Autor: Konfederacja Lewiatan
Zagadnienia dotycząc stosowania ustawy o ochronie sygnalistów – Konfederacja Lewiatan
- Zwracamy uwagę, że wątpliwości budzi kwestia realizacji obowiązku informacyjnego przewidzianego w art. 14 RODO, z uwagi na bezpośrednie zagrożenie związane nie tylko z ujawnieniem danych osobowych sygnalisty, ale też z zagrożeniem dla dalszego procedowania dokonanego zgłoszenia w organizacji.
W związku z zastosowanym ograniczeniem w zakresie treści przekazywanych w klauzulach informacyjnych (art. 8 ust. 5 i 6 ustawy) prosimy o wskazanie w jaki sposób należy zrealizować ciążący na administratorze obowiązek zgodnie z art. 14 RODO tj. przekazać niezbędne informacje osobom wskazanym w art. 2 ust. 7, 8 i 9 ustawy, w sposób który jednocześnie umożliwi zrealizowanie celu wprowadzenia ustawy tj. podjęcia skutecznych działań w zakresie wykrywania naruszeń prawa. Przekazywanie stosownej klauzuli informacyjnej zgodnie z obowiązującymi przepisami z zakresu ochrony danych osobowych tj. najpóźniej podczas pierwszego kontaktu z ww. osobami (zwłaszcza w przypadku osoby, której dotyczy zgłoszenie ) w ramach postępowania wyjaśniającego będzie jednoznacznie wskazywało, iż Spółka podejmuje działania mające na celu weryfikację dotyczących ww. osoby zarzutów. Tym samym może w konsekwencji uniemożliwić skuteczne przeprowadzenie postępowania wyjaśniającego.
Czy w związku z tym możliwe jest zrealizowanie przez administratora danych obowiązku informacyjnego w późniejszym terminie? Jeśli tak, w jaki sposób należy go określić?
Czy z uwagi na zapis art. 14 ust. 5 lit. b RODO możemy uznać, że realizacja obowiązku informacyjnego nastąpi dopiero w momencie gdy ustaną ewentualne ryzyka np. po zakończeniu postępowania wyjaśniającego?
- Podkreślamy, że realizacja obowiązku informacyjnego np. w zakresie informacji o celu i kategoriach przetwarzanych danych może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W katalogi naruszeń prawa objętych ustawą są zgłoszenia dotyczące naruszeń ochrony danych. Naruszenia tego rodzaju są objęte reżimem RODO, a administratorzy mają wdrożone odrębne kanały na zgłoszenia tego rodzaju naruszeń i uregulowany sposób postępowania. Jaka jest zatem relacja między tymi porządkami? Czy zgłoszenia dot. naruszeń przepisów o ochronie danych zgłoszone innym kanałem powinny być objęte reżimem dot. sygnalistów? Jak traktować zgłoszenia naruszeń danych przesłane kanałem dot. sygnalistów? RODO daje administratorom mało czasu na zgłoszenie naruszenia, więc szybkie reagowanie oraz możliwość wyjaśnienia zdarzenia, w szczególności z osobą zgłaszającą, jest istotnym elementem warunkującym możliwość wywiązania się administratorów z wymogów RODO.
- Czy art. 28 ust. 6 i 7 ustawy ma zastosowanie w przypadku ustalenia wspólnych zasad dotyczących przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz prowadzenia postępowania wyjaśniającego, przez podmioty prywatne, na rzecz których wykonuje pracę zarobkową co najmniej 50, lecz nie więcej niż 249 osób (tj. zgodnie z art. 28 ust. 3 ustawy), czy także w przypadku ustalenia wspólnej procedury zgłoszeń wewnętrznych przez podmioty prywatne należące do grupy kapitałowej (tj. zgodnie z art. 28 ust. 8)?
- W przypadku skorzystania przez podmioty z grupy z możliwości określonej art. 28 ust. 8 ustawy, tj. ustalenia wspólnej procedury zgłoszeń wewnętrznych, jakiego rodzaju umowa z zakresu ochrony danych powinna zostać zawarta między tymi podmiotami? Czy powinna być to umowa o współadministrowaniu danymi, czy umowa powierzenia? Jaki status w zakresie danych osobowych posiadają wówczas spółki z grupy – czy każda ze spółek jest odrębnym administratorem danych?
- W przypadku skorzystania przez podmioty z grupy z możliwości określonej art. 28 ust. 8 ustawy, tj. ustalenia wspólnej procedury zgłoszeń wewnętrznych, jak powinno wyglądać nadanie upoważnień pracownikom podmiotów z grupy odpowiadającym za przyjęcie zgłoszenia i prowadzenie postępowania wyjaśniającego? Przykładowo, jeśli 5 spółek z grupy posiada wspólną procedurę, to czy pracownik jednej z tych spółek, który będzie odpowiedzialny za weryfikację zgłoszenia i prowadzenie postępowania wyjaśniającego powinien otrzymać upoważnienie do przetwarzania danych od swojego pracodawcy (jednej ze spółek z grupy) czy koniecznie będą dodatkowe upoważnienia?
- Ustawa wskazuje na obowiązek usuwania danych nadmiarowych. Takie dane mogą być np. zostały przesłane w załączniku czy treści maila i nie ma technicznej możliwości usunięcia tylko części danych z dokumentu lub wiąże się to z ingerowaniem w integralność przesyłanego zgłoszenia. Czy w takich sytuacjach właściwym podejściem będzie zastosowanie do takich danych jednolitego, 3-letniego okresu retencji?
- Czy należy uwzględnić w klauzuli informacyjnej przekazywanej pracownikom (oraz osobom zatrudnionym w oparciu o inne formy zatrudnienia) podczas nawiązywania zatrudnienia informacje na temat dodatkowego celu przetwarzania danych związanych z ustawą o ochronie sygnalistów? Czy taki obowiązek należy realizować dopiero w momencie otrzymania zgłoszenia, w stosunku do wymienionych w nim osób?
- W przypadku wskazanych w art. 8 ust. 8 oraz art. 29 ust. 5 okresów retencji danych tj. okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami – czy ze względu na możliwe późniejsze postępowania sądowe będące następstwem zakończenia ww. postępowań (np. możliwe złożenie powództwa o naruszenie dóbr osobistych osoby, której dotyczy zgłoszenie w przypadku braku potwierdzenia dotyczących jej zarzutów w przeprowadzonym postępowaniu wyjaśniającym) należy uznać, iż z uwagi na powyższe ww. 3 letni okres retencji powinien być liczony od zakończenia postępowania zainicjowanego działaniami następczymi i dane nie powinny być usuwane bezpośrednio po zakończeniu wspomnianych postępowań?
- W zgłoszeniu sygnalisty mogą pojawić się dane dot. karalności. Jaka jest zatem podstawa prawna przetwarzania takich danych?