Doczekaliśmy się ustawy o sygnalistach, więc rozpoczęło się procesowanie regulaminu obsługi zgłoszeń, której ten przepis wymaga. Bardzo ważne w całym procesie jest zapewnienie skutecznej ochrony tożsamości sygnalisty oraz osób, których dane będą przetwarzane w związku z działaniami następczymi. Jest to ważne nie tylko ze względu na przepisy o ochronie danych osobowych, ale uchronienie sygnalisty przed działaniami odwetowymi. A w przypadku fałszywych oskarżeń, uchronienie osoby pomówionej przez „sygnalistę” przed negatywnymi skutkami tego pomówienia.
Przepisy wymagają wprowadzenia kanału zgłoszeń naruszeń prawa, ale także wyznaczenia osoby lub osób, które będą odpowiedzialne za przyjmowanie i analizę zgłoszeń oraz przeprowadzających działania, wynikające z tego zgłoszenia (w ustawie zwane działaniami następczymi). I wiele organizacji stwierdza, że ma „idealnego kandydata” do obsługi zgłoszeń. Inspektor ochrony danych wydaje się idealny – jest niezależny w swoich działaniach, obiektywny, wie w jaki sposób zapewnić skuteczną ochronę tożsamości sygnalisty. Przepisy pozwalają na wykonywanie przez niego dodatkowych obowiązków… Moim zdaniem te zalety są jedynie pozorne. Jeżeli inspektor będzie rozpatrywać zgłoszenia sygnalistów, będzie brać aktywny udział w istotnym procesie przetwarzania u administratora. W tym będzie podejmować działania i decyzje, wynikające ze zgłoszenia. Zatem będzie zaangażowany w istotny z perspektywy przepisów o ochronie danych osobowych obszar, którego nie będzie już mógł obiektywnie audytować. I nastąpi konflikt interesów przy wykonywaniu przez niego zadań. Na początku zaangażowanie IOD może nie być bardzo widoczne. Jednak przy pierwszym, poważnym zgłoszeniu, okaże się, że problem wymaga na tyle dużego udziału inspektora, że będzie to ograniczać możliwość wykonywania przez niego zadań z art. 39 RODO. Poza tym ktoś powinien odpowiadać za monitorowanie tak bardzo newralgicznego pod względem zapewnienia ochrony danych osobowych obszaru. Nie będzie mógł już tego robić inspektor, jako osoba odpowiadająca za ten proces.
Uważam natomiast, że dopuszczalne jest, przy spełnieniu pewnych warunków (tzn. gdy nie będzie to zbytnio angażujące, a sam IOD nie będzie zaangażowany w inne procesy przetwarzania), aby inspektor przyjmował, rejestrował i anonimizował zgłoszenia, przed przekazaniem do komisji, która będzie je weryfikować. Jego rola mogłaby ograniczyć się do przyjmowania zgłoszeń, doradzania komisji i przekazywania informacji zwrotnej sygnaliście. W takim wypadku inspektor byłby jedynie punktem kontaktowym, natomiast nie brałby czynnego udziału w działaniach następczych. Co ważne, jeżeli zgłoszeń byłoby dużo, moim zdaniem powinna zostać wyznaczona odrębna osoba, gdyż nadmiernie angażowałoby ty inspektora.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.