Jak rozumieć pojęcie przetwarzania danych osobowych?

Na wstępie warto wskazać, że pojęcie przetwarzania danych ma bardzo szeroki zakres. Rozporządzenie RODO1 w art. 4 pkt 2 definiuje je jako operacja lub zestaw operacji wykonywanych na danych osobowych, lub ich zbiorach w sposób zautomatyzowany, lub niezautomatyzowany, polegający m.in. na zbieranie, utrwalanie, sygnalizowanie, porządkowanie, modyfikowanie, przeglądanie, łączenie usuwanie czy niszczenie.
Tak naprawdę więc niezależnie od tego, co pracodawca będzie robił z danymi osobowymi sygnalisty, można mówić o ich przetwarzaniu, co z kolei wymusza działania w zgodzie z rozporządzeniem o ochronie danych osobowych.
W jaki sposób organizacja może przetwarzać dane osobowe w związku ze zgłoszeniami sygnalistów?
Przede wszystkim należy zwrócić uwagę na art. 8 ustawy o sygnalistach2, który w największym stopniu odnosi się do zarządzania danymi osobowymi osób zgłaszających naruszenia prawa. Zgodnie z ustępem 1 tego przepisu dane osobowe sygnalisty pozwalające na ustalenie jego tożsamości (np. imię i nazwisko, adres e-mail) nie podlegają ujawnieniu nieupoważnionym osobom, chyba że sam sygnalista wyrazi na to zgodę. W praktyce oznacza to konieczność stworzenia na tyle „szczelnej” procedury wewnętrznej, która pozwoli na zachowaniu w tajemnicy personaliów zgłaszających naruszenia. Zgodnie z art. 27 ust. 1 ustawy ochrona poufności dotyczy wszystkich informacji, na mocy których można pośrednio lub bezpośrednio zidentyfikować tożsamość sygnalisty.
Dostęp do danych osób zgłaszających naruszenia mogą mieć wyłącznie osoby posiadające upoważnienie podmiotu prawnego. Tajemnica w tym zakresie obowiązuje nie tylko w trakcie istnienia stosunku pracy lub innego stosunku prawnego legalizującego przetwarzanie danych, ale także po jego zakończeniu. Ustawodawca wymaga, aby stosowne upoważnienie posiadały również osoby zajmujące się:
-
przyjmowaniem i weryfikacją zgłoszeń wewnętrznych;
-
podejmowaniem działań następczych.
Ustawa o sygnalistach pozwala także na wprowadzenie procedury anonimowego zgłaszania naruszeń. Jest to jednak przywilej, a nie obowiązek pracodawcy. Jeżeli takiej możliwości nie wprowadzono, zgłoszenie bez wskazania danych sygnalisty nie musi być rozpatrywane. Warto jednak, aby pracodawca rozważył takie rozwiązanie, ponieważ anonimowość może skłonić pracowników do rzetelności zgłoszeń bez obaw o ryzyko odwetu. W przypadku anonimowego zgłaszania procedury naruszeń nie dochodzi do przetwarzania danych osobowych sygnalisty (przy czym należy zadbać, aby procedura była naprawdę anonimowa, a nie wiązała np. zgłoszenia z numerem IP komputera lub urządzenia mobilnego). Nadal jednak może dojść do przetwarzania danych osobowych innych osób, np. świadków zdarzenia.
Czy ustawa o sygnalistach chroni dane osobowe zgłaszającego naruszenie?

Polski ustawodawca zaimplementował do ustawy kilka zasad odnoszących się do ochrony danych osobowych sygnalistów. Przede wszystkim do danych osobowych mogą mieć dostęp wyłącznie osoby upoważnione, chyba że ich ujawnienie jest działaniem koniecznym i proporcjonalnym do prowadzonego w danej sprawie postępowania i ma na celu ochronę sygnalisty.
