Wdrożenie procedury zgłoszeń wewnętrznych i co dalej?
Zgodnie z art. 17 Dyrektywy cały proces związany ze zgłaszaniem nieprawidłowości powinien być zgodny z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Oznacza to, że unijny prawodawca obliguje każdego z administratorów do uwzględnienia przepisów o ochronie danych osobowych w tym procesie. Szczególna ochrona i bezpieczeństwo muszą towarzyszyć całemu systemowi – od zgłaszania naruszeń, z uwzględnieniem ich weryfikacji po podejmowanie działań następczych.
Ustawa o ochronie sygnalistów, która wejdzie w życie 25 września 2024 r., wprowadza szereg nowych obowiązków dla firm i administratorów danych osobowych związanych z przetwarzaniem danych osobowych zawartych w zgłoszeniu naruszenia. Chodzi tu oczywiście o dane osobowe samych sygnalistów, osób pomagających w dokonaniu zgłoszenia, osób powiązanych z sygnalistą, jak i osoby/osób, których zgłoszenie dotyczy. Istotne będą nie tylko dane wrażliwe na gruncie przepisów RODO, ale w ogóle dane, na podstawie których można zidentyfikować sygnalistę.
Przypomnijmy, że zgodnie z art. 5 ogólnego rozporządzenia o ochronie danych, Administratora obowiązują następujące zasady dotyczące przetwarzania danych osobowych:
- Dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”),
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami („ograniczenie celu”),
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”),
- prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”),
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy rozporządzenia RODO w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”),
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
- Administrator jest odpowiedzialny za przestrzeganie przepisów pkt 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Obowiązek informacyjny
Zgodnie z art. 13–14 RODO administrator danych osobowych jest zobowiązany realizować obowiązek informacyjny, jeśli bezpośrednio lub pośrednio pozyskuje dane osobowe.
Zasada minimalizacji danych
Podmiot prawny może przetwarzać dane osobowe pozyskane w związku ze zgłoszeniem sygnalisty tylko w zakresie niezbędnym do przyjęcia zgłoszenia lub też podjęcia stosownych działań następczych. Oznacza to także to, że przetwarzanie może dotyczyć tylko danych niezbędnych. Dlatego też dane osobowe, które nie mają znaczenia dla rozpatrzenia zgłoszenia nie powinny być zbierane, tylko usunięte (niezwłocznie, ale nie później niż w ciągu 14 dni od ustalenia ich niezbędności dla rozpatrywanej sprawy).
Uniemożliwienie dostępu do informacji objętych zgłoszeniem przez nieupoważnione osoby oraz zapewnienie poufności
Podmiot prawny musi zagwarantować, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.
Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty.
Przechowywanie danych tylko przez określony czas
- Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
- Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Upoważnienia osób i podmiotów zewnętrznych dopuszczonych do podejmowania działań wynikających z ustawy o ochronie sygnalistów
Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób wskazanych w zgłoszeniu, których tożsamość można bezpośrednio lub pośrednio zidentyfikować, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.
Podmiot prawny, którego obejmuje ustawa o ochronie sygnalistów, jest zobowiązany prowadzić rejestr zgłoszeń wewnętrznych. Jest on również administratorem danych osobowych zgromadzonych w takim rejestrze. Podmiot prawny może upoważnić wewnętrzną jednostkę organizacyjną lub osobę w ramach swojej struktury organizacyjnej lub podmiot zewnętrzny do prowadzenia rejestru zgłoszeń wewnętrznych.
Umowa powierzenia przetwarzania danych osobowych z podmiotem zewnętrznym
Upoważnienie podmiotu zewnętrznego wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. Umowa ta określa szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 rozporządzenia 2016/679.
Inne obowiązki wymagane prawem:
- Stworzenie polityki prywatności dotyczącej systemu zgłoszeń wewnętrznych lub uzupełnienie istniejących polityk
- Aktualizacja rejestru czynności przetwarzania
- Dokonanie analizy ryzyka
- Przeprowadzenie oceny skutków dla ochrony danych osobowych (DPIA)
- Przygotowanie oświadczeń o zachowaniu poufności dla osób prowadzących działania w ramach postępowania wyjaśniającego
- Przygotowanie oświadczeń o zachowaniu tajemnicy w zakresie informacji i danych osobowych
Podstawa prawna:
- Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. poz. 928)
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L 305 z 26.11.2019, str. 17, Dz. Urz. UE L 347 z 20.10.2020, str. 1, Dz. Urz. UE L 265 z 12.10.2022, str. 1 oraz Dz. Urz. UE L 150 z 09.06.2023, str. 40)
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)