waga

Kiedy wdrożenie procedury dotyczącej zgłoszenia naruszeń prawa będzie zgodne z RODO

Rzadko kiedy zdarza się tak, aby dwa różne „obszary prawa” były ze sobą tak ściśle związane, jak to jest w przypadku Dyrektywy PE i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej „dyrektywa”) oraz jej prawidłowego wdrożenia przez podmioty obowiązane z jednej strony, oraz należnych zobowiązań wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE L 119 z dnia 4 maja 2016r.), dalej „RODO”. Można powiedzieć, iż prawidłowe wdrożenie dyrektywy nie będzie w ogóle możliwe bez poważnego namysłu i sporej aktywności w obszarze RODO. Zaznaczmy też, iż zakładając „drożenie dyrektywy” mamy na myśli jej wdrożenie „wprost” (np. przez podmioty reprezentujące państwo polskie lub będące jego ekspozyturami) lub za pośrednictwem ustawy „ustawy wdrażającej”, na którą wciąż czekamy), a która będzie regulować sposób wdrożenia dyrektywy w odniesieniu do podmiotów prywatnych.

 

Już sama nazwa dyrektywy (w sprawie ochrony osób zgłaszających naruszenia prawa), jak również projektu ustawy (o ochronie osób zgłaszających naruszenia prawa) odsyłają nas do obowiązków wynikających bezpośrednio z RODO. Projekt ustawy wdrażającej (dalej „ustawa”) w art. 8 ust. 1 zakłada, iż dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że za wyraźną zgodą zgłaszającego. Zatem podmiot wdrażający zobowiązany jest do ochrony poufności tożsamości zgłaszającego, jak również jego danych osobowych. Pamiętajmy przy tym, iż zgodnie z art. 4 pkt. 1) RODO danymi osobowymi może być każda informacja dotycząca osoby, której tożsamość znamy oraz pakiet informacji, na podstawie którego taką tożsamość jesteśmy w stanie zidentyfikować. Precyzuję tę kwestię art. 30 ust. 1 ustawy, zgodnie z którym organizacja przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz związanego z tym przetwarzania danych osobowych uniemożliwia uzyskanie dostępu do informacji objętej zgłoszeniem nieupoważnionym osobom oraz zapewnia ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby, której dotyczy zgłoszenie. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób. Zgodnie z zasadą „rozliczalności” określoną w art. 5 ust. 2 RODO podmiot wdrażający musi być w stanie wykazać wywiązanie się z takich zobowiązań. I tu ważna uwaga. Obowiązek ochrony poufności tożsamości oraz ochrony danych osobowych stosuje się także w odniesieniu do osoby, której dotyczy zgłoszenie.

 

W tym kontekście warto podjąć aktywność, która zweryfikuje sposób ochrony poufności tożsamości zgłaszającego oraz jego danych osobowych w ramach całego procesu, tj. przyjęcia zgłoszenia oraz prowadzenia przez wskazane osoby działań weryfikujących takie zgłoszenie oraz działań następczych. Cały ten proces powinien zostać przeanalizowany pod kątem bezpiecznego przetwarzania wszelkich informacji, w tym danych osobowych. Rekomendujemy, aby skutkiem takiej analizy było przyjęcie określonej dokumentacji potwierdzającej takie bezpieczeństwo (np. listy kontrolne, analizy ryzyka, opinie zespołu IT oraz IOD, itp.). Im więcej kanałów, za pośrednictwem których będzie mogło zostać złożone zgłoszenie, tym więcej czynności powinniśmy zrealizować. W sposób klarowny określa to art. 30 ust. 3 ustawy, zgodnie z którym pracodawca stosuje rozwiązania techniczne i organizacyjne zapewniające przechowywanie danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmujących zgłoszenie, włączając w to, w odpowiednim przypadku, usunięcie z treści dokumentu lub innego nośnika informacji niezwłocznie po ich otrzymaniu wszystkich danych osobowych zgłaszającego. Dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki.

 

Zgodnie z art. 30 ust. 2 ustawy do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych osób mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie pracodawcy. Osoby upoważnione są obowiązane do zachowania tajemnicy. Zwróćmy uwagę, iż upoważnienie musi dotyczyć dwóch różnych kwestii:

  1. przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych, oraz
  2. przetwarzania danych osobowych w ramach procesów, o których mowa powyżej.

W związku z obowiązkiem zachowania tajemnicy przez osoby upoważnione, warto przygotować oświadczenie o zachowaniu poufności, które podpiszą takie osoby.

