Kolejny już projekt Ustawy o ochronie osób zgłaszających naruszenia prawa, potocznie zwanej ustawą o sygnalistach, dalej znajduje się w fazie konsultacji – na chwilę pisania niniejszego tekstu w Komitecie do Spraw Europejskich. Trudno powiedzieć, kiedy ustawa zostanie ostatecznie przyjęta, ale już teraz można, przynajmniej częściowo, mówić o spodziewanych obowiązkach z nią związanych. Jednym z nich jest utworzenie wewnętrznych kanałów dokonywania zgłoszeń naruszeń prawa, opisane w Rozdziale III Projektu. Obowiązek wdrożenia takiego rozwiązania dotyczy każdego takiego podmiotu, na rzecz którego wykonuje lub świadczy pracę co najmniej 50 osób (art. 23).
Od czasu wejścia w życie RODO w związku z obowiązkiem powołania Inspektora Ochrony Danych (IOD) wiele podmiotów zdecydowało się na outsourcing takiej funkcji do podmiotu zewnętrznego. W związku z powyższym, pojawia się pytanie o to, czy analogicznie można zlecić obsługę takiego kanału zewnętrznego temu samemu podmiotowi, który dostarcza usług IOD? Aby na nie odpowiedzieć , należy zwrócić uwagę na dwa elementy systemu obsługi skarg, o których mówi art. 25 Projektu:
- pierwszym jest przyjmowanie zgłoszeń o naruszeniu prawa. W tym przypadku art. 25 ust. 1 Projektu umożliwia wyznaczenie zewnętrznego podmiotu do obsługi takich zgłoszeń.
- drugim jest wyznaczenie osoby bądź jednostki organizacyjnej zdolnych do podejmowania działań następczych w związku z dokonanym zgłoszeniem – zgodnie z art. 25 ust 3 Projektu w tym drugim wypadku muszą znajdować się w strukturze organizacyjnej pracodawcy – tak by być w stanie podjąć faktyczne działania następcze. Zewnętrzny podmiot, przyjmujący zgłoszenie, może współpracować z takimi osobami i wspierać je w zakresie merytoryki czy w ustalaniu elementów związanych z danym zgłoszeniem, ale nie może całkowicie wyręczyć organizacji w podjęciu działań w celu usunięcia naruszenia prawa. Zewnętrzny podmiot nie będzie posiadał faktycznej możliwości podjęcia niektórych niezbędnych działań, nie posiadając odpowiedniego wpływu na organizację – niezbędnym byłoby faktyczne umieszczenie takiej osoby wewnątrz organizacji i wyposażenie jej w odpowiednie upoważnienia do działania, tym samym faktycznie negując sens wyznaczenia podmiotu zewnętrznego.
Sprawdź jak wdrożyć RODO w twojej organizacji
W większości przypadków zatem będziemy mówili jedynie o możliwości przekazania do podmiotu zewnętrznego obsługi samego przyjmowania zgłoszeń naruszenia prawa. Jeżeli chodzi o dopuszczalność łączenia stanowiska IOD z obsługą zgłoszeń, stanowisko w tej sprawie zajął Prezes UODO – Organ nie wyklucza takiego łączenia, o ile zachowana jest odpowiednia ostrożność w zapewnieniu wymagań związanych z funkcją IOD:
- Zagwarantowano, że IOD posiada warunki merytoryczne, organizacyjne i czasowe, pozwalające dalej wykonywać jego zadania
- Zagwarantowano, że przeprowadzona i odpowiednio udokumentowana została analiza, dotycząca pozycji IOD w takim wypadku i ze wskazuje ona na zachowanie niezależności i brak konfliktu interesów.
W przypadku skorzystania z usług podmiotu zewnętrznego, zapewnienie pierwszego z wymagań zagwarantowane może być przez odpowiednie postanowienia umowne i dochowanie staranności przy wyborze. Natomiast przeprowadzenie analizy braku konfliktu interesów nastąpić powinno we współpracy z podmiotem, któremu ewentualnie powierzy się wykonywanie obowiązków związanych z przyjmowaniem zgłoszeń. W każdym przypadku niezbędne będzie zachowanie niezależności IOD. Dodatkowo pamiętać należy że IOD jest instytucją o charakterze przede wszystkim doradczym, monitorującym przestrzeganie zasad ochrony danych. Zgodnie z opinią EROD wręcz wykluczonym jest jego zaangażowanie w określenie środków i celów przetwarzania – jako tworzące konflikt interesów. Tym samym raczej nie mógłby decydować samodzielnie o budowie elementów systemu raportowania. Z tym wymogiem wydaje się stać w sprzeczności także zamówienie całościowego systemu raportowania u podmiotu który wykonuje obowiązki IOD – co najmniej wymogi co do takiego systemu musi określić sama organizacja. Umowa z takim zewnętrznym podmiotem winna obejmować także szczegółowe postanowienia, dotyczące gwarancji niezależności.
Korzyścią z wyznaczenia tego samego podmiotu zewnętrznego będzie niewątpliwie ułatwienie sprostania wymogom związanym z ochroną danych. Każdy raport dotyczący naruszenia niejako „zaczyna swoje życie” jako dane osobowe – nawet jeżeli złożony jest anonimowo to obejmować będzie informację o osobie związanej z danym incydentem, często też osób trzecich. Dyrektywa 2019/1937 zwraca uwagę na taką rolę ochrony danych – wymagając przeszkolenia osób zaangażowanych w obsługę zgłoszeń wewnętrznych. W pewnym zakresie angażowanie IOD będzie zatem niezbędne.
Skorzystanie z usług podmiotu profesjonalnego pozwoli także na wdrożenie skuteczniejszego systemu ochrony sygnalistów.
By system zgłoszeń wewnętrznych działał w sposób skuteczny, musi obejmować zestaw elementów – skuteczne, gwarantujące anonimowość metody komunikacji, ochronę tożsamości sygnalisty na późniejszym etapie jak i wdrożenie w organizacji „kultury błędu” akceptującej wartość raportów pozwalających na poprawę wewnętrznego funkcjonowania (Berendt&Schiffner, 2021).
Współpraca z podmiotem profesjonalnym pozwoli wdrożyć te elementy skuteczniej, niż działanie na własną rękę. Warto przy tym zwrócić uwagę na fakt, że na wewnętrzny system raportowania nie należy patrzeć wyłącznie jako obciążenie dla organizacji, ale jako na coś co może przynieść wymierne korzyści, dając możliwość reakcji na faktyczne problemy i zarówno poprawić jakoś pracy, jak i ograniczyć szkody. Ryzyko poniesienia strat w związku z naruszeniami nie dotyczy przy tym wyłącznie dużych organizacji – wiele małych podmiotów jest równie, a nawet bardziej dotkniętych przez naruszenia prawa. Około 52% przypadków oszustw zostaje wykrytych jedynie dzięki raportowaniu wewnątrz organizacji (ACFE, 2016) a 60% oszustw popełnionych można powiązać ze słabością bądź brakiem mechanizmów kontroli (KPMG, 2020). Skuteczny system sygnalizowania może być zatem szansą, a nie tylko obowiązkiem prawnym.
