Ustawa o ochronie sygnalistów wprowadziła szereg obowiązków na podmioty prywatne jak i publiczne. Obowiązki te dotyczą nie tylko samej kwestii obsługi zgłoszeń wewnętrznych czy zewnętrznych, ale ustawa porusza również materię ochrony danych osobowych, które przetwarzane będą przez te podmioty w związku z przyjmowaniem i rozpatrywaniem zgłoszeń sygnalistów. Przyjrzyjmy się więc bliżej zależnościom między ochroną sygnalistów a RODO.

Administrator danych osobowych wg RODO a dane przetwarzane zgodnie z ustawą o ochronie sygnalistów

Administratorem danych osobowych jest każdy podmiot, który zbiera, utrwala czy też przechowuje dane osobowe innych osób. Dane osobowe to z kolei dane pozwalające na zidentyfikowanie określonej osoby fizycznej, w szczególności jej imię i nazwisko czy numer PESEL. Podmioty, które na podstawie ustawy o ochronie sygnalistów są zobligowane do wdrożenia przepisów tejże ustawy, będą przyjmowały zgłoszenia sygnalistów. Nawet jeśli podmiot zdecyduje się na przyjmowanie zgłoszeń anonimowych, to w treści zgłoszenia mogą być podane dane innych osób, czyli przede wszystkim osoby, której dotyczy zgłoszenie (tj. osoby, która zgodnie z wiedzą sygnalisty dokonała naruszenia prawa) czy też świadków. Oznacza, to, że dochodzi do przetwarzania danych osobowych. Czy w takim razie podmioty mają dodatkowe obowiązki? Odpowiedź brzmi twierdząco.

Ochrona danych osobowych, w tym ochrona tożsamości sygnalisty

Przyjrzyjmy się samej ustawie, która nakazuje w pierwszej kolejności chronić tożsamość sygnalisty, gdyż zgodnie z art. 8 ust. 1 Ustawy "dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty". Ustawa w ust. 4 tego artykułu wprost wskazuje, że "podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego". Oznacza to, że powstał nowy cel przetwarzania danych, jakim jest wypełnienie ustawowych obowiązków związanych  przyjęciem i rozpatrzeniem zgłoszenia naruszenia prawa. A co z podstawami? Możliwe podstawy przetwarzania danych znajdziemy w rozporządzeniu RODO. W przypadku ochrony sygnalistów będzie to na pewno obowiązek prawny wynikający z ustawy, ewentualna zgoda sygnalisty na ujawnienie tożsamości czy uzasadniony interes administratora lub osoby trzeciej polegający na weryfikacji zgłoszenia i przeprowadzenia postępowania wyjaśniającego.

Okres przetwarzania danych osobowych w związku z obsługą zgłoszeń sygnalistów

Przez jaki okres administrator będzie przetwarzał te dane? Ustawa wskazuje następujące sytuacje. Przede wszystkim już w związku z przyjęciem zgłoszenia administrator powinien ocenić, czy wszystkie dane osobowe wskazane w zgłoszeniu są niezbędne do rozpatrzenia zgłoszenia. Przepisy o ochronie sygnalistów wskazują, że dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.

Następnie ustawa wskazuje szczegółowo, jakie dane powinny być zawarte w rejestrze zgłoszeń, który obowiązkowo musi prowadzić każdy obowiązany podmiot. Określa także, jak długo dane te powinny być przetwarzane, a mianowicie:

• 12 miesięcy w przypadku Rzecznika Praw Obywatelskich od zakończenia roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych,
• 3 lata w przypadku organu, do którego wpłynęło lub przekazano zgłoszenie oraz podmiotów prawnych od zakończenia roku kalendarzowego, w którym przekazano zgłoszenie do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

Po upłynięciu wskazanych wyżej okresów dane powinny być usuwane z rejestru.

