Ochrona danych osobowych w ustawie o ochronie sygnalistów

Ustawa o ochronie sygnalistów wchodzi w życie już za kilka tygodni – 25 września. Jej wprowadzenie do polskiego porządku prawnego wiąże się z szeregiem nowych obowiązków dla przedsiębiorców m.in. w zakresie ochrony danych osobowych. W niniejszym artykule omówione zostaną kluczowe obowiązki, które muszą być spełnione przez podmioty prawne jako administratorów danych osobowych w ramach wdrażania ustawy. Więcej informacji o ochronie sygnalistów mogą Państwo przeczytać w naszym artykule: [LINK].

Czego nie ma w ustawie o ochronie sygnalistów – DPIA  

Zgodnie z ustawą o ochronie sygnalistów przedsiębiorcy są zobowiązani do wdrożenia odpowiedniej procedury dokonywania zgłoszeń nieprawidłowości i rozpatrywania tych zgłoszeń.

Komunikat Prezesa Urzędu Ochrony Danych Osobowych w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (DPIA), wymienia systemy służące do zgłaszania nieprawidłowości (whistleblowing) jako przykład operacji wymagającej takiej oceny [LINK]. Przed rozpoczęciem stosowania systemu zgłoszeń wewnętrznych konieczne będzie zatem dokonanie oceny skutków dla ochrony danych osobowych jakie się z nim wiążą.

Przeprowadzając DPIA konieczne jest:

• przygotowanie systematycznego opisu planowanych operacji przetwarzania i celów przetwarzania,
• dokonanie oceny, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
• przeprowadzenie oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą, oraz
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie przepisów o ochronie danych osobowych, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

W tym zakresie wskazać trzeba, że uwzględniając charakter zgłoszeń wewnętrznych, ich upublicznienie lub nieuprawniony dostęp wiąże się z istotnym ryzykiem dla osób, których te zgłoszenia dotyczą. To z kolei przekładać się musi na zastosowanie odpowiednich środków i mechanizmów bezpieczeństwa zgłoszeń wewnętrznych, które będą skutecznie ograniczać prawdopodobieństwa takich niepożądanych zdarzeń.

Upoważnienia

Jednym z przewidzianych w ustawie mechanizmów ochrony danych osobowych jest wymaganie, że do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych sygnalisty, osoby, której dotyczy zgłoszenie oraz osób trzecich wskazanych w zgłoszeniu, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie administratora.

Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz podejmowania działań następczych. Obowiązek zachowania tajemnicy obowiązuje także po ustaniu stosunku pracy lub innego stosunku prawnego w ramach którego wykonywana była praca.

Na podmiocie prawnym spoczywa obowiązek zagwarantowania, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości osób wskazanych w zgłoszeniu.

Obowiązek informacyjny

Administratorzy w momencie zbierania danych osobowych są zobowiązani do spełnienia tzw. obowiązku informacyjnego. Polega on na przekazaniu osobie, której dane administrator przetwarza, pewnego zestawu informacji o przetwarzaniu jej danych. Na gruncie ustawy o ochronie sygnalistów taki obowiązek należy spełnić m.in. wobec:

• sygnalisty
• osoby, której dotyczy zgłoszenie naruszenia prawa 
• innych osób, które posiadają wiedzę o naruszeniu prawa będącym przedmiotem zgłoszenia.

Informacje o przetwarzaniu danych osobowych w związku ze zgłoszeniem naruszenia prawa mogą zostać opublikowane na stronie internetowej podmiotu prawnego, co zostało zarekomendowane przez francuski organ ochrony danych osobowych. Ponadto, dotychczas wykorzystywane klauzule informacyjne np. dla pracowników również powinny zostać uzupełnione w tym zakresie.

Informacja o przetwarzaniu danych osobowych może być również przekazywana w tzw. sposób warstwowy. W pierwszej warstwie informacji należy wskazać tożsamość administratora, cel zbierania danych oraz prawa osoby, której dane dotyczą wraz z odwołaniem do dokumentu, w którym zawarta jest pełna informacja o przetwarzaniu danych stanowiąca drugą warstwę informacyjną.

Przy tworzeniu klauzul informacyjnych należy wziąć pod uwagę różne kanały zgłoszeń, z których mogą skorzystać sygnaliści, takie jak np. strona internetowa czy telefon. Z nieoficjalnych rekomendacji Urzędu Ochrony Danych Osobowych wynika, że obowiązek informacyjny powinien zostać spełniony w takiej formie w jakiej zostało dokonane zgłoszenie. Ma to na celu uniknięcie obciążania sygnalisty obowiązkiem poszukiwania pełnej informacji o przetwarzaniu jego danych.

Co do zasady, na podstawie przepisów RODO administrator danych osobowych jest zobowiązany poinformować osobę, której dane przetwarza (np. osobę wskazaną, jako dopuszczającą się zgłoszonej nieprawidłowości) o źródle, z którego pozyskał jej dane osobowe. Na gruncie ustawy o ochronie sygnalistów poprzez źródło pozyskania danych należy rozumieć sygnalistę.

