Ochrona sygnalistów to jedno z głównych założeń przepisów, które reguluje 2019/1937 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii oraz projektu ustawy, której celem jest implementacja tych założeń na gruncie polskiego porządku prawnego. Jak dokładnie przebiega ochrona danych osobowych sygnalistów i jak pracodawca powinien przygotować się do nowych przepisów?
Sygnalista w firmie, znany także jako pracownik zgłaszający nieprawidłowości (ang. whistleblower), to osoba, która zgłasza nieprawidłowości, nadużycia, nielegalne działania lub inne nieetyczne praktyki w miejscu pracy. Sygnaliści mogą zgłaszać różnego rodzaju nieprawidłowości, takie jak korupcja, mobbing, dyskryminacja, naruszenia prawa, oszustwa finansowe, zagrożenia dla bezpieczeństwa czy niezgodności z zasadami etycznymi.
Rola sygnalisty jest istotna dla zapewnienia uczciwości, przejrzystości i zgodności z prawem w działaniu firm oraz dla zapobiegania szkodom dla interesów pracowników, klientów, inwestorów i społeczności. Sygnaliści często działają w dobrej wierze, dążąc do poprawy warunków pracy oraz zapobiegania nadużyciom i nieprawidłowościom.
Sygnalista może być pracownikiem firmy, kontrahentem, dostawcą lub inną osobą związaną z działalnością firmy. Istotne jest, aby sygnaliści mieli możliwość bezpiecznego i poufnego zgłaszania nieprawidłowości, bez ryzyka represji, zwolnień z pracy czy innych negatywnych konsekwencji. W tym celu firmy muszą wprowadzić specjalne procedury lub mechanizmy zgłaszania, zapewniające poufność i ochronę sygnalistów. Jak zatem chronić dane osobowe sygnalisty?
Ochrona danych osobowych sygnalisty – o co chodzi?
Sygnaliści w firmie muszą mieć zapewnioną anonimowość i pełną ochronę przed konsekwencjami zgłoszenia. Dlatego też tożsamość osoby dokonującej zgłoszenia musi być chroniona odpowiednimi przepisami. Zastosowanie mają tutaj przede wszystkim zapisy RODO oraz te dotyczące ochrony danych osobowych osób zgłaszających naruszenia prawa w danej organizacji. Informacje o tym, kto dokonał zgłoszenia nie będzie mogła być ujawniona osobom nieupoważnionym, chyba że sygnalista sam wyrazi taką zgodę lub będzie to konieczne ze względu na prowadzone dochodzenie dotyczące zgłoszonej sprawy. W takim wypadku jednak whistleblower zostanie o tym poinformowany listowanie przez te organy publiczne np. przez sąd.
Warto też podkreślić, że w momencie dokonywania zgłoszenia ochroną zostają objęci wszyscy sygnaliści, który zakomunikowali problem – w tym także byli pracownicy, kontrahenci, klienci, wspólnicy, stażyści czy praktykanci. Jeśli doszło do prawnie uzasadnionych interesów realizowanych przez sygnalistę na rzecz dbania o dobro organizacji poprzez zawiadomienie o nieprawidłowościach, to ma on zagwarantowane prawo do ochrony danych osobowych. Szczególnie gdy miał on uzasadnione podstawy sądzić, że nieprawidłowość dotyczy interesu publicznego, narusza prawo i jest prawdziwa w momencie dokonywania zgłoszenia.
Sygnalista – RODO
Ustawa RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, to unijne rozporządzenie, które reguluje przetwarzanie danych osobowych oraz ochronę prywatności osób fizycznych w Unii Europejskiej (UE) oraz Europejskim Obszarze Gospodarczym (EOG). Rozporządzenie zostało przyjęte w maju 2016 roku i weszło w życie 25 maja 2018 roku, zastępując wcześniejszą dyrektywę dotyczącą ochrony danych osobowych.
Jakie są główne założenia RODO?
- Ochrona danych osobowych – RODO ma na celu zapewnienie wysokiego poziomu ochrony danych osobowych, w tym ich poufności, integralności i dostępności.
