Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów? Urząd Ochrony Danych Osobowych opublikował stanowisko odnoszące się do tego pytania, w którym stwierdza, że jest to możliwe pod warunkiem dokonania analizy dotyczącej zapewnienia IOD warunków dla zachowania niezależności i prawidłowego wykonywania obu zadań.
Większość przepisów ustawy o ochronie sygnalistów, czyli osób zgłaszających naruszenia prawa w kontekście związanym z pracą, wejdzie w życie 25 września. Od tego dnia firmy oraz urzędy zatrudniające co najmniej 50 osób (niezależnie od rodzaju umowy) są zobowiązane do wdrożenia procedury zgłoszeń wewnętrznych i stworzenia kanałów do ich przyjmowania. Nie dotyczy to jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 tys. mieszkańców.
Sygnalistą może być każda osoba narażona na działania odwetowe po dokonaniu zgłoszenia, niezależnie od podstawy i formy świadczenia pracy. Taka sama pomoc będzie przysługiwała również osobie pomagającej sygnaliście i osobie z nim powiązanej. Działania odwetowe mogą polegać np. na pozbawieniu awansu, podwyżki, nagrody lub w skrajnych przypadkach zwolnieniu z pracy.
Wejście w życie ustawy stanowi spore wyzwanie także dla samorządów. Organizowanie procesu przyjmowania i rozpatrywania zgłoszeń o nieprawidłowościach reguluje dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.
W związku z bliskim wejściem w życie ustawy UODO przeanalizował sytuację osoby, która miałaby przyjmować ewentualne zgłoszenia sygnalistów oraz prowadzić postępowania wyjaśniające dotyczące zgłaszanych nieprawidłowości. W szczególności zaś urząd przyjrzał się dwóm kwestiom: czy funkcję taką firma może powierzyć osobie pełniącej funkcję IOD, i czy nie będziemy mieli w takim przypadku do czynienia z konfliktem interesów?
Jak zauważa UODO w swojej interpretacji, jeśli chodzi o uregulowanie zadań i statusu członków personelu odpowiedzialnych za rozpatrywanie zgłoszeń naruszenia prawa w dyrektywie, to odnosi się ona do nich w szczególności w wymienionych niżej przepisach i motywach.
„W motywie 74 dyrektywy wskazano, że w celu rozpatrywania zgłoszeń oraz w celu zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem, członkowie personelu właściwych organów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, między innymi w kwestii mających zastosowanie przepisów o ochronie danych. Natomiast w motywie 77 wskazano, że konieczne jest, aby członkowie personelu właściwego organu, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, oraz członkowie personelu właściwego organu, którzy mają prawo dostępu do informacji przekazanych przez osobę dokonującą zgłoszenia, przestrzegali obowiązku zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych zarówno w ramach właściwego organu, jak i poza ten organ” – podkreśla w publikacji UODO.
W tekście zwrócono również uwagę, że z kolei w art. 12 ust. 4 dyrektywy wskazano, iż państwa członkowskie zapewniają, aby właściwe organy wyznaczyły członków personelu odpowiedzialnych za rozpatrywanie zgłoszeń, a w szczególności odpowiedzialnych za: przekazywanie wszystkim zainteresowanym osobom informacji na temat procedur dokonywania zgłoszeń; przyjmowanie zgłoszeń i podejmowanie działań następczych w związku z tymi zgłoszeniami oraz utrzymywanie kontaktu z osobą dokonującą zgłoszenia w celu przekazywania jej informacji zwrotnych i zwracania się, w razie potrzeby, o dalsze informacje.
UODO zwraca uwagę, że przepisy dyrektywy nie regulują natomiast kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami.
„W takiej sytuacji administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań. Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243)” – czytam w publikacji UODO.
Urząd zwraca uwagę, że zgodnie z art. 38 ust. 6 RODO IOD może wykonywać „inne zadania i obowiązki”, jednak w dalszej części przepisu występuje zastrzeżenie, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.
„Konflikt interesów następuje, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. Konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu koniecznego na ich wykonanie” – czytamy w publikacji.
UODO podkreśla, że wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny.
„Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. W powołanych wyżej Wytycznych dotyczących IOD wskazane zostały przykłady takich stanowisk. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych” - czytamy.
Według UODO ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności.
„Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD. Administrator powinien przy tym uwzględnić m.in. następujące kryteria: organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej); merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywania zadań IOD); oraz czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania)” - czytamy.
Odnosząc się do kryterium organizacyjnego UODO zauważa, że w przypadku jednoczesnego pełnienia funkcji IOD i wykonywania innych zadań wykluczone jest rozwiązanie, w którym osoba taka podlegałaby np. dyrektorowi departamentu, kierownikowi działu lub jakiejkolwiek innej osobie (np. dyrektorowi generalnemu urzędu publicznego), która nie jest najwyższym kierownictwem w rozumieniu art. 38 ust. 3 RODO.
„Podsumowując należy wskazać, że administrator przed powierzeniem IOD wykonywania innych zadań powinien dokonać analizy, czy IOD będzie w stanie wykonywać prawidłowo swoje obowiązki. Nieprzeprowadzenie analizy w tym zakresie może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych. Na zakończenie warto zwrócić uwagę, że przewidziana w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania” – zaznaczono w analizie UODO.
mam/