Ujawnienie danych sygnalisty i prawa osób, których dane są przetwarzane

Jak wskazaliśmy wyżej, sygnalista może wyrazić zgodę na ujawnienie swojej tożsamości. Jeśli dane dotyczą innych osób, to oczywiście ta zgoda ich nie dotyczy, a odnosi się stricte do dostępu do danych samego sygnalisty. Czy ustawa wskazuje jakieś wyjątki? Tak. Dane sygnalisty mogą zostać ujawnione nawet bez jego zgody w przypadku, gdy "ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi, lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie".

Zgodnie z RODO osobie, której dane są przetwarzane, przysługują określone prawa, a mianowicie:

• prawo dostępu do danych,
• prawo do sprostowania danych,
• prawo do usunięcia danych,
• prawo do ograniczenia przetwarzania danych,
• prawo do przenoszenia danych,
• prawo do sprzeciwu,
• prawo do skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO),
• prawo do cofnięcia zgody na przetwarzanie danych.

Czy te same prawa przysługują sygnaliście lub innej osobie w związku ze zgłaszaniem naruszeń? Niekoniecznie.  W niektórych przypadkach administrator będzie mógł odmówić lub odroczyć termin wykonania prawa bądź też je ograniczyć. Dla przykładu- chociaż organ publiczny czy podmiot prawny powinien zapewnić dostęp do danych, to jednak może w niektórych przypadkach odmówić takiego dostępu, jeśli naraziłby on sygnalistę na ujawnienie jego tożsamości. Należy pamiętać, że dostęp dotyczy jedynie danych tej osoby, która tego dostępu żąda. Podobnie rzecz ma się do sprostowania czy usunięcia danych- wiele zależy od tego, jaka jest treść zgłoszenia. Jeśli okaże się, że dane identyfikujące np. świadka są niezbędne do przeprowadzenia postępowania wyjaśniającego, to administrator powinien odmówić ich sprostowania czy usunięcia. Zgodnie z poglądem doktryny, jedynym prawem, które jest wyłączone w zakresie ochrony sygnalistów, jest prawo do przenoszenia danych. Zgodnie z RODO dotyczy ono tylko sytuacji, gdy przetwarzanie odbywa się w sposób zautomatyzowany, na podstawie zgody lub na podstawie umowy, zatem nie znajdzie ono zastosowania w procesie zgłaszania nieprawidłowości.

Dokumentacja RODO w procesie ochrony sygnalistów. Czy klauzula informacyjna wystarczy?

Zgodnie z zasadą rozliczalności RODO i obowiązkiem informacyjnym, podstawowym dokumentem RODO w związku z procesem ochrony sygnalistów będzie klauzula informacyjna, z którą powinien zapoznać się sygnalista najlepiej jeszcze przed wysłaniem zgłoszenia. Czy jednak to wystarczy? Chociaż ani procedura zgłoszeń wewnętrznych, ani zgłoszeń zewnętrznych nie musi zawierać informacji o przetwarzaniu danych osobowych, to jednak samo wdrożenie ochrony sygnalistów wpłynie na treść dotychczasowej dokumentacji prowadzonej w zakresie ochrony tych danych. Jak wskazaliśmy wyżej, pojawia się nowy cel, kategorie przetwarzania oraz ich podstawy. Te informacje zawarte są w rejestrach czynności przetwarzania, analizie ryzyka czy politykach prywatności. Warto zatem, aby inspektor ochrony danych osobowych czy inna wyznaczona osoba odpowiedzialna za procesy przetwarzania danych osobowych w organizacji zajęła się aktualizacją tych dokumentów. Ponadto ustawa nakłada obowiązek udzielenia pisemnego upoważnionego osobom, które będą przyjmowały zgłoszenia lub/i prowadziły postępowania wyjaśniające oraz działania następcze. W takich upoważnieniach również należy wskazać na kwestię danych osobowych.

Mamy nadzieję, że przybliżyliśmy Państwu zasady przetwarzania danych osobowych w kontekście zgłaszania naruszeń przez sygnalistów. Jesteśmy kancelarią z Wrocławia specjalizującą się w temacie sygnalistów oraz RODO. Jeśli są Państwo zainteresowani naszym wsparciem, to zapraszamy do kontaktu.

radca prawny
Ewelina Jasion