Zbierane mogą być tylko dane niezbędne do oceny zgłoszenia i podjęcia działań następczych. Innych informacji zbierać nie należy, a jeżeli do tego dojdzie, trzeba je usunąć w terminie do 14 dni od ustalenia, że dane nie mają znaczenia dla sprawy zgodnie a art. 8 ust. 4 ustawy o sygnalistach. Usunięcie zbędnych informacji w podanym terminie jest bardzo istotne dla pracodawcy, ponieważ po tym czasie dane są przetwarzane bez podstawy prawnej. Podmiot prawny dokonujący przetwarzania danych na potrzeby obsługi zgłoszenia sygnalistów powinien dążyć do tego, aby jak najszybciej ustalić przeznaczenie zebranych danych osobowych. Dzięki temu informacje te jak najkrócej pozostają “w obiegu”.
Okres retencji danych wynosi 3 lata liczone od końca roku kalendarzowego w którym:
-
przekazano zgłoszenie zewnętrzne do organu publicznego;
-
zakończono działania następcze;
-
zakończono postępowania zakończone podjętymi działaniami.
Obowiązek informacyjny RODO a ustawa o sygnalistach
Administrator danych osobowych powinien zrealizować obowiązek informacyjny względem trzech grup podmiotów:
-
osoby zgłaszającej naruszenie prawa;
-
osoby, której dotyczy zgłoszenie naruszenia;
-
osób, które mają wiedzę na temat naruszenia (np. świadkowie, osoby pokrzywdzone, osoby współpracujące z sygnalistą).
Względem sygnalisty obowiązek informacyjny powinien zostać spełniony już w momencie otrzymania zgłoszenia. W przypadku pozostałych grup osób zastosowanie znajdzie art. 14 RODO. Zgodnie z tym przepisem administrator podaje swoje dane przy pierwszej komunikacji, której dane dotyczą, ewentualnie w rozsądnym terminie, ale nie później niż w ciągu miesiąca, mając na względzie okoliczności przetwarzania danych osobowych, jeżeli otrzymał dane osobowe od innej osoby niż ta, której dane dotyczą.
Jak zadbać o zgodność procedury sygnalistów z RODO w przypadku outsourcingu obsługi zgłoszeń?

Ustawa o sygnalistach dopuszcza możliwość powierzenia obsługi zgłoszeń sygnalistów zewnętrznemu podmiotowi, np. kancelarii prawnej. Taki podmiot zewnętrzny należy wskazać w treści procedury zgłoszeń wewnętrznych stosownie do art. 25 ust. 1 pkt 1 ustawy o sygnalistach, aby był on jawny dla wszystkich osób zatrudnionych. Zawarcie umowy powierzenia obejmuje następujące elementy:
-
obsługę przyjmowania zgłoszeń wewnętrznych;
-
potwierdzenie przyjęcia zgłoszenia;
-
przekazywanie informacji zwrotnej sygnaliście;
-
dostarczenie informacji na temat procedury zgłoszeń wewnętrznych.
Formułując treść umowy powierzenia na potrzeby zgłoszeń sygnalistów, podmiot prawny powinien zwrócić szczególną uwagę na precyzyjne określenie praw i obowiązków podmiotu zewnętrznego związanych z przetwarzaniem danych osobowych osób zgłaszających naruszenia. Aby dobrze zidentyfikować prawa i obowiązki podmiotu realizującego powierzone zadania, należy zapoznać się z treścią art. 28 rozporządzenia RODO. O czym mówi ten przepis?
Przede wszystkim podmiotu przetwarzającego nie można wybrać w sposób dowolny. Należy opierać się na usługach firm, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie było zgodne z RODO i chroniło prawa osób, których dane dotyczą.
Najprawdopodobniej przeważająca większość zgłoszeń będzie realizowana cyfrowo, dlatego warto zwrócić, czy podmiot przetwarzający legitymuje się odpowiednim zapleczem sprzętowym oraz certyfikatami. Duże znaczenie ma bezpieczne środowisko chmurowe, silne szyfrowanie danych (np. algorytmem 256-bit AES lub równoważnym), a także uwierzytelnianie wieloskładnikowe po stronie usługodawcy. Kartą przetargową mogą okazać się certyfikaty potwierdzające wdrożenie bezpiecznego zarządzania chmurą (ISO/IEC 27017 oraz ISO/IEC 27018).
