Ustawa o ochronie sygnalistów a nowe obowiązki ADO

Ostatnimi czasy „gorącym tematem” stała się implementacja przepisów o ochronie sygnalistów, które po ponad dwuletnim opóźnieniu, zostały uchwalone przez polskie organy prawodawcze. W związku z tym organizacje, zarówno z sektora państwowego, jak i prywatnego, zostały zobligowane do wdrożenia wewnętrznych kanałów zgłoszeń wewnętrznych dla osób, które chciałyby zgłosić naruszenia. Przepisy polskiej ustawy wchodzą w życie 25 września 2024 r., dlatego też niewiele czasu pozostało na przygotowania się na zmiany, jakie za sobą niosą. Przyjęcie najpierw unijnej dyrektywy (2019/1937), a teraz polskiej ustawy o ochronie sygnalistów, przekładają się również na nowe obowiązki dla administratorów ochrony danych osobowych.

Nowe obowiązki ADO

W związku z przyjmowaniem oraz procesowaniem zgłoszeń naruszeń, których będą dokonywali sygnaliści, administratorzy danych osobowych muszą dostosować procedury RODO do nowego stanu prawnego.

Należy pamiętać, że wraz z wpłynięciem zgłoszenia o naruszeniu poprzez kanał wewnętrzny, niezależnie od formy takiego zgłoszenia, podmiot otrzymujący zgłoszenie staje się administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych (art. 29 ustawy1). W związku z tym administrator powinien wykonać obowiązek informacyjny w stosunku do:

• sygnalisty,
• osób, których dotyczy zgłoszenie, pamiętając jednak o wyłączeniu informacji o źródle danych (art. 8 ust. 5 i 6 ustawy o ochronie sygnalistów)
• osób postronnych – czyli świadków naruszenia lub innych osób, których w sposób pośredni mogą dotyczyć skutki zgłoszenia naruszenia.

Tematem wykonania obowiązku informacyjnego zajmowali się eksperci podczas zorganizowanego 7 sierpnia br. przez Urząd Ochrony Danych Osobowych Seminarium „Praktyczne problemy w stosowaniu przepisów ustawy o ochronie sygnalistów z perspektywy RODO. Przyczynek do dyskusji nad wątpliwościami zgłoszonymi w trakcie konsultacji społecznych.2” W swojej dyskusji zwrócili uwagę m.in. na różne podejścia do wykonania obowiązku informacyjnego w stosunku do pracowników (np. przekazanie klauzuli informacyjnej z uwzględnieniem zapisu o procedurze zgłoszeń naruszeń przez sygnalistów na początku zatrudnienia, umieszczenie go w regulaminie pracy, czy też powtórzenie tych informacji już bezpośrednio na etapie przesłania zgłoszenia). Osoby spoza organizacji mogą zostać poinformowane np. poprzez umieszczenie klauzuli informacyjnej na stronie internetowej.

Rejestr Czynności Przetwarzania

Kolejnym zadaniem dla administratora danych osobowych będzie odpowiednie opisanie w Rejestrze Czynności Przetwarzania procesu związanego z przyjmowaniem zgłoszeń naruszeń dokonywanych przez sygnalistów, a także weryfikowaniem ich treści.

Będzie się to wiązało m.in. z potrzebą określenia:

• m.in. kategorii i źródła danych,
• podstawy prawnej – np. art. 6 ust. 1 lit. C rozporządzenia RODO,
• wreszcie wskazanie okresu retencji danych – powołując się na podstawę prawną do zaprzestania przetwarzania – np. art. 29 ust. 5 ustawy o ochronie sygnalistów – tj. „przez okres 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami”.

Inne obowiązki
Administrator danych osobowych musi pamiętać także o wykonaniu analizy ryzyka dla omówionego powyżej procesu, a także wydaniu stosownych upoważnień do przetwarzania danych osobowych. Może również rozważyć powierzenie obsługi zgłoszeń sygnalistów firmie zewnętrznej, co musi zostać zabezpieczone umową na powierzenie danych osobowych. Temat upoważnień zostanie szerzej umówiony w następnym artykule, do którego lektury zapraszamy.