Przetwarzanie danych osobowych przez sygnalistów

user_13 https://wnlegal.pl/wp-content/uploads/2023/10/Posty-WN-Legal-kopia.png

Już 25 września 2024 r. na skutek implementacji unijnej dyrektywy 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii („Dyrektywa”) wejdą w życie przepisy o ustawy o ochronie sygnalistów („Ustawa”). 

Część przedsiębiorców będzie musiała wdrożyć w swoich firmach procedurę zgłaszania naruszeń prawa, w ramach której będzie dochodziło do przetwarzania danych osobowych zawartych w zgłoszeniach naruszeń prawa, ujawnionych danych osobowych sygnalisty oraz danych osobowych uzyskanych lub wykorzystanych w prowadzonych postępowaniach wyjaśniających.

W motywie 76 Dyrektywy wskazano, że państwa członkowskie powinny zapewnić, aby właściwe organy dysponowały odpowiednimi procedurami ochrony w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w tych zgłoszeniach. Takie procedury powinny zapewniać ochronę tożsamości każdej osoby dokonującej zgłoszenia, osób, których dotyczy zgłoszenie, oraz osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników, na wszystkich etapach procedury.

Wobec tego przedsiębiorcy, poza samą procedurą zgłaszania naruszeń powinni zadbać także o opracowanie dokumentów dotyczących zasad przetwarzania danych osobowych, o których mowa w tych zgłoszeniach.

Poniżej skupimy się na najistotniejszych w naszej ocenie kwestiach dotyczących ochrony danych osobowych zawartych w zgłoszeniach wewnętrznych.

Dane osobowe należy przetwarzać zgodnie z RODO

Do przetwarzania danych osobowych zawartych w zgłoszeniach będzie miało zastosowanie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”).

Czym są dane osobowe oraz ich przetwarzanie na gruncie RODO?

Na gruncie RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, natomiast przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Administrator danych osobowych 

Administratorem danych osobowych zawartych w zgłoszeniach będzie podmiot, do którego skierowane zostało zgłoszenie.

Kategorie przetwarzanych danych

Administrator może przetwarzać dane identyfikacyjne, adresowe, kontaktowe oraz wszelkie inne dane zawarte w zgłoszeniach. 

Trzeba jednak mieć na uwadze, że zgodnie z zasadą minimalizacji danych, przepisami Ustawy, administrator zbiera wyłącznie takie dane, które są mu niezbędne do rozpatrzenia zgłoszenia i podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.

Cel przetwarzania danych 

Administrator może przetwarzać dane osobowe w celu przyjmowania, rozpatrywania oraz weryfikacji zgłoszeń, prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem, prowadzenia rejestru zgłoszeń wewnętrznych oraz udzielania informacji o wynikach przeprowadzonego postępowania w sprawie zgłoszenia.

Podstawa przetwarzania

Podstawą prawną przetwarzania danych osobowych, w celach określonych powyżej jest obowiązek wynikający z przepisów Ustawy jakim jest przyjmowanie, rozpatrywanie oraz weryfikacja zgłoszeń, prowadzenie we właściwy sposób działań następczych w związku ze zgłoszeniem, prowadzenie rejestru zgłoszeń wewnętrznych oraz udzielanie informacji o wynikach przeprowadzonego postępowania w sprawie zgłoszenia (6 ust. 1 lit. c RODO) oraz wykonanie zadań realizowanych w interesie publicznym, jakim jest zwalczanie i wykrywanie przypadków naruszenia przepisów prawa (art. 6 ust 1 lit. e RODO).

W zakresie, w jakim sygnalista godzi się na ujawnienie swojej tożsamości, podstawą przetwarzania jego danych osobowych będzie jego zgoda (art. 6 ust. 1 lit. a RODO).

Ograniczony obowiązek informacyjny

W związku z brzmieniem art. 8 ust. 5 Ustawy, wyłączony został ciążący na administratorze obowiązek przekazania informacji dotyczących źródła pozyskania danych osobie, której dane dotyczą (art. 14 ust. 2 lit. f RODO).

Takie wyłączenie jest jednak uwarunkowane obowiązkiem spełnienia przez zgłaszającego warunków zawartych w art. 6 Ustawy tj., że sygnalista miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa, albo wyrażeniem wyraźnej zgody na ujawnienie swojej tożsamości.

Wyłączony został także, na mocy art. 8 ust. 6 Ustawy, obowiązek realizacji wniosku osoby, której dane dotyczą, określonego w art. 15 RODO, w zakresie udzielenia informacji o źródle pozyskania danych. Taki wniosek osoby, której dane dotyczą, będzie mógł być zrealizowany wyłącznie w sytuacji, w której zgłaszający nie spełnia warunków wskazanych w art. 6 Ustawy albo wyraził na takie przekazanie wyraźną zgodę.

Poufność danych osobowych 

Należy również podkreślić, że Ustawa nakłada na administratorów obowiązek zapewnienia poufności tożsamości sygnalisty. Z uwagi na ten fakt w Ustawie zawieszone zostało jedno prawo osoby, której dane dotyczą tj. prawo dostępu do informacji o źródle danych osobowych (danych dotyczących sygnalisty), o czym mowa powyżej. 

