Ochrona danych sygnalisty
Ochrona danych sygnalisty

Jak chronić dane osobowe sygnalistów?

Jak chronić dane osobowe sygnalistów?

Prace nad projektem ustawy o sygnalistach przyspieszyły. Zgodnie z zapowiedziami, rząd planuje przyjąć projekt jeszcze w I kwartale bieżącego roku. Ochrona danych osobowych jest nieodłącznym elementem zarządzania zgłoszeniami o nieprawidłowościach. Dotyczy to zarówno danych osobowych sygnalistów, jak i osób związanych z zawiadomieniem – osób dokonujących nieprawidłowości, świadków, uczestników zdarzenia czy tych, którzy pomogli w dokonaniu zgłoszenia. Działanie zgodnie z wymogami pozwoli zminimalizować ryzyko naruszenia praw i wolności osób, których dane dotyczą. W procedurze ochrony danych osobowych sygnalistów zastosowanie znajdą zasady RODO[1], które nakładają na organizację wiele obowiązków. Jakich?

 Aktualizacja procedur i dokumentów

Organizacje, które wdrażają system whistleblowingowy już na etapie projektowym, zgodnie z zasadą „privacy by design”, powinny uwzględnić we wdrażanym rozwiązaniu ochronę danych osobowych. Muszą pamiętać, że start tego nowego procesu przetwarzania danych osobowych, powinien zostać poprzedzony udokumentowaną analizą ryzyka oraz DPIA.

 Za zgłoszenia o nieprawidłowościach czy postępowania wyjaśniające będą odpowiedzialni wskazani pracownicy (o ile proces ten nie zostanie zlecony na zewnątrz). Ważne jest, aby zaktualizować lub nadać im upoważnienia do przetwarzania danych osobowych. W ramach ochrony danych osobowych sygnalistów niezbędne jest także dostosowanie rejestru czynności przetwarzania, który w większości firm jest niezbędnym dokumentem wynikającym z RODO.

Obowiązki informacyjne

Przyjmując zgłoszenia o nieprawidłowościach, spółka staje się administratorem danych osobowych przekazanych przez sygnalistów.  Trzeba mieć świadomość, że to nie tylko dane osobowe sygnalisty. W grę wchodzić będzie także zabezpieczenie danych osób, których dotyczy zgłoszenie oraz osób postronnych (świadków naruszenia lub innych osób, które mogą być potencjalnie dotknięte skutkami zgłoszenia).

Wobec każdej z tych osób, dana organizacja powinna spełnić obowiązek informacyjny, czyli przekazać informację o sposobie przetwarzania danych osobowych, tzw. klauzulę informacyjną.

Projektując system odbierania zgłoszeń od sygnalistów należy zaplanować, jak i kiedy zostaną spełnione obowiązki informacyjne. Trzeba przy tym wziąć pod uwagę między innymi formę wewnętrznych kanałów zgłoszeń. Warto uwzględnić również to, jakie relacje łączą osoby, które muszą zostać poinformowane o szczegółach przetwarzania ich danych osobowych z tymi, które je odbierają i przetwarzają.

Ujawnienie danych sygnalisty – kiedy?

Dane pozwalające na ustalenie tożsamości sygnalisty mogą szerzej ujawnione tylko na za jego wyraźną zgodą – to jeden z kluczowych mechanizmów zapewniających ochrony osób zgłaszających. Standardem powinno być zapewnienie środków pozwalających na utrzymanie ww. danych w tajemnicy oraz przekazywanie zgłoszeń anonimowych. Od wyraźnej zgody sygnalisty na ujawnienie danych zależeć będzie również możliwość poinformowania naruszającego skąd weszliśmy w posiadanie jego danych.

Co ciekawe, sygnalista podlega ochronie pod warunkiem, że miał uzasadnione podstawy sądzić, że zgłoszenie jest prawdziwe i stanowi informację o naruszeniu prawa. Powoduje to uzasadnione wątpliwości co do podstawy ujawnienia danych osoby, która świadomie zgłosiła zdarzenie niespełniające powyższych przesłanek.

Przeprowadzenie DPIA, czyli oceny skutków dla ochrony danych

Zgodnie z komunikatem Prezesa Urzędu Ochrony Danych Osobowych obszar przetwarzania danych jakim są systemy dla sygnalistów może stwarzać wysokie ryzyko dla praw i wolności osób, których dane dotyczą, dlatego wymagają przeprowadzenia DPIA (oceny skutków dla ochrony danych). Jest to wyraźny sygnał od PUODO, że dane osobowe sygnalistów muszą być chronione ze szczególną ostrożnością.

Przeprowadzając DPIA trzeba wziąć pod uwagę między innymi proporcjonalność i niezbędność operacji, ocenić ryzyka naruszenia praw i wolności osób, których dane dotyczą, a także zaplanować środki minimalizujące ryzyka. DPIA powinno zostać udokumentowane, aby w razie potrzeby móc przedstawić wnioski przed organem nadzorczym.

Ryzyko kar na gruncie RODO

Wdrożenie systemu dla sygnalistów w nieprawidłowy sposób wiąże się nie tylko z odpowiedzialnością wynikającą z planowanej ustawy whistleblowingowej czy kodeksu pracy. Niedopełnienie obowiązków może grozić karami na gruncie RODO. Wdrażając system informowania o nieprawidłowościach warto zatem przygotować się również w kontekście ochrony danych osobowych sygnalistów.

Jeśli potrzebują Państwo wsparcia w zakresie kompleksowego przygotowania organizacji do wdrożenia systemu dla sygnalistów, w tym także ochrony ich danych osobowych, zachęcamy do kontaktu!

Katarzyna Serwatka
Senior Associate
katarzyna.serwatka@olesinski.com

Katarzyna Wężyk
Senior Associate
katarzyna.wezyk@olesinski.com

[1] Rozporządzenie nr 2016/679

Czy Twoja firma potrzebuje systemu do obsługi zgłoszeń nieprawidłowości?

Porozmawiaj z nami i dowiedz się, czy musisz wdrożyć system dla sygnalistów.