7 ważnych kwestii dotyczących ochrony danych osobowych związanych z wdrożeniem przepisów ustawy o ochronie sygnalistów

| Data: paź 10, 2024 | Compliance, Pracownicy

Sygnaliści

Wraz z wejściem z końcem września b.r. w życie ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów, oprócz zabezpieczenia właściwego stosowania przepisów, organizacje powinny zwrócić uwagę na zagadnienia związane z ochroną danych osobowych osób zaangażowanych w procesy dotyczące zgłasznia potencjalnych naruszeń prawa. Przepisy RODO stanowią kluczowy element w zapewnieniu bezpieczeństwa i poufności informacji dotyczących osób zgłaszających naruszenia, a także innych osób, których zgłoszenia mogą dotyczyć,  co wymaga odpowiednich działań ze strony organizacji.

  1. Podstawa prawna przetwarzania danych sygnalistów

    Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej: „RODO”, wymaga, aby każdorazowe przetwarzanie danych osobowych miało podstawę prawną.W kontekście ochrony sygnalistów, pracodawcy i organizacje muszą określić, na jakiej podstawie prawnej przetwarzają dane osób zgłaszających naruszenia. Najczęściej stosowane są tu podstawy takie jak:
    • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. wynikającego z przepisów o ochronie sygnalistów) zgodnie z art. 6 ust. 1 lit c RODO,
    • zgoda osoby, której dane dotyczą (np. w związku z ujawnieniem tożsamości sygnalisty, która zgodnie z przepisami ustawy o ochronie sygnalistów podlega ochronie i jej ujawnienie jest możliwe wyłącznie w przypadkach, gdy ustawa na to pozwala, a nadto w przypadku, gdy sygnalista wyraził na to zgodę na podstawie art. 8 ust. 1 w/w ustawy) zgodnie z art. 6 ust. 1 lit a RODO,
    • ochrona uzasadnionych interesów administratora lub osoby trzeciej, o ile interesy te nie naruszają praw i wolności osoby zgłaszającej, zgodnie z art. 6 ust. 1 lit f RODO (ta przesłanka może służyć jako „posiłkowa”, gdy zasady przetwarzania danych sygnalisty nie są np. szczegółowo określone w ustawie, a przetwarzanie jest niezbędne w celu umożliwienia prowadzenia postępowań przez organizację w celu rozpatrzenia dokonanych zgłoszeń).

    Określenie właściwej podstawy prawnej przetwarzania danych w związku ze stosowaniem ustawy o ochronie sygnalistów będzie miało niebagatelne znaczenie w związku z realizacją obowiązków dokumentacyjnych RODO, w tym między innymi odpowiednim określeniem podstaw przetwarzania dla czynności przetwarzania, które powinny zostać uwidocznione w rejestrze czynności przetwarzania danych osobowych prowadzonym przez administratora danych.

  2. Zasada minimalizacji danych


    Zgodnie z zasadą minimalizacji danych, przetwarzane powinny być wyłącznie te dane osobowe sygnalistów, które są niezbędne do osiągnięcia celu, jakim jest zgłoszenie naruszenia. Oznacza to, że pracodawcy i organizacje muszą unikać zbierania nadmiernych informacji, które nie są bezpośrednio związane z danym przypadkiem. Przykładowo, jeśli zgłoszenie dotyczy konkretnego incydentu, nie powinno się zbierać danych dotyczących całej historii zatrudnienia sygnalisty, jeśli nie jest to konieczne.Zwrócić należy także uwagę, że w związku z zasadą minimalizacji danych osobowych, w tym także innych zasad wskazanych w art. 5 RODO (w tym zasady adekwatności, ogarniczenia celu, legalności oraz rzetelności przetwarzania, a także zasady rozliczalności) pozostaje obowiązek nadania upoważnień dla osób przyjmujących i rozpatrujących zgłoszenia sygnalisty, którego zakres powinien być odpowiednio dostosowany do zakresu czynności, które będą realizowały osoby upoważnione do przetwarzania danych w związku z realizacją obowiązków wynikających z ustawy ochronie sygnalistów.

