Ochrona sygnalistów a RODO

Ochrona sygnalistów a RODO

25 września 2024 r. wejdzie w życie ustawa o ochronie sygnalistów (dalej „Ustawa”). Ustawa nakłada obowiązek wprowadzenia wewnętrznych i zewnętrznych kanałów dla zgłaszania naruszeń prawa. W procedurach dotyczących owych zgłoszeń będziemy mieć niewątpliwie do czynienia z przetwarzaniem danych osobowych.

Ustawa implementuje (wprowadza do naszego porządku prawnego) dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej „Dyrektywa”).

Przepisy o ochronie sygnalistów a RODO

W motywie 76 Dyrektywy wskazuje się, iż państwa członkowskie powinny zapewnić, aby właściwe organy dysponowały odpowiednimi procedurami ochrony w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w tych zgłoszeniach. Takie procedury powinny zapewniać ochronę tożsamości:

  • każdej osoby dokonującej zgłoszenia,
  • osób, których dotyczy zgłoszenie
  • osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników,
  • na wszystkich etapach procedury.

Dyrektywa w kilku miejscach, tj. zarówno w motywach, jak i w przepisach szczegółowych, wprost odnosi się do RODO i prawa do prywatności. Ponadto, same zgłoszenia dotyczące naruszeń przepisów prawa mogą dotyczyć także materii ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych – Ustawa stanowi, że naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące ochrony prywatności i danych osobowych.

Ustawa nakłada obowiązek wprowadzenia wewnętrznych i zewnętrznych (tu omówimy jedynie te wewnętrzne) kanałów dla zgłaszania naruszeń prawa. W procedurach dotyczących owych zgłoszeń, będziemy mieć niewątpliwie do czynienia z przetwarzaniem danych osobowych.

Co to oznacza w praktyce?

Podmiot, na rzecz którego według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób, ma obowiązek wdrożenia procedury zgłoszeń wewnętrznych. Jednym z obowiązków jest również prowadzenie rejestru zgłoszeń. Ustawa wprost wskazuje, że taki podmiot jest administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych.

Jakie wiążą się z tym obowiązki?

1) Obowiązek informacyjny

Administrator będzie musiał wypełnić obowiązek informacyjny (przygotować i przekazać odpowiednie klauzule informacyjne) wobec:

  • sygnalisty (osoby dokonującej zgłoszenia) – art. 13 RODO
  • osoby, której dotyczy naruszenie (osoby wskazanej jako dokonująca naruszenia) – art. 14 RODO
  • innych osób – świadkowie i pokrzywdzeni – art. 14 RODO.

WAŻNE!

Wyłączony został ciążący na administratorze obowiązek przekazania informacji dotyczących źródła pozyskania danych osobie, której dane dotyczą, o którym mowa w art. 14 ust. 2 lit. f) RODO. Takie wyłączenie jest jednak uwarunkowane obowiązkiem spełnienia przez zgłaszającego warunków zawartych w art. 6 ustawy, tj. że zgłaszający miał uzasadnione podstawy sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa (inaczej: zgłoszenie będzie dokonane w dobrej wierze). Wyjątkiem będzie sytuacja, kiedy sygnalista wyraził wyraźną zgodę na ujawnienie swojej tożsamości.

W skrócie – nie ujawniamy tożsamości sygnalisty, chyba że wyraźnie wyraził na to zgodę.

2) Wewnętrzna dokumentacja dotycząca przetwarzania danych osobowych:

a) rejestr czynności przetwarzania:

Administrator powinien uwzględnić nowy proces przetwarzania danych, związany z wewnętrznym zgłaszaniem naruszeń, w rejestrze czynności przetwarzania danych osobowych (art. 30 ust. 1 RODO).

b) ocena skutków dla ochrony danych

Zgodnie z komunikatem Prezesa UODO, systemy służące do zgłaszania nieprawidłowości (whistleblowing), zostały wskazane w wykazie rodzajów operacji przetwarzania danych osobowych wymagających przeprowadzenia oceny skutków przetwarzania dla ich ochrony (art. 35 RODO).

3) Upoważnienia – obsługa zgłoszeń

Zgodnie z Ustawą,  przyjmowanie zgłoszeń wewnętrznych może być obsługiwane albo wewnętrznie (przez wyznaczoną do tego celu osobę lub jednostkę organizacyjną), albo zewnętrznie przez osobę trzecią.

  • wewnętrzna obsługa zgłoszeń – upoważnienie na piśmie

Do przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego, zobowiązane do zachowania tajemnicy. Zobowiązanie do zachowania poufności powinno obowiązywać także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.

  • zewnętrzna obsługa zgłoszeń – umowa o powierzenie danych do przetwarzania

Upoważnienie podmiotu zewnętrznego, wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. Umowa musi określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 RODO.

4) Zasada minimalizacji danych

Podmiot prawny po otrzymaniu zgłoszenia naruszenia prawa, przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie powinni być zbierane, a w razie ich przypadkowego zebrania powinny być niezwłocznie usunięte – w ciągu 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.

5) Okres przechowywania danych

Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem, pracodawca przechowuje przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

PODSUMOWANIE

Ustawa o ochronie sygnalistów wchodzi w życie w dniu 25 września 2024 r. Administratorzy muszą przy tym pamiętać o konieczności zapewnienia odpowiedniej ochrony przetwarzanych danych osobowych oraz zgodności z wymogami RODO. Pracy jest sporo, nie czekajmy zatem do ostatniej chwili!