Zanim jednak dana jednostka samorządu terytorialnego podejmie taką decyzję, musi ją dokładnie przeanalizować. Powierzenie nowych zdań nie może bowiem spowodować, że inspektor ochrony danych (IOD) zaniedba swoje podstawowe obowiązki. Takie wnioski płyną z wyjaśnień opublikowanych przez Urząd Ochrony Danych Osobowych (UODO).
Przypomnijmy, że rząd kończy prace nad ustawą, która implementuje do polskiego prawa dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia praw Unii (Dz.Urz. UE z 2019 r. L 305, s. 17) dotyczącą tzw. sygnalistów. Jej zapisy będą także dotyczyły gmin, powiatów czy województw. Każda JST, w której pracuje ponad 50 osób, już wkrótce będzie musiała mieć osobę do przyjmowania zgłoszeń od sygnalistów oraz podejmowania działań następczych. Czas pokaże, czy będzie to ten sam tzw. compliance oficer dla wielu gminnych podmiotów, czy jeden dla każdego pracodawcy samorządowego oraz - czy będzie to osoba nowo zatrudniona, czy jakiś urzędnik, któremu zwiększony zostanie zakres obowiązków, np. inspektor ochrony danych.
UODO podkreśla, że przepisy dyrektywy ws. sygnalistów nie regulują kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami. Dlatego każda jednostka będzie musiała sama ocenić, czy w przypadku jej inspektora jest to możliwe. Nie jest to jednak wykluczone, bo z art. 38 ust. 6 rozporządzenia 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych oraz uchylającego dyrektywę 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO) wynika, że IOD może wykonywać inne zadania i obowiązki - o ile administrator lub podmiot przetwarzający zapewnią, że nie spowodują one konfliktu interesów.
Stanowisko Urzędu Ochrony Danych Osobowych z 3 listopada 2021 r.
Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów?
(…) Obecnie w Polsce trwają prace nad projektem ustawy wdrażającej tę dyrektywę, wobec tego nie znamy ostatecznego kształtu przyjętych w niej rozwiązań, w tym tych dotyczących zadań i statusu członków personelu odpowiedzialnych za rozpatrywanie zgłoszeń naruszenia prawa.
Jeśli chodzi o uregulowanie tych kwestii w dyrektywie, to odnosi się ona do nich w szczególności w wymienionych niżej przepisach i motywach.
W motywie 74 dyrektywy wskazano, że w celu rozpatrywania zgłoszeń oraz w celu zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem, członkowie personelu właściwych organów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, między innymi w kwestii mających zastosowanie przepisów o ochronie danych.
Natomiast w motywie 77 wskazano, że konieczne jest, aby członkowie personelu właściwego organu, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, oraz członkowie personelu właściwego organu, którzy mają prawo dostępu do informacji przekazanych przez osobę dokonującą zgłoszenia, przestrzegali obowiązku zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych zarówno w ramach właściwego organu, jak i poza ten organ.
Z kolei w art. 12 ust. 4 dyrektywy wskazano, że państwa członkowskie zapewniają, aby właściwe organy wyznaczyły członków personelu odpowiedzialnych za rozpatrywanie zgłoszeń, a w szczególności
odpowiedzialnych za:
a) przekazywanie wszystkim zainteresowanym osobom informacji na temat procedur dokonywania zgłoszeń;
b) przyjmowanie zgłoszeń i podejmowanie działań następczych w związku z tymi zgłoszeniami;
c) utrzymywanie kontaktu z osobą dokonującą zgłoszenia w celu przekazywania jej informacji zwrotnych i zwracania się, w razie potrzeby, o dalsze informacje.
Przepisy dyrektywy nie regulują natomiast kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami. W takiej sytuacji administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań. Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243).
Zgodnie bowiem z art. 38 ust. 6 RODO IOD może wykonywać „inne zadania i obowiązki”. W dalszej części przepisu występuje jednak zastrzeżenie, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.
Konflikt interesów następuje, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. Konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu koniecznego na ich wykonanie.
Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. W powołanych wyżej Wytycznych dotyczących IOD wskazane zostały przykłady takich stanowisk. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych.
Ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.
Administrator powinien przy tym uwzględnić m.in. następujące kryteria:
• organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej),
• merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD),
• czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania).
Odnosząc się do kryterium organizacyjnego, należy zauważyć, że w przypadku jednoczesnego pełnienia funkcji IOD i wykonywania innych zadań wykluczone jest rozwiązanie, w którym osoba taka podlegałaby np. dyrektorowi departamentu, kierownikowi działu lub jakiejkolwiek innej osobie (np. dyrektorowi generalnemu urzędu publicznego), która nie jest najwyższym kierownictwem w rozumieniu art. 38 ust. 3 RODO.
Podsumowując, należy wskazać, że administrator przed powierzeniem IOD wykonywania innych zadań powinien dokonać analizy, czy IOD będzie w stanie wykonywać prawidłowo swoje obowiązki. Nieprzeprowadzenie analizy w tym zakresie może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.
Na zakończenie warto zwrócić uwagę, że przewidziana w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania (…).
Oprac. BŁ