03 lis Sygnaliści a RODO
Po lekturze projektu ustawy o ochronie osób zgłaszających naruszenia (tzw. sygnalistów) nasuwa się wiele wątpliwości związanych ze stosowaniem tej regulacji przy uwzględnieniu zasad ochrony danych osobowych – zwłaszcza zasad realizacji obowiązku informacyjnego z art. 14 RODO. Dlatego też, kwestię ochrony danych osobowych w kontekście zgłoszeń sygnalistów warto mieć na uwadze już na samym początku – zwłaszcza przy projektowaniu kanałów komunikacji dla sygnalistów (zgodnie z zasadą privacy by design.
Wskazówki
Przy wdrożeniu procedury whistleblowingowej warto uwzględnić przede wszystkim, że:
- dane osobowe sygnalisty to nie tylko imię / nazwisko czy np. nr identyfikatora służbowego – projekt ustawy mówi także o „innych danych pozwalających na ustalenie tożsamości”;
- powyższe powinno się interpretować szeroko, stosownie do okoliczności – mogą to być np. informacje o specyficznym czasie i miejscu, w którym wystąpiło naruszenie, zwłaszcza jeśli bezpośrednio przed lub po naruszeniu sygnalista wszedł w interakcję z osobą dokonującą nieprawidłowości;
- dane osobowe sygnalisty powinny być przechowywane oddzielnie od treści samego zgłoszenia, w tym – jeśli zachodzi taka potrzeba – powinny być usuwane z treści zgłoszenia;
- dane osobowe sygnalisty podlegają ujawnieniu tylko na jego WYRAŹNĄ ZGODĘ; nie można ujawniać danych sygnalisty w oparciu o inne podstawy prawne;
- dane osób, których zgłoszenie dotyczy, mogą być przetwarzane nawet bez ich zgody;
- administrator nadal musi spełnić obowiązek informacyjny RODO[1], w stosunku do:
- sygnalisty;
- osób, których dotyczy zgłoszenie;
- osób postronnych (świadków naruszenia lub innych osób, które mogą być potencjalnie dotknięte skutkami zgłoszenia).
Część dostępnych analiz wskazuje, że obowiązek informacyjny wynikający z art. 14 został wyłączony – nie można się z tym do końca zgodzić. Przepisy wyłączają tylko obowiązek podania informacji skąd weszliśmy w posiadanie danych[2]. Tym samym – nadal należy realizować obowiązek informacyjny względem osób, których dane dotyczą, nie podaje się jednak źródła danych, z których zostały one pozyskane.
Co więcej, wyłączenie od obowiązku podawania informacji o źródle danych nie obowiązuje, jeśli informacja o naruszeniu nie była prawdziwa w chwili jej zgłaszania / nie stanowiła naruszenia prawa / nie można było w sposób uzasadniony przyjąć, że dana czynność mogłaby stanowić takie naruszenie. W takich wypadkach konieczne może być podanie źródła danych podczas wypełniania obowiązku informacyjnego.
Inne obowiązki administratora danych
Administratorzy danych osobowych powinni również pamiętać o:
- obowiązku wyznaczenia podmiotu do weryfikacji zgłoszeń sygnalistów oraz podejmowania dalszych czynności związanych z tymi zgłoszeniami – w praktyce może to być jeden podmiot, który zajmuje się zarówno weryfikacją, jak i działaniami następczymi, albo co najmniej dwa różne;
- takie podmioty mogą zostać wyznaczone wewnątrz lub na zewnątrz organizacji – może to być np. pracownik (konieczne jest tutaj pisemne upoważnienie) albo podmiot trzeci (konieczne jest wtedy zawarcie stosownej umowy). Jeśli podmiot pochodzi z wewnątrz organizacji, należy zapewnić, aby przy wykonywaniu swoich zadań, działał niezależnie od administratora;
- podmioty odpowiedzialne za powyższe kwestie powinny być też zobowiązane do zachowania poufności;
- dodatkowo, konieczne może być aktualizowanie przez administratorów rejestru czynności przetwarzania w związku z uruchomieniem kanału do zgłaszania naruszeń i przetwarzaniem zawartych tam danych osobowych;
- należy również pamiętać o nowym okresie retencji danych (ich usuwania) – w przypadku zgłoszeń sygnalistów taki okres wynosi 5 lat od daty otrzymania zgłoszenia.
