Sygnalista, a rozporządzenie o ochronie danych.

Ochrona sygnalisty – coraz częściej słyszane magiczne hasło, a jak to się odnosi do RODO?

W ostatnim czasie zapewne nie jednokrotne słyszeliście o magicznych haśle „Ochrona sygnalistów”. Pytanie czy wiemy co tak naprawdę kryje się pod tym hasłem? – w niniejszym artykule postaramy się wyjaśnić czym jest ochrona sygnalistów, kim jest sygnalista i jakie ma w związku z tym prawa.

Na początek warto powiedzieć kim jest sygnalista.

Zgodnie z Dyrektywą Parlamentu Europejskiego w sprawie ochrony osób zgłaszających naruszenia praw Unii, Sygnalistą jest każda osoba zgłaszająca lub ujawniająca publicznie naruszenie. Naruszenie takie może być zgłoszone niezależnie czy jest to sektor prywatny czy publiczny. Kim zatem może być sygnalista? Projekt ustawy nie określa jednoznacznie zamkniętej listy. Na liście znaleźli się między innymi:

• Pracownicy
• Byli pracownicy
• Osoby świadczące prace na innej podstawie niż UoP
• Przedsiębiorcy
• Wolontariusze
• Funkcjonariusze służb
• Żołnierze zawodowi

I to tylko część z dłuższej listy osób – do pełnej listy zapraszamy do projektu ustawy.

Sygnalista to zatem osoba, która może udostępnić dane osobowe danej firmie, a ta jego dane będzie musiała przetwarzać w związku ze zgłoszeniem naruszenia.

Jakie w związku z tym pracodawca będzie miał obowiązki?

Ustawa zakłada, że pracodawcy będą musieli:

• Przygotować regulamin „zgłoszeń wewnętrznych”
• Stworzyć i prowadzić rejestr zgłoszeń wewnętrznych
• Utworzyć bezpieczne kanały zgłoszeń (listownie, online, telefonicznie)
• Przed dopuszczeniem pracownika do pracy zapoznać go z procedurami

Pewnie zastanawiacie się co kryje się pod pojęciem bezpieczne kanały zgłoszeń? Mowa jest tu o kanałach gwarantujących poufność danych sygnalisty jak i osoby trzeciej. Poufność oznacza ochronę przed dostępem osób nieuprawnionych w kontekście przetwarzania tych danych. Odnosi się to zarówno do przyjmowania zgłoszeń o nieprawidłowości, prowadzenia postępowania wyjaśniającego jak i informacji zarchiwizowanej.

Pracodawca tym samym będzie musiał spełniać liczne wymogi związane z Dyrektywą. Za zgodności z jej zasadami pracodawca może się liczyć z grzywną lub utratą reputacji. Czy tylko? Nie, w tym miejscu wkraczamy w obszar ochrony danych osobowych. Przecież fakt przyjęcia zgłoszenia i jego rozpatrzenia wiąże się bezpośrednio z koniecznością przetwarzania danych osobowych. A gdzie?

Po pierwsze: w ramach dokonanego zgłoszenia

Każde zgłoszenie bez względu na jego treść może zawierać dane osobowe, ale nie musi (w przypadku zgłoszeń niejawnych). Między innymi mogą tam się znaleźć dane osobowe zgłaszającego, dane osoby, której zgłoszenie dotyczy, jak również świadków. Dane osoby zgłaszającej mogą zostać utajnione w przypadku, gdy organizacja taki kanał udostępnia.

Po drugie: w ramach prowadzonego postępowania

Jak już wskazaliśmy powyżej każde zgłoszenie musi zostać rozpatrzone. Prowadzenie wewnętrznego postępowania wyjaśniającego będzie wiązało się z przetwarzaniem danych osobowych. Kogo? Mogą to być przesłuchiwani pracownicy, osoby podejrzane o dokonanie czynu zabronionego. A to nie koniec, często mogą to być też inne dane, które zostaną zabezpieczone w materiałach dowodowych np. korespondencji e-mail, czy też z logów z systemów informatycznych. No i oczywiście nie zapominajmy o członkach komisji prowadzącej dane postępowanie.