Podmiot przetwarzający nie może zawrzeć umowy podpowierzenia w zakresie zarządzania danymi osobowymi bez otrzymania uprzedniej zgody administratora. Sama umowa powierzenia zaś powinna regulować przynajmniej następujące elementy:
-
przetwarzanie danych może odbywać się wyłącznie na udokumentowane polecenie administratora, chyba że obowiązek takiego działania wynika z prawa Unii lub prawa państwa członkowskiego;
-
zobowiązanie osób uprawnionych do przetwarzania danych po stronie procesora do zachowania tajemnicy;
-
wdrożenie technicznych oraz organizacyjnych rozwiązań pozwalających na wyeliminowanie lub przynajmniej minimalizację ryzyka dotyczącego przetwarzania danych (unijny ustawodawca wspomina o szyfrowaniu i pseudonimizacji danych, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich oraz cyklicznym testowaniu, pomiarze i ocenie skuteczności środków bezpieczeństwa – są to jednak wyłącznie działania przykładowe);
-
korzystanie z usług innego podmiotu przetwarzającego (w ramach umowy podpowierzenia) powinno być realizowane w zgodzie z ustaleniami poczynionymi z administratorem;
-
obowiązek podmiotu przetwarzającego do współpracy z administratorem poprzez dostarczanie mu niezbędnych danych, informacji i wsparcia do realizacji ustawowych obowiązków (np. prowadzenia rejestru zgłoszeń sygnalistów);
-
obowiązki podmiotu przetwarzającego po zakończeniu współpracy z administratorem względem przechowywanych danych osobowych. Dane te powinny być zwrócone lub zniszczone w zależności od ustaleń między stronami, chyba że obowiązek ich przechowywania wynika z prawa Unii Europejskiej lub państwa członkowskiego.
Można spodziewać się, że wraz z wejściem w życie przepisów o ochronie sygnalistów na rynku pojawi się wiele firm specjalizujących się w przyjmowaniu i obsłudze zgłoszeń dotyczących naruszeń prawa. Dlatego warto zadbać o sporządzenie umowy powierzenia zabezpieczającej interes przedsiębiorstwa zlecającego zarządzanie zgłoszeniami.
Przepisy RODO a aplikacje do obsługi zgłoszeń sygnalistów
Na rynku pojawiły się już aplikacje przeznaczone do masowej obsługi zgłoszeń sygnalistów, jak chociażby Ethicontrol, SygnaApp.pl, Virtual Compliance Officer czy Whistlelink. We wszystkich tych przypadkach dochodzi w rzeczywistości do zawarcia umowy powierzenia przetwarzania danych między klientem a dostawcą.
Jeśli firma chce zdecydować się na korzystanie z takiej aplikacji, powinna upewnić się, czy program umożliwia wykonywanie osobom, które prawa dotyczą ich uprawnień wynikających z RODO. Trzeba też ustalić, czy dane osobowe są transferowane poza obszar EOG oraz dokładnie zapoznać się z treścią umowy powierzenia. Ma to kluczowe znaczenie dla bezpieczeństwa, ponieważ w przypadku przekazania informacji do państwa trzeciego należy uzyskać gwarancję, że dane nadal są chronione według standardów wyznaczonych przez RODO. Do przydatnych funkcji zapewniających zgodność z unijnym rozporządzeniem można zaliczyć:
-
automatyczne usuwanie danych po upływu okresu retencji;
-
wsparcie klienta w realizacji Data Privacy Impact Assessment;
-
sprzeciw wobec wyboru podwykonawcy świadczenia usługi.
Warto też ustalić, co dzieje się z danymi w razie zmiany dostawcy usługi. Przepisy RODO nakazują, aby podmiot przetwarzający zwrócił je administratorowi albo usunął.