Z Ustawy wynika, że dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.

Zanim tożsamość osób dokonujących zgłoszenia zostanie ujawniona, muszą one zostać o tym powiadomione, chyba że takie powiadomienie mogłoby zagrozić powiązanemu postępowaniu wyjaśniającemu lub postępowaniu sądowemu. Powiadamiając osoby dokonujące zgłoszenia, właściwy organ przesyła im pisemne wyjaśnienie powodów ujawnienia odnośnych poufnych danych.

Okres przetwarzania

Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez administratora przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami.

Po upływie wskazanego okresu przechowywania podmiot prawny i organ publiczny usuną dane osobowe oraz zniszczą dokumenty związane z danym zgłoszeniem. Nie będzie to jednak dotyczyło sytuacji, w których dokumenty związane ze zgłoszeniem zostaną włączone i będą stanowiły integralną część akt spraw sądowych lub sądowoadministracyjnych.

Upoważnienie

Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, których dane zawarto w zgłoszeniu, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie administratora. Jest to kwestia, na którą warto zwrócić szczególną uwagę, ponieważ przepisy RODO nie wskazują formy w jakiej powinno zostać wydane upoważnienie, a co za tym idzie spora część przedsiębiorców nadaje elektroniczne upoważnienia do przetwarzania danych osobowych. W tym przypadku sytuacja jest odmienna, gdyż ustawodawca wprost wskazuje na formę pisemną upoważnienia.

Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.

Art. 25 ust. 1 Ustawy przewiduje, że kanały dokonywania zgłoszeń wewnętrznych mogą być także zapewniane zewnętrznie przez osobę trzecią. Realizacja obowiązku w zakresie funkcjonowania wewnętrznego kanału zgłoszeń może być zatem powierzana innym podmiotom i wiązać się ze świadczeniem usług w tym zakresie. Upoważnienie podmiotu zewnętrznego, o którym mowa w art. 25 ust. 1 pkt 1 Ustawy, wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. Przy czym umowa o świadczenie takich usług będzie musiała spełniać wymogi art. 28 ust. 3 RODO.

Jeżeli zatem taką rolę podmiotu zewnętrznego do obsługi zgłoszeń pełniłaby kancelaria prawna, to mając na względzie wskazane powyżej regulacje, w tym obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych byłaby ona procesorem danych osobowych w zakresie obsługi tych zgłoszeń. Co prawda na podstawie przepisów ustawy prawo o adwokaturze oraz ustawy o radcach prawnych adwokat czy radca prawny w zakresie udzielanej pomocy prawnej pełni rolę administratora danych osobowych, ale w tym przypadku jego rola nie będzie związana z udzielaniem pomocy prawnej, a jedynie z obsługą zgłoszeń wewnętrznych. Są to dwie odrębne kwestie, które należy rozpatrywać oddzielnie.

Podsumowanie

Jak wskazywaliśmy na wstępie obsługa zgłoszeń naruszeń prawa czy też podejmowanie działań następczych związanych ze zgłoszeniem będzie niewątpliwie związana z przetwarzaniem danych osobowych. Wobec tego koniecznie będzie wdrożenie rozwiązań organizacyjnych w zakresie ochrony danych osobowych sygnalistów oraz innych osób, których dotyczy zgłoszenie lub osób trzecich, których dane dane znajdą się w zgłoszeniu, takich jak procedury, upoważnienia czy też szkolenia personelu, a także zabezpieczenia techniczne, pozwalające na odpowiednią ochronę danych osobowych. 

Kwestia ochrony danych osobowych będzie w przypadku przyjmowania zgłoszeń wewnętrznych oraz prowadzenia postępowań wyjaśniających ich nieodłącznym elementem.W przypadku jakichkolwiek pytań związanych z kwestią ochrony danych osobowych w kontekście Ustawy oraz środkami jakie należy w tym zakresie wdrożyć, a także we wszystkich innych nurtujących Państwa kwestiach związanych z nowymi regulacjami zapraszamy do kontaktu.

Autor: radca prawny Marta Ostrowska
m.ostrowska@wnlegal.pl
tel: + 48 601 279 895
BIO (klik)

Zobacz również

Wspólna procedura zgłoszeń wewnętrznych w grupie kapitałowej – czy jest możliwa i ma sens?

[Uwagi ogólne] Zgodnie z art. 28 ust. 8 ustawy o ochronie sygnalistów z 14 czerwca 2024 r. („Ustawa”) podmioty prywatne

Konsultacje z przedstawicielami osób świadczących pracę jako element wdrożenia PROCEDURY DLA SYGNALISTÓW

Powoli zbliża się termin na wdrożenie procedury dokonywania zgłoszeń naruszeń prawa i ochrony sygnalistów [„Procedura”].Ustawa zacznie obowiązywać 25 września 2024

wn legal

Karol Wątrobiński
k.watrobinski@wnlegal.pl

Damian Nartowski
d.nartowski@wnlegal.pl

Nasze biura: Kielce, ul. Olszewskiego 6 | Kraków, ul. Królewska 57 | Warszawa Rondo Daszyńskiego 2b
+48 730 740 950 | biuro@wnlegal.pl