Dane osobowe sygnalistów a RODO - w nowym projekcie ustawy

Ogólnie rzecz ujmując, sygnalista będzie osobą zgłaszającą naruszenia prawa w organizacji. Będzie on podlegał specjalnej ochronie przed działaniami odwetowymi, pod warunkiem że jego zgłoszenie będzie uzasadnione.

Taką ochroną zostanie objęty nie tylko pracownik, ale też m.in. współpracownik, stażysta, wolontariusz, praktykant, kandydat do zatrudnienia czy były pracownik.

Ochroną sygnalisty będzie objęta osoba zgłaszająca naruszenia prawa w zakresie:

• zamówień publicznych;

• usług, produktów i rynków finansowych;

• przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;

• bezpieczeństwa produktów i ich zgodności z wymogami;

• bezpieczeństwa transportu;

• ochrony środowiska;

• ochrony radiologicznej i bezpieczeństwa jądrowego;

• bezpieczeństwa żywności i pasz;

• zdrowia i dobrostanu zwierząt;

• zdrowia publicznego;

• ochrony konsumentów;

• ochrony prywatności i danych osobowych;

• bezpieczeństwa sieci i systemów teleinformatycznych;

• interesów finansowych skarbu państwa RP, jednostki samorządu terytorialnego oraz UE;

• rynku wewnętrznego UE, w tym publiczno-prawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych.

Katalog ten będzie mógł zostać rozszerzony w regulaminie zgłoszeń wewnętrznych.

W styczniowym projekcie przewidziano rozwiązania w zakresie ochrony danych sygnalisty. Dane sygnalisty pozwalające na jego identyfikację (ustalenie tożsamości) nie będą mogły być ujawnione nieupoważnionym osobom. Od tego zakazu będą jednak wyjątki. Ujawnienie będzie możliwe w dwóch przypadkach:

• za wyraźną zgodą sygnalisty,

• gdy ujawnienie będzie koniecznym i proporcjonalnym prawnym obowiązkiem w kontekście prowadzonych przez organy publiczne lub sądy postępowań wyjaśniających lub sądowych (sygnalista zostanie o takim ujawnieniu zawiadomiony).

Dane sygnalisty będzie chronił i przetwarzał podmiot, który otrzymał jego zgłoszenie. Dlatego właśnie ten podmiot będzie miał status administratora danych sygnalisty.

Po otrzymaniu zgłoszenia organizacja będzie przetwarzała dane sygnalisty w zakresie niezbędnym do:

• przyjęcia zgłoszenia,

• podjęcia ewentualnego działania następczego (podejmowanego w celu rozpoznania naruszenia i przeciwdziałania jego skutkom).

Powyższe oznacza także, że dane sygnalisty będą przetwarzane w wykonaniu obowiązku prawnego (art. 6 ust. 1 lit. c RODO w zw. z 8 ust. 4 ustawy – o ile w takim brzmieniu wejdzie ona w życie).

Przyjmujący zgłoszenie jako administrator danych musi wykonać obowiązek informacyjny nie tylko wobec sygnalisty, ale też wobec osoby, której dane znalazły się zgłoszeniu. Tu jednak przewidziano pewne ograniczenia mające na celu zapewnienie anonimowości sygnaliście. Innymi słowy chodzi o to, żeby osoba, która dopuściła się naruszenia, nie poznała danych osoby, która to naruszenie zgłosiła.

Z tego względu w klauzuli informacyjnej nie będzie przekazywana informacja o źródle pochodzenia danych. Chodzi tu o obowiązek informacyjny realizowany w przypadku, gdy dane pozyskano od innej osoby niż podmiot danych (art. 14 RODO). To samo dotyczy przekazania informacji na żądanie w trybie art. 15 RODO. Wyjątkowo będzie można ujawnić dane sygnalisty na jego wyraźne żądanie.

