Analiza konfliktu interesów IOD w realizacji procedury zgłoszeń naruszeń prawa

Prawo

dane

Kategoria

analiza

Instrukcja

Dokument analizuje konflikt interesów Inspektora Ochrony Danych (IOD) w przypadku powierzenia mu realizacji procedury zgłoszeń naruszeń prawa. W pierwszej kolumnie tabeli znajdują się czynniki uwzględniane w analizie. W drugiej kolumnie należy udzielić odpowiedzi na pytanie zawarte w pierwszej kolumnie, odnosząc się do specyfiki organizacji i ewentualnych przepisów. W trzeciej kolumnie należy sformułować wniosek wynikający z udzielonej odpowiedzi. W miejscu placeholdera [PRZEPIS] należy wpisać konkretny przepis, który wskazuje, że zgłoszenie może dotyczyć naruszenia przepisów o ochronie danych osobowych. W miejscu placeholdera [PRZEDMIOT] należy wpisać przykładowy przedmiot, który wykracza poza dziedzinę kompetencji IOD. W miejscu placeholdera [DZIAŁANIE] należy wpisać przykładowe działania, które mogą być niezbędne w przypadku naruszenia prawa. W miejscu placeholdera [CZYNNOŚĆ] należy wpisać czynność objętą procedurą przyjmowania i rozpatrywania naruszeń. W miejscu placeholdera [OKRES] należy określić ramy czasowe. W miejscu placeholdera [PRZEPIS] w ostatnim wierszu należy wpisać przepis, który mówi o zakazie selekcjonowania zadań IOD.

Dane

czynność, działanie, okres, przedmiot, przepis

Dokument pt. 'Analiza konfliktu interesów IOD w realizacji procedury zgłoszeń naruszeń prawa' skupia się na ocenie konfliktu interesów powstającego przy powierzeniu Inspektorowi Ochrony Danych (IOD) realizacji procedury zgłoszeń naruszeń prawa. Przeanalizowane zostają czynniki wpływające na możliwe konflikty i konsekwencje dla inspektora podczas wykonywania dodatkowych zadań. Omówione są również kwestie kompetencji IOD oraz wpływu dodatkowych obowiązków na jego działalność.

Analiza wystąpienia konfliktu interesów w przypadku powierzenia IOD-owi realizowania procedury zgłoszeń naruszeń prawa od sygnalistów

 

Czynniki uwzględniane w analizie

Odpowiedź

Wniosek

Czy IOD posiada kompetencje do realizowania zadań wskazanych w Procedurze?

IOD jest ekspertem w dziedzinie stosowania przepisów o ochronie danych osobowych. Przepisy [PRZEPIS] wskazują, że zgłoszenie może dotyczyć naruszenia tych przepisów, zatem w tym zakresie będzie on posiadać odpowiednie kompetencje.

Kompetencje inspektora nie obejmują znajomości przepisów wykraczających poza jego dziedzinę (np. dotyczących [PRZEDMIOT]), w związku z tym może nie posiadać wiedzy i kompetencji do oceny zasadności otrzymanego zgłoszenia.

Co do zasady IOD nie posiada wystarczającej wiedzy i kompetencji do weryfikacji zgłoszeń naruszeń prawa.

W przypadku powierzenia mu tej funkcji, niezbędne jest zapewnienie zespołu, który będzie w stanie dokonać merytorycznej oceny zgłoszenia. Inspektor nie może być samodzielnie odpowiedzialny za realizowanie Procedury.

Czy dodatkowe zadania zapewnią IOD-owi dostęp do informacji pozwalających mu ustalać cele i sposoby przetwarzania danych osobowych?

Przyjmowanie zgłoszeń nie będzie umożliwiało IOD-owi podejmowania decyzji w zakresie celów i sposobów przetwarzania danych.

