OCHRONA SYGNALISTÓW A OCHRONA DANYCH OSOBOWYCH

 

Ochrona danych osobowych sygnalistów

Obowiązek ochrony sygnalistów i ustanowienie procedur wewnętrznego zgłaszania naruszeń będą nieuchronnie wiązały się z przetwarzaniem danych osobowych. Podczas tworzenia nowej dyrektywy słusznie uznano, że nia ma potrzeby tworzenia lex specialis dla nowych czynności przetwarzania. W związku z tym dyrektywa stanowi, że jakiekolwiek przetwarzanie danych osobowych na podstawie dyrektywy o ochronie praw sygnalistów musi odbywać się zgodnie z unijnym prawem ochrony danych, w szczególności w zgodzie z RODO.

Jednak w RODO nie znajdziemy przepisów dotyczących konkretnie sposobów ochrony danych osobowych sygnalistów. Czym się zatem kierować? Pomocny okazać się może dokument “Opinia 1/2006 w sprawie stosowania unijnych przepisów o ochronie danych do celów wewnętrznych systemy zgłaszania nieprawidłowości w zakresie rachunkowości, wewnętrzne kontrole księgowe, audyt, walka z przekupstwem, przestępstwami bankowymi i finansowymi” wydana co prawda wcześniej niż RODO, ale dokument ten jest jedynym zawierającym ogólnounijne wytyczne dotyczące ochrony danych osób zgłaszających nieprawidłowości w sektorze prywatnym. 

Jednak warto mieć na uwadze, że w 2006 r. Grupa Robocza art. 29 skupiła się na kwestiach, które były w tamtym czasie istotne. W związku z tym zakres opinii jest ograniczony i nie obejmuje wszystkich obszarów do których odnosi się dyrektywa o ochronie praw sygnalistów. 

Procedury ochrony sygnalistów – zgodność z RODO

Chociaż wytyczne dotyczą dyrektywy o ochronie danych sprzed RODO (tj. dyrektywy 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych), wiele z zawartych w nich zaleceń i zastrzeżeń jest nadal pomocnych w ocenie zgodności obowiązków  administratorów i podmiotów przetwarzających nałożonymi przez RODO. Wytyczne wskazują na konieczność zapewnienia odpowiedniego poziomu ochrony danych osobowych ponieważ systemy zgłaszania nieprawidłowości stanowią poważne ryzyko zarówno dla sygnalistów oraz osób bezpośrednio zaangażowanych w zakresie potencjalnego odwetu czy stygmatyzacji. Jakie kroki należy podjąć?

Sygnalista a RODO – szczególna czujność administratorów

Administratorzy danych odpowiedzialni za kanał zgłaszania nieprawidłowości będą musieli upewnić się, że istnieje ważna podstawa prawna do przetwarzania danych osobowych sygnalistów dokonujących zgłoszeń. W tym kontekście zwrócić uwagę należy na dwie podstawy prawne: 

1. sytuacje, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit c. RODO),
2. sytuacje, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (art. 6 ust 1 lit. f RODO). 

Gdy tylko dyrektywa o ochronie sygnalistów zostanie transponowana do prawodawstwa polskiego, większość administratorów prawdopodobnie będzie mogła oprzeć się na pierwszej podstawie prawnej, ponieważ będą podlegać szczególnemu obowiązkowi prawnemu mającemu na celu ustanowienie procedur kontroli wewnętrznej. Przetwarzanie, którego nie można uzasadnić wymogiem wypełnienia obowiązków prawnych będzie nadal możliwe, jeśli administrator może wykazać, że będzie to konieczne do realizacji jego uzasadnionych interesów i zrównoważy te interesy z interesami osób, których dotyczy zgłoszenie. 

W zakresie, w jakim przetwarzanie może obejmować szczególne kategorie danych osobowych określone w art. 9 RODO, administrator będzie musiał upewnić się czy przetwarzanie takich danych jest prawnie dozwolone. 