- Jednolite przepisy – rozporządzenie ma na celu ujednolicenie przepisów dotyczących ochrony danych osobowych we wszystkich krajach członkowskich UE, aby zapewnić spójność i klarowność regulacji oraz ułatwić swobodny przepływ danych osobowych wewnątrz UE.
- Prawa osób, których dane dotyczą – RODO nadaje osobom, których dane są przetwarzane, szereg praw, w tym prawo do dostępu do swoich danych, prawo do ich sprostowania, usunięcia czy przenoszenia, a także prawo do wniesienia skargi do organu nadzorczego w przypadku naruszenia przepisów o ochronie danych.
- Obowiązki podmiotów przetwarzających dane – rozporządzenie nakłada na podmioty przetwarzające dane (takie jak firmy, organizacje czy instytucje) szereg obowiązków, m.in. konieczność zapewnienia odpowiedniego poziomu bezpieczeństwa danych, uzyskania zgody na przetwarzanie danych, prowadzenia dokumentacji dotyczącej przetwarzania danych oraz powiadomienia organu nadzorczego i osób, których dane dotyczą, w przypadku naruszenia bezpieczeństwa danych.
Administrator danych osobowych sygnalisty – kto nim jest?
Administratorami danych osobowych sygnalistów w firmie są najczęściej przedsiębiorstwa, dla których pracują sygnaliści. Administratorami mogą być również firmy, które zarządzają systemami lub platformami służącymi do zgłaszania nieprawidłowości w miejscu pracy – ważne jest tu zatem procedura zgłoszeń wewnętrznych. W przypadku sygnalistów, którzy zgłaszają nieprawidłowości za pośrednictwem zewnętrznych organizacji lub agencji, te organizacje mogą także pełnić rolę administratora danych osobowych, niezależnie czego dotyczy zgłoszenie.
Administrator danych osobowych ma obowiązek zapewnić zgodność z przepisami o ochronie danych osobowych, w tym z Rozporządzeniem Ogólnym o Ochronie Danych Osobowych (RODO). Obejmuje to m.in. odpowiednie zabezpieczenie danych osobowych sygnalistów przed nieuprawnionym dostępem, utratą, zniszczeniem czy nieautoryzowanym ujawnieniem. Administrator danych ma także obowiązek przestrzegania praw osób, których dane dotyczą, w tym prawa do dostępu do danych, sprostowania, usunięcia czy przenoszenia danych.
W sytuacji, gdy sygnaliści zgłaszają nieprawidłowości za pośrednictwem zewnętrznych organizacji, takich jak agencje ds. praw pracowniczych lub organizacje pozarządowe i dokonują ujawnienia publicznego, administratorami danych osobowych mogą być także te organizacje, jeśli przetwarzają dane sygnalistów w związku z ich zgłoszeniami.
Ważne jest, aby administratorzy danych osobowych sygnalistów działali zgodnie z obowiązującymi przepisami prawa, dbając o bezpieczeństwo danych oraz przestrzegając zasad poufności i transparentności w przetwarzaniu danych osobowych sygnalistów.
Dane osobowe sygnalistów – jak je chronić? RODO: sygnaliści
- Bezpieczne procedury zgłaszania – wdrożenie bezpiecznych procedur i mechanizmów zgłaszania nieprawidłowości, które zapewniają poufność i anonimowość dla sygnalistów (zgodnie z ustawą o sygnalistach). Zapewnij możliwość zgłaszania nieprawidłowości poprzez bezpieczne kanały komunikacji, które nie narażają sygnalistów na ryzyko represji czy odwetu.
- Ograniczenie dostępu – ogranicz dostęp do danych osobowych sygnalistów tylko do niezbędnych osób i tylko w celu przetwarzania zgłoszeń oraz działań reakcyjnych. Zastosuj zasady minimalizacji danych i zapewnij, aby dostęp do danych miał tylko upoważniony personel.
- Bezpieczne przechowywanie danych – zapewnij bezpieczne przechowywanie danych osobowych sygnalistów poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie danych, zabezpieczenia fizyczne oraz kontrola dostępu. Konieczne jest prowadzenie rejestru wewnętrznego zgłoszeń.
