Kategorie

Łączenie funkcji oficera Compliance lub Inspektora Ochrony Danych z innymi funkcjami w organizacji

Paweł Bronisław Ludwiczak
Radca prawny, specjalizujący się w tematach związanych z obsługą prawną przedsiębiorców, prawem korporacyjnym, zamówieniami in house, publicznym transportem zbiorowym i Compliance.
Łączenie funkcji oficera Compliance lub Inspektora Ochrony Danych z innymi funkcjami w organizacji /Fot. Shutterstock
W praktyce często bywa, że stanowisko oficera Compliance bywa łączone z innymi stanowiskami. Najczęściej ze stanowiskiem radcy prawnego, kierownika działu kontroli, kierownika działu audytu, kierownika działu zarządzania ryzykiem lub stanowiskiem Inspektora Ochrony Danych. Jest to spowodowane różnymi względami, np. wielkością, potrzebami i możliwościami Spółki.

Powstaje więc pytanie o prawidłowość tej praktyki i ewentualne związane z tym ryzyka.

Na pewno stanowisko oficera Compliance, radcy prawnego, kierownika działu kontroli, kierownika działu audytu, kierownika działu zarządzania ryzykiem lub Inspektora Ochrony Danych:

  1. wymaga odpowiednich kwalifikacji, w szczególności wiedzy fachowej na temat prawa i praktyki z danych dziedzin,
  2. może być powierzone członkowi personelu podmiotu lub być wykonywane na podstawie umowy o świadczenie usług,
  3. wymaga, by osoby na tych stanowiskach:
    1. były właściwie i niezwłocznie włączane we wszystkie sprawy dotyczące ich zakresu obowiązków i uprawnień,
    2. miały zapewnione zasoby niezbędne do wykonania swych zadań oraz dostęp do danych i operacji,
    3. miały zapewnione zasoby niezbędne do utrzymania swej wiedzy fachowej,
  4. powinno podlegać bezpośrednio najwyższemu kierownictwu.

To są elementy wspólne dla tych funkcji (abstrahując, że dla części są obligatoryjne, a dla części są zalecane w ramach dobrych praktyk).

Polecamy: Nowa matryca stawek VAT

Radca prawny, Inspektor Ochrony Danych Osobowych nie mogą, a oficer Compliance nie powinien:

  1. otrzymywać (odpowiednio) instrukcji dotyczących treści opinii prawnej, wykonywania zadań Inspektora Ochrony Danych lub Oficera Compliance,
  2. być karani za wypełnienie swoich zadań.
Reklama

Radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej. Natomiast Inspektor Ochrony Danych, kierownik działu kontroli, kierownik działu audytu, kierownik działu zarządzania ryzykiem i oficer Compliance są obowiązani do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

Radcy prawnemu nie można polecać wykonania czynności wykraczającej poza zakres pomocy prawnej. Dlatego istnieją wątpliwości czy np. radca prawny może być jednocześnie oficerem Compliance lub Inspektorem Danych Osobowych. Natomiast na pewno radca prawny nie powinien być jednocześnie kierownikiem działu kontroli, kierownikiem działu audytu lub kierownikiem działu zarządzania ryzykiem. Osobiście uważam, że można łączyć funkcję radcy prawnego i oficera Compliance. Oczywiście należy pamiętać o zapobieganiu konfliktowi interesów i przestrzeganiu zasad etyki przez radcę prawnego. Natomiast nie zalecam łączenia w jednej organizacji łączenia funkcji radca prawnego i Inspektora Ochrony Danych Osobowych.

Inspektor ochrony danych lub oficer Compliance może wykonywać inne zadania i obowiązki. Przy czym należy zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Dlatego funkcje te teoretycznie i pod pewnymi warunkami mogą być łączone ze sobą lub ze stanowiskiem kierownika działu kontroli, kierownika działu audytu lub kierownika działu zarządzania ryzykiem.

Niestety, przy łączeniu dwóch lub więcej powyższych stanowisk istnieje potencjalne ryzyko konfliktu interesów. Dlatego osobie której powierzono jednocześnie dwie lub więcej funkcji (np. oficera Compliance i Inspektora Ochrony Danych, radcy prawnego i oficera Compliance itd.) powinna odpowiednio wcześniej identyfikować te ryzyka i im zapobiegać.

