19 listopada 2021

Przygotowujesz procedurę zgłaszania naruszeń (whistleblowing)? Nie zapominaj o danych osobowych

Trwają prace nad projektem ustawy wdrażającej unijną dyrektywę 2019/1937 o sygnalistach (ang. whistleblowers). Nie jest jeszcze jasne, czy dyrektywa zostanie wdrożona do polskiego porządku prawnego w terminie (czyli do 17 grudnia 2021 r.), jednak wiele podmiotów już dziś przygotowuje niezbędne dokumenty i procedury organizacyjne.

Nie ulega wątpliwości, że w ramach postępowań wyjaśniających, które będą prowadzone po dokonaniu zgłoszenia przez sygnalistę, przetwarzane będą dane osobowe: sygnalisty, świadków, osoby, której dotyczy zgłoszenie, a także ewentualnie innych osób, których dane zostaną ujawnione w toku postępowania. Pracodawca będzie co do zasady administratorem tych danych w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO), będzie więc miał szereg obowiązków z tym związanych. Będzie musiał m.in. wdrożyć odpowiednie środki techniczne i organizacyjne, aby spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

Kwestie dotyczące danych osobowych należy kompleksowo przeanalizować przed uruchomieniem kanału do zgłaszania nieprawidłowości. W tym celu pracodawca powinien w szczególności ustalić takie kwestie jak:

  • retencja danych – projekt ustawy przewiduje, że dane osobowe przetwarzane w związku z przyjęciem zgłoszenia są przechowywane nie dłużej niż przez 5 lat od dnia przyjęcia zgłoszenia,
  • miejsce przechowywania danych,
  • udzielanie dostępu do danych,
  • sposób zagwarantowania poufności – zgodnie z projektem „dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że za wyraźną zgodą zgłaszającego”,
  • sposób zagwarantowania  anonimowości – jeśli spółka zdecyduje się na wprowadzenie takiego trybu dokonywania zgłoszeń, 
  • możliwość i sposób realizowania praw podmiotów danych.

Obowiązki pracodawcy w zakresie danych osobowych

Poniżej przedstawiamy wybrane obowiązki z zakresu danych osobowych związane z wdrażaniem procedury zgłaszania naruszeń. Warto jednak pamiętać, że nadal trwają prace nad projektem, co może mieć wpływ także na to, jak ostatecznie ukształtują się obowiązki w zakresie danych osobowych.

  • DPIA (data protection impact assessment)

Zgodnie z wykazem Prezesa Urzędu Ochrony Danych Osobowych system zgłaszania nieprawidłowości stanowi operację wymagającą przeprowadzenia DPIA, tj. złożonej analizy na podstawie art. 35 RODO zawierającej m.in.: opis planowanych operacji przetwarzania, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, środki planowane w celu zaradzenia ryzyku.

W praktyce w przygotowanie DPIA powinni zostać zaangażowani przedstawiciele różnych działów w organizacji, takich jak chociażby HR i IT – pozwoli to efektywnie ustrukturyzować proces i zidentyfikować faktyczne ryzyka z nim związane, np. w zakresie dostępu do danych.

DPIA należy przeprowadzić na początkowym etapie wdrażania procedury zgłaszania naruszeń (a więc zanim w ogóle dojdzie do przetwarzania danych). Jego częścią może być także analiza privacy by design uwzględniająca w fazie projektowania kwestie ochrony danych, o których mowa powyżej.

  • Obowiązki informacyjne

Pracodawca na podstawie art. 13 i 14 RODO będzie musiał wykonać obowiązki informacyjne wobec osób, których dane będą przetwarzane w związku z postępowaniem wyjaśniającym.

W przypadku sygnalisty obowiązek powinien zostać wykonany w momencie dokonywania zgłoszenia (np. na formularzu zgłoszenia).

W przypadku pozostałych osób (świadków oraz osoby, której dotyczy zgłoszenie) moment wykonania obowiązku należy przeanalizować każdorazowo, biorąc pod uwagę okoliczności danej sprawy. W niektórych przypadkach informowanie na wczesnym etapie postępowania może zniweczyć jego cel. Obecnie projekt nie wyłącza konieczności realizowania obowiązku informacyjnego. Wyłączony jest jedynie obowiązek przekazania osobie, której dotyczy zgłoszenie, informacji o źródle danych. 

Dla większej transparentności warto zamieścić informację o przetwarzaniu danych osobowych także w regulaminie zgłoszeń.

Podając w klauzuli informacyjnej podstawę prawną przetwarzania danych, warto pamiętać, że nie będzie nią zgoda. Naszym zdaniem w zakresie zwykłych danych będzie to obowiązek prawny, a w niektórych przypadkach także prawnie uzasadniony interes pracodawcy polegający na możliwości przeprowadzenia postępowania wyjaśniającego.

Również w przypadku szczególnych kategorii danych zgoda nie będzie w naszej ocenie właściwą podstawą. Wydaje się, że w zależności od okoliczności taką podstawę mógłby stanowić:

  • art. 9 ust. 2 b RODO – obowiązek z zakresu prawa pracy,
  • art. 9 ust. 2 f RODO – ustalenie, dochodzenie lub obrona roszczeń,
  • art. 9 ust. 2 g RODO – ważny interes publiczny.

Miejmy nadzieję, że ustawodawca rozwieje wątpliwości w tym zakresie i odpowiednio doprecyzuje projekt.

  • Upoważnienia i poufność

Pracodawca będzie musiał nadać pisemne upoważnienia osobom zajmującym się obsługą zgłoszeń i zobowiązać je do zachowania informacji w poufności.

  • Aktualizacja dokumentacji

Trzeba będzie zaktualizować rejestr czynności przetwarzania danych osobowych o czynności związane z procedurą zgłaszania naruszeń.

  • Przepływ danych osobowych

Należy też uregulować ewentualne przepływy danych osobowych pomiędzy pracodawcą a podmiotami zewnętrznymi (np. dostawcą infrastruktury obsługującym kanał zgłoszeń).

Jeśli dane w imieniu administratora przetwarzają inne podmioty, trzeba zweryfikować, czy zapewniają one wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych (dla celów rozliczalności powinny one zostać udokumentowane).

Kwestie przepływów danych należy uregulować także w przypadku, gdy pracodawcy postanowią dzielić się zasobami w zakresie przyjmowania i weryfikacji zgłoszeń oraz podejmowania działań następczych – projekt dopuszcza taką możliwość dla pracodawców w sektorze prywatnym, którzy zatrudniają co najmniej 50, lecz nie więcej niż 249 pracowników.

***

Jak widać, obowiązków z zakresu ochrony danych osobowych jest całkiem sporo, a może okazać się, że czasu na ich wdrożenie pozostanie niewiele. Będziemy informowali na bieżąco o zmianach w tym zakresie.

Karolina Romanowska, Klaudia Czarniecka