Autor: D. B.

1)     Na jakim etapie osoba dokonująca zgłoszenia powinna otrzymać klauzulę informacyjną, np. w razie dokonania zgłoszenia e-mailowo albo pisemnie (na papierze)? Czy w przypadku stworzenia u podmiotu zatrudniającego wewnętrznych kanałów zgłoszeń np. formularzy, poprzez które osoba dokonująca zgłoszenia będzie go dokonywała, taka klauzula informacyjna powinna zostać zawarta bezpośrednio w formularzu, aby osoba dokonująca zgłoszenia mogła potwierdzić zapoznanie się z nią już podczas dokonywania zgłoszenia, czy może ona otrzymać klauzulę informacyjną później, np. w odpowiedzi na taki formularz?

2)     Na jakim etapie kandydaci powinni zapoznać się z procedurą zgłoszeń wewnętrznych oraz regulacjami dotyczącymi ochrony danych osobowych dot. sygnalistów obowiązującymi w organizacji oraz co rozumieć pod pojęciem „kandydata”? Czy taka informacja powinna pojawiać się wraz z udostępnieniem informacji o rekrutacji (ogłoszenia rekrutacyjnego), a tym samym każda aplikująca osoba powinna mieć wgląd w taką procedurę, czy może jedynie osoby, które zostaną zaproszone na kolejny etap rekrutacji?

3)     Czy w przypadku kandydata wystarczające będzie wskazanie, że u podmiotu zatrudniającego działa procedura dotycząca zgłaszania naruszeń i odpowiednie regulacje dotyczące ochrony danych osobowych oraz wskazanie, że zostaną one udostępnione na prośbę kandydata, czy konieczne jest np. zamieszczenie w ogłoszeniu rekrutacyjnym albo przekazanie na innym etapie rekrutacji linku do miejsca z takimi procedurami?  Jak w związku z tym rozumieć w praktyce sformułowanie ustawowe„ podmiot prawny przekazuje informację o procedurze zgłoszeń wewnętrznych”?

4)     Na jakich warunkach można odstąpić od wykonania obowiązku informacyjnego wobec osoby, której dotyczy zgłoszenie (potencjalnego sprawcy naruszenia), aby taka decyzja nie została podważona np. przez UODO? W jaki sposób wykazać, że poinformowanie ww. osoby uniemożliwi lub znacząco utrudni realizację celu przetwarzania?

5)     Jak postąpić w przypadku otrzymania od sygnalisty danych na temat skazania / karalności np. osoby, której dotyczy zgłoszenie? Czy takie dane należy traktować jako nie mające znaczenia dla rozpatrywania zgłoszenia i usunąć je zgodnie z art 8 ust. 4 ustawy o ochronie sygnalistów? Jeśli tak, to w jaki sposób je usunąć, gdy dane będą podane w treści zgłoszenia na elektronicznym formularzu? A co w przypadku, gdy zgłoszenie będzie  dokonane e-mailem i nie będzie technicznie możliwe usunięcie danych o skazaniu spośród wielu innych informacji podanych w zgłoszeniu? Ponadto, wiadomości e-mail na serwerach służbowych są często przechowywane dodatkowo jako kopie zapasowe. Co w takim przypadku zrobić z danymi o karalności danymi, które nie mają znaczenia dla rozpatrzenia zgłoszenia?  

6)     Zgodnie z art. 29 ustawy o sygnalistach Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Zgodnie z ww. przepisem, dane osobowe będą przechowywane w rejestrze zgłoszeń wewnętrznych przez 3 lata. Okres 3 letni będzie liczony od: (1) zakończenia działań następczych lub (2) zakończenia postępowania zainicjowanymi tymi działaniami. W jaki sposób oraz jaka będzie podstawa prawna, do uzyskania przez podmiot zatrudniający informacji o zakończeniu postępowania zainicjowanego działaniami następczymi?

7)     Zgodnie z art. 8 ust. 8 ustawy o sygnalistach Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. W jaki sposób oraz jaka będzie podstawa prawna, do uzyskania przez podmiot zatrudniający informacji o zakończeniu postępowania zainicjowanego działaniami następczymi?