Wdrożenie ustawy o ochronie sygnalistów stanowi kluczowy krok w kierunku budowania transparentności w firmie, a także sposób ochrony przyjętych w niej wartości. Jak każdy nowy proces zachodzący w organizacji, również wdrożenie systemu zgłaszania naruszeń prawa, wymaga jego weryfikacji pod kątem zapewnienia standardów bezpieczeństwa przewidzianych w przepisach RODO.
W niniejszym artykule omówimy, jak przygotować się do wdrożenia ustawy o ochronie sygnalistów, aby zapewnić pełną zgodność tego procesu z przepisami RODO, i tym samym zapewnić ochronę danych osobowych sygnalistów.
Do wdrożenia systemu zgłaszania naruszeń prawa zobowiązani są przedsiębiorcy, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Przepisy ustawy o ochronie sygnalistów wchodzą w życie już 25 września 2024 r.
Ujawnienie danych osobowych sygnalisty
W pierwszej kolejności, należy podkreślić, że przepisy ustawy o ochronie sygnalistów wprost zakazują ujawniania tożsamości sygnalisty. Takie dane mogą zostać ujawnione przez przedsiębiorcę wyłącznie za zgodą sygnalisty. Natomiast organ publiczny lub sąd może ujawnić dane sygnalisty osobie, której dotyczy zgłoszenie, jedynie gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z prowadzonym postępowaniem. Przykładowo takim obowiązkiem będzie zapewnienie prawa do obrony osobie, której dotyczy zgłoszenie. Przy czym nawet w takim przypadku organ publiczny lub sąd co do zasady musi podjąć dodatkowe środki ochrony sygnalisty poprzez uprzednie powiadomienie sygnalisty o swoim zamiarze i uzasadnienie swojej decyzji.
Co istotne, ujawnienie danych sygnalisty, osoby pomagającej sygnaliście lub osoby powiązanej z sygnalistą (np. małżonka) wbrew przepisom ustawy o ochronie sygnalistów, może wiązać się z negatywnymi konsekwencjami dla ujawniającego w postaci grzywny, kary ograniczenia wolności, czy nawet kary pozbawienia wolności do roku.
Ponadto przy wdrażaniu systemu zgłaszania naruszeń prawa, należy pamiętać o zasadzie minimalizacji danych, co oznacza, że przedsiębiorca powinien zbierać tylko tyle danych, ile faktycznie jest niezbędnych do przyjęcia zgłoszenia lub podjęcia działania następczego. W razie zebrania danych, które nie są niezbędne do wyjaśnienia naruszenia, podlegają one usunięciu w terminie 14 dni od chwili ustalenia, że nie mają znaczenia dla sprawy.
Kto może przyjmować i weryfikować zgłoszenia sygnalisty
Do przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz podejmowania dalszych kroków mogą być dopuszczone tylko osoby posiadające pisemne upoważnienia od przedsiębiorcy. Ważne, aby te osoby zostały zobowiązane do zachowania w poufności wszystkich informacji i danych osobowych, które zdobyły w związku z rozpatrywaniem zgłoszenia sygnalisty, również po zakończeniu swojej współpracy z przedsiębiorcą.
Co ciekawe, przepisy ustawy o ochronie sygnalistów dopuszczają możliwość zaangażowania podmiotów zewnętrznych w zakresie przyjmowania zgłoszeń od sygnalistów. Natomiast ustawa nie dopuszcza już takiej możliwości dla rozpatrywania tych zgłoszeń. Oznacza to, że zgłoszenia powinny być rozpatrywane przez osoby ze struktury organizacyjnej przedsiębiorcy. Jeśli przedsiębiorca zdecyduje się zlecić podmiotowi zewnętrznemu przyjmowanie zgłoszeń od sygnalistów, powinien pamiętać o obowiązku zawarcia umowy powierzenia przetwarzania danych osobowych.