Wątpliwości w zakresie przetwarzania danych sygnalistów
Powyższe wnioski nie wyczerpują wszystkich zagadnień związanych z przetwarzaniem danych osobowych w kontekście zgłoszeń dokonywanych przez sygnalistów. Podczas wdrażania mechanizmów dla sygnalistów wątpliwości mogą budzić także następujące kwestie:
- dla ujawnienia danych sygnalisty wymagana jest wyraźna zgoda. Zgodnie z projektem ustawy[3] status sygnalisty przysługuje, jeśli zgłoszenie dotyczyło zdarzenia, które można było uznać w sposób uzasadniony, za takie, które 1) faktycznie miało miejsce oraz 2) stanowiło naruszenie prawa – tym samym rodzi się pytanie: czy jeśli sygnalista zgłosił naruszenie, ale przesłanki te nie są spełnione, to czy jego dane mogą zostać ujawniane, nawet bez jego zgody?
- jak intepretować tzw. „uzasadnione podstawy”, które pozwalają uznać, że informacja o naruszeniu jest prawdziwa w momencie dokonywania zgłoszenia i stanowi naruszenie prawa – kwestia ta jest kluczowa chociażby dla ustalenia zakresu obowiązku informacyjnego administratora;
- projekt ustawy o ochronie sygnalistów wdraża dyrektywę 2019/1937 – tam zaś wskazuje się, że dane osobowe niemające związku z rozpatrywaniem zgłoszenia podlegają usunięciu bez zwłoki[4] – taki przepis nie znalazł się bezpośrednio w projekcie ustawy. Nadal jednak rodzi się pytanie, czy administrator powinien zapewnić możliwość usuwania / anonimizowania zbędnych dla zgłoszenia danych? A także jak się ma takie usuwanie danych „nieistotnych” do obowiązku zapewnienia integralności zgłoszenia sygnalisty oraz obowiązku zapewnienia integralności zebranych danych osobowych?
- czy można spełnić obowiązek informacyjny względem osób, których zgłoszenie dotyczy, jeszcze przed otrzymaniem zgłoszenia i wskutek tego, czy administrator może odstąpić od ponownej realizacji obowiązku informacyjnego po otrzymaniu zgłoszenia, na podstawie art. 14 ust. 5 lit. a) RODO?
- Jak prawidłowo spełnić obowiązek informacyjny lub jak uzasadnić brak jego spełnienia na rzecz osób, które zostały wymienione w zgłoszeniu w roli osób postronnych (czy z pomocą przyjdzie nam ponownie art. 14 ust. 5 RODO)?
Te i wiele innych kwestii jest nadal niejasnych i być może zostaną one doprecyzowane na etapie dalszego procesu legislacyjnego lub praktyki samych organów i sądów. Już teraz warto jednak zadbać o stworzenie kanału komunikacji do zgłaszania naruszeń oraz obwarowanie tego procesu dobrze przemyślanymi regulacjami wewnętrznymi. Zwłaszcza, jeśli jest się dużym przedsiębiorcą, zatrudniającym co najmniej 250 osób – zgodnie z projektem, podmioty takie mogą być zmuszone do wdrożenia odpowiednich procedur dla sygnalistów jeszcze w grudniu tego roku.
Z uwagi na krótki czas realizacji powyższych obowiązków, dużym odciążeniem dla przedsiębiorców może być wykorzystanie dedykowanych, zewnętrznych kanałów komunikacji oferowanych przez podmioty trzecie. Przykładem takiego rozwiązania jest WhistBoard, czyli platforma dla sygnalistów zapewniająca pełną zgodność z rozwiązaniami przyjętymi przez polskiego i europejskiego prawodawcę. Szczegóły funkcjonowania narzędzia dostępne są m.in. tutaj: https://whistboard.com/faq/.
[1] art. 13 i 14 RODO.
[2] Konkretnie: w art. 14 ust. 2 lit f) RODO.
[3] art. 4, art. 6 projektu ustawy.
[4] art. 17 dyrektywy.