Follow Legal » Compliance » Łączenie funkcji IOD i Compliance Officera

Dynamiczne zmiany środowiska prawnego oraz zwiększająca się świadomość prawna przedsiębiorców, sprawiają, że coraz więcej organizacji świadomie zabezpiecza swoje funkcjonowanie poprzez powołanie Inspektora Danych Osobowych (IOD) i Compliance Oficera (CO). O ile powołanie pierwszej z funkcji może stanowić wypełnienie ciążącego na podmiotach obowiązku prawnego, o tyle funkcjonowanie drugiej, nie jest póki co uregulowane powszechnie obowiązującymi przepisami prawa. W ostatnich latach obserwujemy znaczący wzrost zainteresowania funkcją CO, która stanowi ważny element kontroli wewnętrznej w przedsiębiorstwie oraz jest realnym zabezpieczeniem interesów przedsiębiorców.

Jedną z bardziej wrażliwych kwestii dotyczących funkcjonowania IOD oraz CO jest możliwość łączenia obu stanowisk przez jedną osobę. Przepisy prawa nie zawierają jednak regulacji w tym obszarze. 

Z tego artykułu dowiesz się:

Czym zajmuje się Inspektor Danych Osobowych

Zakres zadań IOD został ściśle określony przepisami prawa. Zgodnie z art. 39 ust. 1 RODO, do zadań IOD należą m.in.: 

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników o ich obowiązkach
  • doradztwo w sprawie ochrony danych osobowych
  • monitorowanie przestrzegania RODO, innych przepisów o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego
  • podejmowanie działań zwiększających świadomość w zakresie ochrony danych osobowych
  • udział w postępowaniach wyjaśniających
  • przeprowadzanie szkoleń i audytów
  • udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania
  • aktywne uczestnictwo w procesach biznesowych związanych z przetwarzaniem danych osobowych
  • współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego.

Czy wiesz, że…

w sytuacjach wymienionych w art. 37 ust. 1 RODO, po stronie określonych podmiotów istnieje obowiązek powołania IOD. Niektóre podmioty muszą więc powołać IOD w swojej organizacji.

Nie można również zapomnieć, że do właściwego wykonywania obowiązków przez IOD niezbędne jest:

  • zagwarantowanie IOD odpowiedniej pozycji w strukturze organizacji – IOD musi podlegać on bezpośrednio kierownictwu administratora lub podmiotu przetwarzającego
  • wyposażenie IOD w odpowiednie zasoby – IOD powinien być wspierany w swoich działaniach, właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych, mieć wystarczającą ilość czasu na wykonywanie zadań, a także odpowiednie wsparcie finansowe, kadrowe i infrastrukturalne
  • zapewnienie aby funkcja była pełniona w sposób bezstronny i niezależny –  IOD nie może być związany otrzymywanymi instrukcjami, a także nie może być odwoływany ani karany za wypełnianie swoich zadań.

Czym zajmuje się Compliance Office

W obowiązujących przepisach prawa próżno szukać przepisów regulujących działania Compliance Officera. Źródłami, z których możemy czerpać wiedzę na temat tej funkcji, są m.in. rekomendacje Komisji Nadzoru Finansowego (kierowane do podmiotów regulowanych np. banków). Wskazane wytyczne mogą być więc stosowane jako dobre praktyki przy podejmowaniu decyzji o powołaniu Compliance Officera oraz wdrażaniu systemu CMS (Compliance Management System). Więcej informacji dotyczących wdrażania compliance w przedsiębiorstwie znajdziesz w naszym artykule Compliance w przedsiębiorstwie – dlaczego należy je wdrożyć?

Do głównych zadań Compliance Officera należą:

  • minimalizowanie ryzyka związanego z prowadzeniem działalności przedsiębiorstwa niezgodnie z przepisami prawa, a także z regulaminami i praktykami stosowanymi wewnątrz organizacji
  • dbanie o zgodność podejmowanych działań z przyjętymi normami etycznymi i społecznymi
  • edukacja pracowników organizacji pod kątem odpowiedzialności prawnej za podjęcie lub zaniechanie konkretnych działań.

Biorąc pod uwagę, że compliance jest w polskich firmach pojęciem ciągle rozwijającym się oraz silnie utożsamianym z funkcjonowaniem np. działów prawnych, częstą praktyką jest łączenie funkcji Compliance Officera ze stanowiskiem m.in. radcy prawnego, kierownika działu kontroli, kierownika działu zarządzania ryzykiem czy nawet Inspektora Ochrony Danych. Łączenie funkcji wynika także z chęci optymalizacji kosztowych po stronie przedsiębiorców. Przed podjęciem decyzji o łączeniu funkcji, przedsiębiorca powinien jednak dokonać analizy czy zespolenie określonych stanowisk nie będzie powodowało konfliktu interesów lub nie wpłynie negatywnie na prawidłową realizację dotychczasowych zadań. 

