Sygnaliści a RODO – jakie dane mogą być przetwarzane w systemie zgłoszeń

Zasady przetwarzania danych sygnalisty określa art. 8 ustawy z 14 czerwca 2024 r. o ochronie sygnalistów (dalej: ustawa o ochronie sygnalistów). Przepis ten nie reguluje jednak wszystkich kwestii, dlatego należy również stosować zapisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).

Ochrona poufności i danych osobowych

Proces przyjmowania i weryfikacji zgłoszeń przekazywanych przez sygnalistów, co do zasady, wiąże się z przetwarzaniem danych osobowych (tzw. procedura zgłoszeń wewnętrznych). Chodzi tutaj zarówno o dane osobowe sygnalisty, jak i osoby, której zgłoszenie dotyczy, a także ewentualnych świadków, tj. osób trzecich wskazanych w zgłoszeniu. Wobec powyższego, kanały zgłoszeń muszą być zaprojektowane i obsługiwane w bezpieczny sposób oraz zapewniać ochronę poufności tożsamości – zarówno osoby dokonującej zgłoszenia, jak i osoby trzeciej wymienionej w zgłoszeniu – uniemożliwiając uzyskanie do nich dostępu nieupoważnionym członkom personelu. Ochrona poufności i danych osobowych dotyczy informacji, na podstawie których można pośrednio lub bezpośrednio zidentyfikować tożsamość osób. Poza tym zagwarantowanie skutecznej ochrony ma na celu wykluczenie ewentualnych działań odwetowych oraz niekorzystnych skutków wynikających ze zgłoszenia nieprawidłowości.