Kolejny już projekt Ustawy o ochronie osób zgłaszających naruszenia prawa, potocznie zwanej ustawą o sygnalistach, dalej znajduje się w fazie konsultacji – na chwilę pisania niniejszego tekstu w Komitecie do Spraw Europejskich. Trudno powiedzieć, kiedy ustawa zostanie ostatecznie przyjęta, ale już teraz można, przynajmniej częściowo, mówić o spodziewanych obowiązkach z nią związanych. Jednym z nich jest utworzenie wewnętrznych kanałów dokonywania zgłoszeń naruszeń prawa, opisane w Rozdziale III Projektu. Obowiązek wdrożenia takiego rozwiązania dotyczy każdego takiego podmiotu, na rzecz którego wykonuje lub świadczy pracę co najmniej 50 osób (art. 23).
IOD Sygnaliści
Od czasu wejścia w życie RODO w związku z obowiązkiem powołania Inspektora Ochrony Danych (IOD) wiele podmiotów zdecydowało się na outsourcing takiej funkcji do podmiotu zewnętrznego. W związku z powyższym, pojawia się pytanie o to, czy analogicznie można zlecić obsługę takiego kanału zewnętrznego temu samemu podmiotowi, którego wcześniej wyznaczyło się jako zewnętrznego IOD?
Wyznaczenie IOD UODO
By odpowiedzieć na to pytanie, należy zwrócić uwagę na dwa elementy systemu obsługi skarg, o których mówi art. 25 Projektu:
- pierwszym jest przyjmowanie zgłoszeń o naruszeniu prawa. W tym przypadku art. 25 ust. 1 Projektu umożliwia wyznaczenie zewnętrznego podmiotu do obsługi takich zgłoszeń.
- drugim jest wyznaczenie osoby bądź jednostki organizacyjnej zdolnych do podejmowania działań następczych w związku z dokonanym zgłoszeniem – zgodnie z art. 25 ust 3 Projektu w tym drugim wypadku muszą znajdować się w strukturze organizacyjnej pracodawcy – tak by być w stanie podjąć faktyczne działania następcze. Zewnętrzny podmiot, przyjmujący zgłoszenie, może współpracować z takimi osobami i wspierać je w zakresie merytoryki czy w ustalaniu elementów związanych z danym zgłoszeniem ale nie może całkowicie wyręczyć organizacji w podjęciu działań w celu usunięcia naruszenia prawa. Zewnętrzny podmiot nie będzie posiadał faktycznej możliwości podjęcia niektórych niezbędnych działań, nie posiadając odpowiedniego wpływu na organizację – niezbędnym byłoby faktyczne umieszczenie takiej osoby wewnątrz organizacji i wyposażenie jej w odpowiednie upoważnienia do działania, tym samym faktycznie negując sens wyznaczenia podmiotu zewnętrznego.
Sprawdź jak wdrożyć RODO w twojej organizacji
UODO Sygnaliści
W większości przypadków zatem będziemy mówili jedynie o możliwości przekazania do podmiotu zewnętrznego obsługi samego przyjmowania zgłoszeń naruszenia prawa. Jeżeli chodzi o dopuszczalność wyznaczenia IOD jako tego samego podmiotu zewnętrznego jako obsługującego zgłoszenia, to stanowisko w tej sprawie zajął Prezes UODO w dniu 3 listopada 2021 r. Organ nie wyklucza takiego łączenia, o ile zachowana jest odpowiednia ostrożność:
- Według UODO IOD winien mieć zagwarantowane w takim wypadku warunki merytoryczne, organizacyjne i czasowe, pozwalające dalej wykonywać jego zadania
- Przeprowadzona i odpowiednio udokumentowana została analiza, dotycząca pozycji IOD w takim wypadku i wskazuje ona na zachowanie niezależności i brak konfliktu interesów.
Rejestr IOD
Brak jest zatem ścisłych wymagań formalnych – ten, kto może być IOD może teoretycznie obsługiwać zgłoszenia, o ile spełnione są powyższe warunki. W przypadku skorzystania z usług podmiotu zewnętrznego, zapewnienie pierwszego z wymagań zagwarantowane może być przez odpowiednie postanowienia umowne i dochowanie staranności przy wyborze. Natomiast przeprowadzenie analizy braku konfliktu interesów nastąpić winno we współpracy z podmiotem, któremu ewentualnie powierzy się wykonywanie obowiązków związanych z przyjmowaniem zgłoszeń. W każdym przypadku niezbędne będzie zachowanie niezależności IOD. Dodatkowo, jako że IOD jest funkcją o charakterze przede wszystkim doradczym, monitorującą przestrzeganie zasad ochrony to wręcz wykluczonym jest jego zaangażowanie w określenie środków i celów przetwarzania. Tym samym raczej nie mógłby decydować samodzielnie o budowie elementów systemu działań następczych. Warto przy tym zauważyć, że aktualnie zgłoszenie IOD do UODO nie wymaga wskazania tego, czy wykonuje on dalsze zadania, informacja taka nie jest w żadnym miejscu dostępna w rejestrze IOD.
Korzyścią z wyznaczenia tego samego podmiotu zewnętrznego będzie niewątpliwie ułatwienie sprostania wymogom związanym z ochroną danych. Każdy raport dotyczący naruszenia niejako „zaczyna swoje życie” jako dane osobowe – nawet jeżeli złożony jest anonimowo to obejmować będzie informację o osobie zaangażowanej w przetwarzanie danych. Dyrektywa 2019/1937 zwraca uwagę na taką rolę ochrony danych – wymagając przeszkolenia osób zaangażowanych w obsługę zgłoszeń wewnętrznych. W określonej formie zatem formie angażowanie IOD może być wręcz niezbędne.
Skorzystanie z usług podmiotu profesjonalnego pozwoli także na wdrożenie skuteczniejszego systemu ochrony sygnalistów. By system zgłoszeń wewnętrznych działał w sposób skuteczny, musi obejmować zestaw elementów – skuteczne, gwarantujące anonimowość metody komunikacji, ochronę tożsamości sygnalisty na późniejszym etapie jak i wdrożenie w organizacji „kultury błędu” akceptującej wartość raportów pozwalających na poprawę wewnętrznego funkcjonowania (Berendt&Schiffner, 2021). Współpraca z podmiotem profesjonalnym pozwoli wdrożyć te elementy skuteczniej, niż działanie na własną rękę.
Warto przy tym zwrócić uwagę na fakt, że na wewnętrzny system raportowania nie należy patrzeć wyłącznie jako obciążenie dla organizacji, ale jako na coś co może przynieść wymierne korzyści, dając możliwość reakcji na faktyczne problemy i zarówno poprawić jakoś pracy, jak i ograniczyć szkody. Ryzyko poniesienia strat w związku z naruszeniami nie dotyczy przy tym wyłącznie dużych organizacji – wiele małych podmiotów jest równie, a nawet bardziej dotkniętych przez naruszenia prawa. Około 52% przypadków oszustw zostaje wykrytych jedynie dzięki raportowaniu wewnątrz organizacji (ACFE, 2016) a 60% oszustw popełnionych można powiązać ze słabością bądź brakiem mechanizmów kontroli(KPMG, 2020). Skuteczny system sygnalizowania może być zatem szansą, a nie tylko obowiązkiem prawnym.