Whistleblowing a RODO. Jak zapewnić ochronę tożsamości sygnalistów

Mimo, że termin na implementację unijnej dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii minął w grudniu 2021 r., a od 17 grudnia 2023 r. już nie tylko najwięksi pracodawcy i podmioty regulowane, ale również podmioty prywatne, na rzecz których wykonuje lub świadczy pracę od 50 do 249 osób, powinny ustanowić wewnętrzne procedury dokonywania zgłoszeń naruszeń prawa, to prace nad krajową ustawą nadal nie zostały zakończone. Wbrew zapowiedziom Minister Rodziny i Polityki Społecznej z dnia 20 października 2023 r. o zbliżającym się końcu prac procesu rządowego, projekt nie został skierowany do Sejmu przed końcem kadencji.

Publikacja: 17.01.2024 09:37

Whistleblowing a RODO. Jak zapewnić ochronę tożsamości sygnalistów

Foto: Adobe Stock

Najnowsza wersja projektu została opublikowana w dniu 11 stycznia br. na stronie Rządowego Centrum Legislacji.

Mając na uwadze skierowany do Przewodniczącego Stałego Komitetu Rady Ministrów wniosek o pilne rozpatrzenie projektu z pominięciem etapu uzgodnień, opiniowania, konsultacji publicznych oraz rozpatrzenia przez Komitet do Spraw Europejskich już teraz należy podjąć działania w celu opracowania rozwiązań zapewniających skuteczność oraz poufność zgłaszania nieprawidłowości w organizacji.

Szczególną uwagę należy poświęcić zgodności przyjętych rozwiązań z wymogami rozporządzenia RODO.

Obowiązki informacyjne RODO

W związku z obsługą zgłoszeń administratorzy danych osobowych zobowiązani będą do przekazywania szeregu informacji osobom, których dane osobowe będą przetwarzane - nie tylko sygnaliście, ale również innym osobom objętym zgłoszeniem. Biorąc pod uwagę, że jedną z kluczowych kwestii związanych z ochroną sygnalistów, jest zapewnienie poufności ich tożsamości, powyższe może być źródłem istotnych wątpliwości.

Aktualny projekt przewiduje wprowadzenie wyłączeń w zakresie obowiązku informacyjnego dotyczącego źródła pozyskania danych osobowych, tj. obowiązku określonego w art. 14 ust. 2 lit. f) oraz art. 15 ust. 1 lit. g) RODO. Zaznaczyć należy jednak, że wprowadzenie bezterminowego ograniczenia obowiązków informacyjnych stanowiło przedmiot zastrzeżeń ze strony UODO, który wskazywał na niedopuszczalność takiego rozwiązania, nie można zatem wykluczyć dalszych zmian w tym zakresie.

Retencja danych osobowych

Podmioty przyjmujące zgłoszenia powinny pamiętać, że postępowanie z danymi zgromadzonymi w związku ze zgłoszeniem powinno być zgodne z zasadą minimalizacji danych. Przetwarzanie danych osobowych powinno odbywać się zatem w zakresie niezbędnym do weryfikacji zgłoszenia i podjęcia działań następczych. Po upływie okresu retencji zebrane dane osobowe powinny zostać usunięte, a dokumenty związane ze zgłoszeniem zniszczone. Okres retencji ulegał wielokrotnym zmianom w toku prac legislacyjnych, a wg. ostatniej wersji projektu wynosi 3 lata liczone po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Wyjątek mają stanowić dane osobowe przetwarzane przez Rzecznika Praw Obywatelskich w związku z przyjęciem zgłoszenia zewnętrznego – w tym przypadku okres retencji wynosi 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.

DPIA dla systemów whistleblowingowych

Podkreślenia wymaga, że zgodnie z komunikatem Prezesa UODO, systemy whistleblowingowe ujęte zostały w wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz ten obejmuje rodzaje przetwarzania mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powyższe oznacza, że przed rozpoczęciem przetwarzania administrator danych osobowych powinien wykonać tzw. DPIA (Data Protection Impact Assessment) w zakresie procedury obsługi zgłoszeń, zgodnie z wymogami art. 35 RODO.

Czytaj więcej

Ochrona sygnalistów: z wdrożeniem zmian lepiej nie czekać

Obsługa zgłoszeń sygnalistów przez IOD

Mając na uwadze, że procedura zgłoszeń wewnętrznych powinna określać m.in. jednostkę upoważnioną do przyjmowania zgłoszeń oraz podejmowania działań następczych, zwrócić należy uwagę na stanowisko UODO w sprawie możliwości powierzenia tych zadań inspektorowi ochrony danych (IOD). Wskazano w nim, że co prawda przepisy RODO dopuszczają możliwość wykonywania innych zadań i obowiązków przez IOD, jednak nie mogą one powodować powstania konfliktu interesów. Każdy podmiot powinien zatem dokonać analizy czy połączenie tych funkcji nie spowoduje niemożności pogodzenia „wykonywania zadań IOD z realizacją innych zadań”. Dokonując powyższej oceny należy wziąć pod uwagę nie tylko ryzyko wystąpienia konfliktu interesów na płaszczyźnie merytorycznej, ale również rozważyć czy obciążenie nowymi obowiązkami nie wpłynie na możliwość realizacji przez IOD jego dotychczasowych zadań. Ryzyko wystąpienia konfliktu interesów powinno być stale monitorowane. Należy ponadto pamiętać, że przepisy RODO wymagają, by IOD podlegał bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Opóźnienia we wdrożeniu unijnej dyrektywy

W związku z brakiem terminowego wdrożenia dyrektywy o ochronie sygnalistów w styczniu 2022 r. Komisja Europejska wezwała Polskę do usunięcia uchybienia, w lipcu 2022 r. wystosowała uzasadnioną opinię, a w marcu 2023 r. wniosła przeciwko Polsce skargę. Mimo, że działania te nie doprowadziły dotychczas do przejęcia krajowej ustawy, nie należy zwlekać z przygotowaniami do wdrożenia odpowiednich procedur.

O tym jak przygotować się do ustawy o sygnalistach - https://kancelarierp.pl/jak-przygotowac-sie-do-wdrozenia-ustawy-o-sygnalistach/.

Pomoże to ograniczyć nie tylko ryzyko chaosu organizacyjnego, z którym niektórzy przedsiębiorcy mierzyli się po wejściu w życie przepisów RODO, ale również ewentualnych sankcji za brak terminowego ustanowienia kanałów zgłoszeń.

Tomasz Kamiński, Adwokat, Wspólnik w Krzysztof Rożko i Wspólnicy Kancelaria Prawna

Katarzyna Okoń, Aplikantka radcowska w Krzysztof Rożko i Wspólnicy Kancelaria Prawna

Kancelaria jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.

Sądy i trybunały
Sędzia Piebiak może stracić immunitet. Oskarża go były lider KOD
Materiał Promocyjny
Tajniki oszczędnościowych obligacji skarbowych. Możliwości na różne potrzeby
Konsumenci
Frankowicze mają nowy sposób na banki. Donoszą do prokuratury
Podatki
Ryczałtowcy chcą dzielić biznes, by obniżyć składkę zdrowotną
Praca, Emerytury i renty
Będzie dodatkowa waloryzacja emerytur i rent. Rząd odsłania karty
Materiał Promocyjny
Naukowa Fundacja Polpharmy ogłasza start XXIII edycji Konkursu o Grant Fundacji
Nieruchomości
Mieszkania społeczne. Koniec wyodrębniania na własność