Czy inspektor ochrony danych osobowych może obsługiwać zgłoszenia sygnalistów?

25 września 2024 r. zaczęła obowiązywać ustawa o ochronie sygnalistów, której przepisy zobligowały organizacje, zarówno te publiczne, jak i prywatne, do wdrożenia kanałów obsługi zgłoszeń wewnętrznych dokonywanych przez osoby chcące zgłosić naruszenia. W związku z tym pojawiło się pytanie jak zorganizować cały proces oraz kogo delegować do obsługi zgłoszeń sygnalistów.

Osoby przyjmujące zgłoszenia naruszeń dokonywane przez sygnalistów

Podmioty prawne, które podlegają wdrożeniu obsługi kanałów zgłoszeń wewnętrznych, rozpoczęły organizowanie całego procesu od przygotowania procedury. Jednym z najważniejszych wyzwań stało się wskazanie osoby lub zespołu osób, które odpowiadałyby za przyjmowanie zgłoszeń dokonanych przez sygnalistów, a następnie dokonywałyby weryfikacji przesłanych zgłoszeń i podejmowały ewentualne działania następcze. Całość tego procesu musi się odbywać z zachowaniem tajemnicy zawodowej i zasad poufności, a osoby odpowiedzialne powinny się także wykazać wiedzą z zakresu ochrony danych osobowych.

Niektóre z organizacji zadania wynikające z ustawy o ochronie sygnalistów powierzyły powołanym w ich szeregach inspektorom ochrony danych osobowych. Takie podejście może ułatwić zrealizowanie obowiązków, które ustawa o ochronie sygnalistów nakłada na podmioty otrzymujące zgłoszenia. Wraz z wpłynięciem zgłoszenia naruszenia, stają się one bowiem administratorami danych osobowych sygnalistów. W związku z tym muszą wypełnić wobec sygnalistów obowiązek informacyjny, a także odpowiednio opisać proces w rejestrze czynności przetwarzania, czy też przeprowadzić analizę ryzyka dla takiej czynności.

Inspektor ochrony danych osobowych a obsługa zgłoszeń sygnalistów

Do sprawy powierzenia obowiązków obsługi procesu zgłoszeń sygnalistów inspektorom danych osobowych odniósł się Urząd Ochrony Danych Osobowych. Według  jego stanowiska takie połączenie funkcji nie jest zakazane, administrator danych musi jednak rozważyć, czy nie będzie w tym przypadku dochodziło do konfliktu interesów. Podmiot prawny, przed rozszerzeniem zakresu obowiązków dla inspektora ochrony danych osobowych,  musi zatem dokonać analizy
w zakresie:

  • prawidłowego pogodzenia obowiązków wynikających z realizacji zadań IODO, a także tych wynikających z przyjmowania i weryfikacji zgłoszeń sygnalistów – nie może bowiem dochodzić do żadnych sprzeczności;
  • wykonywania zadań w sposób niezależny (tj. realizacja zadań na określonym stanowisku nie może włączać IODO w określanie celów i sposobów przetwarzania danych osobowych).

Należy przy tym pamiętać, że konflikt interesu może nastąpić w trakcie realizacji obowiązków przez IODO, dlatego też proces ten musi być stale monitorowany. Ocenie powinien zostać poddany aspekt organizacyjny (niepodleganie inspektora najwyższemu kierownictwu), aspekt czasowy (tj. posiadanie wystarczającego czasu na realizację wszystkich zadań przez inspektora) oraz aspekt merytoryczny (ewentualne kolidowanie innych obowiązków z zadaniami IODO)[1].

[1] Ustawa z dnia 14 czerwca 2024 o ochronie sygnalistów (Dz. U. 2024 poz. 928)

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość