Aktualny

Ochrona sygnalistów a RODO – 10 obowiązków administratora w zakresie ochrony danych osobowych

Michał Kowalski

Autor: Michał Kowalski

Dodano: 23 sierpnia 2024
Ochrona sygnalistów a RODO – 10 obowiązków administratora w zakresie ochrony danych osobowych

Mechanizmy stosowane w ramach ochrony sygnalistów wiążą się z nowymi czynności przetwarzania danych osobowych. Aby zapewnić sygnalistom poufność oraz spełnić inne obowiązki w zakresie ochrony ich danych osobowych administrator musi spełnić liczne wymogi przewidziane w przepisach RODO.

Przeprowadzaj analizę ryzyka RODO przed przetwarzaniem danych osobowych sygnalistów

Analiza ryzyka RODO to podstawowy obowiązek każdego administratora danych osobowych. Innymi słowy, to obowiązek ogólnej oceny czy czynności przetwarzania, które ma podejmować administrator lub podmiot przetwarzający generują ryzyko, a jeśli tak to jakie. Analiza taka musi być przeprowadzana w sposób systematyczny, nie jest to bowiem jednorazowa czynność. Co istotne, analiza ta powinna poprzedzać rozpoczęcie nowych czynności przetwarzania danych, co dotyczy także czynności wiążących się z ochroną sygnalistów. Analiza ryzyka poprzedzająca wdrożenie ochrony sygnalistów powinna dotyczyć przetwarzania danych osobowych sygnalistów (osób zgłaszających naruszenia prawa), ale też innych osób np. osób ujawnionych w zgłoszeniach naruszeń, osób obsługujących zgłoszenia.

Ogólną analizę ryzyka RODO obejmującą przetwarzanie danych osobowych w ramach ochrony sygnalistów powinien przeprowadzić każdy administrator i podmiot przetwarzający. Obowiązek zapewnienia ochrony sygnalistów spoczywa bowiem na każdym podmiocie prawnym, w którym taki sygnalista zgłosi naruszenie prawa (niezależnie od liczby zatrudnionych).

Przeprowadź ocenę skutków dla ochrony danych osobowych w związku z obsługą zgłoszeń sygnalistów

Sama ogólna analiza ryzyka RODO w przypadku ochrony sygnalistów może jednak okazać się niewystarczająca. Przypomnijmy w tym miejscu, że na podmiotach prawnych, w których pracę zarobkową wykonuje co najmniej 50 osób według stanu na dzień 1 stycznia i 1 lipca spoczywa obowiązek wprowadzenia do dnia 25 września 2024 r. procedury zgłoszeń wewnętrznych. Podmioty muszą więc nie tylko zapewnić ochronę sygnalistów, ale też wdrożyć rozwiązania zapewniające przyjęcie i reakcję na zgłoszenia naruszenia prawa. W większości przypadków podmioty takie będą musiały przeprowadzić ocenę skutków dla ochrony danych czyli DPIA.

Na administratorach danych osobowych ciąży obowiązek przeprowadzenia DPIA czyli oceny skutków dla ochrony danych, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Jak wskazał Prezes Urzędu Ochrony Danych Osobowych w wykazie rodzajów operacji wymagających przeprowadzenia oceny skutków przetwarzania dla ich ochrony, DPIA jest wymagana w przypadku wdrożenia systemów służących do zgłaszania nieprawidłowości (whistleblowing).

Uwaga

Oznacza to, że jeśli administrator będzie korzystał z takiego systemu, to musi on najpierw przeprowadzić DPIA obejmującą przetwarzanie danych osobowych w ramach obsługi zgłoszeń naruszenia prawa. Pobierz przykładowy raport z oceny skutków. Przeczytaj także:

Wdrażaj środki bezpieczeństwa danych - zapewnij ochronę poufności

Analiza ryzyka RODO i DPIA powinny dostarczyć odpowiedzi na pytanie, jakie środki bezpieczeństwa danych osobowych sygnalistów i innych osób musi wdrożyć administrator. Dobór środków powinien uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Środki te należy w razie potrzeby poddawać przeglądom i uaktualniać, w oparciu o rezultaty systematycznie przeprowadzanej analizy ryzyka.

Uwaga

Będą to nie tylko środki techniczne czy prawne ale też organizacyjne jak np. przeprowadzenie szkoleń dla pracowników i współpracowników organizacji, którzy mają brać udział w obsłudze zgłoszeń naruszenia prawa.

Przeprowadzenie takich szkoleń to jedno z zadań inspektora ochrony danych. Natomiast zaangażowanie IOD do procesu obsługi zgłoszeń może prowadzić do konfliktu interesów – więcej na ten temat w artykule: Ochrona sygnalistów a RODO - czy IOD może obsługiwać zgłoszenia naruszeń prawa.

Uwaga

Wdrożone środki bezpieczeństwa danych mają:

  • uniemożliwić nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem,

  • zapewnić ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu.