Powyższa zasada modyfikowana jest przez ustawę o ochronie sygnalistów. Przyznaje ona bowiem pierwszeństwo interesowi osoby zgłaszającej domniemane naruszenie. Wyłącza ona tym samym opisany w akapicie powyżej obowiązek informacyjny w stosunku do osób wskazanych w zgłoszeniu. W efekcie, w przypadku, gdy osoba, której dane osobowe zostały przekazane przez sygnalistę, zwróci się o wskazanie źródła pozyskania jej danych, to podmiot prawny powinien odmówić takiemu żądaniu, z uwagi na ochronę tożsamości sygnalisty. Co ważne, danych sygnalisty nie należy ograniczać jedynie do imienia lub nazwiska. Przykładem innych danych może być np. sama data zgłoszenia, jeśli na jej podstawie możliwe jest ustalenie tożsamości sygnalisty.

Niezależnie od przewidzianych w samej Ustawie o ochronie sygnalistów wyjątków dotyczących obowiązku informacyjnego, w każdym przypadku zgłoszenia wewnętrznego, należy rozważyć czy nie zachodzi okoliczność określona w samych przepisach RODO, która pozwala na odstąpienie od przekazania informacji osobie, której zgłoszenie dotyczy w sytuacji, w której realizacja obowiązku informacyjnego może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania.

Przechowywanie danych osobowych

Ustawodawca wprost ograniczył zakres i okres przetwarzania danych przy zgłoszeniu sygnalisty.

Po otrzymaniu zgłoszenia podmioty prawne są zobowiązane do przetwarzania danych jedynie w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Wszelkie inne dane, które nie mają znaczenia dla rozpatrywania zgłoszenia nie powinny być zbierane, a w razie przypadkowego ich zebrania – powinny zostać niezwłocznie usunięte. Ostateczny termin na usunięcie niepotrzebnych danych wynosi 14 dni od ustalenia, że nie mają one znaczenia dla sprawy.

Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

Współpraca między podmiotami

Jeśli podmiot prawny zdecyduje się na upoważnienie podmiotu zewnętrznego do obsługi zgłoszeń sygnalistów, to zgodnie z ustawą o ochronie sygnalistów zobowiązany będzie do zawarcia umowy w tym zakresie. Z perspektywy ochrony danych osobowych podmiotowi zewnętrznemu zostają powierzone do przetwarzania dane osobowe o zakresie i celu ustalonym przez podmiot prawny. W takich sytuacjach RODO wymaga zawarcia między stronami umowy powierzenia przetwarzania danych osobowych. Na gruncie ustawy o ochronie sygnalistów adekwatne postanowienia powinny znaleźć się w samej umowie upoważniającej podmiot zewnętrzny do obsługi zgłoszeń sygnalistów.

Postanowienia powinny m.in. określać obowiązki podmiotu przetwarzającego takie jak:

• przetwarzanie danych jedynie na udokumentowane polecenie administratora
• zapewnienie przetwarzania danych jedynie przez osoby upoważnione oraz zobowiązane do zachowania tajemnicy
• zobowiązanie do pomocy w realizacji żądań osób, których dane dotyczą lub zgłaszania naruszeń ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych
• zwrot lub usunięcie danych osobowych po zakończeniu  świadczenia usług
• przekazanie wszelkich informacji dotyczących przetwarzania w ramach powierzenia oraz umożliwienie przeprowadzania audytów w zakresie realizacji umowy

Ponadto, podmioty prywatne, na rzecz których wykonuje pracę zarobkową co najmniej 50, lecz nie więcej niż 249 osób, mogą zawrzeć umowę, na podstawie której ustalą wspólne zasady dotyczące przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz prowadzenia postępowania wyjaśniającego. Taka umowa nie wymaga powierzenia przetwarzania danych osobowych. Każdy z podmiotów będzie odrębnym administratorem danych osobowych pozyskanych w związku z przyjmowaniem i weryfikacją zgłoszeń i nie będzie miał dostępu do danych osobowych pozyskanych przez innego administratora.

Rejestr czynności przetwarzania

Konieczne będzie również uzupełnienie dotychczasowej dokumentacji ochrony danych osobowych. Spełnianie obowiązków nałożonych ustawą stanowi odrębną czynność przetwarzania, która powinna zostać uwzględniona w rejestrze czynności przetwarzania. Z kolei rejestr czynności przetwarzania powinien zawierać informacje o:

• celach przetwarzania
• kategoriach osób, których dane są przetwarzane
• kategoriach przetwarzanych danych
• odbiorcach danych, w tym informacje o przekazywaniu danych do państw trzecich oraz
• o okresach przetwarzania danych

***

Ustawa o ochronie sygnalistów wprowadza wiele nowych regulacji z obszaru danych osobowych, czasami nie wyartykułowanych wprost w treści samej ustawy. Dodatkowo modyfikuje dotychczasowe zasady przetwarzania danych osobowych w celu ochrony tożsamości sygnalistów. Niewykluczone, że w niedalekiej przyszłości przetwarzanie danych osobowych w związku ze zgłoszeniami sygnalistów będzie przedmiotem szerszych kontroli Urzędu Ochrony Danych Osobowych, które mogą skutkować nałożeniem kar administracyjnych. Dlatego tak ważne jest kompleksowe wprowadzenie w organizacji ustawy o ochronie sygnalistów, nie tylko w zakresie procedury wewnętrznej, ale również w obszarze ochrony danych osobowych.