I. Sygnaliści – nowe obowiązki jednostek samorządu terytorialnego

Z dniem 25 września 2024 r. weszły w życie przepisy ustawy o ochronie sygnalistów (Dz.U. 2024, poz. 928), implementujące dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L 305 z 26.11.2019, str. 17, z późn. zm.). Ustawa ta nakłada na podmioty zatrudniające co najmniej 50 osób obowiązek wdrożenia systemu wewnętrznych zgłoszeń naruszeń prawa oraz ustanowienia bezpiecznych kanałów zgłaszania nieprawidłowości. Z obowiązku wyłączone zostały jednostki organizacyjne gmin lub powiatów liczących mniej niż 10 tys. mieszkańców.

Sygnalistą może być każda osoba fizyczna, która w kontekście zawodowym powzięła informacje o naruszeniach prawa i dokonała zgłoszenia – niezależnie od podstawy prawnej wykonywanej pracy. Ustawodawca przewidział ochronę również dla osób pomagających sygnaliście oraz osób z nim powiązanych. Ochrona ta obejmuje zakaz działań odwetowych, w tym m.in. pozbawienia awansu, obniżenia wynagrodzenia czy rozwiązania stosunku pracy.

W celu zapewnienia skuteczności nowych przepisów, jednostki samorządu terytorialnego zobowiązane są do wyznaczenia osób lub zespołów odpowiedzialnych za przyjmowanie zgłoszeń, ich rejestrację, prowadzenie postępowań wyjaśniających oraz komunikację z sygnalistą. Obowiązki te niosą istotne ryzyka organizacyjne i prawne, zwłaszcza w zakresie przetwarzania danych osobowych – co prowadzi do zasadniczego pytania: czy zadania te mogą zostać powierzone inspektorowi ochrony danych (IOD)?

II. Stanowisko UODO: warunkowa dopuszczalność powierzenia funkcji IOD zadań związanych z obsługą sygnalistów

Urząd Ochrony Danych Osobowych (UODO), odnosząc się do powyższego zagadnienia, opublikował stanowisko (https://uodo.gov.pl/pl/495/2415), zgodnie z którym co do zasady możliwe jest powierzenie IOD zadań związanych z obsługą zgłoszeń sygnalistów. Dopuszczalność taka ma jednak charakter warunkowy i wymaga uprzedniego przeprowadzenia starannej analizy pod kątem możliwego konfliktu interesów oraz wpływu nowych obowiązków na niezależność IOD.

Zgodnie z art. 38 ust. 6 RODO, inspektor może wykonywać inne zadania, o ile nie prowadzi to do konfliktu interesów. Konflikt ten może mieć charakter:

• organizacyjny – gdy IOD nie podlega bezpośrednio najwyższemu kierownictwu, lecz osobie odpowiedzialnej za inne, powierzone mu obszary;

• merytoryczny – gdy nowe obowiązki negatywnie wpływają na niezależne wykonywanie zadań IOD;

• czasowy – gdy nadmiar obowiązków powoduje, że IOD nie dysponuje czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków oraz stopnia ich skomplikowania.

Z kolei dyrektywa 2019/1937 wprost nie rozstrzyga kwestii łączenia funkcji IOD z funkcją osoby przyjmującej zgłoszenia sygnalistów. Niemniej jednak, zgodnie z motywami 74 i 77 oraz art. 12 ust. 4 dyrektywy, osoba odpowiedzialna za obsługę zgłoszeń powinna być odpowiednio przeszkolona, przestrzegać zasady poufności i prowadzić działania następcze w sposób profesjonalny. Brak sprzeczności formalnej nie oznacza jednak, że praktyczne wykonanie tych zadań przez IOD nie będzie problematyczne.

UODO wskazuje, że każdy przypadek powinien być oceniany indywidualnie, z uwzględnieniem m.in. stopnia skomplikowania sprawy, organizacyjnego umiejscowienia IOD, liczby przydzielonych zadań oraz dostępnych zasobów.

