Spis treści
- Kim są sygnaliści?
- Nowe obowiązki podmiotów związane ze zgłaszaniem naruszeń
- Zakres danych osobowych przetwarzanych w związku ze zgłoszeniem
- Podstawa prawna przetwarzania danych osobowych oraz okres przetwarzania danych
- Wyłączenie obowiązku przekazania informacji dotyczących źródła pozyskania danych osobie, której dane dotyczą
- Zasada privacy by design przy wdrażaniu systemu zgłaszania naruszeń
- Podmioty obsługujące zgłoszenia sygnalistów
Kim są sygnaliści?
Na gruncie rządowego projektu ustawy o ochronie sygnalistów (tutaj można zapoznać się z tym dokumentem na stronie Sejmu (druk 317) ) sygnalistą jest każda osoba fizyczna, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą.
BEZPŁATNY WEBINAR: 10 wyzwań związanych z ochroną danych osobowych w 2024 r.
Projekt ustawy wymienia podmioty, które będą uznane za sygnalistów, czyli uprawnionych do przekazywania zgłoszeń. Są nimi:
- pracownik,
- pracownik tymczasowy,
- osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej;
- przedsiębiorca,
- prokurent,
- akcjonariusz lub wspólnik,
- członek organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej,
- osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej,
- stażysta,
- wolontariusz,
- praktykant.
Dodatkowo przepisy ustawy o ochronie sygnalistów będzie należało stosować także do osób zgłaszających naruszenia prawa przed nawiązaniem stosunku pracy (lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy bądź usług lub pełnienia funkcji w podmiocie prawnym) lub już po ustaniu takiego stosunku pracy.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Nowe obowiązki podmiotów związane ze zgłaszaniem naruszeń
Rządowy projekt dotyczący ochrony sygnalistów zakłada, że po upływie 3 miesięcy od dnia ogłoszenia ustawy podmiot prawny – bez względu na to, czy działa w sektorze publicznym czy prywatnym – zatrudniający co najmniej 50 osób (z pewnymi wyjątkami) będzie zobowiązany do:
- ustalenia wewnętrznych procedur dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych,
- określenia i wdrożenia kanałów przekazywania zgłoszeń wewnętrznych przez sygnalistę (powinny obejmować co najmniej możliwość dokonywania zgłoszeń ustnie: w tym telefonicznie lub za pośrednictwem środków komunikacji elektronicznej, lub pisemnie: w postaci papierowej lub elektronicznej),
- prowadzenia rejestru zgłoszeń wewnętrznych, w ramach którego podmiot prawny będzie gromadził dane osobowe oraz pozostałe informacje przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Warto w tym miejscu zwrócić uwagę, iż każdy, kto wbrew przepisom polskiej ustawy nie ustanowi procedury zgłoszeń wewnętrznych lub ustanowi ją z istotnym naruszeń wynikających z ustawy wymogów, będzie podlegał grzywnie.
Zakres danych osobowych przetwarzanych w związku ze zgłoszeniami
W ramach sposobów, za pośrednictwem których sygnaliści będą dokonywać zgłoszeń, przetwarzaniu mogą zostać poddane dane osobowe sygnalisty, jak i osoby trzeciej (osoby, której dane dotyczą, świadka czy osoby pokrzywdzonej), takie jak imię, nazwisko czy dane kontaktowe, ale także – na co warto zwrócić uwagę – szereg innych informacji, które zostaną wskazane w zgłoszeniu czy w ramach postępowania wyjaśniającego. Może to obejmować również dane dotyczące wyroków skazujących i czynów zabronionych oraz szczególne kategorie danych osobowych, w tym dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dotyczące zdrowia, seksualności lub orientacji seksualnej.
Co więcej z uwagi na konieczność zapewnienia sygnaliście odpowiedniej ochrony, jego dane osobowe pozwalające na ustalenie jego tożsamości, nie będą podlegać ujawnieniu nieupoważnionym osobom, chyba że sygnalista wyrazi na to wyraźną zgodę.
Poza tym, podmiot prawny po otrzymaniu zgłoszenia będzie musiał przetwarzać dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie będą miały znaczenia dla rozpatrzenia zgłoszenia, nie będą mogły być zbierane, a w razie ich przypadkowego zebrania – powinny zostać niezwłocznie usunięte. Usunięcie tych danych osobowych powinno nastąpić w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.
Podstawa prawna przetwarzania danych osobowych oraz okres przetwarzania danych
Podmiot prawny który otrzyma zgłoszenie, na gruncie RODO wystąpi w roli administratora i będzie uprawniony do przetwarzania danych osobowych sygnalisty, jak i danych innych osób ujawnionych w zgłoszeniu czy w trakcie postępowania wyjaśniającego. Podstawę takiego przetwarzania będą stanowić odpowiednio:
- art. 6 ust. 1 lit. e RODO (w odniesieniu do zwykłych danych osobowych),
- art. 9 ust. 1 lit. g RODO (w odniesieniu do szczególnych kategorii danych osobowych) oraz
- art. 10 RODO (w odniesieniu do danych dotyczących wyroków skazujących i czynów zabronionych)
Należy zatem przyjąć, iż zgodnie z RODO przetwarzanie danych osobowych jest niezbędne do wykonania zadania realizowanego w interesie publicznym (w przypadku zwykłych danych osobowych) oraz ze względów związanych z ważnym interesem publicznym (w przypadku szczególnych kategorii danych osobowych).
