W newsletterze RODO a Sygnaliści – cz.I poruszyłem kwestię ochrony danych osobowych sygnalisty, świadków lub innych osób, których dotyczy zgłoszenie naruszeń. Mocno podkreślałem, że jest to zagadnienie, które musi być rozpatrywane w szerszym kontekście, z uwzględnieniem zarówno treści samego rozporządzenia RODO¹, jak i dyrektywy DODO².  

Zwróciłem także uwagę na problemy związane z spełnieniem obowiązku informacyjnego wobec osoby, której dotyczy zgłoszenie, a której dane zostały ujawnione administratorowi przez sygnalistę. Powstaje tu bowiem kłopotliwa kolizja na linii RODO – Dyrektywa o sygnalistach. 

Po ogólnych wskazówkach i uwagach o tym, jak skutecznie chronić dane (nie tylko) sygnalistów, czas na konkrety. 

Co muszą uwzględnić administratorzy danych wdrażając kanały zgłaszania nieprawidłowości i ochrony sygnalistów? 

Po pierwsze, administratorzy wdrażając procedury whistleblowingowe, muszą kierować się naczelnymi zasadami przetwarzania danych osobowych wskazanymi w art. 5 RODO. Przetwarzanie danych musi być zgodne z zasadami minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności czy poufności. Podkreślić w tym miejscu wypada obowiązek zapewnienia poufności tożsamości sygnalisty, który mocno akcentuje Dyrektywa o sygnalistach.   

Po drugie, systemy służące do zgłaszania nieprawidłowości, w szczególności gdy przetwarzane są w nim dane pracowników, wymagają przeprowadzenia oceny skutków przetwarzania dla ich ochrony (DPIA), o której mowa w art. 35 RODO, zgodnie z wykazem rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony³.  

Po trzecie, zgodnie z RODO administrator musi spełnić wobec osoby, której dane dotyczą obowiązek informacyjny, o którym mowa w art. 13 RODO, jeśli dane te zostały uzyskane bezpośrednio o tej osoby. Administrator musi także wskazać podstawę prawną przetwarzania danych osobowych. Wydaje się, że do czasu wejścia w życie polskich przepisów, podstawą przetwarzania danych osobowych w procesach whistelblowingowych będzie art. 6 ust. 1 lit. f  RODO, czyli prawnie uzasadniony interes administratora. Pamiętać należy, że tam, gdzie już teraz możemy wskazać podstawę prawną przetwarzania danych osobowych (art. 6 ust. 1 lit. c RODO), należy tą podstawę w moim przekonaniu wskazać. Będzie nią art. 53 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, który nakazuje instytucjom obowiązanym wdrożenie kanałów anonimowego zgłaszania nieprawidłowości.  

Po czwarte, realizacja praw osób, których dane dotyczą, ale także i praw osób, których dotyczy zgłoszenie musi odbywać się z poszanowaniem obowiązków wynikających z RODO. W związku z tym administrator musi zapewnić, aby system whistelblowingowy dawał możliwość zrealizowania tych praw.  

I wreszcie po piąte, i to wydaje się największym obecnie wyzwaniem, w jaki sposób rozstrzygnąć kwestie wykonania przez administratora obowiązku informacyjnego wobec osoby, której dane zostały wskazane przez sygnalistę w zgłoszeniu. Jak wiemy, administrator, musi spełnić obowiązek informacyjny także wobec osób, których dane pochodzą nie bezpośrednio od tych osób. Treść art. 14 RODO nakazuje administratorowi danych poinformować taką osobę o zasadach przetwarzania, w tym wskazać źródło pochodzenia danych osobowych.  

Zdaję sobie sprawę, że ochrona danych osobowych osób zaangażowanych w proces zgłaszania naruszeń budzi wiele kontrowersji i wątpliwości. Dlatego na koniec jeszcze raz podkreślę, że zagadnienie to powinno być rozpatrywane w szerszym kontekście, z uwzględnieniem zarówno treści samego rozporządzenia RODO⁴, jak i dyrektywy DODO⁵ i w odniesieniu nie tylko do sygnalisty, ale również świadków i innych osób, których dotyczy zgłoszenie naruszeń.