Wprowadzenie do ustawy o ochronie sygnalistów
W dniu 25 września 2024 roku weszła w życie nowa Ustawa dotycząca ochrony sygnalistów, która implementuje unijną dyrektywę 2019/1937 z dnia 23 października 2019 r. Dyrektywa ta ma na celu zapewnienie ochrony osobom zgłaszającym naruszenia prawa Unii.
Przetwarzanie danych osobowych sygnalistów oraz innych osób zaangażowanych w proces zgłaszania naruszeń powinno odbywać się w pełnej zgodności z przepisami RODO (Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 – dalej Rozporządzenie RODO). Dyrektywa nakłada obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, które zapewnią ochronę danych na każdym etapie procesu, począwszy od ich pozyskania, aż po usunięcie.
Ochrona danych osobowych zgodnie z zasadą „data protection by design”
Regulacja prawna regulująca kwestię sygnalistów nakłada na administratorów danych obowiązek stosowania zasady „data protection by design”, co oznacza, że ochrona danych osobowych musi być uwzględniana już na etapie projektowania procesów związanych z obsługą zgłoszeń sygnalistów. Zasada ta dotyczy każdego etapu przetwarzania danych – od ich pozyskania aż po usunięcie.
Co to oznacza w praktyce? Administrator musi zapewnić bezpieczeństwo danych osobowych zgłaszanych przez sygnalistów, w tym ich poufność oraz integralność. Kluczowym elementem jest przeprowadzenie analizy ryzyka, która pozwoli ocenić potencjalne zagrożenia związane z przetwarzaniem danych oraz wprowadzenie odpowiednich zabezpieczeń.
Wybór odpowiedniego kanału zgłoszeń
Ustawa o ochronie sygnalistów zobowiązuje administratora do zapewnienia co najmniej dwóch form zgłaszania naruszeń: ustnie i pisemnie. Administrator może także zdecydować o wprowadzeniu dodatkowych kanałów, takich jak zgłoszenia anonimowe czy zgłoszenia za pośrednictwem narzędzi cyfrowych.
Dlaczego to jest ważne? Każdy kanał zgłoszeń musi być dostosowany do specyfiki organizacji oraz zapewniać poufność sygnalisty. W praktyce oznacza to, że administrator musi dokładnie określić, jak dane będą przetwarzane, kto będzie miał do nich dostęp oraz jakie środki bezpieczeństwa zostaną zastosowane, np. dwustopniowa weryfikacja dostępu do systemów.
Zabezpieczenie danych osobowych
Jednym z kluczowych elementów zarządzania danymi sygnalistów jest ich odpowiednie zabezpieczenie. Ustawa nakłada na administratorów obowiązek stworzenia systemów, które zapewnią poufność danych oraz uniemożliwią dostęp do nich osobom nieupoważnionym.
Obowiązek informacyjny wobec sygnalistów
Rozporządzenie RODO nakłada na administratora obowiązek informowania sygnalistów o sposobie przetwarzania ich danych osobowych. Administrator musi jasno określić, jakie dane są zbierane, w jakim celu i przez jaki okres będą przechowywane. Informacje te muszą być dostępne dla każdego sygnalisty oraz osób, których dane dotyczą.
Ograniczenia w realizacji praw podmiotów danych w kontekście ochrony sygnalistów
Administrator danych, zgodnie z przepisami RODO, zobowiązany jest do realizacji praw podmiotowych osób, których dane są przetwarzane, jednak Ustawa o ochronie sygnalistów wprowadza pewne ograniczenia. Kluczowym ograniczeniem jest zwolnienie z obowiązku informacyjnego dotyczącego źródła pochodzenia danych osobowych (art. 14 ust. 2 lit. f RODO). Oznacza to, że w kontekście sygnalistów administrator nie musi ujawniać, skąd pochodziły dane, aby chronić tożsamość sygnalisty.
Drugie istotne ograniczenie wynika z art. 8 ust. 6 ustawy o ochronie sygnalistów, który ogranicza prawo dostępu do informacji o źródle pochodzenia danych (art. 15 ust. 1 lit. g RODO). Takie ograniczenia są niezbędne, aby chronić sygnalistów przed ujawnieniem ich tożsamości, szczególnie w przypadkach, gdzie anonimowość ma kluczowe znaczenie.
Te wyjątki mają na celu zapewnienie bezpieczeństwa i anonimowości sygnalistów, a ich uzasadnienie wynika z potrzeby ochrony osób zgłaszających naruszenia, które mogą narażać ich na represje.
Retencja danych osobowych sygnalistów
Zgodnie z przepisami, dane osobowe sygnalistów mogą być przechowywane przez okres 3 lat. Okres ten rozpoczyna się wraz z końcem roku kalendarzowego, w którym zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Po tym okresie administrator ma obowiązek usunięcia danych.
Dlaczego retencja danych jest istotna? Retencja danych pozwala na minimalizowanie ryzyka nieuprawnionego przetwarzania danych. Administrator musi dbać o to, aby dane były przechowywane tylko tak długo, jak jest to niezbędne do realizacji celów, w jakich zostały zgromadzone.
Podsumowanie
Nowe przepisy dotyczące ochrony sygnalistów nakładają na administratorów danych liczne obowiązki, z których najważniejsze to zapewnienie poufności, bezpieczeństwa i integralności danych osobowych. Kluczowe jest stosowanie zasady „data protection by design” oraz dokładne zaprojektowanie procesów związanych z obsługą zgłoszeń sygnalistów.
Administratorzy muszą zatem nie tylko pamiętać o obowiązku informacyjnym, zabezpieczeniach technicznych oraz retencji danych, ale także o realizacji praw przysługujących tym trzem grupom osób, w pełnej zgodności z RODO oraz ustawą o ochronie sygnalistów.