Artykuł pierwotnie ukazał się w piśmie
Sygnaliści a dane osobowe
24 czerwca 2024 r., po trwającym wiele miesięcy procesie legislacyjnym i ponad 2,5 roku po terminie na implementację do przepisów krajowych dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, opublikowana została polska ustawa o ochronie sygnalistów. Przepisy wejdą w życie 25 września 2024 r. Czasu na dostosowanie organizacji do nowych wymogów nie zostało zatem dużo, a obowiązki z nich wynikające będą miały zastosowanie do szerokiej grupy podmiotów – w szczególności, obowiązki związane z ustanowieniem procedury zgłoszeń wewnętrznych powinny być spełnione przez wszystkie podmioty zatrudniające (również na innej podstawie niż stosunek pracy) co najmniej 50 osób.
Od czego zacząć?
Przygotowując organizację na wdrożenie nowych obowiązków związanych z obsługą zgłoszeń sygnalistów, nie można zapomnieć o konieczności zapewnienia zgodności tego procesu z przepisami o ochronie danych osobowych. A wątków, w których pojawiają się dane osobowe, w ustawie nie brakuje. Samo określenie katalogu osób, których dane osobowe mogą być przetwarzane, nie jest oczywiste. Poza danymi samego sygnalisty (jeżeli dokona on zgłoszenia nieanonimowego) i osób wskazanych w zgłoszeniu jako naruszające prawo, w ustawie pojawiają się takie kategorie jak “osoby powiązane z sygnalistą”, “osoby pomagające w dokonaniu zgłoszenia” i “osoby trzecie wskazane w zgłoszeniu”. W praktyce w całym procesie weryfikacji zgłoszenia mogą wystąpić dodatkowo również inne osoby – na przykład te, które będą składać wyjaśnienia w sprawie. Status powiązania takich osób z organizacją może być w każdym przypadku inny, a jego prawidłowe określenie powinno być punktem wyjścia do ustalenia dalszych obowiązków związanych z przetwarzaniem ich danych osobowych.
Ze względu na specyfikę całego procesu obsługi zgłoszeń sygnalistów, na określone w ustawie okresy przechowywania danych, jak również na możliwe zaangażowanie w proces osób niezwiązanych bezpośrednio z organizacją, zasadne wydaje się wyodrębnienie czynności związanych z obsługą zgłoszeń sygnalistów jako osobnej czynności (a nawet kilku czynności) przetwarzania danych. To powinno z kolei znaleźć odzwierciedlenie w dokumentacji wewnętrznej dotyczącej przetwarzania danych, w szczególności w rejestrze czynności przetwarzania oraz polityce ochrony danych.
Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów – najważniejsze obowiązki
Do jednych z najważniejszych obowiązków przewidzianych w ustawie o ochronie sygnalistów należą prowadzenie rejestru zgłoszeń wewnętrznych oraz ustanowienie procedury zgłoszeń wewnętrznych. Podmiot prowadzący rejestr będzie miał status administratora wszystkich danych uwzględnionych w rejestrze. Oznacza to konieczność przygotowania obowiązków informacyjnych zgodnie z art. 13 lub 14 RODO oraz ustalenia sposobu, w jaki obowiązki informacyjne będą przekazywane osobom, których dane dotyczą. Powinno to zostać poprzedzone szczegółową analizą, jakie kategorie osób mogą się pojawić w rejestrze w ramach standardowej obsługi zgłoszeń sygnalistów. Przygotowując z kolei procedurę zgłoszeń wewnętrznych, należy zapewnić ochronę danych osobowych wszystkich osób, których dane osobowe mogą pojawić się w ramach zgłoszeń, zadbać o regularne usuwanie danych, w szczególności tych, które nie mają znaczenia dla rozpatrywania zgłoszenia, oraz zapewnić, że procedura została określona w taki sposób, że nieupoważnione osoby nie będą mogły uzyskać dostępu do informacji objętych zgłoszeniem. Procedura powinna również zapewniać ochronę poufności tożsamości sygnalisty i innych osób pojawiających się w tym procesie.
