Wraz z wejściem w życie ustawy o ochronie sygnalistów zostaną również wprowadzone nowe obowiązki dla administratorów danych w zakresie ochrony danych osobowych. Jednym z wyzwań jest pogodzenie obowiązków wynikających z ochrony sygnalistów z obowiązującymi przepisami RODO, co analizujemy w niniejszym artykule. Administratorzy muszą zapewnić, że dane osobowe zgłaszających są odpowiednio chronione i przetwarzane zgodnie z prawem.
Ochrona danych sygnalisty
Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom. Ochrona tożsamości sygnalisty przed ujawnieniem stanowi jeden z podstawowych elementów ochrony sygnalistów. Brzmienie przepisu wprost wskazuje, że dane sygnalisty mogą być przetwarzane wyłącznie przez administratora oraz osoby upoważnione do przyjmowania zgłoszeń i prowadzenia działań następczych.
Ustawa przewiduje jednak sytuacje, w których ujawnienie danych osobowych sygnalisty jest możliwe:
- w zakresie jakim nie rodzi to ryzyka ujawnienia tożsamości sygnalisty;
- za wyraźna zgodą sygnalisty;
- gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie, np. na żądanie Policji, prokuratora lub sądu.
Obowiązek informacyjny wobec sygnalisty
Obowiązek informacyjny to nałożony na administratora wymóg prawny polegający na przekazaniu osobie, której dane dotyczą, przewidzianych w RODO informacji dotyczących przetwarzania danych osobowych, zarówno osób, od których administrator bezpośrednio uzyskał dane osobowe, jak też sytuacji, gdy danych nie pozyskano od osoby, której dane dotyczą.
Najczęstszą formą realizacji tego obowiązku jest przekazanie takim osobom przez administratora klauzuli informacyjnej lub polityki prywatności.
W zakresie spełnienia obowiązku informacyjnego wobec osoby zgłaszającej naruszenie prawa, kanał zgłoszeń powinien przewidywać możliwość zapoznania się przez sygnalistę z klauzulą informacyjną lub polityką prywatności podczas przygotowania zgłoszenia.
Mając dodatkowo na uwadze zasadę rozliczalności przewidzianą w RODO, zgodnie z którą na administratorze danych spoczywa ciężar dowodowy, polegający na konieczności wykazania przez niego zarówno przed organem nadzorczym, jak również przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych, należy również zadbać, aby fakt zapoznania się sygnalisty z klauzulą został prawidłowo udokumentowany np. poprzez zaznaczenie checkboxa zawierającego właściwe oświadczenie.
Obowiązek informacyjny nie zaistnieje w przypadku, gdy sygnalista zdecyduje się dokonać zgłoszenia o naruszeniu prawa anonimowo.
Zasada minimalizacji danych osobowych
Kolejną z zasad RODO, która znalazła odzwierciedlenie w przepisach ustawy o ochronie sygnalistów jest zasada minimalizacji danych, która przewiduje, że dane osobowe muszą być:
- adekwatne,
- stosowne,
- oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Podmiot prawny po otrzymaniu zgłoszenia naruszenia prawa przetwarza dane osobowe wyłącznie w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego.
Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane, w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.
Okres retencji danych osobowych
Administrator ma prawo przechowywania danych osobowych związanych ze zgłoszeniem tylko przez ograniczony czas.
Okres przetwarzania danych osobowych, w tym danych dotyczących tożsamości sygnalisty, w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem przez podmiot prawny wynosi 3 lata od zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Analogiczny okres występuje w przypadku przechowywania danych osobowych oraz pozostałych informacji w rejestrze zgłoszeń. Po upływie 3 lat od zakończenia roku kalendarzowego, w którym zakończono działania następcze, lub zakończeniu postępowań zainicjowanych tymi działaniami dane takie powinny zostać usunięte.
Po upływie tego okresu dokumentacja dotycząca zgłoszenia powinna zostać zniszczona, zaś wszelkie dane osobowe powinny zostać usunięte.
Podsumowanie
Wejście w życie ustawy o ochronie sygnalistów, poza obowiązkami w tym zakresie, związanymi ze stworzeniem i wdrożeniem procedur oraz kanałów zgłoszeń, nakłada na przedsiębiorców także obowiązki w zakresie ochrony danych sygnalisty wynikające z RODO.
Naruszenia w zakresie ochrony danych mogą skutkować karami finansowymi. Dla przypomnienia – przepisy RODO przewidują dwie kategorie kar finansowych – zależnie od rodzaju przewinienia. UODO może nałożyć karę w wysokości: do 10 lub 20 mln euro, do 2 lub 4% całkowitego rocznego obrotu firmy z poprzedniego roku. Dlatego, wrażając nowe regulacje dotyczące sygnalistów, warto „przy okazji” zweryfikować istniejące w przedsiębiorstwie procedury przetwarzania i ochrony danych osobowych.
Zachęcamy do kontaktu z naszymi ekspertami – wsparcie w zakresie ochrony sygnalistów to jeden z obszarów naszego doradztwa.
Autor: Adwokat Grzegorz Półtorak