Dyrektywa o sygnalistach a RODO

Analizując nowe obowiązki pracodawców wynikające z dyrektywy o sygnalistach oraz projektu ustawy o sygnalistach, nie można zapomnieć o RODO i przetwarzaniu danych osobowych w związku ze zgłoszeniem naruszenia, bowiem pracodawca jest administratorem danych zgromadzonych w rejestrze zgłoszeń wewnętrznych, a sygnalista – podmiotem danych.

Z TEKSTU DOWIESZ SIĘ M.IN.:

• Kim są sygnaliści.
• Jakim nowym obowiązkom będą musieli sprostać – o raz którzy – pracodawcy już od 17 grudnia 2021 roku (ewentualnie od 17 grudnia 2023 roku).
• Jaka jest podstawa prawna przetwarzania danych osobowych w związku ze zgłoszeniem naruszenia.
• Jak chronić dane osobowe sygnalisty.

Dyrektywa o sygnalistach (tj. Dyrektywa Parlamentu Europejskiego i Rady 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii), wejdzie w życie 17 grudnia 2021 roku. To oznacza, że za ok. miesiąc wybrane podmioty będą musiały sprostać nowym obowiązkom. Jakim?

• Ustanowienia wewnętrznych procedur zgłaszania naruszeń (także w zakresie ich ewidencji i podejmowania działań następczych)
• oraz ochrony sygnalistów.

Kogo dokładnie obejmą nowe przepisy? Od 17 grudnia br. będą musiały się do nich dostosować podmioty:

• zatrudniające co najmniej 50 osób w sektorze publicznym,
• zatrudniające co najmniej 250 osób w sektorze prywatnym,
• wykonujące działalność w zakresie:
  • usług, produktów i rynków finansowych
  • oraz zapobieganiu praniu pieniędzy i finansowaniu terroryzmu,
  • a także bezpieczeństwa transportu
  • i ochrony środowiska.

W przypadku podmiotów z sektora prywatnego, zatrudniających od 50 do 249 pracowników, wejście w życie regulacji dotyczących sygnalistów zostało opóźnione o dwa lata, tj. będą obowiązały od 17 grudnia 2023 roku.

Podstawą nowego obowiązku będzie dyrektywa o sygnalistach oraz implementująca ją ustawa o ochronie osób zgłaszających naruszenia prawa, której projekt został już opublikowany w Rządowym Centrum Legislacji (tutaj można się zapoznać z tym dokumentem >>).

Sprawdź Ochrona danych osobowych (RODO) Grant Thornton

Sygnalista, czyli kto?

Na gruncie projektu omawianej ustawy sygnalistą jest każda osoba zgłaszająca lub ujawniająca publicznie informacje na temat naruszeń, które uzyskała w związku z wykonywaną przez siebie pracą (bez względu na to, czy pracuje w sektorze publicznym czy prywatnym).

Projekt ustawy wymienia (choć nie jest to katalog zamknięty) podmioty, które będą uznane za sygnalistów, czyli uprawnionych do przekazywania zgłoszeń. Są nimi:

• pracownicy – także w przypadku, gdy stosunek pracy ustał – oraz osoby ubiegające się o zatrudnienie,
• osoby świadczące pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej,
• przedsiębiorcy,
• akcjonariusze lub wspólnicy oraz osoby będące członkami osoby prawnej,
• osoby świadczące pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej,
• wolontariusze i stażyści;
• a także osoby pomagające w dokonaniu zgłoszenia.

Zatem sygnaliści to krąg osób, od których pracodawca może otrzymać dane osobowe, oraz które będzie musiał przetwarzać w związku ze zgłoszeniem naruszenia, jest szeroki.

Ochrona sygnalistów – jakie będą nowe zadania pracodawców?

Rządowy projekt dotyczący ochrony sygnalistów zakłada, że od 17 grudnia 2021/2023 roku pracodawcy będą zobowiązani do:

• ustalenia regulaminu zgłoszeń wewnętrznych, który wejdzie w życie po upływie 2 tygodni od dnia podania go do wiadomości pracowników w sposób przyjęty u danego pracodawcy;
• zapoznania nowych pracowników z treścią regulaminu zgłoszeń wewnętrznych przed dopuszczeniem ich do pracy;
• utworzenia i prowadzenia kanałów dokonywania zgłoszeń (kanały zgłoszeń powinny umożliwiać dokonywanie ich: na piśmie oraz przekazywanie zgłoszeń drogą pocztową, za pośrednictwem fizycznych skrzynek na skargi lub na platformie online, intra- lub internetowej, bądź dokonywanie zgłoszeń ustnie, za pośrednictwem gorącej linii lub innego systemu komunikacji głosowej);
• prowadzenia rejestru zgłoszeń wewnętrznych, w ramach którego pracodawca będzie gromadził dane, w tym dane osobowe, przez okres 5 lat od dnia przyjęcia zgłoszenia.

Każdy, kto wbrew przepisom polskiej ustawy nie ustanowi wewnętrznej procedury zgłaszania naruszeń prawa i nie podejmie działań następczych albo ustanowi procedurę, która narusza prawo, będzie ukarany grzywną, karą ograniczenia wolności albo karze pozbawienia wolności do lat 3.

Zakres przetwarzanych danych sygnalisty i podstawa przetwarzania

W ramach kanałów, za pośrednictwem których sygnaliści będą dokonywać zgłoszeń, przetwarzaniu mogą zostać poddane dane osobowe sygnalisty i osoby trzeciej, takie jak imię, nazwisko czy dane kontaktowe, ale także – na co warto zwrócić uwagę – szereg informacji, które zostaną wytworzone w trakcie przetwarzania, jak i informacje, które mają związek z daną osobą. Z uwagi na konieczność zapewnienia sygnaliście odpowiedniej ochrony, jego dane osobowe oraz inne dane umożliwiające jego identyfikację nie będą udostępniane, chyba że sygnalista wyrazi na to zgodę.

Pracodawca, który otrzyma zgłoszenie, będzie uprawniony do zbierania i przetwarzania danych osobowych zgłaszającego. Podstawę takiego przetwarzania stanowić będzie art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie danych osobowych jest zgodne z prawem, jeśli jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązek ten będzie wynikał wprost z ustawy o sygnalistach.

Istotnym aspektem ochrony danych osobowych w kontekście ustawy o sygnalistach pozostają także prawa osób, których dane dotyczą. Z uwagi bowiem na specyfikę i zakres przedmiotowy ustawy, realizacja niektórych z praw podmiotów danych może powodować nieefektywność mechanizmów w niej przewidzianych. W szczególności dotyczy to prawa do informacji o przetwarzaniu danych osobowych – realizacja obowiązku administratora do przekazania tej informacji osób ujętych w zgłoszeniu, może wiązać się z ujawnieniem źródła zgłoszenia, w tym tożsamości samego sygnalisty. Powyższe implikuje konieczność ograniczenia prawa do informacji o przetwarzaniu danych, a to celem zapewnienia efektywności stosowania przepisów ustawy i zapewnieniu odpowiedniej ochrony osobie zgłaszającej. W przypadku obowiązku informacyjnego względem osoby, której dotyczy zgłoszenie – jak wynika z projektu ustawy – wykluczone zostało podanie źródła danych.

Zasada privacy by design przy planowaniu ochrony danych osobowych

Podczas dostosowania organizacji przez pracodawcę do wymogów ustawowych należy mieć na uwadze zasadę privacy by design, o której mowa w art. 25 RODO i analizę ryzyka wdrażanych rozwiązań. Wspomniana zasada ma zagwarantować, że funkcjonowanie systemu zgłaszania naruszeń będzie stworzone tak, aby domyślnie chronić dane osobowe.

Wobec powyższego kanały zgłoszeń muszą być zaprojektowane i obsługiwane w bezpieczny sposób oraz zapewniać ochronę poufności tożsamości – zarówno osoby dokonującej zgłoszenia, jak i osoby trzeciej wymienionej w zgłoszeniu, uniemożliwiając uzyskanie do nich dostępu nieupoważnionym członkom personelu.

Ochrona poufności i danych osobowych dotyczy informacji, na podstawie których można pośrednio lub bezpośrednio zidentyfikować tożsamość osób, o czym wspomina projekt ustawy. Poza tym zagwarantowanie skutecznej ochrony ma na celu wykluczenie ewentualnych działań odwetowych oraz niekorzystnych skutków wynikających ze zgłoszenia nieprawidłowości.

Więcej na ten temat Przeczytacie Państwo na stronie: https://grantthornton.pl/