Sygnalista a RODO – Przetwarzanie w kontekście sygnalistów

Dane osobowe sygnalistów zebrane w kontekście zgłoszenia nieprawidłowości mogą być przetwarzane wyłącznie w określonych, wyraźnych i prawnie uzasadnionych celach i nie powinny być wykorzystywane w inny sposób. Nie będzie można gromadzić danych osobowych, które w oczywisty sposób nie mają znaczenia dla obsługi konkretnego zgłoszenia. Jeżeli takie dane zostaną zebrane przypadkowo, należy je bez zbędnej zwłoki usunąć. Ponadto przetwarzanie danych musi być zgodne z zasadami minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności z art.5 RODO. 

Sygnalista a RODO – Dane dotyczą nie tylko sygnalistów

Prawa osób, których dane dotyczą, do otrzymywania przejrzystych informacji zobowiązuje administratorów do informowania osób fizycznych o istnieniu, celu i funkcjonowaniu kanału zgłaszania nieprawidłowości, potencjalnych odbiorcach zgłoszeń, a także prawach do ochrony danych, które przysługują zarówno osobom dokonującym zgłoszenia, jak i „osobom zainteresowanym”. Zwykle odbywać się to będzie za pomocą odpowiednich procedur np. polityki informowania o nieprawidłowościach, które regulować będą kompleksowo przetwarzanie danych osobowych w związku ze zgłoszeniem nieprawidłowości. Procedury powinny obejmować też mechanizmy, które pozwolą uchronić sygnalistów działających w dobrej wierze przed ujawnieniem ich tożsamości oraz przed odwetem. Prócz stworzenia procedur warto będzie przemyśleć, by zapoznać z nimi osoby które będą bezpośrednio zaangażowane w system zgłaszania nieprawidłowości.

Wytyczne podkreślają ponadto, że administrator powinien jak najszybciej poinformować obciążone przez sygnalistę osoby po zebraniu ich danych osobowych za pośrednictwem kanału dla sygnalistów. Jeśli jednak istnieć będzie znaczne ryzyko, że przekazanie tych informacji zagroziłoby zdolności przedsiębiorstwa do skutecznego zbadania sprawy lub zebrania niezbędnych dowodów, zawiadomienie takie może się opóźnić. Wydaje się, że takie działanie będzie mieć oparcie w art. 14 ust. 5 lit b RODO, który dopuszcza takie wyjątkowe działanie. 

Jeśli chodzi o inne prawa osób, których dane dotyczą, przyznane przez RODO, systemy zgłaszania nieprawidłowości powinny zapewniać możliwość dostępu i sprostowania nieprawidłowych, niekompletnych lub nieaktualnych danych osobowych albo do usunięcia tych danych. Jednocześnie wytyczne wskazują, że wykonywanie tych praw może zostać ograniczone w celu zapewnienia ochrony praw i wolności innych osób, których dotyczy zgłoszenie. Takie ograniczenia powinny być rozstrzygane indywidualnie i z uwzględnieniem specyfiki danego przypadku. Z pewnością osoby obciążone przez sygnalistę nie powinny mieć możliwości uzyskania informacji o tożsamości demaskatora – chyba, że sygnalista złośliwie lub celowo zgłosił nieprawdziwe informacje.  

Osoby, których dane dotyczą powinny mieć też prawo do wniesienia sprzeciwu wobec przetwarzania ich danych osobowych w kontekście zgłoszenia, jeśli podstawą przetwarzania będzie prawnie uzasadniony interes administratora lub osoby trzeciej – art. 6 ust. 1 lit. f RODO). W takim przypadku administrator nie będzie mógł dalej przetwarzać danych osobowych chyba, że wykaże uzasadnione powody do dalszego ich przetwarzania. 