 

Ustawa w art. 29 ust. 2 umożliwia upoważnienie innego podmiotu niż pracownicy lub komórki wewnętrzne pracodawcy do przyjmowania zgłoszeń i prowadzenia w imieniu pracodawcy czynności weryfikujących i następczych. Jeśli tak się stanie, to ustawa wymaga zawarcia z takim podmiotem stosownej umowy, w której pracodawca powierza wykonywanie określonych czynności podmiotowi zewnętrznemu z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. W celu prawidłowego wykonania takiej umowy konieczne będzie podpisanie z tym podmiotem umowy powierzenia, która określi sposób przetwarzania przez podmiot zewnętrzny w imieniu pracodawcy (administratora) danych osobowych. Fakt podpisania umowy wpisujemy do Rejestru Umów Powierzenia.

 

Osoby dokonujące zgłoszenia naruszenia, pracownicy lub inne osoby wykonujące czynności na rzecz pracodawcy w ramach niniejszej procedury (np. świadkowie), a także osoby, których dotyczy zgłoszenie, są informowane o możliwości przetwarzania danych osobowych w ramach przyjmowania zgłoszeń oraz prowadzonych wstępnych lub wewnętrznych postępowań wyjaśniających zgodnie z art. 13 lub 14 RODO, za pośrednictwem stosownej klauzuli informacyjnej. Klauzula informacyjna powinna stanowić załącznik do regulaminu.

 

Zgodnie z ustawą dane osobowe przetwarzane w związku z przyjęciem zgłoszenia są przechowywane przez pracodawcę (…) nie dłużej niż przez okres 5 lat od dnia przyjęcia zgłoszenia (art. 8 ust. 3). Dane w rejestrze zgłoszeń wewnętrznych są przechowane przez okres 5 lat od dnia przyjęcia zgłoszenia (art. 34 ust. 4). Konkluzja ogólna: pracodawca przechowuje dane osobowe oraz informacje związane ze zgłoszeniem nie dłużej niż przez okres 5 lat od dnia przyjęcia zgłoszenia, choć zapisy ustawy w tym zakresie są dość powszechnie krytykowane i zakładać można, że ulegną one w tym zakresie doprecyzowaniu.

 

W Klauzuli Informacyjnej administrator wskazuje m. in. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania (art. 13 ust. 1 lit. c RODO). Należ zatem określić podstawę przetwarzania danych osobowych. Co do zasady szukać jej będziemy w art. 6 ust. 1 RODO. Ustawa nie podpowiada tutaj w sposób jednoznaczny, którą z przesłanek wskazać. Z pewnością

nie będzie mogła to być „zgoda osoby, której dane dotyczą”. Takiej możliwości przeczą warunki skutecznej zgody, określone w art. 5 RODO, jak również stanowisko Prezesa UODO, zgodnie z którym niedopuszczalne jest przyjęcie „zgody” jako podstawy przetwarzania danych w sytuacji, w której administrator mógł lub powinien przyjąć inną przesłankę przetwarzania. Nie będzie to również obowiązek prawny ciążący na administratorze, ponieważ trudna wskazać w ustawie zapis, zobowiązujący administratora do takiego przetwarzania (art. 8 ust. 3 oraz art. 34 ust. 4 nie spełniają takiego kryterium). Prawidłową podstawą może być prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO), przy czym w takiej sytuacji administrator będzie musiał wykazać nadrzędny charakter swojego interesu nad interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą. Obowiązek taki wynika wprost z art. 6 ust. 1 lit. f RODO, zgodnie z którym przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Wykazanie nadrzędności swojego interesu nad interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nazywany „testem równowagi”.

 

Na koniec jeszcze jedno zobowiązanie. Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator (pracodawca) przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Prezes UODO w swoim Komunikacje z dnia 8 lipca 2019 r. jako proces, w odniesieniu do którego konieczne będzie wykonanie analizy proces zgłaszania naruszeń prawa. Zgodnie z pkt. nr 9b Komunikatu przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi (systemy służące do zgłaszania nieprawidłowości - whistleblowing).

 

Warto w konkluzji wskazać różnicę pomiędzy koniecznością przeprowadzenia testu równowagi oraz analizy DPIA w zakresie celu ich przeprowadzenia oraz konsekwencji braku zrealizowania przez administratora obu procesów.

 

Celem testu równowagi jest wykazanie nadrzędności swojego interesu administratora nad interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą. Z kolei celem wykonania DPIA jest wykazanie, iż prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych w ramach analizowanego procesu jest minimalny. Jeżeli ocena skutków dla ochrony danych, o której mowa w art. 35, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. I jeszcze jedno: dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony. Nieprzeprowadzenie testu równowagi skutkuje brakiem skutecznie ustanowionej podstawy prawnej przetwarzania, jeśli jako przesłankę przetwarzania wybraliśmy prawnie uzasadniony interes administratora. Z kolei nieprzeprowadzenie przez administratora DPIA skutkuje brakiem wykonania jednego z podstawowych zobowiązań ciążących na administratorze wynikających z RODO, wraz z całą konsekwencją tego faktu.

 

Opracował

Arkadiusz Kraus