Ponadto organizacja powinna przyjąć stosowne procedury zapobiegające konfliktom interesów.

Reklama

Zwracam uwagę, że łączenie przedmiotowych funkcji wymaga szerszych kwalifikacji, większej aktywności i częstszego szkolenia się. Ponadto wymaga od osoby łączącej różne funkcje aby wykazywała stosowną aktywność w każdej ze swych funkcji, np. łączenie funkcji oficera Compliance i Inspektora Danych Osobowych nie może powodować osłabieniem lub likwidacją aktywności danej osoby ani jako Inspektora Danych Osobowych ani jako oficera Compliance. Często może to być wyzwanie niemożliwe do spełnienia.

Należy nadmienić, że po orzeczeniu belgijskiego organu ochrony pojawiły się głosy, że mamy „zakaz łączenia funkcji IOD z funkcja Compliance”. Należy to uznać za błędną tezę.

Belgijski organ właściwy do spraw ochrony danych osobowych nałożył karę w wysokości 50.000 euro na belgijskiego operatora telekomunikacyjnego – Proximus S.A. Belgijski organ stwierdził, że Inspektor Ochrony Danych:

1) jednocześnie zarządzał departamentami audytu wewnętrznego, zarządzania ryzykiem i zgodności,

2) był w niewystarczający, stopniu zaangażowany w swoją pracę (był nieaktywny jako Inspektor Danych Osobowych),

3) nie sprawował swej funkcji w sposób niezależny oraz zapobiegający konfliktowi interesów i zagrożeniom dla tajemnic służbowych oraz poufności w stosunku do pracowników podmiotu.

Ponadto ukarana Spółka nie miała procedury dotyczącej naruszeń danych osobowych, ani polityki, która zapobiegałaby występowaniu konfliktów interesów. Belgijski organ podkreślił (w ślad m.in. za Grupą Roboczą art. 29 ds. ochrony danych osobowych), że:

      1. Inspektor Ochrony Danych nie może zajmować w organizacji stanowiska pociągającego za sobą określenie sposobów i celów przetwarzania danych osobowych. Grupa robocza wskazała przykłady takich stanowisk, tj. a) stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), b) niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych.
      2. inne obowiązki Inspektora Ochrony Danych nie mogą powodować konfliktu interesów (to jest obowiązek Administratora).

Czyli jak to często bywa, odpowiedź brzmi: stanowiska oficera Compliance, Inspektora Ochrony Danych, radcy prawnego, kierownika działu kontroli, kierownika działu audytu lub kierownika działu zarządzania ryzykiem teoretycznie mogą być, w niektórych przypadkach, powierzane jednej osobie ale w praktyce nie zawsze i zawsze pod pewnymi warunkami. Część praktyków i doktryny uważa, że praktycznie nigdy. Ja osobiście uważa, że warto zawsze indywidulanie ocenić to w każdej organizacji, a w przypadku łączenia funkcji należy m.in. zapobiegać konfliktom interesów, zapewnić m.in. zwiększone zasoby, np. zapewniając odpowiedni zespół aby osoba ta mogła stale i aktywnie wypełniać wszystkie swe zadania. Bez podjęcia tych i innych działań aby zminimalizować ryzyka związane z tym rozwiązaniem zdecydowanie odradzam jakiekolwiek łączenie ww. funkcji.

Na przykład, w przypadku łączenie innych funkcji ze stanowiskiem Inspektora Ochrony Danych, zgodnie z opinią Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 stycznia 2019 r., powinny być uwzględnione trzy kryteria:

  1. organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej),
  2. merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD),
  3. czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania).

Analogicznie podobne kryteria należy spełnić w przypadku łączenia innych funkcji ze stanowiskiem oficera Compliance.

Nieprzestrzeganie ww. wytycznych może grozić dużymi problemami w tym np. karą finansową nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych.

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Sektor publiczny
    1 sty 2000
    20 cze 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Do kiedy Spis Powszechny?