  3. Poufność i bezpieczeństwo przetwarzania danych


    Jednym z kluczowych aspektów ochrony sygnalistów jest zapewnienie poufności ich danych osobowych. Organizacje powinny wdrożyć odpowiednie środki techniczne i organizacyjne, aby chronić dane przed nieautoryzowanym dostępem, ujawnieniem lub przypadkowym zniszczeniem. W praktyce może to oznaczać np. szyfrowanie zgłoszeń, ograniczenie dostępu do danych tylko do osób ściśle zaangażowanych w rozpatrywanie zgłoszeń czy regularne audyty bezpieczeństwa systemów informatycznych.Nie ulega także wątpliwości, że w związku ze stosowaniem przepisów ustawy dochodzi do przesyłania między sygnalistą, a podmiotem wdrażąjącym postanwoienia ustawy do przesyłania wielu informacji, w tym także danych osobowych osób trzecich (osób naruszających prawo, świadków etc.). Oznacza to, iż wdrożenie odpowiedniego systemu do przyjmowania zgłoszeń, w tym opartego na infrastrukturze podmiotu zewnętrznego (dostarczającego odpowiednie rozwiązania mające na celu umożliwienie efektywnego zarządzania zgłoszeniami) powinno być poprzedzone analizą ryzka, której wnioski powinny obejmować wdrożenie optymalnych i adekwatnych środków zabezpieczenia danych osobowych. W praktyce okazać się może, że oprócz przyjętych środków organizacyjnych (polityka haseł i przyznawania dostępu do skrzynki e-mail zawierającej zgłoszenia sygnalisty), konieczne przyjęcie dodatkowych technicznych środków bezpieczeństwa zmierzających do ochrony poufności danych takich jak tożsamość sygnalisty, czy informacje zawarte w zgłoszeniach (które mogą także zawierać dane wrażliwe dotyczące innych osób). Konieczne jest też właściwe przechowywanie dokumentów, które mogą zostać zebrane w toku podejmowania działań następczych przez administratora danych osobowych, gdyż przepisy ustawy o ochronie sygnalistów wyraźnie wskazują, że niektóre czynności w związku z realizowaniem procedury przyjmowania zgłoszeń mogą być dokumentowane np. w formie papierowej (m.in. obowiązek dokumentowania w formie protokołu zgłoszenia za pośrednictwem nienagrywanej linii telefonicznej zgodnie z art. 26 ust. 4 ustawy).

  4. Prawa sygnalistów jako osób, których dane dotyczą


    Sygnaliści, tak jak każda osoba fizyczna, mają szereg praw wynikających z RODO, takich jak prawo do dostępu do swoich danych, prawo do sprostowania, prawo do usunięcia danych (prawo do bycia zapomnianym) czy prawo do ograniczenia przetwarzania. Jednak w kontekście zgłoszeń naruszeń może dochodzić do konfliktu między prawem sygnalisty do usunięcia danych, a obowiązkami organizacji do zachowania tych danych np. w celach dowodowych. Ważne jest, aby organizacje odpowiednio zarządzały takimi sytuacjami, zgodnie z obowiązującymi przepisami.W związku z realizacją przepisów ustawy, będąc administratorem danych osobowych nie można także zapominać o realizacji obowiązków informacyjnych określonych w przepisach art. 12, 13 i 14 RODO. W niektórych okolicznościach obowiązki te powinny być realizowane w sposób, aby nie uchybić celom ustawy o ochronie sygnalistów (ograniczeniu może podlegać choćby obowiązek informowania osób, których dane zgłoszenie dotyczy o źródle danych, gdyż nadrzędną zasadą w tym przypadku jest ochrona tożsamości sygnalisty). Nie możliwe jest także, z uwagi na przepisy dotyczące ochrony tożsamości sygnalisty wynikające z ustawy, pełne urzeczywistnienie uprawnień dostępowych podmiotu danych osobowych wynikających z art. 15 RODO (zgłaszane przez osobę, której zgłoszenie dotyczy). W związku z tym kwestie prawidłowej realizacji obowiązków informacyjnych powinny zostać odpowiednio przemyślane i dostosowane do warunków, w których przepisy RODO będą stosowane wobec realizacji przepisów ustawy. Wskazać przy tym trzeba, że ustawa w żadnym miejscu nie wyłącza obowiązku realizacji przepisów rodziału III RODO.

  5. Przekazywanie danych sygnalistów do podmiotów trzecich


    RODO reguluje także kwestię przekazywania danych osobowych do podmiotów trzecich, w tym do organów ścigania, zewnętrznych audytorów czy innych firm konsultingowych. W kontekście ochrony sygnalistów, organizacje muszą upewnić się, że każdorazowe przekazanie danych odbywa się w sposób zgodny z przepisami. Należy przy tym uwzględniać:

    • zasadę legalności przetwarzania (należy określić, czy administrator danych posiada wyraźną i prawidłową podstawę udostępnienia danych osobowych?),
    • konieczność zapewnienia odpowiednich gwarancji ochrony danych / zabezpieczeń przy przekazywaniu ich poza Unię Europejską, jeśli takie przekazanie będzie miało miejsce (np.  gdy do transferu danych dochodzi w związku z przyjmowaniem i rozpatrywaniem zgłoszeń w grupach kapitałowych?),
    • informowanie sygnalistów o takim przekazaniu, o ile nie wpłynie to negatywnie na prowadzone dochodzenie – czyli istotne ponownie jest realizowanie obowiązków wynikających z przepisów ustawy o ochronie sygnalistów z poszanowaniem obowiązków RODO, z tym uwzględnienie obowiązków informacyjnych dla sygnalistów, a realizowanych także wobec osób, których zgłoszenia dotyczą (osoby dokonujące naruszeń, świadkowie etc.).
  6. Okres przechowywania danych


