Przygotowujesz procedurę zgłaszania naruszeń (whistleblowing)? Nie zapominaj o danych osobowych
Trwają prace nad projektem ustawy wdrażającej unijną dyrektywę 2019/1937 o sygnalistach (ang. whistleblowers). Nie jest jeszcze jasne, czy dyrektywa zostanie wdrożona do polskiego porządku prawnego w terminie (czyli do 17 grudnia 2021 r.), jednak wiele podmiotów już dziś przygotowuje niezbędne dokumenty i procedury organizacyjne.
Nie ulega wątpliwości, że w ramach postępowań wyjaśniających, które będą prowadzone po dokonaniu zgłoszenia przez sygnalistę, przetwarzane będą dane osobowe: sygnalisty, świadków, osoby, której dotyczy zgłoszenie, a także ewentualnie innych osób, których dane zostaną ujawnione w toku postępowania. Pracodawca będzie co do zasady administratorem tych danych w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO), będzie więc miał szereg obowiązków z tym związanych. Będzie musiał m.in. wdrożyć odpowiednie środki techniczne i organizacyjne, aby spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.
Kwestie dotyczące danych osobowych należy kompleksowo przeanalizować przed uruchomieniem kanału do zgłaszania nieprawidłowości. W tym celu pracodawca powinien w szczególności ustalić takie kwestie jak:
- retencja danych – projekt ustawy przewiduje, że dane osobowe przetwarzane w związku z przyjęciem zgłoszenia są przechowywane nie dłużej niż przez 5 lat od dnia przyjęcia zgłoszenia,
- miejsce przechowywania danych,
- udzielanie dostępu do danych,
- sposób zagwarantowania poufności – zgodnie z projektem „dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że za wyraźną zgodą zgłaszającego”,
- sposób zagwarantowania anonimowości – jeśli spółka zdecyduje się na wprowadzenie takiego trybu dokonywania zgłoszeń,
- możliwość i sposób realizowania praw podmiotów danych.
Obowiązki pracodawcy w zakresie danych osobowych
Poniżej przedstawiamy wybrane obowiązki z zakresu danych osobowych związane z wdrażaniem procedury zgłaszania naruszeń. Warto jednak pamiętać, że nadal trwają prace nad projektem, co może mieć wpływ także na to, jak ostatecznie ukształtują się obowiązki w zakresie danych osobowych.
- DPIA (data protection impact assessment)
Zgodnie z wykazem Prezesa Urzędu Ochrony Danych Osobowych system zgłaszania nieprawidłowości stanowi operację wymagającą przeprowadzenia DPIA, tj. złożonej analizy na podstawie art. 35 RODO zawierającej m.in.: opis planowanych operacji przetwarzania, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, środki planowane w celu zaradzenia ryzyku.
W praktyce w przygotowanie DPIA powinni zostać zaangażowani przedstawiciele różnych działów w organizacji, takich jak chociażby HR i IT – pozwoli to efektywnie ustrukturyzować proces i zidentyfikować faktyczne ryzyka z nim związane, np. w zakresie dostępu do danych.
DPIA należy przeprowadzić na początkowym etapie wdrażania procedury zgłaszania naruszeń (a więc zanim w ogóle dojdzie do przetwarzania danych). Jego częścią może być także analiza privacy by design uwzględniająca w fazie projektowania kwestie ochrony danych, o których mowa powyżej.
- Obowiązki informacyjne
Pracodawca na podstawie art. 13 i 14 RODO będzie musiał wykonać obowiązki informacyjne wobec osób, których dane będą przetwarzane w związku z postępowaniem wyjaśniającym.
W przypadku sygnalisty obowiązek powinien zostać wykonany w momencie dokonywania zgłoszenia (np. na formularzu zgłoszenia).
W przypadku pozostałych osób (świadków oraz osoby, której dotyczy zgłoszenie) moment wykonania obowiązku należy przeanalizować każdorazowo, biorąc pod uwagę okoliczności danej sprawy. W niektórych przypadkach informowanie na wczesnym etapie postępowania może zniweczyć jego cel. Obecnie projekt nie wyłącza konieczności realizowania obowiązku informacyjnego. Wyłączony jest jedynie obowiązek przekazania osobie, której dotyczy zgłoszenie, informacji o źródle danych.
Dla większej transparentności warto zamieścić informację o przetwarzaniu danych osobowych także w regulaminie zgłoszeń.
Podając w klauzuli informacyjnej podstawę prawną przetwarzania danych, warto pamiętać, że nie będzie nią zgoda. Naszym zdaniem w zakresie zwykłych danych będzie to obowiązek prawny, a w niektórych przypadkach także prawnie uzasadniony interes pracodawcy polegający na możliwości przeprowadzenia postępowania wyjaśniającego.
Również w przypadku szczególnych kategorii danych zgoda nie będzie w naszej ocenie właściwą podstawą. Wydaje się, że w zależności od okoliczności taką podstawę mógłby stanowić:
- art. 9 ust. 2 b RODO – obowiązek z zakresu prawa pracy,
- art. 9 ust. 2 f RODO – ustalenie, dochodzenie lub obrona roszczeń,
- art. 9 ust. 2 g RODO – ważny interes publiczny.
Miejmy nadzieję, że ustawodawca rozwieje wątpliwości w tym zakresie i odpowiednio doprecyzuje projekt.
- Upoważnienia i poufność
Pracodawca będzie musiał nadać pisemne upoważnienia osobom zajmującym się obsługą zgłoszeń i zobowiązać je do zachowania informacji w poufności.
- Aktualizacja dokumentacji
Trzeba będzie zaktualizować rejestr czynności przetwarzania danych osobowych o czynności związane z procedurą zgłaszania naruszeń.
- Przepływ danych osobowych
Należy też uregulować ewentualne przepływy danych osobowych pomiędzy pracodawcą a podmiotami zewnętrznymi (np. dostawcą infrastruktury obsługującym kanał zgłoszeń).
Jeśli dane w imieniu administratora przetwarzają inne podmioty, trzeba zweryfikować, czy zapewniają one wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych (dla celów rozliczalności powinny one zostać udokumentowane).
Kwestie przepływów danych należy uregulować także w przypadku, gdy pracodawcy postanowią dzielić się zasobami w zakresie przyjmowania i weryfikacji zgłoszeń oraz podejmowania działań następczych – projekt dopuszcza taką możliwość dla pracodawców w sektorze prywatnym, którzy zatrudniają co najmniej 50, lecz nie więcej niż 249 pracowników.
***
Jak widać, obowiązków z zakresu ochrony danych osobowych jest całkiem sporo, a może okazać się, że czasu na ich wdrożenie pozostanie niewiele. Będziemy informowali na bieżąco o zmianach w tym zakresie.
Karolina Romanowska, Klaudia Czarniecka