Whistleblowing a RODO. Jak zapewnić ochronę tożsamości sygnalistów i zrealizować obowiązki wynikające z RODO?

Mimo, że termin na implementację unijnej dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii minął w grudniu 2021 r., a od 17 grudnia 2023 r. już nie tylko najwięksi pracodawcy i podmioty regulowane, ale również podmioty prywatne, na rzecz których wykonuje lub świadczy pracę od 50 do 249 osób, powinny ustanowić wewnętrzne procedury dokonywania zgłoszeń naruszeń prawa, to prace nad krajową ustawą nadal nie zostały zakończone.

Wbrew zapowiedziom Minister Rodziny i Polityki Społecznej z dnia 20 października 2023 r. o zbliżającym się końcu prac procesu rządowego, projekt nie został skierowany do Sejmu przed końcem kadencji.

Najnowsza wersja projektu została opublikowana w dniu 11 stycznia br. na stronie Rządowego Centrum Legislacji.

Mając na uwadze skierowany do Przewodniczącego Stałego Komitetu Rady Ministrów wniosek o pilne rozpatrzenie projektu z pominięciem etapu uzgodnień, opiniowania, konsultacji publicznych oraz rozpatrzenia przez Komitet do Spraw Europejskich już teraz należy podjąć działania w celu opracowania rozwiązań zapewniających skuteczność oraz poufność zgłaszania nieprawidłowości w organizacji.

Szczególną uwagę należy poświęcić zgodności przyjętych rozwiązań z wymogami rozporządzenia RODO.

Obowiązki informacyjne RODO

W związku z obsługą zgłoszeń administratorzy danych osobowych zobowiązani będą do przekazywania szeregu informacji osobom, których dane osobowe będą przetwarzane – nie tylko sygnaliście, ale również innym osobom objętym zgłoszeniem. Biorąc pod uwagę, że jedną z kluczowych kwestii związanych z ochroną sygnalistów, jest zapewnienie poufności ich tożsamości, powyższe może być źródłem istotnych wątpliwości.

Aktualny projekt przewiduje wprowadzenie wyłączeń w zakresie obowiązku informacyjnego dotyczącego źródła pozyskania danych osobowych, tj. obowiązku określonego w art. 14 ust. 2 lit. f) oraz art. 15 ust. 1 lit. g) RODO. Zaznaczyć należy jednak, że wprowadzenie bezterminowego ograniczenia obowiązków informacyjnych stanowiło przedmiot zastrzeżeń ze strony UODO, który wskazywał na niedopuszczalność takiego rozwiązania, nie można zatem wykluczyć dalszych zmian w tym zakresie.

Retencja danych osobowych

Podmioty przyjmujące zgłoszenia powinny pamiętać, że postępowanie z danymi zgromadzonymi w związku ze zgłoszeniem powinno być zgodne z zasadą minimalizacji danych. Przetwarzanie danych osobowych powinno odbywać się zatem w zakresie niezbędnym do weryfikacji zgłoszenia i podjęcia działań następczych. Po upływie okresu retencji zebrane dane osobowe powinny zostać usunięte, a dokumenty związane ze zgłoszeniem zniszczone. Okres retencji ulegał wielokrotnym zmianom w toku prac legislacyjnych, a wg. ostatniej wersji projektu wynosi 3 lata liczone po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Wyjątek mają stanowić dane osobowe przetwarzane przez Rzecznika Praw Obywatelskich w związku z przyjęciem zgłoszenia zewnętrznego – w tym przypadku okres retencji wynosi 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.

DPIA dla systemów whistleblowingowych

Podkreślenia wymaga, że zgodnie z komunikatem Prezesa UODO, systemy whistleblowingowe ujęte zostały w wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz ten obejmuje rodzaje przetwarzania mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powyższe oznacza, że przed rozpoczęciem przetwarzania administrator danych osobowych powinien wykonać tzw. DPIA (Data Protection Impact Assessment) w zakresie procedury obsługi zgłoszeń, zgodnie z wymogami art. 35 RODO.

Obsługa zgłoszeń sygnalistów przez IOD

Mając na uwadze, że procedura zgłoszeń wewnętrznych powinna określać m.in. jednostkę upoważnioną do przyjmowania zgłoszeń oraz podejmowania działań następczych, zwrócić należy uwagę na stanowisko UODO w sprawie możliwości powierzenia tych zadań inspektorowi ochrony danych (IOD). Wskazano w nim, że co prawda przepisy RODO dopuszczają możliwość wykonywania innych zadań i obowiązków przez IOD, jednak nie mogą one powodować powstania konfliktu interesów. Każdy podmiot powinien zatem dokonać analizy czy połączenie tych funkcji nie spowoduje niemożności pogodzenia „wykonywania zadań IOD z realizacją innych zadań”. Dokonując powyższej oceny należy wziąć pod uwagę nie tylko ryzyko wystąpienia konfliktu interesów na płaszczyźnie merytorycznej, ale również rozważyć czy obciążenie nowymi obowiązkami nie wpłynie na możliwość realizacji przez IOD jego dotychczasowych zadań. Ryzyko wystąpienia konfliktu interesów powinno być stale monitorowane. Należy ponadto pamiętać, że przepisy RODO wymagają, by IOD podlegał bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Opóźnienia we wdrożeniu unijnej dyrektywy

W związku z brakiem terminowego wdrożenia dyrektywy o ochronie sygnalistów w styczniu 2022 r. Komisja Europejska wezwała Polskę do usunięcia uchybienia, w lipcu 2022 r. wystosowała uzasadnioną opinię, a w marcu 2023 r. wniosła przeciwko Polsce skargę. Mimo, że działania te nie doprowadziły dotychczas do przejęcia krajowej ustawy, nie należy zwlekać z przygotowaniami do wdrożenia odpowiednich procedur.

O tym jak przygotować się do ustawy o sygnalistach – https://kancelarierp.pl/jak-przygotowac-sie-do-wdrozenia-ustawy-o-sygnalistach/

 

Pomoże to ograniczyć nie tylko ryzyko chaosu organizacyjnego, z którym niektórzy przedsiębiorcy mierzyli się po wejściu w życie przepisów RODO, ale również ewentualnych sankcji za brak terminowego ustanowienia kanałów zgłoszeń.

Tomasz Kamiński, Adwokat, Wspólnik w Krzysztof Rożko i Wspólnicy Kancelaria Prawna

Tomasz Kamiński w Rankingu Kancelarii Prawniczych „Rzeczpospolita 2023” jest indywidualnie rekomendowany w kategorii Private equity.

Tomasz Kamiński w Rankingu The Legal 500 EMEA 2023  jest rekomendowany w kategorii Capital Markets.

Katarzyna Okoń, Aplikantka radcowska w Krzysztof Rożko i Wspólnicy Kancelaria Prawna

Rekomendacje Kancelarii KRWLEGAL w rankingach: IFLR1000 w kategoriach Capital Markets: Equity oraz M&A, The Legal 500 EMEA 2023 w kategoriach: Investment Funds i Capital Markets oraz jako lider  „Rzeczpospolita 2023” w kategoriach: doradzanie prywatnym klientom (Private Clients) private equity, rynki kapitałowe i doradztwo regulacyjne.