Wypełnienie obowiązku informacyjnego wobec sygnalistów
Podmioty prawne, które podlegają wdrożeniu kanałów zgłoszeń wewnętrznych udostępnionych dla sygnalistów, w procesie przygotowania procedury obsługi takich zgłoszeń muszą również uwzględnić aspekt ochrony danych osobowych. Zgodnie z art. 29 ustawy o ochronie sygnalistów, wraz z wpłynięciem zgłoszenia naruszenia, niezależnie od drogi przekazania, podmiot je otrzymujący staje się administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych. W związku z tym administrator musi wykonać obowiązek informacyjny
w stosunku do sygnalisty, osób, których zgłoszenie dotyczy oraz osób postronnych.
Spełnienie obowiązku informacyjnego wobec sygnalisty
Należy pamiętać, że ustawa o ochronie sygnalistów w art. 4 wskazuje katalog osób, które mogą zostać sygnalistą, wymieniając wśród nich nie tylko obecnych pracowników, ale też osoby które są przyszłymi bądź byłymi pracownikami.
Wobec osób spoza organizacji obowiązek informacyjny może zostać zrealizowany poprzez przekazanie stosownych informacji w momencie dokonywania zgłoszenia poprzez sygnalistę, np. za pomocą dedykowanego systemu do obsługi takich zgłoszeń. Klauzula informacyjna powinna być również opublikowana na stronie internetowej zawierającej informację o procedurze zgłoszeń wewnętrznych danej organizacji.
Wewnątrz organizacji obowiązek informacyjny może zostać spełniony na kilku etapach (podejście warstwowe), np. poprzez umieszczenie stosowanych informacji w klauzuli ogólnej RODO, stanowiącej załącznik do dokumentów zatrudnienia przekazywanych pracownikowi na początku współpracy. Zapisy takie mogą zostać również umieszczone w regulaminie pracy. Dodatkowo obowiązek informacyjny powinien być realizowany w momencie dokonywania zgłoszenia przez sygnalistę za pomocą wskazanych kanałów zgłoszeń.
Obowiązek informacyjny może być również spełniany wobec osób ubiegających się o zatrudnienie w momencie pierwszego kontaktu z potencjalnym kandydatem[1].
[1] Ustawa o ochronie sygnalistów z perspektywy RODO – relacja z seminarium, Biuletyn UODO nr 07-08.2024.
Wyjątki w wykonywaniu obowiązku informacyjnego
Administrator danych osobowych musi pamiętać o wyłączeniach wskazanych w art. 8 ust. 5 i 6 ustawy o ochronie sygnalistów. Będzie to istotne przy wykonywaniu obowiązku informacyjnego w stosunku do osób, których dotyczy zgłoszenie sygnalisty, gdzie nie będzie podawana informacja o źródle danych. Wyjątek stanowi sytuacja, w której sygnalista nie spełnia warunków wskazanych w art. 6 ustawy o ochronie sygnalistów albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości[1].
[1] Art. 8 ust. 5 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. 2024, poz. 928)