- Regularne audyty i kontrole – regularnie przeprowadzaj audyty bezpieczeństwa danych oraz kontrole wewnętrzne, aby sprawdzić zgodność z procedurami ochrony danych osobowych i zapobiec ewentualnym naruszeniom.
- Reakcja na incydenty – opracuj plan reakcji na incydenty związane z naruszeniami danych osobowych, w tym zgłoszenia o naruszeniach bezpieczeństwa danych, śledzenie incydentów oraz stosowanie odpowiednich środków naprawczych i prewencyjnych.
- Szkolenie personelu – zapewnij regularne szkolenia dla personelu dotyczące ochrony danych osobowych oraz procedur postępowania w przypadku zgłaszania nieprawidłowości. Personel powinien być świadomy ryzyka związanego z naruszeniami danych osobowych oraz sposobów zapobiegania im.
- Zgodność z przepisami prawa – upewnij się, że wszelkie działania związane z przetwarzaniem danych osobowych sygnalistów są zgodne z przepisami prawa, w tym z Rozporządzeniem Ogólnym o Ochronie Danych Osobowych (RODO) oraz lokalnymi przepisami dotyczącymi ochrony danych osobowych.
Jednocześnie pracodawca lub inny administrator danych sygnalistów i osób, których dotyczy zgłoszenie, jest zobowiązany do przechowywania tych informacji przez okres 15 miesięcy od zakończenia roku kalendarzowego, w którym zakończono działania następcze lub przekazano sprawę odpowiednim organom.
Sygnaliści a RODO – obowiązek informacyjny
Obowiązek informacyjny zgodny z przepisami RODO w przypadku sygnalistów w firmie dotyczy przekazania odpowiednich informacji osobom, które zgłaszają nieprawidłowości, w szczególności dotyczących przetwarzania ich danych osobowych w związku z ich zgłoszeniami. Obowiązek ten musi zostać spełniony przez podmioty prywatne oraz publiczne. Może być także wyszczególnione w regulaminie zgłoszeń wewnętrznych.
Obejmuje to przede wszystkim poinformowanie sygnalistów o:
- identyfikacji administratora danych – sygnaliści powinni być poinformowani o tożsamości administratora danych, czyli podmiotu odpowiedzialnego za przetwarzanie ich danych osobowych w związku ze zgłoszeniem nieprawidłowości. Administrator danych może być firmą, organizacją lub innym podmiotem, dla którego sygnaliści pracują lub z którym są związani,
- celach przetwarzania danych – sygnaliści powinni być poinformowani o celach, dla których ich dane osobowe są przetwarzane w związku z ich zgłoszeniami. Może to obejmować cel zgłaszania nieprawidłowości, prowadzenia dochodzenia w sprawie zgłoszenia, podejmowania działań naprawczych czy reakcji na incydenty,
- podstawie prawnej przetwarzania – sygnaliści powinni być poinformowani o podstawie prawnej przetwarzania ich danych osobowych w związku z ich zgłoszeniami. W przypadku sygnalistów, przetwarzanie danych może być niezbędne do wykonania umowy pracy, wypełnienia obowiązków prawnych, ochrony ważnych interesów lub w ramach uzasadnionego interesu administratora danych,
- odbiorcach danych – sygnaliści powinni być poinformowani o ewentualnych odbiorcach lub kategoriach odbiorców, którym mogą być przekazywane ich dane osobowe w związku z ich zgłoszeniami. Odbiorcami mogą być np. organy nadzorcze, organy ścigania, kancelarie prawne czy inne upoważnione osoby lub podmioty,
- prawach osób, których dane dotyczą – sygnaliści powinni być poinformowani o swoich prawach związanych z przetwarzaniem danych osobowych, w tym prawa do dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia skargi do organu nadzorczego,
okresie przechowywania danych – sygnaliści powinni być poinformowani o okresie przechowywania ich danych osobowych w związku z ich zgłoszeniami oraz o kryteriach ustalania tego okresu.