Obsługa zgłoszenia sygnalisty jako proces przetwarzania danych osobowych
W każdej firmie powinna być prowadzona dokumentacja przetwarzania danych osobowych. Wdrażając ustawę o sygnalistach, należy uwzględnić w rejestrze czynności przetwarzania zupełnie nowy proces związany z przyjmowaniem i obsługą zgłoszeń. Konieczne jest też audytowanie tych procesów, pod kątem ewentualnych ryzyk dla firmy oraz przeprowadzenie oceny skutków przetwarzania danych dla ich ochrony. Niezbędna więc okaże się aktualizacja dotychczasowych procedur i dokumentów RODO.
Sygnaliści a RODO. Jak może pomóc Ci nasza Kancelaria?
Kancelaria RPMS oferuje kompleksowe wsparcie w zakresie prawidłowego wdrożenia mechanizmów wymaganych przepisami ustawy o sygnalistach. Nasi specjaliści przeprowadzą audyt wewnętrzny podmiotu prawnego i sporządzą procedurę zgłoszeń wraz ze wzorami upoważnień, pozwalającymi na zgodne z prawem przetwarzanie danych osobowych sygnalistów oraz pozostałych osób objętych przetwarzaniem.
Doradzamy także w zakresie oceny kompetencji podmiotu zewnętrznego realizującego cele wymienione w ustawie i przygotowujemy spersonalizowaną umowę powierzenia obsługi procesów dotyczących whistleblowingu. Dzięki naszej pomocy Twoja firma ma gwarancję, że powierzyła kluczowe obowiązki przedsiębiorcy dającemu rękojmię rzetelnego wykonania obowiązków.
Pomagamy przygotować niezbędne klauzule informacyjne tak, aby administrator mógł spełnić obowiązek zawiadomienia osób o przetwarzaniu ich danych osobowych oraz aktualizujemy firmową dokumentację RODO.
Pytania i odpowiedzi
Stosownie do brzmienia art. 28 ust. 4 ustawy o sygnalistach zawarcie umowy powierzenia nie uchyla odpowiedzialności podmiotu prawnego za dochowanie obowiązków określonych w ustawie, w szczególności dotyczących zachowania poufności, udzielenia informacji zwrotnej oraz podjęcia działań następczych. Oznacza to, że za ewentualne uchybienia podmiotu trzeciego będzie odpowiadał podmiot zobowiązany do stosowania ustawy o sygnalistach. Umowa powierzenia może przewidywać możliwość regresu od przetwarzającego.
W sytuacji, kiedy siedziba podmiotu przetwarzającego znajduje się poza obszarem obowiązywania rozporządzenia RODO, należy upewnić się, że dany podmiot stwarza gwarancje dla danych osobowych na poziomie przynajmniej równoważnym z wymaganiami europejskiego rozporządzenia.
Zgodnie z art. 58 ustawy o sygnalistach zaniechanie ustanowienia procedury lub też stworzenie jej, ale w taki sposób, że nie spełnia swojej funkcji, jest zagrożone karą grzywny. Dodatkowo podmiot prawny naraża się na odpowiedzialność za ujawnienie tożsamości sygnalisty (odpowiedzialność w postaci kary grzywny, ograniczenia wolności albo pozbawienia wolności do 1 roku). W przypadku zaś działań, które prowadzą do przetwarzania danych sygnalisty bez podstawy prawnej, może pojawić się również ryzyko odpowiedzialności na gruncie RODO.
Oczywiście, administrator ma obowiązek poinformować osoby, których dane dotyczą o zasadach przetwarzania tych danych. Dotyczy to nie tylko sygnalisty, ale również osoby, która dopuściła się naruszenia, jak i wszystkich osób mających związek ze sprawą, np. świadków. Nie oznacza to jednak, że trzeba ujawniać źródło, z którego pochodzą te dane (np. od osoby sygnalisty). Zakaz ujawniania nie dotyczy jedynie sytuacji, kiedy zgłoszenie naruszenia było nieprawdziwe i sygnalista o tym wiedział.
Zaufali nam: