Artykuł ukazał się w Magazynie ODO
Autorzy: Przemysław Gruchała, Zuzanna Prandecka-Walek
W ostatnim czasie pojawił się już 4 projekt polskiej ustawy mającej implementować dyrektywę nr 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii[1]. Cel dyrektywy jest prosty – zagwarantować brak negatywnych konsekwencji wobec osób zgłaszających przypadki nieprawidłowości w organizacji. Czy możliwa jest taka organizacja całego procesu, aby ochrona sygnalistów obejmowała też ochronę ich danych osobowych? Jak przygotować organizację na nowe wyzwania w zakresie przetwarzania danych osobowych w systemach whistleblowingowych?
Nowa wersja projektu ustawy o ochronie osób zgłaszających naruszenia prawa (tzw. ustawa o ochronie sygnalistów) została opublikowana na początku sierpnia 2022 r. Zobowiązuje ona organizacje do wdrożenia odpowiednich procedur i narzędzi pozwalających na przyjmowanie, obsługę i podejmowanie działań usuwających lub zapobiegających skutkom nieprawidłowości takich jak naruszenia prawa czy zasad etycznych. Projektowane przepisy kładą szczególny akcent na ochronę prywatności sygnalistów – osób, które zgłaszają tego rodzaju nieprawidłowości w organizacji.
Zorganizowanie całego procesu whistleblowingowego w taki sposób, aby z jednej strony realizowane były cele organizacji, a z drugiej zagwarantowana była ochrona sygnalisty, stanowi nie lada wyzwanie. Wdrażane rozwiązania należy przede wszystkim weryfikować pod kątem szczególnego zakresu informacji, które będą w tym procesie przetwarzane – kluczowe znaczenie mają zwłaszcza przepisy o ochronie danych osobowych, w tym RODO.
Dlaczego dane osobowe w kontekście sygnalistów są tak ważne?
Przede wszystkim: 1) organizacja otrzymująca zgłoszenie sygnalisty staje się administratorem danych osobowych w nim zawartych i tym samym odpowiada za ich należyte przetwarzanie; 2) system lub narzędzie, za pomocą którego zgłoszenia są przesyłane, może przetwarzać znaczny wolumen danych – w tym danych o szczególnej wrażliwości, szczególnych kategorii czy też danych o czynach zabronionych. Trzeba pamiętać, że nie będą to wyłącznie dane sygnalisty, ale też dane osób, których zgłoszenia dotyczą czy osób postronnych, wymienionych w zgłoszeniach.
Na organizacjach ciąży więc nie tylko obowiązek wdrożenia przepisów w praktyce, ale przede wszystkim – zapewnienie najwyższego stopnia bezpieczeństwa i poufności danych osobowych, które będą przetwarzane w procesie.
Analiza ryzyka punktem wyjścia do wdrożenia systemu whistleblowingowego
Wdrożenie jakiegokolwiek kanału komunikacji czy obsługi zgłoszeń sygnalistów powinno być poprzedzone szczegółową analizą ryzyka, w ramach której zmapowany zostanie przepływ informacji i zderzone zostaną proponowane środki organizacyjne i techniczne, wraz ze zidentyfikowanymi zagrożeniami.
Prezes UODO idzie o krok dalej i w komunikacie z 17 sierpnia 2018 r[2]. wprost wskazuje, że systemy whistleblowingowe wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). Ocena ta powinna być wykonana jeszcze przed uruchomieniem rozwiązania, a rezultaty i wnioski z niej płynące monitorowane i weryfikowane pod kątem zmieniających się zagrożeń przez cały czas jego istnienia.
Wykonanie takiej oceny jest niezbędne, mimo że w uzasadnieniu do projektu ustawy o sygnalistach ustawodawca wskazał już elementy opisu oceny ryzyka. Na podstawie art. 35 ust. 10 RODO mogłoby to uzasadniać zwolnienie administratora z obowiązku przeprowadzenia oceny DPIA. Jednak ocena dokonana przez ustawodawcę nie wydaje się satysfakcjonująca, chociażby dlatego, że każdy wdrożony system może zakładać inny sposób przetwarzania danych osobowych, wiążący się z nieco innymi zagrożeniami. Stąd też, uwzględniając zasadę rozliczalności, administratorzy powinni we własnym zakresie wykonać i udokumentować ocenę ryzyka wdrażanego rozwiązania.
Ryzyka zidentyfikowane – co dalej?
Dopiero po zidentyfikowaniu ryzyk i możliwości ich ograniczenia organizacja może przystąpić do tworzenia struktury i ram systemu whistleblowingowego (zgodnie z zasadami privacy by design oraz privacy by default). Powinna temu towarzyszyć aktualizacja dokumentacji z zakresu ochrony danych osobowych. Chodzi tutaj m.in. o rejestry czynności i kategorii czynności przetwarzania danych osobowych, polityki ochrony danych osobowych oraz ich retencji, pisemne upoważnienia wydawane osobom, które będą obsługiwać zgłoszenia sygnalistów, a także klauzule informacyjne dla osób, które będą korzystać z systemu whistleblowingowego lub których dane mogą być za jego pośrednictwem przetwarzane (w tym też osób, które wykonują obowiązki administratora w zakresie obsługi zgłoszeń).
Na co zwrócić uwagę aktualizując dokumentację?
Projektowane przepisy zakładają pewne ograniczenia i obowiązki związane z przetwarzaniem danych, tym samym aktualizując wewnętrzne polityki i procedury warto mieć na uwadze:
- 15-miesięczny okres retencji danych związanych ze zgłoszeniem, liczony od końca roku, w którym zakończono działania podjęte na podstawie zgłoszenia;
- 14 dni na usunięcie danych, które nie są niezbędne dla rozpatrywanego zgłoszenia – od momentu uznania ich za tego rodzaju dane;
- brak obowiązku przyjmowania zgłoszeń anonimowych (istnieje ryzyko wpływu dużej ilości zgłoszeń, których jakość można ocenić jako niską z perspektywy celu systemu whistleblowingowego oraz trudności z powiązaniem danej informacji z osobą zgłaszającą na potrzeby prowadzonego postępowania);
- umożliwienie sygnaliście wyrażenia zgody na ujawnienie jego danych osobowych na etapie zgłaszania nieprawidłowości;
- wyłączenie obowiązku informowania o źródle danych w ramach:
- obowiązku informacyjnego (art. 14 ust. 2 lit. f RODO), chyba że osoba zgłaszająca wyraziła na to zgodę lub nie może zostać uznana za sygnalistę w rozumieniu przepisów;
- żądania dostępu do danych (art. 15 RODO) otrzymanego od osoby, której dotyczy zgłoszenie sygnalisty – projekt zakłada, że informacje o takim źródle mogą zostać ujawnione tylko w przypadku posiadania wyraźnej zgody osoby zgłaszającej nieprawidłowość na ujawnienie jej danych lub jeśli nie można jej uznać za sygnalistę w rozumieniu przepisów.
Projekt ustawy dopuszcza też:
- Współdzielenie zasobów organizacyjnych lub kadrowych związanych z obsługą zgłoszeń
Taką możliwość będą miały jedynie podmioty zatrudniające co najmniej 50, ale nie więcej niż 249 osób, które zawrą stosowną umowę. Nowością względem poprzednich projektów jest uznanie tych podmiotów za odrębnych administratorów, co oznacza, że nie zachodzi między nimi relacja współadministrowania danymi osobowymi.
W związku z tym każdy administrator niezależnie odpowiada za bezpieczeństwo i zgodność z prawem przetwarzania. Może to wiązać się w szczególności z rozszerzeniem obowiązku zachowania poufności przez osoby oddelegowane do obsługi zgłoszeń, wydaniem niezależnych upoważnień do przetwarzania danych oraz wdrożeniem mechanizmów, które zapewnią, że zgłoszenia adresowane tylko do jednego z podmiotów nie trafią do pozostałych.
W ostatnim z wymienionych przypadków ustawodawca przewiduje, że gdyby zgłoszenie trafiło do niewłaściwego administratora, ma on obowiązek przesłać informacje do właściwego podmiotu tylko w zakresie niezbędnym do podjęcia działań związanych z tym zgłoszeniem. Projekt nie precyzuje, który z podmiotów stwierdza, jakie informacje są niezbędne do podjęcia dalszych działań, ani w jaki sposób informować właściwego administratora o wystąpieniu podobnej sytuacji. Kwestie te powinny być uregulowane umową pomiędzy podmiotami uczestniczącymi we wspólnym procesie.
- Outsourcing obsługi zgłoszeń na zewnątrz organizacji
Ustawodawca dopuszcza powierzenie czynności związanych z obsługą zgłoszeń podmiotowi trzeciemu. Szczególny nacisk położono tutaj na konieczność zawarcia umowy regulującej współpracę z takim podmiotem. Konieczna będzie też weryfikacja samego procesora w ramach tzw. „testu procesora” i zawarcie z nim umowy powierzenia przetwarzania danych, jako że taki podmiot nie będzie wyznaczał samodzielnie sposobu i celu przetwarzania danych osobowych.
W ramach powierzenia przetwarzania danych istotne będzie też odpowiednie zabezpieczenie zwrotu i usunięcia danych przez podmiot zewnętrzny po upływie okresu przetwarzania (a więc przed upływem okresu retencji lub wcześniej, zależnie od polecenia administratora).
Projekt ustawy dopuszcza również możliwość skorzystania z systemu IT jako kanału whistleblowingowego. W kontekście powyższych zaleceń, trzeba dodatkowo zwrócić uwagę na możliwość wystąpienia łańcuchów powierzenia przetwarzania danych np. w relacji administrator à podmiot zewnętrzny obsługujący zgłoszenia à podmiot dostarczający system IT à podmiot zapewniający infrastrukturę sieciową. Będzie to aktualizowało obowiązek zabezpieczenia kwestii poufności i wydawania poleceń przez administratora dalszym procesorom.
Ochrona danych osobowych sygnalistów nie tylko na papierze
W państwach członkowskich UE, w których funkcjonują już przepisy dotyczące sygnalistów, organy państwowe szczegółowo weryfikują zastosowane przez pracodawców rozwiązania. W czerwcu 2021 r. włoski odpowiednik PUODO nałożył karę w wysokości 40 tys. euro na zarządcę lotniska – Aeroporto Guglielmo Marconi di Bologna. Podmiot ten używał systemu zgłoszeń z nieszyfrowanym protokołem sieciowym http oraz nie dotrzymał należytej staranności w weryfikacji zasad przetwarzania danych z perspektywy privacy by design i privacy by default[3].
W 2022 r. karę o tej samej wysokości od włoskiego organu ochrony danych osobowych otrzymał szpital Perugia Public Hospital, który nie przeprowadził oceny skutków przetwarzania danych za pośrednictwem stosowanego przez siebie narzędzia, nie zaktualizował własnych rejestrów czynności przetwarzania, a ponadto nie poinformował o tym, że każde połączenie urządzenia końcowego (np. urządzenia sygnalisty) z aplikacją zapisywane jest w logach zapory sieciowej, co pozwala na zidentyfikowanie osoby zgłaszającej naruszenie[4]. Niezależnie, karę za to naruszenie otrzymał również podmiot przetwarzający dane, będący dostawcą systemu.
Powyższe przykłady jasno wskazują, że ewentualna bierność czy ignorowanie zasad ochrony danych osobowych w kontekście wprowadzanych rozwiązań whistleblowingowych mogą wiązać się z negatywnymi skutkami. Mimo że w Polsce na wdrożenie przepisów ustawy o ochronie sygnalistów przewiduje się, zgodnie z ostatnim projektem ustawy, łączny termin aż 4 miesięcy (licząc od momentu ogłoszenia ustawy w Dzienniku Ustaw), już teraz warto zaplanować dokładny plan działania, żeby przygotować organizację na ten proces.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L 305 z 26.11.2019, str. 17 oraz Dz. Urz. UE L 347 z 20.10.2020, str. 1)
[2] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (M.P. 2018 poz. 827)
[3] Źródło: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9685922.
[4] Źródło: https://edpb.europa.eu/news/national-news/2022/whistle-blowing-without-privacy-italian-sa-fines-hospital-and-it-service_en.
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>