Sygnalista a RODO – bezpieczeństwo danych osobowych

Administratorzy zobowiązani do wdrożenia systemu informowania o nieprawidłowościach będą musieli podjąć wszelkie uzasadnione technicznie i organizacyjnie środki ostrożności w celu zachowania bezpieczeństwa danych osobowych gromadzonych w kontekście informowania o nieprawidłowościach. Celem jest ochrona tych danych przed przypadkowym lub niezgodnym z prawem zniszczeniem lub przypadkową utratą oraz nieuprawnionym ujawnieniem lub dostępem. Środki te muszą być proporcjonalne do celów badania kwestii zgłoszonych za pośrednictwem kanałów informowania, zgodnie z wymogami bezpieczeństwa danych i oczekiwaniami regulacyjnych. W tym kontekście za zasadne uważa się również wprowadzenie odpowiednich środków bezpieczeństwa, aby uniemożliwić dostęp do danych osobom nieupoważnionym oraz zagwarantować integralność danych. Administratorzy powinni zatem rozważyć, jak najlepiej wdrożyć ochronę danych w fazie projektowania systemu ochrony sygnalistów i zaangażować swojego inspektora ochrony danych możliwie jak najwcześniej. 

W przypadku gdy administrator podejmie współpracę z podmiotem przetwarzającym w zakresie funkcjonowania systemu informowania o nieprawidłowościach będzie zmuszony do zawarcia z tym podmiotem odpowiedniej umowy powierzenia przetwarzania oraz do kontroli, czy podmiot ten wypełnia obowiązki wynikające z art. 28 RODO. 

Sygnalista a RODO – Co z udostępnianiem danych? 

Wytyczne zalecają utworzenie specjalnej struktury organizacyjnej odpowiedzialnej za zarządzanie kanałami zgłaszania nieprawidłowości oraz za przetwarzanie danych w związku z tymi zgłoszeniami. Struktura powinna obejmować specjalnie przeszkolone i oddelegowane osoby, bezwzględnie związane umową o zachowaniu poufności. Wprowadzony w organizacji system ochrony sygnalistów powinien zapewniać dostęp do danych osobowych tylko tym osobom, które muszą mieć do nich dostęp w celu zbadania zarzutów wskazanych przez sygnalistę lub podjęcia działań następczych. W tym przypadku konieczne będzie upewnienie się, że osoby te traktują udostępnione dane jako poufne i są one objęte gwarancjami bezpieczeństwa ochrony danych. 

W przypadku firm międzynarodowych, może zaistnieć potrzeba udostępnienia danych poza granice kraju, w którym doszło do nieprawidłowości (w tym poza obszar UE). Co na to wytyczne? Grupa robocza sugeruje, żeby w miarę możliwości rozpatrywać zgłoszenia lokalnie tj. na obszarze państwa członkowskiego, w którym ma miejsce zdarzenie. Dane otrzymane za pośrednictwem systemu zgłaszania nieprawidłowości mogą zostać udostępniane innym podmiotom należącym do grupy w tym samym kraju lub za granicą tylko wtedy, gdy udostępnianie danych będzie konieczne do zbadania zgłoszenia. Jeżeli dane osobowe związane z raportem są udostępniane odbiorcom spoza UE, administrator będzie musiał uwzględnić ograniczenia w przekazywaniu danych zgodnie z RODO.

Podsumowanie

Dyrektywa o ochronie praw sygnalistów ma na celu ujednolicenie ram prawnych dotyczących zgłaszania nieprawidłowości i ochrony osób zgłaszających naruszenia prawa UE. Implementacja dyrektywy umożliwi jednostkom bezpieczne informowanie o potencjalnych zagrożeniach lub szkodach dla interesu publicznego.  

Z uwagi na charakter raportowania zasadnicze znaczenie będzie miało zapewnienie zgodności z zasadami ochrony danych na gruncie RODO. Natomiast na dzień pisania tego artykułu (czerwiec 2021) nie ma wytycznych, które dotyczą odpowiedniego stosowania przepisów w tym zakresie – poza tymi, które delikatnie mówiąc są przestarzałe. Okaże się, czy unijne organy regulacyjne w obecnej sytuacji znajdą czas na wydanie zaktualizowanych wytycznych, zanim zaczną obowiązywać ustawy implementacyjne na szczeblu państw członkowskich UE, czy też zachęcą branżę do sporządzenia kodeksu dobrych praktyk w zakresie zgłaszania nieprawidłowości.