Ochrona sygnalistów a RODO – 10 obowiązków administratora w zakresie ochrony danych osobowych

Analiza ryzyka RODO to podstawowy obowiązek każdego administratora danych osobowych. Innymi słowy, to obowiązek ogólnej oceny czy czynności przetwarzania, które ma podejmować administrator lub podmiot przetwarzający generują ryzyko, a jeśli tak to jakie. Analiza taka musi być przeprowadzana w sposób systematyczny, nie jest to bowiem jednorazowa czynność. Co istotne, analiza ta powinna poprzedzać rozpoczęcie nowych czynności przetwarzania danych, co dotyczy także czynności wiążących się z ochroną sygnalistów. Analiza ryzyka poprzedzająca wdrożenie ochrony sygnalistów powinna dotyczyć przetwarzania danych osobowych sygnalistów (osób zgłaszających naruszenia prawa), ale też innych osób np. osób ujawnionych w zgłoszeniach naruszeń, osób obsługujących zgłoszenia.

Ogólną analizę ryzyka RODO obejmującą przetwarzanie danych osobowych w ramach ochrony sygnalistów powinien przeprowadzić każdy administrator i podmiot przetwarzający. Obowiązek zapewnienia ochrony sygnalistów spoczywa bowiem na każdym podmiocie prawnym, w którym taki sygnalista zgłosi naruszenie prawa (niezależnie od liczby zatrudnionych).

Sama ogólna analiza ryzyka RODO w przypadku ochrony sygnalistów może jednak okazać się niewystarczająca. Przypomnijmy w tym miejscu, że na podmiotach prawnych, w których pracę zarobkową wykonuje co najmniej 50 osób według stanu na dzień 1 stycznia i 1 lipca spoczywa obowiązek wprowadzenia do dnia 25 września 2024 r. procedury zgłoszeń wewnętrznych. Podmioty muszą więc nie tylko zapewnić ochronę sygnalistów, ale też wdrożyć rozwiązania zapewniające przyjęcie i reakcję na zgłoszenia naruszenia prawa. W większości przypadków podmioty takie będą musiały przeprowadzić ocenę skutków dla ochrony danych czyli DPIA.

Na administratorach danych osobowych ciąży obowiązek przeprowadzenia DPIA czyli oceny skutków dla ochrony danych, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Jak wskazał Prezes Urzędu Ochrony Danych Osobowych w wykazie rodzajów operacji wymagających przeprowadzenia oceny skutków przetwarzania dla ich ochrony, DPIA jest wymagana w przypadku wdrożenia systemów służących do zgłaszania nieprawidłowości (whistleblowing).

Analiza ryzyka RODO i DPIA powinny dostarczyć odpowiedzi na pytanie, jakie środki bezpieczeństwa danych osobowych sygnalistów i innych osób musi wdrożyć administrator. Dobór środków powinien uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Środki te należy w razie potrzeby poddawać przeglądom i uaktualniać, w oparciu o rezultaty systematycznie przeprowadzanej analizy ryzyka.

Przeprowadzenie takich szkoleń to jedno z zadań inspektora ochrony danych. Natomiast zaangażowanie IOD do procesu obsługi zgłoszeń może prowadzić do konfliktu interesów – więcej na ten temat w artykule: Ochrona sygnalistów a RODO - czy IOD może obsługiwać zgłoszenia naruszeń prawa.

Organizując proces przyjmowania i reakcji na zgłoszenia naruszenia prawa i regulując go w procedurze zgłoszeń wewnętrznych, administrator musi uwzględniać podstawową zasadę ochrony danych w fazie projektowania (privacy by design). Zgodnie z tą regułą administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia naruszenia prawa, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy. Z tego względu administrator musi uwzględnić zasady:

• minimalizacji, zgodnie z którą dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

• domyślnej ochrony danych (privacy by default), w świetle której należy wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Ustawa o sygnalistach precyzuje okres przechowywania danych osobowych sygnalistów i innych osób, których dotyczy zgłoszenie. Dane te przechowuje się przez okres 3 lat:

• po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych, lub

• po zakończeniu postępowań zainicjowanych tymi działaniami.

Dotyczy to także danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych. Po upływie tych terminów dane te należy niezwłocznie usunąć

Administrator musi spełnić obowiązek informacyjny RODO wobec:

• sygnalistów,

• osób, których dotyczy zgłoszenie,

• osób trzecich, których dane osobowe ujawniono w zgłoszeniu.

Należy tu pamiętać o pewnych ograniczeniach przewidzianych w nowych przepisach o ochronie sygnalistów. Klauzula informacyjna sporządzana dla osób innych niż sygnalista na podstawie art. 14 RODO nie może zawierać informacji o źródle pochodzenia danych osobowych czyli o samym sygnaliście. Innymi słowy, nie wolno ujawniać tym osobom danych osobowych sygnalisty w klauzuli informacyjnej. Wyjątkiem jest sytuacja, w której:

• sygnalista nie spełnia wymogów objęcia go ochroną (zob. art. 6 ustawy o ochronie sygnalistów), lub

• wyraźnie zgodził się on na ujawnienie swojej tożsamości.

Analogiczne ograniczenie dotyczy informacji przekazywanej na żądanie podmiotu danych, o której mowa w art. 15 RODO.

Przekazując klauzulę informacyjną sygnaliście, najlepiej skorzystać z kanału zgłoszeń, za pomocą którego sygnalista zgłasza naruszenie prawa. Należy przy tym pamiętać, że informacja powinna być przekazana już podczas pozyskiwania danych osobowych sygnalisty

Kompetencje w zakresie przyjmowania zgłoszeń naruszenia prawa i podejmowania działań następczych mogą być delegowane na pracowników lub innych członków personelu organizacji. To zaś wymaga aktualizacji zakresu upoważnień do przetwarzania danych osobowych. Upoważnienia te muszą mieć formę pisemną.

Przyjmowanie zgłoszeń można też zlecić zewnętrznemu podmiotowi np. w ramach korzystania z dedykowanej do tego aplikacji. W takim przypadku, jeśli zewnętrzny podmiot będzie miał dostęp do danych osobowych sygnalistów i osób trzecich, konieczne jest:

• zawarcie z nim umowy powierzenia przetwarzania danych osobowych,

• wprowadzenie postanowień dotyczących powierzenia przetwarzania danych w zawartej z tym podmiotem umowie o świadczenia usług.

Jak już wskazano, ochrona sygnalistów wiąże się z nowymi czynnościami przetwarzania danych. Czynności te należy uwzględnić w zaktualizowanym rejestrze czynności przetwarzania danych.

W praktyce w rejestrze należy ująć następujące czynności:

• ochrona sygnalistów,

• przyjmowanie zgłoszeń naruszenia prawa i podejmowania działań następczych.

Sprawdź, jak prowadzić rejestr czynności przetwarzania danych.