Czy można łączyć funkcję IOD z zadaniami związanymi z ochroną sygnalistów?

W związku z planowanym wejściem w życie przepisów dotyczących ochrony sygnalistów, pracodawcy muszą opracować i wdrożyć wewnętrzne procedury zgłaszania naruszeń prawa i podejmowania działań następczych. Co istotne, wdrożenie tego typu procedur wiąże się z koniecznością wyznaczenia osoby lub osób odpowiedzialnych za realizację związanych z tym zadań.

Znalezienie kompetentnych i odpowiednich osób do wdrożenia i realizacji tego typu procedur jest często zadaniem trudnym, stąd część administratorów danych rozważa powierzenie tych zadań Inspektorom Ochrony Danych (dalej: IOD) powołanych w ich organizacji, którzy z racji pełnionych funkcji posiadają dużą wiedzę związaną z wewnętrzną organizacją pracy oraz przepisami prawa, co niewątpliwe pozwala na sprawną realizację zadań wynikających z procedur w zakresie ochrony sygnalistów.

Status IOD a realizacja zadań związanych z ochroną sygnalistów

Mając jednak na uwadze status, jaki przepisy RODO nadają IOD, wynikający z przyznanych gwarancji niezależności, pojawia się pytanie, czy można łączyć funkcję IOD z zadaniami związanymi z ochroną sygnalistów. Odpowiedzi na tak zadane pytanie udzielił Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO), który w swoim komunikacie z dnia 3 listopada 2021 r., „Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów?”, opublikowanym na stronie internetowej, wskazał, że: „przepisy dyrektywy nie regulują natomiast kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami. W takiej sytuacji administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań”[1].

Określenia zasad i warunków zachowania niezależności IOD należy dokonywać, uwzględniając m.in. przepisy RODO oraz wytyczne Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243). Na podstawie wskazanych wytycznych Grupy Roboczej Art. 29 PUODO na swojej stronie internetowej, w komunikacie z dnia 11 lutego 2019 r. „Jakie gwarancje niezależności zostały przyznane IOD w przepisach RODO?”, wskazał, że „w celu zapewnienia niezależności inspektorowi ochrony danych ogólne rozporządzenie o ochronie danych, wprowadza kilka szczegółowych rozwiązań, które pozwalają na osiągnięcie ww. celu, a mianowicie:

  • bezpośrednia podległość IOD najwyższemu kierownictwu,
  • wspieranie IOD w wypełnianiu jego zadań,
  • zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych,
  • zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań,
  • unikanie konfliktu interesów IOD,
  • zakaz odwoływania i karania IOD,
  • obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD[2].

Grupa Robocza Art. 29 w swoich wytycznych dotyczących inspektorów ochrony danych (WP 243), podkreśliła ponadto, że „pozostałe zadania i obowiązki DPO nie mogą prowadzić do konfliktu interesów. Oznacza to, po pierwsze, że DPO nie może zajmować stanowiska w organizacji, które prowadziłoby go do określania celów i sposobów przetwarzania danych osobowych. Ze względu na specyficzną strukturę organizacyjną w każdej organiza...

Dalsza część jest dostępna dla użytkowników z wykupionym planem