Podmiot przetwarzający powinien z najwyższą starannością chronić dane osobowe osób, których dane przetwarza w systemie zgłaszania naruszeń, a w szczególności dane osobowe sygnalisty.
Sygnalisci a przepisy ochronie danych osobowych
Jak pisałem 3 lata temu w artykule „System dla sygnalistów a RODO”, projektując, wdrażając czy zarządzając systemem przyjmowania zgłoszeń, prowadzenia działań następczych i ochrony sygnalistów należy przestrzegać jednocześnie przepisów o ochronie danych osobowych.
Przypomnę tylko, że w artykule 17 Dyrektywy o sygnalistach mamy zapisane, że: przetwarzanie danych osobowych w związku z realizacją dyrektywy o sygnalistach, w tym wymiany lub przekazywania danych osobowych przez właściwe organy, dokonuje się zgodnie z RODO.
Ponadto w motywie 83 podkreślono, że szczególną uwagę należy zwrócić na zasady dotyczące przetwarzania danych osobowych określone w art. 5 RODO oraz zasady uwzględniania ochrony danych już w fazie projektowania i domyślnej ochrony danych.
Oznacza to, Inspektorzy Ochrony Danych powinni być od początku (od etapu projektowania) włączeni we wdrożenie systemów dla sygnalistów i należy realizować zasadę privacy by design (zwanej zasadą prywatności w fazie projektowania) oznacza, że projektując już system dla sygnalistów musimy zaprojektować w nim ochronę danych osobowych oraz odpowiednie zmiany w systemie ochrony danych osobowych. Trzeba pamiętać m.in., że przeprowadzając analizę ryzyk, należy w niej uwzględnić, że:
- sygnaliści mogą być ofiarami działań odwetowych,
- osoby, których dotyczy zgłoszenie mogę być niewinne.
Należy również przestrzegać innych zasad określonych w art. 5 RODO (tj. legalności, rzetelności, przejrzystości, celowości, proporcjonalności i minimalizacji danych, ograniczenia czasowego, integralności, Privacy by default i rozliczalności).
Sygnaliści w administracji publicznej. Procedura dla pracodawców
Przetwarzanie danych osobowych
W systemie zgłaszania naruszeń mogą być przetwarzane:
- dane osobowe sygnalistów lub osób pomagających w zgłoszeniu lub osób powiązanych z sygnalistą,
- dane osobowe osób, których dotyczy zgłoszenie,
- dane osobowe osób trzecich np. świadków.
W każdej indywidualnej sprawie należy sprawdzić podstawy prawne przetwarzania danych. W związku z przyjęciem zgłoszenia i prowadzenia działań następczych możemy przetwarzać:
1. tzw. dane zwykłe, np.: imię, nazwisko, adres zamieszkania, adres email, nr telefonu itp., na podstawie m.in.:
- art. 6 ust 1 lit c) RODO w związku z art. 8 ust 4 ustawy o ochronie sygnalistów (co do danych osoby, której dotyczy zgłoszenie i sygnalisty),
- art. 6 ust 1 lit a) RODO w zakresie ujawnienia tożsamości Sygnalisty,
- art. 6 ust 1 lit f) RODO,
2. szczególnej kategorii dane osobowe (dawniej dane wrażliwe) np. dotyczące stanu zdrowia, przekonań politycznych, religijnych lub światopoglądowych, orientacji seksualnej, przynależności do związków zawodowych itp.,na podstawie m.in.:
art. 9 ust 2 lit. g RODO w związku z art. 8 ust 4 ustawy o ochronie sygnalistów,
3. dane dotyczące skazań. Przyznam się szczerze, że ustawie o ochronie sygnalistów obecnie brak jest podstawy prawnej do przetwarzania danych dotyczących skazania.
Warto zauważyć, że:
- w rejestrze zgłoszeń wewnętrznych powinny być tylko dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób oraz adres do kontaktu z sygnalistą,
- po otrzymaniu zgłoszenia należy przetwarzać dane osobowe tylko w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Nie należy zbierać danych osobowych, które nie mają znaczenia dla rozpatrywania zgłoszenia, a w razie ich przypadkowego zebrania należy je niezwłocznie usunąć, w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.
Zwracam uwagę, że mamy dwa różne okresy retencji danych w związku z przyjmowaniem zgłoszeń o naruszeniach:
- dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
- dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Sygnaliści w firmie. Przewodnik dla pracodawców
Jakie obowiązki?
Przypominam, że podmiot przetwarzający dane osobowe w systemie zgłaszania naruszeń jest zobowiązany m.in.:
- wdrożyć adekwatny i skuteczny system ochrony danych osobowych,
- przestrzegać zasad przetwarzania danych osobowych,
wykonywać swoje obowiązki z zakresu ochrony danych osobowych tj.:
a) obowiązki z art. 13 – 21 RODO, przy czym:
- 1) osobom, których dotyczy zgłoszenie nie przysługuje prawo do sprzeciwu, prawo do przenoszenia danych i prawo do bycia zapomnianym oraz ograniczone jest prawo do informacji z art. 14 RODO i art. 15 RODO ponieważ nie przysługuje im prawo do informacji o źródle pochodzenia ich danych osobowych- czyli kim jest sygnalista.
b) zawarcie stosownych umów powierzenia przetwarzania danych osobowych lub współadministrowania,
c) udzielenie stosownych upoważnień,
d) inne.
Warto podkreślić, że podmiot przetwarzający powinien z najwyższą starannością chronić dane osobowe osób, których dane przetwarza w systemie zgłaszania naruszeń, a w szczególności dane osobowe sygnalisty.