Zaleca się aby Compliance Officer podlegał bezpośrednio najwyższemu kierownictwu (sposób na zapewnienie bezstronności i niezależności oraz ułatwienie w procesie raportowania i monitorowania ryzyka), a w podmiotach regulowanych prezesowi zarządu.

Czy łączenie funkcji IOD i CO jest możliwe

Przepisy wprost nie zakazują łączenia funkcji IOD i CO. Art. 36 ust. 6 RODO wskazuje, że IOD może wykonywać inne zadania i obowiązki, ale jego przełożeni muszą zapewnić, by nie powodowały one konfliktu interesów.

Wymogi prawne stawiane IOD są wysokie, a łączenie tego stanowiska z inną funkcją może wpłynąć na bezstronność i prawidłowość sprawowania powierzonej funkcji. Dodatkowo, łączenie obu funkcji stawia pod znakiem zapytania po pierwsze możliwość zagwarantowania poufności działań prowadzonych przez IOD i CO oraz może powodować konflikt interesów w postaci kontrolowania jednej funkcji przez drugą. 

Podobne podejście jest prezentowane: 

  • w zaleceniach wydanych przez Grupę Roboczą Art. 29, w których wskazano, że IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. W zaleceniach zostały wymienione przykładowe stanowiska, których nie należy łączyć z funkcją IOD, a także wskazano dobre praktyki i działania, których podjęcie zmniejszy ryzyko naruszenia przepisów. 
  • przez polski Urząd Ochrony Danych Osobowych, który podziela stanowisko Grupy Roboczej Art. 29. UODO podkreśla także konieczność każdorazowego zbadania konkretnego przypadku oraz spełnienia wszystkich obowiązków wynikających z RODO (np. prawidłowe umiejscowienie IOD w strukturze organizacji oraz zapobieganie powstaniu konfliktu interesów)
  • przez inne organy nadzorcze. 28 kwietnia 2019 r. belgijski organ ds. danych osobowych nałożył na firmę Proximus S.A. karę grzywny w wysokości 50 000 EUR w związku z m.in. połączeniem funkcji IOD z innymi stanowiskami, w tym ze stanowiskiem szefa compliance. W uzasadnieniu organ wskazał, że tak obsadzone stanowisko IOD powoduje niewystarczające zaangażowanie w proces przetwarzania danych osobowych oraz zarządzania naruszeniami, a także brak gwarancji pełnej poufności. Podkreślono również wystąpienie konfliktu interesów. Uznano również, że wskutek połączenia stanowisk, IOD określa cele i sposoby przetwarzania danych osobowych, a to jest niezgodne z obowiązującymi przepisami.

Zarówno IOD jak i CO muszą aktywnie uczestniczyć w planowaniu działań biznesowych, a natłok pracy przy próbach pogodzenia dwóch funkcji może doprowadzić do zmniejszenia ich skuteczności. Obie funkcje ze względu na zakres zadań, powinny być usytuowane w strukturze organizacyjnej przedsiębiorstwa w taki sposób aby zagwarantować ich bezstronność i niezależność. 

Podsumowując, podjęcie decyzji o połączeniu funkcji IOD i CO powinno być poprzedzone analizą pod kątem prawidłowego i efektywnego sprawowania każdej z nich. Mając na uwadze rekomendacje wskazane powyżej oraz podejście europejskich organów nadzorczych, w naszej ocenie bezpieczniejszą opcją z punktu widzenia przedsiębiorcy jest  dążenie do rozdzielenia funkcji IOD i CO w celu zapewnienia niepodważalnej bezstronności, niezależności oraz efektywności działań wskazanych osób.

 

Jeśli masz jakiekolwiek wątpliwości związane z powołanie oraz funkcjonowaniem Inspektora Ochrony Danych i Compliance Officera zapraszamy do kontaktu z naszymi ekspertami.

 


Monika Walczak
Specjalistka ds. ochrony danych

Monika od 2019 r. zdobywała doświadczenie w kilku opolskich oraz wrocławskich kancelariach prawnych i windykacyjnych. Interesuje się obszarem prawa Internetu, danych osobowych oraz nowych technologii. więcej >>