Co więcej, dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem będą musiały być przechowywane przez podmiot prawny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Wyłączenie obowiązku przekazania informacji dotyczących źródła pozyskania danych osobie, której dane dotyczą
Istotnym aspektem ochrony danych osobowych w kontekście ustawy o ochronie sygnalistów pozostają także prawa osób, których dane dotyczą. Z uwagi bowiem na specyfikę i zakres przedmiotowy projektu ustawy, realizacja niektórych z praw podmiotów danych może powodować nieefektywność mechanizmów w nim przewidzianych. W szczególności dotyczy to prawa do informacji o przetwarzaniu danych osobowych oraz prawa dostępu przysługujących osobie, której dane dotyczą. Związana z tym realizacja przez podmiot prawny obowiązku przekazania osobie, której dotyczy zgłoszenie, informacji o źródle danych może wiązać się z ujawnieniem tożsamości samego sygnalisty. Powyższe implikuje konieczność ograniczenia prawa do informacji o przetwarzaniu danych i prawa dostępu, a to celem zapewnienia efektywności stosowania przepisów ustawy i zapewnieniu odpowiedniej ochrony sygnaliście. W przypadku obu wskazanych praw przysługujących osobie, której dotyczy zgłoszenie – jak wynika z projektu ustawy – wykluczony został obowiązek podania źródła danych.
Zasada privacy by design przy planowaniu ochrony danych osobowych
Podczas dostosowania organizacji przez pracodawcę do wymogów ustawowych należy mieć na uwadze zasadę privacy by design, o której mowa w art. 25 RODO i analizę ryzyka wdrażanych rozwiązań. Wspomniana zasada ma zagwarantować, że funkcjonowanie systemu zgłaszania naruszeń będzie stworzone tak, aby domyślnie chronić dane osobowe.
Wobec powyższego kanały zgłoszeń muszą być zaprojektowane i obsługiwane w bezpieczny sposób oraz zapewniać ochronę poufności tożsamości – zarówno osoby dokonującej zgłoszenia, jak i osoby trzeciej wymienionej w zgłoszeniu, uniemożliwiając uzyskanie do nich dostępu nieupoważnionym członkom personelu.
Ochrona poufności i danych osobowych dotyczy informacji, na podstawie których można pośrednio lub bezpośrednio zidentyfikować tożsamość osób, o czym wspomina projekt ustawy. Poza tym zagwarantowanie skutecznej ochrony ma na celu wykluczenie ewentualnych działań odwetowych oraz niekorzystnych skutków wynikających ze zgłoszenia nieprawidłowości.
Podmioty obsługujące zgłoszenia sygnalistów
Projekt ustawy o ochronie sygnalisty wskazuje, iż przyjmowanie zgłoszeń wewnętrznych może być obsługiwane:
- wewnętrznie przez wyznaczoną do tego celu osobę lub jednostkę organizacyjną, lub
- zewnętrznie przez osobę trzecią.
W każdym przypadku – na co wskazuje dyrektywa o sygnalistach, która nakłada na państwa członkowie obowiązek uchwalenia stosownych przepisów – podmiot obsługujący zgłoszenie, zapewniając brak konfliktu interesów i niezależność, jednocześnie powinien zagwarantować niezbędny poziom ochrony danych osobowych, o którym mowa w RODO
Jeżeli osobami obsługującymi będą pracownicy, to z jednym z istotniejszych zadań stojących przed podmiotem prawnym w tym zakresie będzie wyznaczenie zasad przetwarzania danych w związku z ewentualnym zgłoszeniem oraz budowanie świadomości zachowania informacji w poufności.
W przypadku natomiast, gdy podmiot prawny zdecyduje się na skorzystanie z usług podmiotu zewnętrznego przy obsłudze zgłoszeń, to z punktu prawa ochrony danych osobowych pojawi się nowy podmiot przetwarzający, a zatem zasadne będzie zawarcie umowy powierzenia danych osobowych do przetwarzania na gruncie RODO.
Co więcej, podmioty prywatne, na rzecz których pracę zarobkową wykonuje co najmniej 50 (lecz nie więcej niż 249) osób, mogą na podstawie umowy ustalić wspólne zasady dotyczące przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz prowadzenia postępowań wyjaśniających, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą.
Ponadto rządowy projekt ustawy precyzuje, iż do przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego, zobowiązane do zachowania tajemnicy. To dobry moment na dokonanie weryfikacji wewnętrznego procesu nadawania upoważnień do przetwarzania danych, czy też uprawnień do pracy w systemach informatycznych.
Zgodnie z informacją UODO (tutaj można się zapoznać z tym artykułem) nie można wykluczyć możliwości łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami, w tym dotyczącymi ochrony danych osobowych. W takiej sytuacji, jak możemy przeczytać na stronie internetowej Urzędu, administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań. Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO.
Bez względu na to, kiedy dojdzie do uchwalenia ustawy przez polski parlament, podmioty prawne powinny już teraz rozpocząć przygotowania do wdrożenia nowych obowiązków i procedur oraz skorzystać z wiedzy ekspertów, żeby uniknąć niepotrzebnych nerwów, kosztów i ewentualnej odpowiedzialności prawnej.
Niewątpliwie największym wyzwaniem w zakresie przetwarzania danych osobowych w związku ze zgłoszeniem naruszenia będzie zapewnienie skutecznej ochrony prywatności sygnalistów.
WSPOŁAUTORKA: Alicja Bańczerowska, Associate, Kancelaria Prawna