W przypadku, kiedy dana organizacja takie zgłoszenie otrzyma, będzie ona zobowiązana do przestrzegania przepisów Ogólnego Rozporządzenia o Ochronie Danych (dalej RODO). A to oznacza m.in.:

• ustalenie celu przetwarzania, a w tym:
• wybór właściwej podstawy prawnej przetwarzania, na podstawie z art. 6 ust. 1 RODO,
• wypełnienia obowiązku informacyjnego,
• umożliwienia wykonania praw przysługujących danej osobie, na gruncie przepisów RODO,
• zapewnienia technicznych i organizacyjnych środków ochrony danych przed utratą poufności, dostępności lub zniszczenia (dla przypomnienia, atrybuty bezpieczeństwa: poufność, integralność i dostępność).

Z tym celem, niby się wydaje proste, ale jednak według CNIL (link), administrator może w ramach prowadzonego postępowania realizować kilka celów. Mogą one dotyczyć np. postępowania w zakresie naruszenia prawa Europejskiego jak i wewnętrznych regulacji danej organizacji. W takim przypadku przesłanką prawną do przetwarzania danych osobowych będzie
w przypadku podmiotów prywatnych np.:

• 6 ust. 1 lit. c) wykonanie obowiązku prawnego oraz
• 6 ust. 1 lit. f) prawnie uzasadniony interes w zakresie naruszenia wewnętrznych zasad przyjętych w organizacji.

I co jeszcze, bo to jeszcze nie koniec.

Nie wolno nam zapomnieć o podstawowych zasadach privacy by design i privacy by default. Co to oznacza? Jedynie i aż tyle, że należy uwzględnić ochronę danych osobowych i prywatności już na etapie tworzenia:

• założeń projektu (privacy by design),
• a także wprowadzenia domyślnych ustawień zapewniających maksymalny stopień prywatności (privacy by default).

Czyli zgodnie z ideą, która jest podstawą systemu ochrony danych osobowych na gruncie RODO.

Kolejnym istotnym zadaniem do wykonania prze Organizację wdrażającą wewnętrzne kanały przyjmowania zgłoszeń jest przeprowadzenie oceny ryzyka naruszenia praw i wolności osoby fizycznej. A gdy ryzyko jest wysokie to również wykonanie oceny skutków dla ochrony danych osobowych (DPIA – wytyczne dokument WP 248, dostępny tutaj: https://uodo.gov.pl/pl/10/9).  Warto tu jednak zwrócić uwagę na decyzję PUODO (link) który uznał, że wdrażając systemy dedykowane do obsługi zgłoszeń, DPIA jest obowiązkowe. Kiedy musimy do zrobić? Oczywiście już na etapie projektowania systemu.

Tak jak zaprezentowaliśmy, przed Organizacjami zobowiązanymi do wdrożenia wewnętrznych kanałów zgłaszania nieprawidłowości wiele pracy. I chyba te najważniejsze nie dotyczą przepisów o ochrony sygnalistów, lecz przepisów RODO. Jeśli nawet w samych przepisach o ochronie sygnalistów (a tak wynika z projektu krajowej ustawy (link) implementującego Dyrektywę) nie uwzględniono pieniężnych kar administracyjnych za np. niewdrożenie przepisów, tak łatwo taką karę otrzymać na gruncie RODO. A tu dla przypomnienia, maksymalny wymiar to do 20 mln euro lub do 4% światowego obrotu za rok poprzedni.

Podsumowując pamiętajmy, aby przy projektowaniu systemu obsługi zgłoszeń w pracę zaangażowany był Inspektor Ochrony Danych (IOD). Lecz nie zostawiajmy go samego, tu niezbędny jest zespół.

Jeśli, jednak potrzebujesz pomocy przy zaprojektowaniu systemu, wdrożenia i skutecznego ustanowienia w Organizacji, a może chcesz zlecić również całą obsługę systemu zgłaszania nieprawidłowości to jesteśmy dla Twojej dyspozycji. Fachowcy w obszarze Compliance (zgodności).

Autor: Sylwia Ostrowska