Odrębną kwestią od uwzględnienia obszaru danych osobowych w kategorii zawiadomień, które obowiązkowo powinny być rozpoznawane w ramach poszczególnych procedur sygnalizacji nieprawidłowości, jest prawidłowe odniesienie zasad wynikających z RODO do nowo tworzonych procedur sygnalizacji nieprawidłowości.
Poufność danych
Zarówno z dyrektywy, jak i projektu ustawy wynika, że każdy pracodawca wdrażający przepisy o sygnalistach powinien zapewnić, aby właściwe organy dysponowały odpowiednimi procedurami ochrony w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w tych zgłoszeniach. Takie procedury powinny zapewniać ochronę tożsamości każdej osoby dokonującej zgłoszenia, których dotyczy zgłoszenie, oraz osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników, na wszystkich etapach procedury.
Prawo do zachowania w poufności tożsamości sygnalisty (bez wyraźnej zgody zainteresowanego) dotyczy także innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość zgłaszającego, a nawet rozciąga się je na ochronę tożsamości osób im pomagających (współpracowników czy też członków rodziny). Takie uregulowanie prowadzi do wniosku, że w obszarze ochrony danych osobowych dane sygnalistów powinny być wyjątkowo szeroko chronione, nawet jeżeli nie podlegają pod kategorię danych szczególnie wrażliwych.
Urząd Ochrony Danych Osobowych zwraca uwagę, że w celu rozpatrywania zgłoszeń oraz zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem członkowie personelu właściwych organów/podmiotów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, między innymi w kwestii mających zastosowanie przepisów o ochronie danych, a sam pracodawca powinien zapewnić odpowiednie narzędzie temu służące. Ze względu na charakter danych, ograniczony zakres ich przetwarzania oraz szczególne względy dotyczące poufności szkolenia z zakresu ochrony danych osobowych kierowane do osób rozpatrujących zgłoszenia powinny (ponad wiedzę podstawową) odnosić się do praktycznych aspektów zapewnienia ochrony, w tym do omówienia środków ochrony ukierunkowanych na zapewnienie osobie zgłaszającej odpowiedniej poufności.
Obowiązki pracodawcy
Co do samych zasad przetwarzania danych osobowych dyrektywa o sygnalistach nie wprowadza żadnych szczególnych norm. Tym samym nowy proces zbierania i przetwarzania zawiadomień będzie musiał być ukształtowany pod kątem zasad wynikających z art. 5 RODO (zgodności z prawem, rzetelności i przejrzystości; ograniczonego celu; minimalizacji danych; prawidłowości; ograniczonego przechowywania; integralności i poufności oraz rozliczalności).
Jako że wdrożenie dyrektywy w firmie obejmować będzie tworzenie nowych procesów przetwarzania danych osobowych, za konieczne należy uznać zaktualizowanie polityki bezpieczeństwa informacji, zweryfikowanie okresów retencji danych pozyskiwanych w procesie rozpatrywania zgłoszeń, przygotowanie odrębnych upoważnień czy też uzupełnienie rejestrów przetwarzania danych.
Dla procesu sygnalizowania naruszeń powinno się określić dane, które nie będą zbierane, ze względu na oczywisty brak znaczenia dla rozpatrywania konkretnego zgłoszenia czy też zasady ich bezzwłocznego usuwania, gdy zostaną przypadkowo zebrane.
Szczególną uwagę pod kątem ochrony danych osobowych pracodawcy powinni przywiązywać do tworzonych kanałów zgłaszania nieprawidłowości. Kanały takie powinny być niezależne i autonomiczne i spełniać kryteria, takie jak:
- zapewnienie kompletności, integralności i poufności informacji oraz uniemożliwienie uzyskania do nich dostępu nieupoważnionym członkom personelu właściwego podmiotu;
- pozwolenie na przechowywanie informacji w sposób trwały, aby umożliwić prowadzenie dalszego postępowania wyjaśniającego oraz uniknięcie ich przypadkowego usunięcia.
