Autor: Grupa Grant Thornton w Polsce
Konsultacje z PUODO – ustawa o Sygnalistach - wątpliwości w zakresie obszaru ochrony danych osobowych i nie tylko:
- Biorąc pod uwagę Art. 28 ust. 1 oraz art 25 ust. 1 pkt. 3 ustawy o ochronie sygnalistów oraz obowiązek dla przedsiębiorców, wskazany w ustawie, dochodzimy do wątpliwości, czy w grupie przedsiębiorstw (nie powiązanych kapitałowo), jedno przedsiębiorstwo, które pełni swoistego rodzaju centrum usług wspólnych dla pozostałych przedsiębiorstw z grupy, może wykonywać outsourcing czynności takich jak: przyjmowanie zgłoszeń wewnętrznych, potwierdzać przyjęcie zgłoszenia, przekazywać informację zwrotną oraz dostarczać informacji nt. procedury zgłoszeń wewnętrznych?
- Czy w stosunku do osób, których dane są przetwarzane w procesie “Sygnaliści” można skorzystać z wyłączenia z art. 14 ust. 5 lit. b RODO (nie informujemy osoby, jeżeli wykonanie obowiązku może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania)? Takiego wyłączenia w ustawie o ochronie sygnalistów nie ma.
- Czy w wykonaniu obowiązku z art. 14 ust. lit. d RODO pracodawca wobec osoby, której dotyczy zgłoszenie jest zobowiązany do wskazania wszystkich kategorii danych osobowych wskazanych w zgłoszeniu naruszenia prawa (w tym informacji, które mogą pośrednio umożliwić identyfikację osoby dokonującej zgłoszenia)?
- Czy w wykonaniu obowiązku z art. 15 ust. 3 RODO pracodawca wobec osoby, której dotyczy zgłoszenie jest zobowiązany do udostępnienia zanonimizowanej kopii zgłoszenia naruszenia na wniosek osoby, której dotyczy zgłoszenie?
- Biorąc pod uwagę treść art. 8 pkt. 4 ustawy o ochronie sygnalistów czy pracodawca jest zobowiązany do spełnienia obowiązku informacyjnego z art. 14 ust. 1 i 2 RODO wobec osób, których dane osobowe zostały wskazane w zgłoszeniu naruszenia prawa, a które pracodawca uznał za niemające znaczenia dla rozpatrywanego zgłoszenia, a następnie dokonał ich usunięcia w terminie 14 dni od uznania, że nie mają one znaczenia dla sprawy.
- Czy zwolnienie z zakazu ujawniania danych sygnalisty w zakresie zagwarantowania prawa do obrony osoby, której dotyczy zgłoszenie (art. 8 pkt. 2 ustawy o ochronie sygnalistów) może być stosowane przez pracodawcę?
- Biorąc pod uwagę treść art. 8 ust. 5 ustawy o ochronie sygnalistów, czy w sytuacji, w której pracodawca uzyska informację, że osoba, która dokonała zgłoszenia nie spełnia warunków objęcia ochroną zgodnie z art. 6 ustawy o ochronie sygnalistów, to czy jest zobowiązany do spełnienia ponownego obowiązku informacyjnego wobec osób, których dotyczy zgłoszenie - wówczas zawierające informacje o osobie, która przekazała ich dane?
- Czy wskazanie w ramach ujawnienia publicznego nadmiarowych danych osobowych osób, których dotyczy zgłoszenie stanowi naruszenie ochrony danych osobowych podmiotu prawa?
- Kto jest administratorem danych osobowych ujawnionych w ramach ujawnienia publicznego? Osoba, która dokonuje ujawnienia, podmiot prawa czy podmiot za pośrednictwem, którego dokonano ujawnienia?
- Czy zgodę sygnalisty, o której mowa w art. 8 ust. 1 ustawy o ochronie sygnalisty należy traktować jako zgodę z art. 6 ust. 1 lit. a RODO?
- Jeżeli sygnalista zawiera w zgłoszeniu dane szczególnej kategorii, to jaka jest prawidłowa podstawa przetwarzania takich danych? Czy może to być art. 9 ust. 2 lit. g RODO (przetwarzanie w ważnym interesie publicznym, na podstawie prawa państwa członkowskiego) - w przypadku, gdy poda dane wrażliwe na temat innej osoby, a nie samego siebie?
- Czy z uwagi na treść art. 29 ust. 2 ustawy o ochronie sygnalisty podmiot prawny nie może upoważnić podmiotu zewnętrznego, o którym mowa w art. 25 ust. 1 pkt 1 do prowadzenia rejestru zgłoszeń wewnętrznych?
- Czy zgodę sygnalisty, o której mowa w art. 23 ust. 3 oraz 6 ustawy o ochronie sygnalisty należy traktować jako zgodę z art. 6 ust. 1 lit. a RODO?