III. Ryzyka i trudności związane z łączeniem funkcji IOD i obsługującego zgłoszenia sygnalistów

W praktyce połączenie funkcji IOD z obowiązkami w zakresie obsługi zgłoszeń sygnalistów rodzi szereg wątpliwości:

1. Naruszenie zasady niezależności – IOD nie powinien uczestniczyć w procesach, w których wyznacza cele i sposoby przetwarzania danych. Tymczasem przyjmowanie zgłoszeń, prowadzenie postępowań wyjaśniających i podejmowanie decyzji o działaniach następczych to czynności operacyjne, mogące prowadzić do naruszenia tej zasady.

2. Samokontrola działalności IOD – zgłoszenia mogą dotyczyć nieprawidłowości w obszarze ochrony danych osobowych, w tym także niewłaściwego działania IOD. Sytuacja, w której inspektor prowadzi postępowanie wyjaśniające wobec siebie lub w zakresie, za który odpowiada, budzi istotne ryzyko braku obiektywizmu.

3. Nadmierne obciążenie IOD – wykonywanie obowiązków wynikających z RODO wymaga pełnego zaangażowania i dostępności czasowej. Obsługa sygnalistów – zwłaszcza w organizacjach o rozbudowanej strukturze – może skutkować niestarannym wykonaniem obowiązków IOD.

4. Brak właściwego nadzoru organizacyjnego – zgodnie z RODO, IOD powinien podlegać bezpośrednio najwyższemu kierownictwu. Włączenie go w struktury odpowiedzialne za compliance lub nadzór wewnętrzny może osłabić jego pozycję i niezależność w sprawowaniu powierzonej mu funkcji.

IV. Wnioski i rekomendacje

Z uwagi na powyższe, pomimo formalnej możliwości powierzenia IOD obowiązków związanych z obsługą zgłoszeń sygnalistów, należy z najwyższą ostrożnością podchodzić do takiego rozwiązania. Rekomendowane jest:

• dokonanie formalnej, udokumentowanej analizy potencjalnego konfliktu interesów;

• uwzględnienie kryteriów wskazanych przez UODO: niezależności, bezpośredniego podporządkowania, dostępności czasowej i braku sprzeczności z dotychczasowymi zadaniami;

• zapewnienie IOD wyłącznie doradczej roli w zakresie ochrony danych w procedurze zgłoszeniowej, bez powierzania mu kompetencji decyzyjnych lub operacyjnych.

Wdrożenie skutecznej i zgodnej z RODO procedury ochrony sygnalistów nie powinno odbywać się kosztem podstawowych zasad niezależności IOD. Utrzymanie przejrzystego rozdziału kompetencji pomiędzy funkcją compliance a funkcją nadzorczą w zakresie ochrony danych osobowych pozostaje warunkiem sine qua non prawidłowego funkcjonowania obu systemów.

 

Adw. Justyna Jabłonka
Kancelaria Wyrzykowscy

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.

Wiadomość została wysłana. Dziękujemy!

Wyrażam zgodę na przetwarzanie przez Advaiso sp. z o. o. moich danych w celu udzielenia odpowiedzi na przesłane pytanie, zgodnie z zasadami określonymi w Polityce prywatności*

Wyślij

Zobacz także

• Kiedy powstaje obowiązek podatkowy przy płatności kartą z „góry”?
• Czego m.in. możemy się dowiedzieć z Broszury informacyjnej dot. struktury JPK_VAT z deklaracją (JPK_V7)? Styczeń 2026 r.
• TSUE: w przypadku utrwalania obrazu przy pomocy kamer należy zrealizować obowiązek informacyjny z art. 13 RODO
• Wpłata wadium - kiedy rozpoznać obowiązek podatkowy w VAT?
• Nadanie uprawnień w KSeF przez jednostki samorządu terytorialnego
• KSEF a RODO. Na co należy zwrócić uwagę.
• Czy dostawa ciepła do lokali gminnych korzysta ze zwolnienia z VAT?
• Gminny program opieki nad zwierzętami bezdomnymi. Czas na uchwalenie tylko do 31 marca!
• Odpowiedź na interpelację poselską nr 13342 z w sprawie wiążącej informacji stawkowej (WIS) oraz praktyki organów Krajowej Informacji Skarbowej (KIS) utrudniającej ich uzyskanie.
• Grudniowe odpowiedzi na pytania zadane w ramach kolejnych interpelacji poselskich ws KSeF