Stosuj zasadę privacy by design w ramach obsługi zgłoszeń

Organizując proces przyjmowania i reakcji na zgłoszenia naruszenia prawa i regulując go w procedurze zgłoszeń wewnętrznych, administrator musi uwzględniać podstawową zasadę ochrony danych w fazie projektowania (privacy by design). Zgodnie z tą regułą administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania wdraża odpowiednie środki techniczne i organizacyjne zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

Uwaga

Jak w praktyce stosować zasadę privacy by design? Odpowiedź w artykule: Zasada privacy by design – jakie obowiązki oznacza dla administratorów danych

Usuwaj nadmiarowe dane osobowe

Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia naruszenia prawa, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy. Z tego względu administrator musi uwzględnić zasady:

  • minimalizacji, zgodnie z którą dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,

  • domyślnej ochrony danych (privacy by default), w świetle której należy wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Uwaga

Rolą ADO jest uregulowanie sprawnego procesu usuwania nadmiarowych danych osobowych. Pomóc w tym może wzór regulaminu postępowania z niechcianymi danymi osobowymi w organizacji. 

Uwzględnij okresy przechowywania danych sygnalistów

Ustawa o sygnalistach precyzuje okres przechowywania danych osobowych sygnalistów i innych osób, których dotyczy zgłoszenie. Dane te przechowuje się przez okres 3 lat:

  • po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych, lub

  • po zakończeniu postępowań zainicjowanych tymi działaniami.

Dotyczy to także danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych. Po upływie tych terminów dane te należy niezwłocznie usunąć

Uwaga

Wskazane okresy przechowywania danych należy uwzględnić w polityce retencji lub w innym dokumencie, w którym administrator uregulował zasady przechowywania danych osobowych.

Przygotuj klauzule informacyjne RODO w związku z ochroną sygnalistów

Administrator musi spełnić obowiązek informacyjny RODO wobec:

  • sygnalistów,

  • osób, których dotyczy zgłoszenie,

  • osób trzecich, których dane osobowe ujawniono w zgłoszeniu.

Należy tu pamiętać o pewnych ograniczeniach przewidzianych w nowych przepisach o ochronie sygnalistów. Klauzula informacyjna sporządzana dla osób innych niż sygnalista na podstawie art. 14 RODO nie może zawierać informacji o źródle pochodzenia danych osobowych czyli o samym sygnaliście. Innymi słowy, nie wolno ujawniać tym osobom danych osobowych sygnalisty w klauzuli informacyjnej. Wyjątkiem jest sytuacja, w której:

  • sygnalista nie spełnia wymogów objęcia go ochroną (zob. art. 6 ustawy o ochronie sygnalistów), lub

  • wyraźnie zgodził się on na ujawnienie swojej tożsamości.

Analogiczne ograniczenie dotyczy informacji przekazywanej na żądanie podmiotu danych, o której mowa w art. 15 RODO.

Przekazując klauzulę informacyjną sygnaliście, najlepiej skorzystać z kanału zgłoszeń, za pomocą którego sygnalista zgłasza naruszenie prawa. Należy przy tym pamiętać, że informacja powinna być przekazana już podczas pozyskiwania danych osobowych sygnalisty

Przykład

Zgłoszenia naruszenia prawa w organizacji dokonywane są za pomocą dedykowanej aplikacji. W takim przypadku należy zapewnić możliwość łatwego zapoznania się z klauzulą informacyjną już w panelu przeznaczonym na dokonanie zgłoszenia. Z uwagi na regułę rozliczalności właściwym rozwiązaniem jest mechanizm potwierdzania zapoznania się z informacją (np. checkbox).

Zaktualizuj upoważnienia do przetwarzania danych osobowych

Kompetencje w zakresie przyjmowania zgłoszeń naruszenia prawa i podejmowania działań następczych mogą być delegowane na pracowników lub innych członków personelu organizacji. To zaś wymaga aktualizacji zakresu upoważnień do przetwarzania danych osobowych. Upoważnienia te muszą mieć formę pisemną.

Nie zapominaj o powierzeniu przetwarzania danych

Przyjmowanie zgłoszeń można też zlecić zewnętrznemu podmiotowi np. w ramach korzystania z dedykowanej do tego aplikacji. W takim przypadku, jeśli zewnętrzny podmiot będzie miał dostęp do danych osobowych sygnalistów i osób trzecich, konieczne jest:

Uwaga

Podmiot przetwarzający musi być poddany uprzedniej weryfikacji. Więcej na ten temat w artykule: Kara za brak umowy powierzenia i niesprawdzenie procesora

Zaktualizuj rejestr czynności przetwarzania danych

Jak już wskazano, ochrona sygnalistów wiąże się z nowymi czynnościami przetwarzania danych. Czynności te należy uwzględnić w zaktualizowanym rejestrze czynności przetwarzania danych.

W praktyce w rejestrze należy ująć następujące czynności:

  • ochrona sygnalistów,

  • przyjmowanie zgłoszeń naruszenia prawa i podejmowania działań następczych.

Uwaga

Kim jest sygnalista? W jakich przypadkach podlega ochronie? Jakie obowiązki przewiduje nowa ustawa o ochronie sygnalistów? Jak prowadzić dokumentację związaną z ochroną sygnalistów? Tego dowiesz się z artykułu: Ustawa o ochronie sygnalistów - obowiązki administratorów danych osobowych

Michał Kowalski

Autor: Michał Kowalski

Radca prawny, specjalista z zakresu prawa pracy i ubezpieczeń społecznych oraz prawa oświatowego, redaktor licznych publikacji

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x