Czy IOD może obsługiwać zgłoszenia sygnalistów?
Państwa członkowskie UE mają dokonać transpozycji Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: „dyrektywa 2019/1937” do dnia 17 grudnia 2021 r. W Polsce wykonywać dyrektywę ma ustawa o ochronie osób zgłaszających naruszenia prawa, której projekt został opublikowany 18 października 2021 r. Nowe przepisy dotyczące gwarancji dla sygnalistów oraz postępowania z ich zgłoszeniami będą miały znaczenie dla kilku gałęzi prawa (prawo pracy, administracyjne i karne), w tym będą także określać zasady ochrony danych osobowych sygnalistów. Ponadto nowe przepisy wpłyną na różne aspekty stosowania przepisów o ochronie danych osobowych, w tym wykonywania swoich zadań przez inspektora ochrony danych.
Prezes UODO zajmuje stanowisko ws. dopuszczalności łączenia wykonywania funkcji IOD z realizacją obowiązków w zakresie obsługi zgłoszeń sygnalistów
Jedną z instytucji przepisów o ochronie danych osobowych jest inspektor ochrony danych, który wykonuje w sferze wewnętrznej administratorów i podmiotów przetwarzających określone w RODO zadania związane z zapewnieniem przestrzegania przepisów prawa i polityk ochrony danych. W związku z przepisami dyrektywy 2019/1937 dotyczącymi obowiązków w zakresie rozpatrywania zgłoszeń sygnalistów zasadne staje się pytanie, czy IOD może przyjmować ewentualne zawiadomienia takich osób o występowaniu nieprawidłowości w organizacji oraz prowadzić postępowania wyjaśniające dotyczące zgłaszanych przez nich naruszeń.
3 listopada 2021 r. na stronie internetowej Urzędu Ochrony Danych Osobowych opublikowano komunikat pt. „Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów?”. W stanowisku UODO odnosząc się do motywów preambuły do dyrektywy 2019/1937 wskazał wymagania, które muszą spełniać członkowie personelu pracodawcy odpowiedzialni za obsługę zgłoszeń sygnalistów (m.in. obowiązek odbycia specjalnego przeszkolenia). W komunikacie zwrócono natomiast uwagę, że „przepisy dyrektywy [2019/1937] nie regulują […] kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami”. Wydaje się, że organ co do zasady nie wyklucza możliwości realizowania przez IOD zadań dotyczących ochrony sygnalistów pod warunkiem, że administrator przed powierzeniem IOD takich obowiązków:
- podejmie działania w celu zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań;
- dokona indywidualnej oceny, czy przyjmowanie i rozpatrywanie zgłoszeń sygnalistów przez IOD w konkretnym stanie faktycznym nie prowadzi do powstania konfliktu interesów po jego stronie.
W omawianym stanowisku organ przypomniał kolejny raz podstawowe zasady dotyczące powierzania nowych obowiązków IOD oraz kryteria pozwalające ocenić, kiedy IOD nie będzie w stanie wypełniać powierzonych mu zadań w sposób niezależny. Co istotne, zdaniem UODO zakazany dla IOD konflikt interesów może występuje nie tylko ze względów merytorycznych (gdy inne zadanie uniemożliwia inspektorowi niezależne wykonywanie jego zadań), ale także „może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu koniecznego na ich wykonanie”.
Biorąc pod uwagę nie tylko stanowisko UODO z dnia 3 listopada 2021 r., ale także specyfikę obsługi zgłoszeń, należy jednak niezwykle ostrożnie podchodzić do nakładania na osoby pełniące funkcję IOD dodatkowych obowiązków dotyczących rozpatrywania zgłoszeń sygnalistów. W szczególności, że zgłaszane naruszenia mogą bowiem dotyczyć działań lub zaniechań w organizacji w zakresie ochrony danych osobowych, w tym sytuacji związanych z nieprawidłowym wykonywaniem obowiązków przez IOD. Nie można również zapomnieć, że do zadań IOD należy monitorowanie przestrzegania przepisów o ochronie danych osobowych, co z punktu widzenia unikania konfliktu interesów nie może prowadzić do ew. kontroli przez IOD zgodności własnej działalności związanej z obsługą zgłoszeń sygnalistów z przepisami o ochronie danych.
Z całym komunikatem na stronie UODO można zapoznać się tutaj.