Jeśli w wyniku postępowania okaże się, że doszło do naruszenia prawa, niezbędne będzie podjęcie działań, w szczególności:

• [DZIAŁANIE];

• [DZIAŁANIE];

• [DZIAŁANIE].

Te działania nie mogą być realizowane przez inspektora, nie powinien on także podejmować decyzji o ich realizacji, gdyż w obu przypadkach będzie to prowadzić do konfliktu interesów.

Procedura musi wyłączać IOD-a z procesu decydowania o działaniach przywracających stan zgodny z przepisami prawa.

Czy wykonywanie dodatkowych obowiązków będzie miało wpływ na wykonywanie zadań IOD-a?

Każde dodatkowe zadanie ma wpływ na wykonywanie zadań IOD-a. Do oceny, czy zachodzi konflikt interesów, niezbędne jest ocenienie, jak duże zaangażowanie będzie powodować realizowanie dodatkowych obowiązków.

Oceny należy dokonać w odniesieniu do wielkości podmiotu, zakresu jego działalności oraz liczby dotychczasowych zgłoszeń w zakresie naruszeń prawa. Jeżeli dodatkowo Procedura obejmuje przyjmowanie i rozpatrywanie naruszeń [CZYNNOŚĆ], należy uznać, że zaangażowanie będzie jeszcze większe.

Tylko w małych organizacjach, których zakres działalności i dotychczasowe doświadczenia nie wskazują na możliwą dużą liczbę zgłoszeń, możliwe będzie pogodzenie obowiązków IOD z dodatkowymi zadaniami.

W trakcie wykonywania dodatkowych zadań, tzn. po [OKRES] od obowiązywania Procedury, liczba zgłoszeń, a tym samym zaangażowanie IOD, może wzrosnąć. W takim wypadku należy natychmiast odsunąć IOD-a od wykonywania dodatkowych obowiązków i wyznaczyć inną osobę do realizowania Procedury.

Czy w związku z wykonywaniem dodatkowych zadań IOD będzie musiał dokonywać selekcji swoich obowiązków i odkładać niektóre z nich w czasie?

Zgłoszenia naruszeń prawa, tak jak naruszenia ochrony danych osobowych, pojawiają się nagle i angażują w dużym stopniu przez [OKRES]. Należy zatem przyjąć, że każde otrzymane zgłoszenie będzie zmuszać IOD-a do selekcji jego obowiązków, co jest niezgodne z [PRZEPIS].

Konieczność selekcjonowania zadań IOD-a w przypadku otrzymania zgłoszenia naruszenia prawa oznacza, że zachodzi konflikt interesów przy realizowaniu Procedury przez inspektora.

Czy będzie możliwe jednoczesne wsparcie administratora przy naruszeniu o ochronie danych osobowych oraz realizowanie Procedury przyjmowania zgłoszeń naruszeń prawa?

Nie można wykluczyć jednoczesnego wystąpienia naruszenia ochrony danych osobowych oraz zgłoszenia poważnego naruszenia prawa. Oba zdarzenia wymagają pełnego zaangażowania i są obciążające dla IOD-a. W przypadku ich jednoczesnego wystąpienia, inspektor powinien zająć się naruszeniem ochrony danych osobowych (to jego podstawowy obowiązek). Może to mieć negatywny wpływ na przebieg postępowania związanego z naruszeniem prawa.

Nie można pogodzić wykonywania zadań IOD-a przy jednoczesnym wystąpieniu naruszenia ochrony danych osobowych oraz otrzymaniu zgłoszenia naruszenia prawa.

Analiza konfliktu interesów w realizacji procedury zgłoszeń naruszeń prawa podkreśla potrzebę wyłączenia IOD-a z decydowania o działaniach przywracających stan zgodny z przepisami prawa. Dodatkowe zadania mogą mieć negatywny wpływ na wykonywanie zadań IOD, szczególnie w przypadku jednoczesnego wystąpienia naruszenia ochrony danych osobowych i zgłoszenia naruszenia prawa.