Sygnaliści a ochrona danych osobowych
Przyjmowaniem i weryfikacją zgłoszeń wewnętrznych od sygnalistów powinny zajmować się wyłącznie osoby upoważnione do tego na podstawie przyjętej w firmie procedury. Z upoważnienia powinno jasno wynikać, do czego upoważnione są wskazane osoby, jakie działania mogą podjąć, czy mogą przekazywać dalej informacje zawarte w zgłoszeniu sygnalisty, czy mogą się kontaktować z sygnalistą i pozyskiwać od niego dodatkowe informacje.
sygnalista sygnalisci prawo
Sygnaliści w firmie. Przewodnik dla pracodawcy >>>
Sygnaliści a RODO – jakie dane mogą być przetwarzane w systemie zgłoszeń >>>
Państwowa Inspekcja Pracy opublikowała podsumowanie i wnioski z wykładu dr Dominiki Dörre-Kolasy z Katedry Prawa Pracy i Polityki Społecznej Uniwersytetu Jagiellońskiego, wygłoszonego w ramach webinaru Państwowej Inspekcji Pracy „Sygnaliści – czy jesteśmy gotowi?”.
Procedura zgłoszeń wewnętrznych a przetwarzanie danych
Procedura zgłoszeń wewnętrznych jest dokumentem, który odzwierciedla między innymi procesy przetwarzania danych. Tworząc taką procedurę dla organizacji, należy na nią spojrzeć przez pryzmat owych procesów. Uproszczony schemat tych procesów prezentuje się następująco:
- zgłoszenie sygnalisty;
- przyjęcie zgłoszenia;
- działania następcze: weryfikacja zgłoszenia, komunikacja z sygnalistą;
- działania następcze: wewnętrzne postępowanie wyjaśniające;
- ustalenia, wnioski, raport końcowy, informacja zwrotna dla sygnalisty.
Ustawa narzuca „obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie”. Należy odróżnić potwierdzenie, że zgłoszenie zostało otrzymane, od potwierdzenia przyjęcia tego zgłoszenia. Możemy bowiem mieć do czynienia z automatyczną odbitką po wysłaniu zgłoszenia przez aplikację czy maila nawet bez zapoznania się przez kogokolwiek z jego treścią. Może to być potwierdzenie przyjęcia zgłoszenia, które jest poprzedzone sprawdzeniem zgłoszenia pod kątem spełnienia warunków formalnych. Niezależnie jednak od tego, z którą formą mamy do czynienia, nie jest to nic innego, jak procesy przetwarzania danych. I właśnie te procesy muszą być odpowiednio zaprojektowane i zabezpieczone. Osoby dokonujące czynności przetwarzania danych w ramach tego procesu muszą być odpowiednio dobrane i wyselekcjonowane z uwzględnieniem ich przygotowania merytorycznego i predyspozycji, zwłaszcza że mogą to być te same osoby, które będą podejmować działania następcze.
Artykuł 27 ustęp 2 ustawy o ochronie danych osobowych stanowi, że do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ustępie 1 tego przepisu, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.
Z upoważnienia powinno jasno wynikać, do czego upoważnione są wskazane osoby, czyli do jakich procesów są upoważnione, jakie działania mogą podjąć, czy mogą przekazywać dalej informacje zawarte w zgłoszeniu sygnalisty, czy mogą się kontaktować z sygnalistą i pozyskiwać od niego dodatkowe informacje.
Bardzo istotne jest to, że upoważnienia nadajemy wyłącznie tym osobom, których udział w procesie przyjmowania zgłoszeń i podejmowania działań następczych wynika z procedury, a nie wszystkim tym, którzy mogą na jakimś etapie podejmować jakieś czynności pomocnicze, np. pracownik służb ochrony dostarczający nagrania z monitoringu czy pracownik działu kadr sprawdzający na polecenie zespołu obecność poszczególnych osób w pracy w danych dniach. Oczywiście najlepiej byłoby, aby osoby wytypowane do działań następczych miały możliwość pozyskania jak największej liczby potrzebnych informacji we własnym zakresie, ale wiadomo, że nie zawsze będzie to możliwe - podkreśla ekspertka.
Zasady przetwarzania danych osobowych
Co do przetwarzania danych to z zapisów ustawy wprost wynika, że podmiot prawny opracowujący i wdrażający procedurę zgłoszeń wewnętrznych jest też administratorem danych osobowych. To on decyduje o sposobie przetwarzania tych danych, o sposobie ich zabezpieczenia. Ten podmiot prawny wyłania też osoby, którym udziela pisemnych upoważnień do przyjmowania zgłoszeń, podejmowania działań następczych, a w konsekwencji upoważnia do przetwarzania danych osobowych.
Kilka ważnych zasad przetwarzania danych osobowych:
- Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane.
- Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
- Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.
- Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.
Ustawa jednoznacznie ustala również „maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nieprzekraczający 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego”. Co nie oznacza, że w tym terminie sygnalista ma otrzymać już informację końcową wraz z ewentualnymi wnioskami. Jeżeli sprawa zgłoszenia nie została jeszcze zakończona, należy poinformować, jakie działania już udało się podjąć, jakich jeszcze nie, a jakie są planowane w najbliższej przyszłości. W konsekwencji jest to informacja o przesunięciu w czasie ostatecznego rozstrzygnięcia.
Bardzo często pojawiają się pytania i wątpliwości, czy po zakończeniu sprawy musi powstać raport końcowy. Otóż nie musi. To mogą być rekomendacje, to może być protokół ustaleń, to mogą być wnioski. Ich nazwa i forma zależą od tego, co zostało zapisane w procedurze zgłoszeń wewnętrznych. To wszystko powinno być zapisane w procedurze w sposób, jasny, czytelny i zrozumiały dla osób fizycznych - wyjaśnia ekspertka.
