym w art. 83 ust. 4 lit. a RODO).
Więcej informacji dotyczących tego zagadnienia można znaleźć w zakładce IOD https://uodo.gov.pl/p/wyznaczenie-i-status-iod, w tym m.in. w odpowiedzi na pytania:
Jakie gwarancje niezależności zostały przyznane IOD w przepisach RODO?
Czy IOD może być osoba pełniąca funkcję kierownika komórki w organizacji?
Czy IOD może jednocześnie pełnić funkcję pełnomocnika do spraw ochrony informacji niejawnych?
Czy możliwe jest łączenie funkcji IOD z obowiązkami administratora systemu informatycznego (ASI)?