Polska ustawa przewiduje możliwość przyjmowania zgłoszeń anonimowych (decyzja w tym zakresie należy do administratora) oraz zasadę, że dane osobowe sygnalisty pozwalające na ustalenie jego tożsamości mogą podlegać ujawnieniu tylko za jego wyraźną zgodą (art. 8 ust 1 ustawy). Wzór zgody na ujawnienie danych osobowych sygnalisty stanowi zatem kolejny dokument, który powinien być przygotowany w ramach obsługi zgłoszeń sygnalistów. Powinien on zostać zaprojektowany z zachowaniem wymogów wynikających z art. 7 RODO.
Przyjmowanie zgłoszeń wewnętrznych i prowadzenie ich rejestru może być dokonywane wewnętrznie przez wyznaczoną jednostkę albo przez podmiot zewnętrzny, upoważniony do przyjmowania zgłoszeń. Każde z tych rozwiązań wiąże się z określonymi obowiązkami na gruncie ochrony danych osobowych. W pierwszym przypadku należy udzielić odpowiednich upoważnień do przetwarzania danych osobowych, odzwierciedlających zakres danych związanych z przyjmowaniem zgłoszeń. W drugim ustawa wskazuje wprost na konieczność zawarcia umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 28 RODO.
Wprowadzenie procedury zgłoszeń wewnętrznych może skutkować również koniecznością wprowadzenia zmian w pozostałej dokumentacji RODO. Administrator powinien dokonać w szczególności przeglądu polityki ochrony danych oraz polityki retencji danych. Należy również pamiętać, że koniecznym może być przeprowadzenia DPIA dla procesu związanego z obsługą zgłoszeń – zwłaszcza mając na uwadze fakt, że w “Komunikacie Prezesa UODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony” jako jeden z obszarów wskazane zostały systemy służące do zgłaszania nieprawidłowości (whistleblowing), w szczególności, gdy przetwarzane są w nich dane pracowników.
Problem zgłoszeń anonimowych
Ustawa o ochronie sygnalistów przewiduje co prawda możliwość przyjmowania zgłoszeń anonimowo, ale już przed wejściem w życie obowiązków przewidzianych ustawą widoczne są pewne niespójności i problemy praktyczne, jakie mogą się w tym zakresie pojawić.
Widoczne jest to przede wszystkim w obligatoryjnych elementach rejestru zgłoszeń wewnętrznych, do których należą m. in. “dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób” oraz “adres do kontaktu sygnalisty”, co w sposób wyraźny kłóci się z instytucją anonimowego dokonywania zgłoszeń. Możliwość dokonywania zgłoszeń anonimowo i związane z tym obniżone ryzyko działań odwetowych wydaje się być opcją, która będzie atrakcyjna dla potencjalnych sygnalistów i może spotkać się w praktyce z dużym zainteresowaniem. Kwestia odpowiedniego dostosowania do tego rozwiązania dokumentacji związanej z obsługą sygnalistów, w szczególności wymaganych w takim przypadku elementów rejestru zgłoszeń, stanowi obszar na tyle istotny, że zasadnym byłoby uregulowanie go na poziomie ustawowym.
W aktualnym brzmieniu ustawy podmiotom, które zdecydują się wprowadzić możliwość przyjmowania zgłoszeń anonimowych, pozostaje uregulowanie odrębności w prowadzeniu rejestru zgłoszeń na poziomie wewnętrznej procedury. Nadal jednak nie ma pewności, czy takie działanie będzie zgodne z przepisami ustawy. Ustawodawca w art. 7 ust. 3 ustawy wskazał wprost artykuły, które nie mają zastosowania w przypadku przyjmowania zgłoszeń anonimowych, a przepisy prawne dotyczące prowadzenia rejestru zgłoszeń nie zostały w nim uwzględnione.
Inne problemy praktyczne
Problematyka zgłoszeń anonimowych była jednym z obszarów, na które zwracał uwagę Prezes UODO w ramach wątpliwości zgłoszonych w toku prac legislacyjnych. Do innych takich kwestii należy brak dookreślenia na poziomie ustawowym katalogu danych, które będą rozumiane jako “dane niezbędne do identyfikacji” sygnalisty i osoby, której dotyczy zgłoszenie, które to dane obligatoryjnie powinny znaleźć się w rejestrze zgłoszeń. W obecnym brzmieniu ustawy nie zostało to doprecyzowane, a wskazanie zamkniętego katalogu konkretnych danych, które powinny się znaleźć w rejestrze, mogłoby pomóc w zapewnieniu przestrzegania zasady minimalizacji danych.