Usuwanie danych osobowych
„Podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy” (art. 8 ust. 4 ustawy o ochronie sygnalistów).
Należy zwrócić uwagę, że ani z tego przepisu, ani z jakiegokolwiek innego w ustawie nie wynika obowiązek usuwania tak zwanych danych nadmiarowych. W ustawie jest jedynie mowa o usuwaniu danych, które nie mają znaczenia, które zostały zebrane przypadkowo, a nie mają związku ze sprawą.
Dr Dominika Dörre-Kolasa stoi na stanowisku, że z samego zgłoszenia sygnalisty, niezależnie od tego, w jakiej formie będzie ono złożone, nie należy usuwać niczego, gdyż stanowi ono integralną całość. Natomiast na dalszym etapie przetwarzania danych nie należy gromadzić i przetwarzać ewentualnych załączników, których treść jednoznacznie nie ma związku ze sprawą. Dane przypadkowe, zebrane w toku sprawy, są usuwane w terminie 14 dni.
Inaczej sprawa ma się z danymi nadmiarowymi. To nie są dane przypadkowe, ale na przykład przytoczenie opisów kolejnych faktów, które mają wzmocnić uwiarygodnienie tez sygnalisty, wykazanie tych „uzasadnionych podstaw” wówczas, gdy nie są potrzebne, ponieważ prawdziwość informacji została już wykazana w dostateczny sposób.
Czyje dane w ramach procedury zgłoszeń wewnętrznych podlegają ochronie
"Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty” (art. 8 ust. 1 ustawy o ochronie sygnalistów).
Czyli w sposób oczywisty chronione są dane osobowe sygnalisty, ale też wszelkich innych osób, których dane są przetwarzane w związku ze stosowaniem ustawy o ochronie sygnalistów. Wynika to jednoznacznie z rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (…), czyli RODO.
W tym rozporządzeniu znajduje się też definicja danych osobowych. W artykule 4 punkt 1 znajduje się zapis: „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Jak zaznacza ekspertka, należy też dobrze rozumieć sformułowanie dotyczące ujawnienia danych osobowych „za wyraźną zgodą sygnalisty”. Nie jest ono bowiem jednoznaczne z ich upublicznieniem, ale ze zgodą na ich wykorzystanie, gdy zachodzi, dajmy na to, konieczność pozyskania dodatkowych informacji od osoby, która jest osobą upoważnioną do przyjmowania zgłoszeń bądź podejmowania działań następczych.
Nie koniec na tym, bowiem ustawodawca w artykule 27 ustawy o ochronie sygnalistów również jednoznacznie rozszerzył ochronę poufności zgłoszeń i zawartych w nich danych, gdyż punkt 1 tego artykułu stanowi: „Podmiot prawny gwarantuje, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób”. Ochrona poufności dotyczy w ogóle informacji, na podstawie których można zidentyfikować tożsamość osób. I tu ustawodawca poszerza zakres ochrony tożsamości również na inne osoby.
Obowiązek informacyjny wobec osoby, której dotyczy zgłoszenie
Taki obowiązek istnieje, oczywiście bez podawania źródła zgłoszenia, ale RODO w artykule 14 pozostawia też pewną furtkę. W ust. 5 jest bowiem zapis, że można nie realizować tego obowiązku, jeżeli by to poważnie utrudniło lub uniemożliwiło realizację celów przetwarzania danych. RODO daje także osobie, której dane dotyczą, uprawnienie do uzyskania kopii danych podlegających przetwarzaniu. I tu także istnieje możliwość nierealizowania tego obowiązku, ponieważ z RODO wprost wynika, że prawo do uzyskania kopii „nie może niekorzystnie wpływać na prawa i wolności innych osób”.
Ustawodawca przewidział możliwość w przedmiotowej sprawie powierzenia przyjmowania zgłoszeń sygnalistów podmiotowi zewnętrznemu. Reguluje to artykuł 28 ustawy o ochronie sygnalistów: „Upoważnienie podmiotu zewnętrznego, o którym mowa w art. 25 ust. 1 pkt 1, wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą”.
W związku z tym pojawia sprawa najważniejsza, czyli wstępna ocena danego podmiotu. Należy sprawdzić, czy wytypowany podmiot gwarantuje nam bezpieczeństwo w myśl rozumienia ustawy. Dopiero, gdy podmiot potwierdzi swoją wiarygodność, należy zawrzeć z nim klarowną umowę na konkretne, wymienione zadania. I tu nie chodzi o to, aby przepisać postanowienia wynikające z RODO, ale szczegółowo określić termin obowiązywania umowy, jej charakter, rodzaj gromadzonych danych, sposób przetwarzania, czyli – mówiąc wprost – należy opisać, co ten podmiot ma zrobić z konkretnym zgłoszeniem. Dla przykładu: czy z automatu ma je przekazać do konkretnej komórki, czy przeprowadzić wstępną lub pogłębioną weryfikację, jakie czynności powinny być następnie podjęte, jak długo dane mają być przez ten podmiot przechowywane.
Zagrożenia wynikające z różnych sposobów przyjmowania zgłoszeń, którym trzeba przeciwdziałać:
- dostęp do skrzynki e-mail nieuprawnionych osób;
- zapoznanie się z korespondencją i danymi sygnalisty przez osobę nieuprawnioną (np. pracownika sekretariatu);
- zbyt szeroki krąg osób upoważnionych/upoważnienie osób niewłaściwych;
- pozostawienie dokumentów/dowodów w niewłaściwym miejscu;
- ujawnienie danych sygnalisty np. podczas przesłuchania świadka.
Źródło: Państwowa Inspekcja Pracy
Opracowanie: Katarzyna Bogucka