Analiza konfliktu interesów IOD w realizacji procedury zgłoszeń naruszeń prawa

Prawo

dane

Kategoria

analiza

Klucze

dodatkowe obowiązki, dostęp do informacji, iod, kompetencje, konflikt interesów, naruszenie prawa, procedura zgłoszeń, selekcja zadań, wsparcie administratora

Dokument "Analiza konfliktu interesów IOD w realizacji procedury zgłoszeń naruszeń prawa" analizuje zagadnienia związane z identyfikacją oraz rozwiązywaniem konfliktów interesów w procesie realizacji procedury zgłoszeń naruszeń prawa. Omawia istotne kwestie związane z odpowiedzialnością oraz procedurami postępowania w przypadku konfliktu interesów, mając na uwadze etyczne i prawne normy obowiązujące w organizacji.

Analiza wystąpienia konfliktu interesów w przypadku powierzenia IOD-owi realizowania procedury zgłoszeń naruszeń prawa od sygnalistów

Czynniki uwzględniane w analizie                           Odpowiedź                                                Wniosek

Czy IOD posiada kompetencje do realizowania zadań wskazanych w Procedurze?     IOD jest ekspertem w dziedzinie stosowania przepisów o ochronie danych osobowych. Przepisy RODO wskazują że zgłoszenie może dotyczyć naruszenia tych przepisów, zatem w tym zakresie będzie on posiadać odpowiednie kompetencje.    Co do zasady IOD nie posiada wystarczającej wiedzy i kompetencji do weryfikacji zgłoszeń naruszeń prawa.

                                               Kompetencje inspektora nie obejmują znajomości przepisów wykraczających poza jego dziedzinę (np. dotyczących prawa pracy), w związku z tym może nie posiadać wiedzy i kompetencji do oceny zasadności otrzymanego zgłoszenia.      W przypadku powierzenia mu tej funkcji, niezbędne jest zapewnienie zespołu, który będzie w stanie dokonać merytorycznej oceny zgłoszenia. Inspektor nie może być samodzielnie odpowiedzialny za realizowanie Procedury.

Czy dodatkowe zadania zapewnią IOD-owi dostęp do informacji pozwalających mu ustalać cele i sposoby przetwarzania danych osobowych?    Przyjmowanie zgłoszeń nie będzie umożliwiało IOD-owi podejmowania decyzji w zakresie celów i sposobów przetwarzania danych.        Procedura musi wyłączać IOD-a z procesu decydowania o działaniach przywracających stan zgodny z przepisami prawa.

                                               Jeśli w wyniku postępowania, okaże się, że doszło do naruszenia prawa, niezbędne będzie podjęcie działań, w szczególności:

                                               • wdrożenie dodatkowych zabezpieczeń;

                                               • przeprowadzenie szkoleń dla pracowników;

                                               • zmiana wewnętrznych procedur.

                                               Te działania nie mogą być realizowane przez inspektora, nie powinien on także podejmować decyzji o ich realizacji, gdyż w obu przypadkach będzie to prowadzić do konfliktu interesów.

Czy wykonywanie dodatkowych obowiązków będzie miało wpływ na wykonywanie zadań IOD-a?    Każde dodatkowe zadanie ma wpływ na wykonywanie zadań IOD-a. Do oceny, czy zachodzi konflikt interesów, niezbędne jest ocenienie, jak duże zaangażowanie będzie powodować realizowanie dodatkowych obowiązków.     Tylko w małych organizacjach, których zakres działalności i dotychczasowe doświadczenia nie wskazują na możliwą dużą liczbę zgłoszeń, możliwe będzie pogodzenie obowiązków IOD z dodatkowymi zadaniami.

                                               Oceny należy dokonać w odniesieniu do wielkości podmiotu, zakresu jego działalności oraz liczby dotychczasowych zgłoszeń w zakresie naruszeń prawa. Jeżeli dodatkowo Procedura obejmuje przyjmowanie i rozpatrywanie naruszeń bezpieczeństwa informacji, należy uznać, że zaangażowanie będzie jeszcze większe.    W trakcie wykonywania dodatkowych zadań, tzn. po 6 miesiącach od obowiązywania Procedury, liczba zgłoszeń, a tym samym zaangażowanie IOD, może wzrosnąć. W takim wypadku należy natychmiast odsunąć IOD-a od wykonywania dodatkowych obowiązków i wyznaczyć inną osobę do realizowania Procedury.

Czy w związku z wykonywaniem dodatkowych zadań IOD będzie musiał dokonywać selekcji swoich obowiązków i odkładać niektóre z nich w czasie?    Zgłoszenia naruszeń prawa, tak jak naruszenia ochrony danych osobowych, pojawiają się nagle i angażują w dużym stopniu przez kilka dni. Należy zatem przyjąć, że każde otrzymane zgłoszenie będzie zmuszać IOD-a do selekcji jego obowiązków, co jest niezgodne z art. 38 ust. 6 RODO.    Konieczność selekcjonowania zadań IOD-a w przypadku otrzymania zgłoszenia naruszenia prawa oznacza, że zachodzi konflikt interesów przy realizowaniu Procedury przez inspektora.

Czy będzie możliwe jednoczesne wsparcie administratora przy naruszeniu o ochronie danych osobowych oraz realizowanie Procedury przyjmowania zgłoszeń naruszeń prawa?   Nie można wykluczyć jednoczesnego wystąpienia naruszenia ochrony danych osobowych oraz zgłoszenia poważnego naruszenia prawa. Oba zdarzenia wymagają pełnego zaangażowania i są obciążające do IOD-a. W przypadku ich jednoczesnego wystąpienia, inspektor powinien zająć się naruszeniem ochrony danych osobowych (to jego podstawowy obowiązek). Może to mieć negatywny wpływ na przebieg postępowania związanego z naruszeniem prawa.  Nie można pogodzić wykonywania zadań IOD-a przy jednoczesnym wystąpieniu naruszenia ochrony danych osobowych oraz otrzymaniu zgłoszenia naruszenia prawa.

Podsumowując, dokument "Analiza konfliktu interesów IOD w realizacji procedury zgłoszeń naruszeń prawa" stanowi kompleksową analizę tematyki konfliktu interesów oraz proponuje wytyczne dotyczące skutecznej identyfikacji i zarządzania sytuacjami konfliktowymi. Zapewniając jasne ramy postępowania, dokument ten wspiera działania organizacji w promowaniu transparentności i rzetelności w zakresie zgłaszania naruszeń prawa.