Ta strona używa cookies do celów analitycznych.

02/11/2021

Sygnaliści a RODO.

Najczęściej tematykę wdrożenia Dyrektywy Parlamentu Europejskiego i Rady UE nr 2019/1937 z dnia 23.10.2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii oraz przepisów projektowanej ustawy o ochronie osób zgłaszających naruszenia prawa opublikowanych w dniu 18.10.2021 r. rozpatruje się wyłącznie w kontekście stworzenia procedur wewnętrznych Pracodawców dotyczących zgłoszeń naruszeń prawa. We wdrożeniu nowych przepisów w organizacjach często pomijana jest kwestia ochrony danych osobowych. Czy słusznie?

 

Jakie dane osobowe będą przetwarzane przy zgłoszeniach sygnalistów?

W ramach procesów zgłoszeń naruszeń prawa przewiduje się przetwarzanie danych osobowych:

  • sygnalistów (tych z nich, którzy wyrażą zgodę na ujawnienie ich danych). Mogą być to tym samym dane osobowe: obecnych i byłych pracowników, osób ubiegających się o zatrudnienie, osób świadczących pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, przedsiębiorców, akcjonariuszy lub wspólników, członków organu osoby prawnej, osób świadczących pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej oraz stażystów i wolontariuszy. Przetwarzane mogą być również dane osób powiązanych z sygnalistami.

Natomiast, nawet w przypadku dokonania anonimowego zgłoszenia przez sygnalistę, przetwarzane będą tu dane osobowe:

  • osób składających wyjaśnienie w sprawie,
  • osób naruszających prawo oraz
  • wszystkich innych osób, które zostaną wskazane w treści zgłoszeń lub w dokumentacji z nimi związanej.

 

Jakie są podstawy przetwarzania danych związanych ze zgłaszaniem naruszeń przez sygnalistów?

Podstawą przetwarzania danych osobowych przez Administratora danych przetwarzającego dane w związku z wdrożeniem przepisów prawa dotyczących ochrony sygnalistów jest art. 6 ust. 1 lit. c RODO (tj. przetwarzanie danych niezbędne do wypełnienia obowiązku prawnego ciążącego na tym Administratorze).

W stosunku do Pracodawców, którzy zastosują w/w przepisy (lub wdrożą podobne procedury dotyczące sygnalizacji naruszeń prawa na terenie swych organizacji), lecz nie będą podmiotami, które będą do tego zobowiązane przepisami prawa, podstawą przetwarzania będzie dla nich art. 6 ust. 1 lit. f RODO (tj. uzasadniony prawnie interes Administratora danych). Oczywiście w takim przypadku, Administrator danych zobowiązany jest do dodatkowego przeprowadzenia tzw. testu równowagi.

Natomiast trzecią z możliwych podstaw przetwarzania danych  jest  zgoda osoby, której dane dotyczą. Przepis art. 8 ust. 1 projektu ustawy o ochronie osób zgłaszających naruszenia prawa przewiduje, iż „dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że za wyraźną zgodą zgłaszającego” .Oznacza to,że sygnalista będzie mógł zrezygnować ze swej anonimowości, jeżeli tylko wyrazi na to  zgodę. Wtedy podstawą przetwarzania danych stanie się właśnie owa zgoda,co prowadzi nas do art. 6 ust. 1 lit. a RODO. Zgoda tradycyjnie będzie musiała być wyrażona  z uwzględnieniem warunków skazanych w art. 7 RODO.

 

Jakie najważniejsze obowiązki mają Pracodawcy (Administratorzy danych) w zakresie ochrony danych przetwarzanych dotyczących zgłaszania naruszeń prawa przez sygnalistów ?

Administrator danych, który przetwarza danych sygnalistów powinien pamiętać o tym, aby procesy przetwarzania danych związane z nowymi czynnościami przetwarzania odbywały się z uwzględnieniem przepisów RODO. Oznacza to podjęcie następujących czynności:

  1. Przeprowadzenie analizy skutków dla ochrony danych zgodnie z art. 35 RODO –„ systemy służące do  zgłaszania nieprawidłowości” zostały wymieniona w pkt. 9 Załącznika nr 1 do komunikatu Prezesa Urzędu Ochrony Danych Osobowych w sprawie wykazu operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (M.P. z 2019 r. poz.666),
  2. Przygotowanie procedur dotyczących sygnalistów również pod kątem ochrony danych osobowych (zgodnie z  art. 33 ust. 1 RODO niezbędne będzie włączenie Inspektora Ochrony Danych w ten proces),
  3. Uzupełnienie nowych czynności przetwarzania w Rejestrze czynności przetwarzania, zgodnie z art.30 RODO,
  4. Przygotowanie obowiązków informacyjnych w myśl art. 13 i 14 RODO i opracowanie sposobu na przekazanie go osobom, których dane dotyczą np. na formularzu zgłoszenia dla sygnalistów. Należy rozważyć tu również kwestie  możliwości takiego przekazania obowiązku informacyjnego, z uwzględnieniem np. art. 14 ust. 5 RODO,
  5. Wydanie upoważnień do przetwarzania danych w nowym zakresie np. dla osób zajmujących się przyjmowaniem zgłoszeń, w myśl art. 29 RODO,
  6. Pobranie zobowiązań do zachowania poufności dla osób uczestniczących  np. w zespole rozpatrującym zgłoszenia sygnalistów,
  7. Określenie i stosowanie odpowiednich  środków zabezpieczeń dla danych osobowych przetwarzanych w ramach nowych czynności, w tym środków stosowania anonimizacji i pseudonimizacji,
  8. Przeanalizowanie praktycznej realizacji praw osób, których dane dotyczą wynikających z art. 15-21 RODO w stosunku do nowych czynności przetwarzania,
  9. Określenie i przestrzeganie terminów przechowywania, archiwizacji oraz usuwania  poszczególnych typów danych osobowych w ramach realizacji procedury zgłaszania naruszeń.

 

Powyższa lista jest najlepszym przykładem na to, że pomijanie lub przekładanie w czasie czynności związanych z ochroną danych osobowych procesu sygnalistów, nie jest prawidłowym rozwiązaniem. Administratorzy danych, którzy zatrudniają co najmniej 250 pracowników i jako pierwsi zobowiązani  będą do wdrożenia systemu dotyczącego zgłaszania naruszeń przez sygnalistów mają tzw.ostatni dzwonek, aby należycie przygotować ten czasochłonny proces, również pod kątem właściwego przetwarzania danych osobowych w swojej organizacji.