Niedawno weszły w życie postanowienia dyrektywy o sygnalistach, czyli dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Zgodnie z nią firmy zobowiązane do przestrzegania jej postanowień muszą wskazać osobę odpowiedzialną za przyjmowanie ewentualnych zgłoszeń sygnalistów. Uznaliśmy, że w naszym przedsiębiorstwie takie obowiązki może pełnić inspektor ochrony danych. Czy łączenie tych stanowisk jest dopuszczalne?
Tak. Inspektor ochrony danych (dalej: IOD) może zająć się również przyjmowaniem zgłoszeń od sygnalistów, ale pod warunkiem że jest to osoba posiadająca odpowiednie kompetencje, a nałożenie na nią dodatkowych obowiązków nie będzie negatywnie wpływać na jakość jej pracy w charakterze IOD. Ponadto trzeba upewnić się, że nie powstanie ryzyko konfliktu interesów pomiędzy obiema pełnionymi funkcjami przez tego pracownika.
Co mówi dyrektywa
Wskazówek, jak rozumieć powyższe stwierdzenia, należy szukać głównie w dyrektywie o sygnalistach (czyli dyrektywie 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii; Dz.Urz. UE z 2019 r. L 305, s. 17), jako że Polska wciąż nie przygotowała odpowiedniej ustawy ją implementującej (akt ten znajduje się obecnie w pracach w parlamencie). I tak w motywie 77 dyrektywy czytamy, że konieczne jest, aby członkowie personelu odpowiedzialni za rozpatrywanie zgłoszeń sygnalistów oraz członkowie personelu mający prawo dostępu do informacji przekazanych przez osobę dokonującą zgłoszenia przestrzegali obowiązku zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych zarówno w ramach właściwego organu, jak i poza ten organ.
Z kolei motyw 56 ww. aktu stanowi, że w przypadku mniejszych podmiotów zadanie przyjmowania zgłoszeń sygnalistów może być przekazane osobie, której stanowisko umożliwia zgłaszanie naruszeń bezpośrednio dyrektorowi organizacji. Dyrektywa wymienia, że może to być np.: dyrektor ds. zgodności z przepisami, dyrektor ds. zasobów ludzkich, urzędnik ds. etyki, urzędnik ds. prawnych lub ds. prywatności, dyrektor finansowy, dyrektor ds. audytu lub członek zarządu. A Tomasz Osiej, partner w kancelarii Osiej i Partnerzy, wyjaśnia, że wśród stanowisk, które mogą być łączone z przyjmowaniem zgłoszeń od sygnalistów, dyrektywa wskazuje te, których pozycja w organizacji umożliwia zgłaszanie naruszeń bezpośrednio dyrektorowi organizacji. Takim stanowiskiem jest m.in. funkcja IOD ‒ z uwagi na podległość bezpośredniemu kierownictwu. Co więcej: unijny ustawodawca wprost wymienia urzędnika ds. prywatności.
Kiedy niedopuszczalne
Niezwykle istotne jest jednak to, aby powierzając IOD wykonywanie równolegle zadań związanych z przyjmowaniem zgłoszeń sygnalistów, nie doszło w jego przypadku do konfliktu interesów, patrząc przez pryzmat pełnionych przez IOD funkcji. Niedawno zwracał na to uwagę prezes Urzędu Ochrony Danych Osobowych (UODO). W stanowisku opublikowanym na swojej stronie internetowej wskazał, że ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie, z uwzględnieniem konkretnych okoliczności. Możliwość zaistnienia takiego konfliktu powinna być też stale monitorowana.
Kiedy może dochodzić do konfliktu interesów? - Przykładowo, gdy zgłoszenie sygnalisty dotyczyłoby zaniedbań, jakich dopuścił się IOD. Wówczas nie powinien on uczestniczyć w rozpatrywaniu takiego zgłoszenia - wskazuje mec. Tomasz Osiej. I dodaje, że z decyzji o połączeniu stanowisk IOD i osoby kontaktowej dla sygnalistów administrator musi umieć się wytłumaczyć. Może to zrobić, przedstawiając np. przeprowadzoną wcześniej analizę możliwości połączenia tych funkcji w ramach organizacji. - Brak takiej analizy w przypadku wystąpienia konfliktu interesów będzie obciążał właśnie administratora, zgodnie z tzw. zasadą rozliczalności - podkreśla mec. Osiej. Administratorzy danych powinni też posiadać wewnętrzne procedury zapobiegania konfliktowi interesów.
Nadmiar obowiązków
Prezes UODO także wskazywał, że z „konfliktem interesów będziemy mieć do czynienia, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. Konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli ten musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu koniecznego na ich wykonanie”.
A o taki nadmiar obowiązków nietrudno. Ewa Żak-Lisewska, dyrektor ds. rozwoju w firmie braf.tech i ekspert w obszarze compliance, wskazuje, że dla efektywnego sprawowania funkcji zarówno IOD, jak i osoby obsługującej zgłoszenia sygnalistów ważne są: ciągłe doskonalenie oraz szkolenia, dostępność niezbędnych zasobów, a także aktywna obecność w firmie. - Wspólnym mianownikiem dla tych elementów jest po prostu czas, którego niedostatek może powodować osłabienie tych funkcji, błędy, a wręcz uniemożliwić prawidłowe działanie i narazić organizację na kary finansowe. Możliwość łączenia funkcji IOD z innymi zadaniami powinna więc być przez każdy podmiot indywidualnie przeanalizowana i uargumentowana - podkreśla Ewa Żak-Lisewska.
