Dziś i w kolejnym newsletterze poruszę zagadnienie, które z pewnością wywoła falę komentarzy i dyskusji, dlatego wymaga podejścia systemowego. Ochrona danych osobowych sygnalisty, świadków lub innych osób, których dotyczy zgłoszenie naruszeń jest zagadnieniem, które musi być rozpatrywane z uwzględnieniem zarówno treści samego rozporządzenia RODO , jak i dyrektywy DODO. 

Wprowadzenie polityki ochrony sygnalisty w każdej organizacji będzie przebiegało inaczej. Co do zasady jednak, pewne zagadnienia dotyczące przetwarzania danych osobowych sygnalisty lub osób, których dotyczy zgłoszenie, będą podobne lub nawet identyczne. Wynika to choćby z obowiązku stosowania przez administratorów zasad wynikających z RODO wprost, bez względu rozmiary i rodzaj prowadzonej działalności. Przetwarzanie danych osobowych w procesach związanych z funkcjonowaniem kanałów do zgłaszania naruszeń i w systemie ochrony sygnalisty musi być zgodne z RODO. 

Zaczynamy dzisiejszy odcinek! ⬇ 

Jak chronić dane (nie tylko) sygnalistów? Wskazówki ogólne 

Dziś kilka spostrzeżeń dotyczących właśnie ochrony danych osobowych w procesach ochrony sygnalistów. Celowo nie ograniczam się jedynie do ochrony danych osobowych sygnalisty, ponieważ zależy mi, abyśmy spojrzeli na problem szerzej – pod kątem ochrony danych osobowych wszystkich osób, których dotyczą zgłoszenia, bez względu na rolę jaką pełnią w procesie. Ale od początku. 

Dyrektywa o ochronie sygnalistów nie formułuje zaleceń dotyczących danych osobowych, odwołując się do zasad przyjętych na gruncie RODO. Ochronie danych osobowych poświęcono art. 17 Dyrektywy o sygnalistach. 

Zgodnie z nim „przetwarzanie danych osobowych, w tym wymiana lub przekazywanie danych osobowych przez właściwe organy, dokonuje się zgodnie z rozporządzeniem (UE) 2016/679 i dyrektywą (UE) 2016/680. Wymiany i przekazywania informacji przez instytucje, organy lub jednostki organizacyjne Unii dokonuje się zgodnie z rozporządzeniem (UE) 2018/1725. 

Dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki.” 

Warto także podkreślić treść motywów Dyrektywy odnoszących się do ochrony danych osobowych. Poza motywem 83, który odwołuje się do przyjęcia zasad ochrony danych osobowych zgodnych z RODO i DODO, ważną treść niesie motyw 85 Dyrektyw. Podkreśla się w nim, jak ważna i konieczna jest ochrona prawa i wolności również innych osób. Akcentuje się też prawo krajów członkowskich do ograniczenia niektórych, przewidzianych rozporządzeniem uprawnień osób, których dane dotyczą – zwłaszcza prawa dostępu do danych, prawa do sprostowania czy wyłączenia lub ograniczenia obowiązku informacyjnego. 

🔶 Obowiązek informacyjny wobec naruszyciela – problemy 

Z mojego punktu widzenia kwestia spełnienia obowiązku informacyjnego wobec osoby, której dotyczy zgłoszenie, a której dane zostały ujawnione administratorowi przez sygnalistę, stanowi najistotniejszy problem na linii RODO – Dyrektywa o sygnalistach. Dochodzi bowiem do kolizji, z jednej strony mamy bowiem prawo osoby, której dane dotyczą, do przetwarzania jej danych osobowych zgodnie z prawem. Z drugiej – ujawnienie takiej osobie sygnalisty, jako źródła pochodzenia danych, wypacza sens zapewnienia sygnalistom ochrony, w tym ochrony przed działaniami odwetowymi. Niektórzy autorzy wskazują, że podstawą niespełniania obowiązku informacyjnego wobec osoby, której dane zostały ujawnione w zgłoszeniu naruszeń, może być art. 14 ust. 5 lit b RODO. W moim przekonaniu brak obecnie podstawy do tego, aby w oparciu o przesłanki wskazane w art. 14 ust. 5 RODO odmówić spełniania obowiązku informacyjnego. 

Osobiście uważam, że spełnienie obowiązku informacyjnego, o którym mowa w art. 14 RODO, wobec osób, których dotyczy zgłoszenie, nie powinno mieć miejsca przynajmniej do czasu zakończenia postępowania wyjaśniającego lub wszczęcia postępowania przez właściwe organy. Co więcej, nawet w sytuacji zgłoszeń, które zostały zamknięte z powodu braku przesłanek do prowadzenia postępowania wyjaśniającego, a które zawierały dane osobowe, administrator powinien móc spełnić obowiązek informacyjny z pominięciem informacji o źródle przekazanych danych osobowych. 

Innymi słowy, spełnienie obowiązku informacyjnego wobec osoby, której dane osobowe zostały pozyskane nie bezpośrednio od tej osoby, a od sygnalisty nie powinno obejmować wskazania źródła pochodzenia tych danych lub spełnienie tego obowiązku powinno zostać odroczone w czasie. 

I o ile dziś nie znajdziemy podstawy takiego działania, to można, w pewnym zakresie, posiłkować się opinią Grupy Roboczej art. 29 (Opinia 1/2006) w sprawie stosowania unijnych przepisów o ochronie danych do celów wewnętrznych systemów zgłaszania nieprawidłowości w zakresie rachunkowości, wewnętrznych kontroli księgowych, audytu, walki z przekupstwem, przestępstwami bankowymi i finansowymi – która to wydaje się być aktualna. 

Realizacja obowiązku informacyjnego wobec osób, których dane zostały ujawnione przez sygnalistę w zgłoszeniu może być utrudniona także z tego względu, że sygnalista może dokonać zgłoszenia w sposób anonimowy, a samo zgłoszenie, poza przytoczonymi okolicznościami, może zawierać bardzo dużą liczbę danych osobowych, świadków i osób, których dotyczy zgłoszenie. Powstaje pytanie – co wtedy? 

W newsletterze za dwa tygodnie opiszę 5 kwestii, które muszą uwzględnić administratorzy danych wdrażając kanały zgłaszania nieprawidłowości i ochrony sygnalistów. 

Nie spodziewam się, abyśmy osiągnęli taki poziom nagród wypłacanych sygnalistom, jaki możemy zaobserwować w Stanach Zjednoczonych za sprawą działalności SEC (U.S Securities And Exchange Commission), wydaje mi się jednak, że nie unikniemy tego tematu.