Przyjmujący zgłoszenie będzie przechowywał dane sygnalisty i osoby, której dotyczy naruszenie przez 15 miesięcy. Termin ten będzie liczony od zakończenia roku kalendarzowego, w którym:

• zakończono działania następcze,

• przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych, 

albo po zakończeniu postępowań zainicjowanych tymi działaniami.

Dodatkowo przyjmujący zgłoszenie jako ADO będzie musiał także prowadzić rejestr zgłoszeń wewnętrznych. Będzie on zawierał:

• numer zgłoszenia;

• przedmiot naruszenia;

• dane zgłaszającego oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;

• adres do kontaktu zgłaszającego;

• datę dokonania zgłoszenia wewnętrznego;

• informację o podjętych działaniach następczych;

• datę zakończenia sprawy.

Dane w tym rejestrze będą przechowywane przez 15 miesięcy, licząc od:

• zakończenia roku kalendarzowego, w którym sfinalizowano działania następcze lub

• zakończenia postępowań zainicjowanych tymi działaniami.

Przyjmujący zgłoszenia jako ADO będzie musiał wdrożyć odpowiednie środki bezpieczeństwa danych sygnalisty. Rozwiązania takie powinny zostać przewidziane w procedurze zgłoszeń wewnętrznych.

W procedurze konieczne będą rozwiązania:

• wykluczające uzyskanie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom.

• gwarantujące ochronę poufności tożsamości zgłaszającego.

Wybór konkretnych środków bezpieczeństwa, adekwatnych do poziomu ryzyka przetwarzania danych będzie jednak należał do ADO. Konieczne będzie poprzedzenie go analizą ryzyka. Pobierz wzór arkusza szacowania ryzyka>>

Niezapewnienie poufności sygnaliście i innym wskazanym wyżej osobom (ujawnienie ich tożsamości) będzie kwalifikowane jako przestępstwo, za które będzie grozić:

• grzywna,

• ograniczenie wolności

• pozbawienie wolności do roku.

Wewnętrzne jednostki organizacyjne ADO będą mogły przyjmować zgłoszenia wewnętrzne i podejmować działania następcze. W związku z tym trzeba będzie udzielić pisemnych upoważnień dla osób, które będą podejmowały następujące czynności:

• przyjmowanie i weryfikacja zgłoszeń,

• podejmowanie działań następczych,

• przetwarzania danych sygnalisty i innych ww. osób objętych ochroną poufności.

Upoważnione osoby będą musiały zachować te dane w tajemnicy i to także po ustaniu stosunku pracy lub innego stosunku pracy wiążącego ich z ADO.

Przyjmowanie zgłoszeń będzie mógł realizować również podmiot zewnętrzny. W takiej sytuacji ADO będzie musiał zawrzeć z nim umowę powierzającą wykonanie tych czynności, regulującą m.in.:

• obsługę przyjmowania zgłoszeń,

• potwierdzanie przyjęcia zgłoszenia,

• przekazanie informacji zwrotnej,

• zapewnienie informacji na temat procedury wewnętrznej z zastosowaniem rozwiązań zapewniających m.in. bezpieczeństwo danych sygnalisty i innych osób korzystających z ochrony poufności.

W projekcie przewidziano też możliwość dzielenie się zasobami w zakresie przyjmowania i weryfikacji zgłoszeń oraz prowadzania postępowania wyjaśniającego. Taka możliwość będą miały:

• podmioty prywatne, w których zatrudniono od 50 do 249 osób,

• jednostki organizacyjne tej samej lub kilku gmin.

W szczególności nie będą one miały dostępu do danych pozyskanych przez innego ADO, chyba że:

• inny ADO będzie właściwy do przyjęcia zgłoszenia lub podjęcia działań następczych,

• właściwy w tym zakresie będzie więcej niż jeden ADO.

Organizacje te będą miały status współadministratorów jedynie wówczas, gdy w wykonywaniu ustawowych zadań będą:

• działać we wspólnym interesie,

• wspólnie ustalają cele i sposoby przetwarzania danych.