    RODO nakłada na administratorów obowiązek określenia, jak długo przechowywane będą dane osobowe. W przypadku sygnalistów, okres ten powinien być ograniczony do czasu niezbędnego do rozpatrzenia zgłoszenia, prowadzenia ewentualnych postępowań wewnętrznych lub zewnętrznych oraz zachowania dowodów na potrzeby przyszłych postępowań sądowych. W momencie, gdy dane przestaną być potrzebne do tych celów, powinny zostać usunięte lub zanonimizowane. Warto w kontekście stosowania przepisów ustawy o ochronie sygnalistów dokonać aktualizacji terminów przechowywania danych osobowych w wewnętrznej polityce retencji obowiązującej u administratora danych osobowych, a właściwe terminy zawrzeć także w rejestrze czynności przetwarzania prowadzonym na podstawie art. 30 RODO.Co do zasady zgodnie z brzmieniem ustawy:

    • dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
    • dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniemsą przechowywane przez podmiot prawny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
  7. Obowiązki dokumentacyjne, procedury i rejestry


    Kwestie ochrony sygnalistów w kontekście RODO obejmują również obowiązek prowadzenia przez administratora danych osobowych odpowiedniego rejestru zgłoszeń (organizacji przyjmującej zgłoszenia na podstawie wewnętrznej procedury i przepisów ustawy). Rejestr ten musi zawierać elementy wskazane w ustawie, takie jak dane dotyczące zgłoszeń,  informacje o podjętych działaniach następczych, dane sygnalisty, przedmiot naruszenia etc.). Ponadto, zgodnie z zasadą podejścia opartego na ryzyku, administrator powinien przeprowadzać analizy ryzyka związane z przetwarzaniem danych osobowych w ramach posiadanych rozwiązań do przyjmowania i analizowania zgłoszeń w oparciu o przyjętą w organizacji metodologię. W sytuacjach, gdy przetwarzanie danych może stwarzać wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, a zwłaszcza gdy spełnione są przesłanki z art. 35 RODO (jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych), konieczne jest przeprowadzenie oceny skutków dla ochrony danych (DPIA) i udokumentowanie takiej analizy.

    Wysokie ryzyko może także wystąpić przy wdrażaniu mechanizmów od zewnętrznych dostawców, co wymaga dodatkowych środków ostrożności. W takiej sytuacji, zgodnie z art. 28 RODO, niezbędne jest zweryfikowanie kontrahenta pod kątem zgodności z przepisami ochrony danych przed zawarciem odpowiedniej umowy powierzenia przetwarzania, aby zapewnić, że zewnętrzny dostawca będzie przetwarzał dane zgodnie z wymogami RODO.

    Wdrożenie systemów do zarządzania zgłoszeniami sygnalistów powinno zostać poprzedzone analizą opartą na zasadach Privacy by Design i Privacy by Default, co oznacza, że ochrona prywatności musi być uwzględniana na etapie projektowania systemu oraz domyślnie w jego działaniu.

    Powyższe kwestie powinny znaleźć odzwierciedlenie w odpowiednio przystosowanym i uzupełnionym rejestrze czynności przetwarzania, ponieważ podmioty stosujące przepisy ustawy o ochronie sygnalistów mają obowiązek taki rejestr prowadzić. Rejestr ten powinien uwzględniać wszystkie działania związane z przetwarzaniem danych osobowych sygnalistów (w tym podstawy przetwarzania, podmioty, którym powierzono lub udostępniono zebrane dane, stosowane środki bezpieczeństwa, terminy przechowywania, czy też informacje w wykonanej analizie DPIA (jeżeli administrator uznał, że spełnione są kryteria do wykonania oceny skutków dla przetwarzania danych wskazane w art. 25 RODO).

Podsumowanie

Ochrona sygnalistów w kontekście RODO to temat złożony, wymagający od organizacji staranności i transparentności w zarządzaniu danymi osobowymi. Przestrzeganie podstawowych zasad, takich jak minimalizacja danych, poufność i poszanowanie praw osób, których dane dotyczą, a także aktualizacja dokumentów i wykorzystanie obowiązujących procedur RODO w organizacji administratora, jest kluczowe, aby zapewnić zarówno zgodność z przepisami, jak i realną ochronę sygnalistów.

Tags:

administrator | compliance | dane osobowe | dane osobowe w HR | GDPR | klauzula informacyjna | procedury wewnętrzne | procesor | RODO | umowa o pracę | zgoda na przetwarzanie

Paweł Fedczyszyn

advocate | co-author of the WeAdviseTech.com legal blog

Ostatnie wpisy

Kategorie