Autor: K. K. adwokat

W praktyce konstruowania procedur wewnętrznych zgłoszeń oraz dokumentacji dot. danych osobowych związanej z tą procedurą, zaczęły pojawiać się wątpliwości i rozbieżności, co do tego jaka jest prawidłowa przesłanka przetwarzania danych osobowych sygnalisty i osoby, której zgłoszenie dotyczy w celu przyjęcia i rozpoznania zgłoszenia wewnętrznego.

1) Co do sygnalisty:

Czy przy założeniu, że podmiot nie dopuszcza zgłoszeń anonimowych, będzie to przepis prawa czyli art.  6 ust. 1 lit. c RODO)
(z uwagi na art. 8, 24, 29 ustawy o ochronie sygnalistów)?

Czy przy założeniu, że podmiot dopuszcza zgłoszenia anonimowe będzie to art. 6 us. 1 lit. a czyli zgoda sygnalisty?

Pojawiają się jeszcze w praktyce klauzule, z art. 6 ust. 1 lt. f RODO.

*Swoją drogą ustawa wydaje się zawierać lukę i sprzeczność, bo art. 7 ust. 3 w sytuacji, gdy podmiot decyduje się na przyjmowanie anonimowych zgłoszeń, nie musi stosować przepisów ustawy wymienionych w tym artykule. Nie ma wśród tych wyłączeń art. 29  - co prowadzi do sytuacji, że przyjmuje zgłoszenia anonimowo, ale prowadzi rejestr zgłoszeń wewnętrznych, którego jednym z elementów są dane sygnalisty pozwalające ustalić jego tożsamość......

2) Co do osoby, której zgłoszenie dotyczy

Czy podstawą przetwarzania jej danych jest art. 6 ust. 1 lit, c RODO ( z uwagi na art. 29 ust. 4 pkt 3 ustawy o ochronie sygnalistów i ogólny wydźwięk art. 24)?

W praktyce również jako podstawa pojawia się zamiast litery c, litera f (uzasadniony interes).