Ocena skutków dla przetwarzania danych sygnalistów i aktualizacja rejestru przetwarzania danych osobowych
Przetwarzanie danych osobowych sygnalistów może wiązać się z wysokim ryzykiem dla ich praw i wolności, dlatego konieczne jest przeprowadzenie dla tego procesu oceny skutków dla ochrony danych (DPIA). Taki obowiązek wynika również z wykazu rodzaju operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania danych opublikowanego przez Prezesa Urzędu Ochrony Danych Osobowych.
DPIA pozwala na zidentyfikowanie i zminimalizowanie potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych sygnalistów oraz osób, których dotyczy zgłoszenie.
Przeprowadzenie DPIA powinno obejmować:
- dokładny opis planowanego procesu przetwarzania danych osobowych, czyli udzielenie odpowiedzi na pytanie jakie dane osobowe będą przetwarzane, przez jaki okres, w jakim celu oraz na jakiej podstawie prawnej,
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do obranych przez przedsiębiorcę celów przetwarzania danych osobowych,
- ocenę ryzyka naruszenia praw lub wolności sygnalistów oraz osób, których dotyczą zgłoszenia,
- ocenę planowanych środków zaradczych, wdrożonych w celu odpowiedniego zabezpieczenia procesu przetwarzania danych osobowych.
Przedsiębiorca powinien również uwzględnić nowy proces przetwarzania danych związany z wewnętrznym zgłaszaniem naruszeń w rejestrze czynności przetwarzania danych osobowych.
Obowiązki informacyjne
Zgodnie z art. 13 oraz 14 RODO przedsiębiorca powinien poinformować osoby, których dane przetwarza w związku z otrzymaniem zgłoszenia o naruszeniu prawa, o zasadach przetwarzania ich danych osobowych. Z uwagi jednak na konieczność zapewnienia ochrony tożsamości sygnalisty, ustawodawca zwolnił przedsiębiorcę z obowiązku podania źródła danych osobie, której dane pozyskał od sygnalisty (np. naruszycielowi). Przy czym na zasadzie wyjątku przedsiębiorca może podać źródło pozyskania danych, jeżeli sygnalista nie podlega ochronie ustawowej, ponieważ celowo zgłosił nieprawdziwe naruszenie lub sygnalista wyraźnie zgodził się na ujawnienie jego tożsamości. Obowiązek informacyjny powinien być realizowany, w momencie pozyskiwania danych osobowych, a więc względem sygnalisty w momencie przyjęcia jego zgłoszenia, a względem osoby, której dotyczy zgłoszenie najpóźniej w ciągu miesiąca od pozyskania danych.
Okres przetwarzania danych
Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia naruszenia prawa lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem przedsiębiorca może przechowywać przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Ponadto w przypadku pozyskania danych niemających znaczenia dla sprawy, przedsiębiorca powinien usunąć je w terminie 14 dni od chwili ustalenia, że są one nieistotne.
Podsumowanie
Wdrażając system zgłaszania naruszeń prawa, przedsiębiorca nie powinien zapomnieć o obowiązku zapewnienia bezpieczeństwa danych pozyskanych od sygnalisty. Wywiązanie się bowiem z tego obowiązku stanowi nie tylko przejaw przestrzegania przez przedsiębiorcę przepisów RODO, ale przede wszystkim stanowi kluczowy element dla zbudowania bezpiecznego dla sygnalisty i godnego zaufania systemu zgłaszania naruszeń. Stąd też wdrożenie ustawy o sygnalistach zgodnie z zasadami RODO jest kluczowe dla efektywnego funkcjonowania systemu zgłaszania naruszeń prawa.
Jeśli potrzebujesz pomocy lub konsultacji w procesie wdrażania systemu naruszeń prawa, skontaktuj się z nami! Odpowiemy na wszelkie pytanie oraz wskażemy konkretne rozwiązania!
Autorki: Aleksandra Zomerska, Aleksandra Woźniak