    Spis Powszechny – do kiedy trwa? Do kiedy można się spisać przez Internet? Czy każdy domownik musi się spisać osobno? Jakie kary grożą za brak udziału w spisie ludności i mieszkań w 2021 roku?

    Nieskuteczność systemów Compliance, systemów Whistleblowingu lub ochrony danych osobowych - przyczyny

    Nieskuteczność systemów. Czy da się zlikwidować ryzyko compliance lub ryzyko naruszenia danych osobowych? Jakie są powody pozorności lub nieskuteczności systemów?

    Program Kangur - autobusy elektryczne dla gmin wiejskich

    Program Kangur - autobusy elektryczne dla gmin wiejskich. Dzięki wsparciu NFOŚiGW, w wysokości prawie 40 mln zł, autobusy elektryczne będą woziły dzieci do szkół w kolejnych 16 gminach.

    Czyste Powietrze - zmiany w programie, koniec dotacji na piece węglowe

    Czyste Powietrze - co się zmieni w programie? Do kiedy można jeszcze uzyskać dotację na piece węglowe?

    Pakiet psychologiczny – rekomendacje dla uczelni dotyczące pomocy studentom

    Pakiet psychologiczny. Na podstawie przekazanych przez uczelnie informacji na temat udzielanego w okresie epidemii wsparcia studentom, Ministerstwo Edukacji i Nauki opracowało poniższe zalecenia w zakresie zwiększenia pomocy psychologicznej.

    Nauczyciel w Polsce - pasja czy zawód? Raport o statusie nauczycieli w Polsce 2021

    Nauczyciel w Polsce - pasja czy zawód? Raport o statusie nauczycieli w Polsce 2021. Nauczyciel to zawód często oceniany. Ale czy doceniany? W raporcie zbadano, co myślą o nauczycielach rodzice, uczniowie, a także oni sami o swojej pracy.

    Domowa Opieka Medyczna - Pulsoksymetr i PulsoCare

    Domowa Opieka Medyczna to program mający na celu zdalne monitorowanie stanu zdrowia Pacjentów. Program wykorzystuje pulsoksymetr jako narzędzie diagnostyczne i aplikację PulsoCare do przekazywania i monitoringu danych.

    CEEB - zadania gmin związane ze spisem źródeł ciepła

    CEEB - zadania gmin związane ze spisem źródeł ciepła. W jakim terminie gmina powinna wprowadzić dane do ewidencji? Ile czasu ma urzędnik na wprowadzenie danych z deklaracji do systemu? Czy każdy pracownik urzędu może wprowadzać dane do CEEB? Czy przewidziano finansowanie dla gmin?

    Centralna Ewidencja Emisyjności Budynków (CEEB) - od kiedy, deklaracja

    Centralna Ewidencja Emisyjności Budynków (CEEB) - od kiedy, jak złożyć deklarację źródeł ciepła? Przedstawiamy najważniejsze informacje o nowym obowiązku, który będzie spoczywał na właścicielach i zarządcach budynków.

    CEEB - jakie kary za brak zgłoszenia do ewidencji źródeł ciepła?

    CEEB - Centralna Ewidencja Emisyjności Budynków rusza już 1 lipca 2021 roku. Oznacza to nowy obowiązek dla milionów Polaków, którzy będą musieli zgłosić, czym ogrzewają swoje domy. Jakie kary grożą za brak zgłoszenia?

    Szczepienia przeciw COVID-19 w aptekach - NFZ przyjmuje wnioski

    Szczepienia przeciw COVID-19 w aptekach. Oddziały Wojewódzkie Narodowego Funduszu Zdrowia przyjmują od wtorku wnioski od aptek, które chcą przystąpić do Narodowego Programu Szczepień przeciw COVID-19. Nabór jest otwarty i ciągły, nie ma konkretnej daty jego zakończenia.

    Aplikacja mObywatel - co można w niej znaleźć?

    Aplikacja mObywatel - co można w niej znaleźć? Już ponad 3 miliony Polaków korzysta z naszej aplikacji mObywatel, czyli cyfrowego portfela na dokumenty. Wkrótce trafi do niej Unijny Certyfikat COVID.

