Analiza konfliktu interesów IOD w realizacji procedury zgłoszeń naruszeń prawa
- Prawo
dane
- Kategoria
analiza
- Instrukcja
Dokument analizuje konflikt interesów Inspektora Ochrony Danych (IOD) w przypadku powierzenia mu realizacji procedury zgłoszeń naruszeń prawa. W pierwszej kolumnie tabeli znajdują się czynniki uwzględniane w analizie. W drugiej kolumnie należy udzielić odpowiedzi na pytanie zawarte w pierwszej kolumnie, odnosząc się do specyfiki organizacji i ewentualnych przepisów. W trzeciej kolumnie należy sformułować wniosek wynikający z udzielonej odpowiedzi. W miejscu placeholdera [PRZEPIS] należy wpisać konkretny przepis, który wskazuje, że zgłoszenie może dotyczyć naruszenia przepisów o ochronie danych osobowych. W miejscu placeholdera [PRZEDMIOT] należy wpisać przykładowy przedmiot, który wykracza poza dziedzinę kompetencji IOD. W miejscu placeholdera [DZIAŁANIE] należy wpisać przykładowe działania, które mogą być niezbędne w przypadku naruszenia prawa. W miejscu placeholdera [CZYNNOŚĆ] należy wpisać czynność objętą procedurą przyjmowania i rozpatrywania naruszeń. W miejscu placeholdera [OKRES] należy określić ramy czasowe. W miejscu placeholdera [PRZEPIS] w ostatnim wierszu należy wpisać przepis, który mówi o zakazie selekcjonowania zadań IOD.
- Dane
czynność, działanie, okres, przedmiot, przepis
Dokument pt. 'Analiza konfliktu interesów IOD w realizacji procedury zgłoszeń naruszeń prawa' skupia się na ocenie konfliktu interesów powstającego przy powierzeniu Inspektorowi Ochrony Danych (IOD) realizacji procedury zgłoszeń naruszeń prawa. Przeanalizowane zostają czynniki wpływające na możliwe konflikty i konsekwencje dla inspektora podczas wykonywania dodatkowych zadań. Omówione są również kwestie kompetencji IOD oraz wpływu dodatkowych obowiązków na jego działalność.
Analiza wystąpienia konfliktu interesów w przypadku powierzenia IOD-owi realizowania procedury zgłoszeń naruszeń prawa od sygnalistów
Czynniki uwzględniane w analizie |
Odpowiedź |
Wniosek |
Czy IOD posiada kompetencje do realizowania zadań wskazanych w Procedurze? |
IOD jest ekspertem w dziedzinie stosowania przepisów o ochronie danych osobowych. Przepisy [PRZEPIS] wskazują, że zgłoszenie może dotyczyć naruszenia tych przepisów, zatem w tym zakresie będzie on posiadać odpowiednie kompetencje. Kompetencje inspektora nie obejmują znajomości przepisów wykraczających poza jego dziedzinę (np. dotyczących [PRZEDMIOT]), w związku z tym może nie posiadać wiedzy i kompetencji do oceny zasadności otrzymanego zgłoszenia. |
Co do zasady IOD nie posiada wystarczającej wiedzy i kompetencji do weryfikacji zgłoszeń naruszeń prawa. W przypadku powierzenia mu tej funkcji, niezbędne jest zapewnienie zespołu, który będzie w stanie dokonać merytorycznej oceny zgłoszenia. Inspektor nie może być samodzielnie odpowiedzialny za realizowanie Procedury. |
Czy dodatkowe zadania zapewnią IOD-owi dostęp do informacji pozwalających mu ustalać cele i sposoby przetwarzania danych osobowych? |
