Organizacje funkcjonują w środowisku, w którym zapewnienie ochrony danych osobowych jest nie tylko wymogiem prawnym, ale również kluczowym elementem budowania zaufania i reputacji. W kontekście wdrażania przepisów ustawy o ochronie sygnalistów, która implementuje do polskiego porządku prawnego dyrektywę 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, kwestie te nabierają szczególnego znaczenia. Sygnaliści odgrywają istotną rolę w ujawnianiu nieprawidłowości, dlatego niezbędne jest, aby organizacje wdrażając przepisy dotyczące ochrony sygnalistów, kładły szczególny nacisk na pełną ochronę danych osobowych osób, które uczestniczą w procesie zgłaszania nieprawidłowości.
Zgodnie z przepisami ustawy o ochronie sygnalistów sygnalistą jest osoba fizyczna, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą, w tym m.in pracownik oraz osoba świadcząca pracę na innej podstawie niż stosunek pracy. Sygnalista ma trzy możliwości dokonania zgłoszenia po powzięciu informacji o naruszeniu prawa w zakresie objętym ustawą, tj. może dokonać zgłoszenia wewnętrznego, zewnętrznego lub ujawnienia publicznego. Z punktu widzenia organizacji najważniejszym zdaje się być możliwość dokonania zgłoszenia wewnętrznego, które polega na poinformowaniu o naruszeniu podmiotu prawnego, którego sygnalista jest pracownikiem lub pozostaje z nim w innych relacjach o charakterze zarobkowym.
Podmiot prawny projektując procedurę zgłoszeń wewnętrznych w organizacji powinien zagwarantować prywatność osób uczestniczących w tym procesie poprzez spełnienie zasad ochrony danych osobowych m.in. minimalizacji danych oraz ograniczenia celu. Oznacza to, że dane osobowe powinny być zbierane tylko w niezbędnym zakresie i wykorzystywane wyłącznie do celów związanych z dochodzeniem zgłoszonych nieprawidłowości.
Na początku sprawdźmy jakie mogą wystąpić kategorie osób oraz kategorie danych osobowych, a także podstawy ich przetwarzania w ramach procedury zgłoszeń wewnętrznych.
Wyróżnić możemy (1) osobę, która dokonuje zgłoszenia nieprawidłowości (sygnalista), (2) osobę, której dotyczy zgłoszenie, (3) osobę pomagającą w dokonywaniu zgłoszenia, (4) osobę powiązaną ze zgłaszającym, a także (5) inne osoby wskazane przez sygnalistę: ewentualny pokrzywdzony, świadkowie itd. Dane osobowe przetwarzane w związku z dokonywanym zgłoszeniem to w szczególności imiona, nazwiska osób wskazanych w zgłoszeniu oraz dane osobowe odnoszące się do zgłaszanego naruszenia. W zgłoszeniu mogą zostać podane dane osobowe tzw. zwykłe, jak również należące do szczególnych kategorii oraz dane dotyczące skazań. Odnośnie danych osobowych tzw. zwykłych jako podstawę możemy wskazać przetwarzanie w wykonaniu obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). Podmiot prawny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego (art. 8 ust. 4 ustawy o ochronie sygnalistów). Uzasadnieniem dla powyższego jest zagrożenie odpowiedzialnością karną za brak wdrożenia rozwiązań z zakresu ochrony sygnalistów. Kolejną przesłanką do przetwarzania danych tzw. zwykłych może być art. 6 ust. 1 lit. e RODO, na mocy którego przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym, a także art. 6 ust. 1 lit. f RODO, czyli ze względu na uzasadniony interes pracodawcy. Tutaj niezbędne jest wyważenie interesu administratora w stosunku do interesów osób, których dotyczy zgłoszenie.