Jak zostało już wspomniane, obsługa sygnalistów to proces, w którym mogą pojawić się dane osobowe różnych kategorii osób, takich jak “osób, których zgłoszenie dotyczy”, “osób powiązanych z sygnalistą”, “osób pomagających w dokonaniu zgłoszenia” i “osób trzecich wskazanych w zgłoszeniu”. Kwestia poufności danych osobowych osób innych niż sam sygnalista została w polskiej ustawie rozwiązana w ten sposób, że to na podmiocie przyjmującym zgłoszenia ciąży obowiązek zagwarantowania, żeby wdrożone procedury uniemożliwią dostęp osób nieuprawnionych do informacji objętych zgłoszeniem. Z jednej strony jest to rozwiązanie, które pozwala dostosować procedury oraz środki techniczne i organizacyjne do specyfiki danego podmiotu, ale z drugiej wydaje się, że obsługa zgłoszeń sygnalistów będzie w wielu przypadkach procesem na tyle delikatnym, że zasady ochrony informacji z nim związanych powinny być przynajmniej do pewnego stopnia ujednolicone.
Kwestią, która może budzić wątpliwości i powodować liczne problemy w praktyce jest również fakt, że zgodnie z art. 6 ustawy sygnalista podlega ochronie pod warunkiem, że miał on uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa. Jeżeli chodzi o obowiązki związane z ochroną danych osobowych, ustawa uzależnia wprost od tego samego warunku ewentualne wyłączenie stosowania art. 14 ust. 2 lit f RODO (obowiązku wskazania informacji o źródle danych) oraz art. 15 ust. 1 lit g RODO (prawa dostępu do danych w zakresie informacji o ich źródle). Pojęcie “uzasadnionych podstaw” jest na tyle nieostre, że w praktyce w wielu przypadkach trudno będzie jednoznacznie ocenić, czy wyłączenie powyższych obowiązków ma rzeczywiście zastosowanie, a tym samym, czy osoba, której dane dotyczą nie powinna jednak otrzymać kompletu informacji wymienionych w RODO, w tym informacji o źródle danych.
Wprowadzając procedury obsługi zgłoszeń sygnalistów, administrator powinien też uwzględnić w nich określone w ustawie okresy retencji danych. Należy to zrobić z dużą ostrożnością, ponieważ ustawa wprowadza kilka różnych terminów przechowywania i usuwania danych. I tak, dane osobowe zebrane przypadkowo w ramach zgłoszenia powinny zostać usunięte niezwłocznie, a dane niemające znaczenia dla jego rozpatrywania, powinny zostać usunięte w terminie 14 dni od ustalenia, że nie mają znaczenia dla sprawy. Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty z tym związane przechowywane są z kolei przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub są usuwane po zakończeniu postępowań zainicjowanych tymi działaniami. Ten sam okres dotyczy danych osobowych oraz pozostałych informacji w rejestrze zgłoszeń wewnętrznych. Po tym okresie ustawa wprowadza obowiązek usunięcia danych oraz zniszczenia dokumentów związanych ze zgłoszeniem.
Podsumowanie
Obsługa zgłoszeń sygnalistów będzie bez wątpienia wiązać się z szeregiem obowiązków związanych z przetwarzaniem i ochroną danych osobowych. Część rozwiązań zaproponowanych przez ustawodawcę budzi już w tej chwili wątpliwości. Po wejściu w życie ustawy okaże się, czy stosowanie jej w praktyce pomoże rozwiązać te wątpliwości, czy spowoduje jeszcze więcej pytań. Niezależnie od tego, biorąc pod uwagę termin wejścia w życie ustawy (25 września 2024 r.), należy jak najszybciej podjąć działania mające na celu przygotowanie organizacji na nadchodzące zmiany. A ponieważ proces obsługi zgłoszeń sygnalistów wiązać się będzie się z wieloma obowiązkami na gruncie ochrony danych osobowych, istotną częścią takiego przygotowania powinno być zapewnienie odpowiedniego przestrzegania obowiązujących w tym zakresie przepisów.
Autorzy:
Paulina Komorowska-Mrozik, Radca prawny, Counsel w kancelarii PwC Legal Żelaźnicki sp.k.
Dominika Chodkowska, Adwokat, Senior Associate w kancelarii PwC Legal Żelaźnicki sp.k.
Artykuł pierwotnie ukazał się w piśmie