Przyjmowanie zgłoszeń nie będzie umożliwiało IOD-owi podejmowania decyzji w zakresie celów i sposobów przetwarzania danych. Jeśli w wyniku postępowania okaże się, że doszło do naruszenia prawa, niezbędne będzie podjęcie działań, w szczególności: • [DZIAŁANIE]; • [DZIAŁANIE]; • [DZIAŁANIE]. Te działania nie mogą być realizowane przez inspektora, nie powinien on także podejmować decyzji o ich realizacji, gdyż w obu przypadkach będzie to prowadzić do konfliktu interesów. |
Procedura musi wyłączać IOD-a z procesu decydowania o działaniach przywracających stan zgodny z przepisami prawa. |
Czy wykonywanie dodatkowych obowiązków będzie miało wpływ na wykonywanie zadań IOD-a? |
Każde dodatkowe zadanie ma wpływ na wykonywanie zadań IOD-a. Do oceny, czy zachodzi konflikt interesów, niezbędne jest ocenienie, jak duże zaangażowanie będzie powodować realizowanie dodatkowych obowiązków. Oceny należy dokonać w odniesieniu do wielkości podmiotu, zakresu jego działalności oraz liczby dotychczasowych zgłoszeń w zakresie naruszeń prawa. Jeżeli dodatkowo Procedura obejmuje przyjmowanie i rozpatrywanie naruszeń [CZYNNOŚĆ], należy uznać, że zaangażowanie będzie jeszcze większe. |
Tylko w małych organizacjach, których zakres działalności i dotychczasowe doświadczenia nie wskazują na możliwą dużą liczbę zgłoszeń, możliwe będzie pogodzenie obowiązków IOD z dodatkowymi zadaniami. W trakcie wykonywania dodatkowych zadań, tzn. po [OKRES] od obowiązywania Procedury, liczba zgłoszeń, a tym samym zaangażowanie IOD, może wzrosnąć. W takim wypadku należy natychmiast odsunąć IOD-a od wykonywania dodatkowych obowiązków i wyznaczyć inną osobę do realizowania Procedury. |
Czy w związku z wykonywaniem dodatkowych zadań IOD będzie musiał dokonywać selekcji swoich obowiązków i odkładać niektóre z nich w czasie? |
Zgłoszenia naruszeń prawa, tak jak naruszenia ochrony danych osobowych, pojawiają się nagle i angażują w dużym stopniu przez [OKRES]. Należy zatem przyjąć, że każde otrzymane zgłoszenie będzie zmuszać IOD-a do selekcji jego obowiązków, co jest niezgodne z [PRZEPIS]. |
Konieczność selekcjonowania zadań IOD-a w przypadku otrzymania zgłoszenia naruszenia prawa oznacza, że zachodzi konflikt interesów przy realizowaniu Procedury przez inspektora. |
Czy będzie możliwe jednoczesne wsparcie administratora przy naruszeniu o ochronie danych osobowych oraz realizowanie Procedury przyjmowania zgłoszeń naruszeń prawa? |
Nie można wykluczyć jednoczesnego wystąpienia naruszenia ochrony danych osobowych oraz zgłoszenia poważnego naruszenia prawa. Oba zdarzenia wymagają pełnego zaangażowania i są obciążające dla IOD-a. W przypadku ich jednoczesnego wystąpienia, inspektor powinien zająć się naruszeniem ochrony danych osobowych (to jego podstawowy obowiązek). Może to mieć negatywny wpływ na przebieg postępowania związanego z naruszeniem prawa. |
Nie można pogodzić wykonywania zadań IOD-a przy jednoczesnym wystąpieniu naruszenia ochrony danych osobowych oraz otrzymaniu zgłoszenia naruszenia prawa. |
Analiza konfliktu interesów w realizacji procedury zgłoszeń naruszeń prawa podkreśla potrzebę wyłączenia IOD-a z decydowania o działaniach przywracających stan zgodny z przepisami prawa. Dodatkowe zadania mogą mieć negatywny wpływ na wykonywanie zadań IOD, szczególnie w przypadku jednoczesnego wystąpienia naruszenia ochrony danych osobowych i zgłoszenia naruszenia prawa.