Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Sygnaliści a RODO

PrintMailRate-it

 

Klaudia Kamińska-Kiempa

Maciej Ogórek
16 lutego 2021 r.

 

System sygnalizowania nieprawidłowości (ang. whistleblowing) to wyzwanie dla bezpieczeństwa przetwarzania danych osobowych w organizacji. Przed jego wdrożeniem należy pamiętać o zapewnieniu anonimowości i poufności danych, a także o zasadach etycznych i respektowaniu praw sygnalistów oraz innych uczestników postępowania.


Ochrona danych osobowych sygnalisty – akty prawne

O ochronie danych osobowych sygnalistów mówią dwa akty prawne:

  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (tzw. Dyrektywa o sygnalistach)
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Dyrektywa o sygnalistach, którą państwa członkowskie UE muszą wdrożyć do 17 grudnia 2021 r. – wskazuje na konieczność wprowadzenia procedur zapewniających ochronę tożsamości:

  • każdej osoby dokonującej zgłoszenia (sygnalisty);
  • osób, których dotyczy zgłoszenie (potencjalny „sprawca”);
  • oraz osób trzecich, o których mowa w zgłoszeniu (np. świadków).

Dyrektywa nie zwiera jednak przepisów szczególnych dotyczących przetwarzania danych osobowych. Wskazuje jedynie, że państwa członkowskie mają zapewnić jej skuteczność korzystając z wytycznych RODO oraz ustawy o ochronie danych osobowych konkretnego państwa.  


Zasady przetwarzania danych osobowych

W związku z powyższym przetwarzanie danych osobowych sygnalisty oraz innych uczestników postępowania whistleblowingowego powinno opierać się na ogólnych zasadach wskazanych w RODO, tj.: 

  • przejrzystość
  • rzetelność
  • legalność
  • celowość
  • minimalizacja danych
  • prawidłowości danych
  • ograniczenie przechowywania danych
  • integralność
  • poufność
  • rozliczalność.

Tworząc system zgłaszania nieprawidłowości w organizacji, szczególną uwagę warto zwrócić na zasadę poufności. Tylko zapewnienie bezpiecznych i budzących zaufanie warunków oraz rzetelna ochrona tożsamości uczestników postępowania umożliwi uruchomienie procesu zgłaszania naruszeń w firmie. 


Podstawa przetwarzania danych – zasada legalności

Odwołując się do przepisów RODO, dane osobowe sygnalistów mogą być przetwarzane jeśli:

  • osoba, której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów;
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. 

 

 

Implementując założenia systemu whistleblowingowego w firmie trzeba mieć na uwadze, że sygnalista może pozostać anonimowy, a system nie może wymuszać przekazania jego danych. Jeżeli sygnalista ujawni tożsamość – podstawą do przetwarzania danych osobowych jest jego dobrowolna zgoda.


Inaczej jest w przypadku danych, które są wskazane w postępowaniu – tj. osoby, której dotyczy zgłoszenie bądź świadków (osoby trzecie) – tutaj podstawą do przetwarzania danych osobowych jest spełnienie obowiązku prawnego, który ciąży na administratorze.


Podstawy przetwarzania danych osobowych znajdujących się w zgłoszeniu (dane osobowe sygnalisty oraz osób trzecich):

  • przetwarzanie jest konieczne do spełnienia obowiązku prawnego (art. 6 ust. 1 lit. c) RODO – po dokonaniu implementacji dyrektywy, kiedy administratorzy będą podlegać szczególnemu obowiązkowi prawnemu mającemu na celu ustanowienie procedur kontroli wewnętrznej w ściśle określonych obszarach;
  • albo do celów uzasadnionego interesu realizowanego przez administratora danych lub stronę trzecią, której dane są ujawniane (art. 6 ust. 1 lit. f) RODO – przetwarzanie, którego nie można uzasadnić wymogiem zgodności z obowiązkami prawnymi, może być nadal możliwe, jeśli administrator danych jest w stanie wykazać, że konieczne jest realizowanie jego uzasadnionych interesów i zrównoważył te interesy z interesami osób, których dotyczy sprawozdawczość.   

W zakresie, w jakim przetwarzanie może obejmować szczególne kategorie danych osobowych określonych w art. 9 RODO, administrator danych będzie musiał również upewnić się, że przetwarzanie takich danych jest prawnie dozwolone. W tym celu można argumentować, że przetwarzanie danych jest konieczne ze względu na istotny interes publiczny, na podstawie prawa UE lub państwa członkowskiego.


Bezpieczeństwo techniczne

Administrator danych osobowych powinien również wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Środki te będą różnić się  w zależności od przedsiębiorstwa (liczba pracowników, struktura itp.).


Środki bezpieczeństwa technicznego w zakresie przetwarzania danych w ujęciu RODO to:

  • pseudonimizacja i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.  

RODO nie narzuca konkretnych działań, które należy podjąć aby zapewnić bezpieczeństwo danych. Organizacja nie ma zatem obowiązku zastosowania najbardziej zaawansowanych technologicznie albo najdroższych rozwiązań. Ważne, aby system zabezpieczał technicznie i organizacyjnie dane osobowe przed wyciekiem bądź nieuprawnionym ujawnieniem.


Przepisy RODO wskazują jakie ryzyka należy uwzględnić, aby administrator lub podmiot przetwarzający na zlecenie mogli samodzielnie dobrać odpowiednie środki zabezpieczenia danych.


 

Oznacza to, że administrator lub podmiot przetwarzający powinien dobrać zabezpieczenia samodzielnie, uwzględniając potrzeby oraz możliwości danego podmiotu.



Jeżeli chcą Państwo wiedzieć więcej na temat przetwarzania danych osobowych sygnalistów, zachęcamy do obejrzenia webinarium „Sygnaliści a ochrona danych osobowych”.


Zapraszamy również do kontaktu z ekspertami Rödl & Partner.

 

 

Kontakt

Contact Person Picture

Klaudia Kamińska-Kiempa

LL.M., radca prawny

Senior Associate

+48 12 378 66 17

Wyślij zapytanie

Deutschland Weltweit Search Menu