Odnośnie zaś danych osobowych szczególnych kategorii, w tym zakresie przetwarzanie danych osobowych można oprzeć o przesłankę zgody (art. 9 ust. 2 lit. a RODO), jak również można pochylić się nad możliwością przetwarzania w związku z ważnym interesem publicznym na podstawie przepisów prawa (art. 9 ust. 2 lit. g RODO).
Natomiast problem jawi się w możliwości przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych. Zgodnie z ogólną zasadą przewidzianą w art. 10 RODO przetwarzanie takich danych jest dopuszczalne pod nadzorem władz publicznych lub za wyraźnym dozwoleniem przewidzianym w prawie Unii lub państwa członkowskiego i z zastrzeżeniem gwarancji ochrony osób, których dane dotyczą. Tymczasem w ustawie o ochronie sygnalistów nie przewidziano możliwości przetwarzania danych dotyczących wyroków skazujących i czynów zabronionych w systemach zgłaszania nieprawidłowości. Co nie oznacza, że w zgłoszeniu takie informacje nie wystąpią.
Mając na uwadze zasadę minimalizacji danych dane osobowe, które nie są potrzebne do rozpatrywania zgłoszenia z uwagi na to, że nie są objęte procedurą sygnalizowania naruszeń prawa powinny zostać usunięte. Ustawodawca przewidział, że usunięcie tych danych powinno nastąpić w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy (art. 8 ust. 4 ustawy o ochronie sygnalistów). Warto zatem zaznaczyć, aby podmiot prawny informując o występującej w organizacji procedurze zgłoszeń wewnętrznych wskazywał, że informacje dotyczące zgłaszanych nieprawidłowości powinny być zgodne ze stanem faktycznym i mieć związek z przedmiotem zgłoszenia.
W kontekście ochrony danych osobowych przy sygnalizacji naruszeń prawa na szczególną uwagę zasługuje naczelna zasada przyświecająca tym postępowaniom. Podmiot prawny gwarantuje bowiem, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych zapewniają ochronę poufności m.in. tożsamości sygnalisty. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować jego tożsamość. Czy podmiot prawny może zatem ujawnić dane osobowe sygnalisty? Co do zasady należy przyjąć, że nie! Ochrona tożsamości sygnalistów jest w końcu kluczowa dla zapewnienia, że mogą oni zgłaszać naruszenia bez obawy przed działaniami o charakterze odwetowym lub różnego rodzajami niesprawiedliwego traktowania. Jeśli jednak osoba, która dokonuje zgłoszenia udzieli wyraźnej zgody na ujawnienie swojej tożsamości, administrator zyskuje podstawę prawną do uzasadnionego udostępnienia jego danych osobowych. Zwrócić należy uwagę, że zgoda ta może zostać w dowolnej chwili wycofana, jednak bez wpływu na zgodność z prawem przetwarzania danych przed jej wycofaniem. Na co należy uczulić ewentualnego sygnalistę! Przewidziano również możliwość ujawnienia tożsamości osoby dokonującej zgłoszenia w przypadku, gdy takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie. W tym miejscu warto też zwrócić uwagę, że ustawodawca w ustawie o ochronie sygnalistów postanowił wyłączyć możliwość skorzystania przez osobę, której dane dotyczą z praw przysługujących na mocy art. 14 ust. 2 lit. f oraz art. 15 ust. 1 lit. g RODO, a zatem skorzystania z prawa do informacji o źródle pochodzenia danych. Celem tego ograniczenia jest właśnie uniemożliwienie ustalenia tożsamości sygnalisty. Wyjątkiem jest udzielenie przez sygnalistę wyraźnej zgody albo brak spełnienia warunków określonych w art. 6 ustawy o ochronie sygnalistów.
Istotnym jest zatem ustanowienie w organizacji transparentnych procedur zgłaszania nieprawidłowości, które pozwalają na zgodne z prawem przetwarzaniem danych osobowych z jednoczesną ochroną tożsamości osób uczestniczących w mechanizmie zgłaszania nieprawidłowości.