    Tymczasowy profil zaufany będzie stały

    Tymczasowy profil zaufany będzie stały. 17 czerwca 2021 roku wejdą ważne zmiany dotyczące profilu zaufanego, szczególnie jego tymczasowej wersji. Co się zmieni?

    Kiedy wyniki matur 2021?

    Wyniki matur 2021 – kiedy? Jak i gdzie je sprawdzić? Przedstawiamy ważne informacje dla tysięcy tegorocznych maturzystów.

    Profilaktyka 40 plus - badania od 1 lipca 2021 r.

    Profilaktyka 40 plus - badania od 1 lipca 2021 r. Minister zdrowia podpisał rozporządzenie zapowiedziane w programie Polski Ład. Z jakich badań będzie można skorzystać?

    Polski Ład: nowe miejsca pracy i infrastruktura mają rozwiązać problemy gmin

    Polski Ład to całościowe spojrzenie na problemy powiatów i gmin w całej Polsce. W ramach Polskiego Ładu budowane będą m.in. obiekty sportowe oraz infrastruktura drogowa, energetyczna, internetowa, kolejowa, które przyczynią się do rozwoju gospodarczego i poprawią jakość życia - mówił premier Mateusz Morawiecki.

    Konrad Fijołek prezydentem Rzeszowa - wyniki wyborów

    Konrad Fijołek nowym prezydentem Rzeszowa - znamy już oficjalne wyniki wyborów. Kandydat popierany przez opozycję: PO, Lewicę, PSL i Ruch Polska 2050 wygrał w pierwszej turze. Ile głosów zdobyli poszczególni kandydaci?

    Kurator oświaty - jakie ma mieć uprawnienia po zmianach?

    Kurator oświaty. Ministerstwo Edukacji i Nauki proponuje rozwiązania wzmacniające rolę kuratora oświaty. Jakie kurator ma mieć uprawnienia po zmianach?

    Lektury w szkole podstawowej – proponowane zmiany

    Lektury w szkole podstawowej – zmiany. Ministerstwo Edukacji i Nauki przygotowało propozycję zmian w liście lektur szkolnych. Jakie książki zostaną usunięte z wykazu a jakie dodane?

    Lista lektur w liceum i technikum – proponowane zmiany

    Lektury w liceum i technikum – jakie zmiany proponuje Ministerstwo Edukacji i Nauki? Skreślone z wykazu lektur mają być m.in. wiersze Marcina Świetlickiego oraz „Mała apokalipsa” Tadeusza Konwickiego. Zamiast tego uczniowie mają czytać m.in. dzieła filozoficzne i egzystencjalne Jana Pawła II.

    Dopłaty z gmin za odpady, maksymalna stawka opłaty od zużycia wody

    Dopłaty z gmin, maksymalna stawka opłaty od zużycia wody - szykują się spore zmiany w gospodarce odpadami. Co zawiera rządowy projekt zmian w ustawie o utrzymaniu czystości i porządku w gminach?

    Komunikacja w Compliance

    Komunikacja w Compliance. W najbliższym czasie sektor publiczny, ale i sektor prywatny (zwłaszcza duże i średnie przedsiębiorstwa) czeka wdrażanie systemów Compliance. Kluczem do udanego wdrożenia, a potem utrzymania systemów Compliance jest komunikacja.

    Leśna szkoła z klimatem - ruszają ekolekcje

    Leśna szkoła z klimatem to program opracowany we współpracy Ministerstwa Klimatu i Środowiska oraz Ministerstwa Edukacji i Nauki, który służy inspirowaniu uczniów i nauczycieli do działań sprzyjających środowisku przyrodniczemu. W program zaangażowane są też Lasy Państwowe, które m.in. przygotowują służące grom plenerowym ścieżki i organizują prelekcje.

    Dzień Ojca - gra miejska "Przygoda z Tatą"

    Dzień Ojca - MRiPS zaprasza do zapisów na grę miejską "Przygoda z Tatą". Gra odbędzie się w Warszawie.

    Praca zdalna urzędników - ekwiwalent

    Praca zdalna urzędników - po zmianie przepisów pracodawca będzie musiał zagwarantować ekwiwalent. Czy wygasi to pracę zdalną urzędników?