Home
Internal
International
Kontakt
Klaudia Kamińska-Kiempa, Maciej Ogórek
16 lutego 2021 r.
System sygnalizowania nieprawidłowości (ang. whistleblowing) to wyzwanie dla bezpieczeństwa przetwarzania danych osobowych w organizacji. Przed jego wdrożeniem należy pamiętać o zapewnieniu anonimowości i poufności danych, a także o zasadach etycznych i respektowaniu praw sygnalistów oraz innych uczestników postępowania.
O ochronie danych osobowych sygnalistów mówią dwa akty prawne:
Dyrektywa o sygnalistach, którą państwa członkowskie UE muszą wdrożyć do 17 grudnia 2021 r. – wskazuje na konieczność wprowadzenia procedur zapewniających ochronę tożsamości:
Dyrektywa nie zwiera jednak przepisów szczególnych dotyczących przetwarzania danych osobowych. Wskazuje jedynie, że państwa członkowskie mają zapewnić jej skuteczność korzystając z wytycznych RODO oraz ustawy o ochronie danych osobowych konkretnego państwa.
W związku z powyższym przetwarzanie danych osobowych sygnalisty oraz innych uczestników postępowania whistleblowingowego powinno opierać się na ogólnych zasadach wskazanych w RODO, tj.:
Tworząc system zgłaszania nieprawidłowości w organizacji, szczególną uwagę warto zwrócić na zasadę poufności. Tylko zapewnienie bezpiecznych i budzących zaufanie warunków oraz rzetelna ochrona tożsamości uczestników postępowania umożliwi uruchomienie procesu zgłaszania naruszeń w firmie.
Odwołując się do przepisów RODO, dane osobowe sygnalistów mogą być przetwarzane jeśli:
Implementując założenia systemu whistleblowingowego w firmie trzeba mieć na uwadze, że sygnalista może pozostać anonimowy, a system nie może wymuszać przekazania jego danych. Jeżeli sygnalista ujawni tożsamość – podstawą do przetwarzania danych osobowych jest jego dobrowolna zgoda.
Inaczej jest w przypadku danych, które są wskazane w postępowaniu – tj. osoby, której dotyczy zgłoszenie bądź świadków (osoby trzecie) – tutaj podstawą do przetwarzania danych osobowych jest spełnienie obowiązku prawnego, który ciąży na administratorze.
Podstawy przetwarzania danych osobowych znajdujących się w zgłoszeniu (dane osobowe sygnalisty oraz osób trzecich):
W zakresie, w jakim przetwarzanie może obejmować szczególne kategorie danych osobowych określonych w art. 9 RODO, administrator danych będzie musiał również upewnić się, że przetwarzanie takich danych jest prawnie dozwolone. W tym celu można argumentować, że przetwarzanie danych jest konieczne ze względu na istotny interes publiczny, na podstawie prawa UE lub państwa członkowskiego.
Administrator danych osobowych powinien również wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Środki te będą różnić się w zależności od przedsiębiorstwa (liczba pracowników, struktura itp.).
Środki bezpieczeństwa technicznego w zakresie przetwarzania danych w ujęciu RODO to:
RODO nie narzuca konkretnych działań, które należy podjąć aby zapewnić bezpieczeństwo danych. Organizacja nie ma zatem obowiązku zastosowania najbardziej zaawansowanych technologicznie albo najdroższych rozwiązań. Ważne, aby system zabezpieczał technicznie i organizacyjnie dane osobowe przed wyciekiem bądź nieuprawnionym ujawnieniem.
Przepisy RODO wskazują jakie ryzyka należy uwzględnić, aby administrator lub podmiot przetwarzający na zlecenie mogli samodzielnie dobrać odpowiednie środki zabezpieczenia danych.
Oznacza to, że administrator lub podmiot przetwarzający powinien dobrać zabezpieczenia samodzielnie, uwzględniając potrzeby oraz możliwości danego podmiotu.
Jeżeli chcą Państwo wiedzieć więcej na temat przetwarzania danych osobowych sygnalistów, zachęcamy do obejrzenia webinarium „Sygnaliści a ochrona danych osobowych”.
Zapraszamy również do kontaktu z ekspertami Rödl & Partner.
Klaudia Kamińska-Kiempa
LL.M., radca prawny
Manager
Wyślij zapytanie
Profil