Niezależnie od tego, czy wskazane kanały będą oparte na ustnych, czy pisemnych formach zgłoszenia, powinny one zapewniać analogiczne wymogi co do poufności zbieranych danych. Tam gdzie zgłoszenie ustne nie jest pierwotnie rejestrowane (chociażby przy sygnalizacji naruszenia właściwemu pracownikowi) ze względu na odpowiedzialność za utratę danych za rekomendowane należy uznać wprowadzenie zasady spisania zgłoszenia oraz jego odnotowania w odpowiednim rejestrze.
Tam gdzie do zbierania zgłoszeń będziemy wykorzystywać systemy IT, niezależnie od tego, czy będą one stanowić własność pracodawcy, czy podmiotu zewnętrznego, któremu zleca się obsługę procesu przyjmowania zgłoszeń, pracodawcy powinni pamiętać o weryfikacji, czy jest on bezpieczny, w tym w szczególności czy spełnia on zasady privacy by design oraz privacy by default (zaprojektowania systemu zgodnie z zasadami bezpiecznego przetwarzania danych osobowych oraz zapewniania bezpieczeństwa danych przy korzystaniu z niego). Ewentualne braki w obszarze bezpieczeństwa danych zawsze będą obciążać pracodawcę jako tego, który administruje danymi zbieranymi w procesie przyjmowania zgłoszeń.
Dodatkowym obowiązkiem administratora danych w związku z dyrektywą będzie prowadzenie rejestrów zgłoszeń. Państwa członkowskie zapewniają, aby podmioty w sektorach prywatnych i publicznych, w tym właściwe organy, prowadziły rejestr wszystkich przyjętych zgłoszeń zgodnie z wymogami przewidzianymi w art. 5 RODO.
Gdy mowa o zbieraniu zawiadomień, każda z firm wdrażających u siebie dyrektywę o sygnalistach będzie zobowiązana spełniać obowiązek informacyjny zgodny z RODO[1] dostosowany do procesu zbierania zgłoszeń. Nasuwa się tym samym pytanie: kiedy administrator danych powinien spełnić obowiązek informacyjny wynikający z art. 14 RODO? Taki obowiązek powinien być spełniony przy pozyskiwaniu danych. Najczęściej będzie to następować przy odbieraniu zgłoszenia, m.in. przez umieszczenie klauzuli informacyjnej w systemie IT przeznaczonym do zbierania zgłoszeń, umieszczenie jej w regulaminie przyjmowania i rozpatrywania zgłoszeń czy też w zakresie członków komisji wyjaśniających oraz świadków przez przekazanie jej z chwilą, w której ich dane zaczną być przetwarzane w celu rozpoznania pierwszego zgłoszenia.
Raczej nie budzi wątpliwości konieczność poinformowania sygnalisty o jego prawach i podmiocie przetwarzającym dane, podobnie na gruncie RODO uzasadnione może być nieprzekazywanie pełnej klauzuli informacyjnej osobom trzecim, wskazywanym przez sygnalistę jako świadkowie naruszenia. Mimo że pracodawca z chwilą dokonania zgłoszenia rozpocznie przetwarzanie ich danych, ujawnienie źródła informacji mogłoby narazić sygnalistę na wyjawienie jego tożsamości, co będzie wystarczającą podstawą, aby klauzuli wskazanym podmiotom nie przekazywać[2].
Niezależnie od wszystkich wskazanych wyżej powinności dodatkowym obowiązkiem administratora danych w związku z dyrektywą będzie prowadzenie rejestrów zgłoszeń zgodnie z wymogami RODO. Wobec szczególnego charakteru danych zgłaszanych przez sygnalistów taki rejestr powinien być nie mniej poufny niż same kanały zgłaszania nieprawidłowości.
[1] O którym mowa w art. 13 i 14 RODO.
[2] Na gruncie art. 14 ust. 5 RODO.