Autor: ZWIĄZEK PRZEDSIĘBIORSTW FINANSOWYCH W POLSCE
Zebrane w gronie firm członkowskich ZPF uwagi, pytania i wątpliwości w przedmiocie stosowania przepisów Ustawy w zakresie ochrony danych osobowych.
Art. 7 ust. 1 Ustawy
Zgodnie z art. 7 ust. 1 Ustawy podmiot prawny, Rzecznik Praw Obywatelskich oraz organ publiczny mogą przyjmować zgłoszenia dokonane anonimowo.
Skoro zgłoszenie trzeba rejestrować, a zgłoszenie anonimowe nie zawiera wszystkich danych, o których mowa w art. 29 ust. 4 Ustawy, to czy można w procedurze zgłoszeń wewnętrznych wykluczyć możliwość przyjmowania przez podmiot prawny zgłoszeń anonimowych?
Art. 8 ust. 1 Ustawy
Zgodnie z art. 8 ust. 1 Ustawy dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty.
Treść wyżej wskazanego przepisu budzi następujące wątpliwości:
- Kim jest osoba nieupoważniona? Czy chodzi tutaj o upoważnienie pisemne z art. 27 ust. 2 Ustawy?
- Czy zakres danych pozwalających na ustalenie tożsamości ustala sam administrator?
- Co oznacza, że zgoda powinna być wyraźna? Brak odwołania do art. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO”), który opisuje warunki wyrażenia zgody.
- Czy przetwarzanie danych sygnalisty powinno odbywać się na podstawie art. 6 ust. 1 lit. f) RODO? Jeśli tak, to czy należy przeprowadzić test LIA?
- Czy przetwarzanie danych osób, których zgłoszenie dotyczy, a także osób trzecich, np. świadków opisanych w zgłoszeniu, powinno odbywać się na podstawie art. 6 ust. 1 lit. b) RODO? Jeśli tak, to na podstawie którego przepisu wynika ten obowiązek prawny (na podstawie art. 24 Ustawy)?
- Co z przetwarzaniem danych szczególnie chronionych (danych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, jak również danych dotyczących zdrowia, seksualności lub orientacji seksualnej), które mogą pojawić się w treści skargi? Na podstawie jakiej przesłanki można je przetwarzać, jeśli podanie takich danych jest konieczne do przekazania zgłoszenia o naruszeniu (np. dyskryminacja ze względu na orientację seksualną)? Dane mogą dotyczyć zarówno sygnalisty jak i osoby trzeciej - czy wystarczy zabezpieczyć podawanie takich danych poprzez wpisanie zakazu w procedurze zgłaszania nieprawidłowości? Czy podstawą prawną przetwarzania danych szczególnie chronionych będzie tutaj art. 9 ust. 2 pkt. f) czy b) RODO?
- Co z przetwarzaniem danych dotyczących wyroków skazujących (art. 10 RODO)? Czy można przetwarzać takie dane, jeśli jest to konieczne do przekazania zgłoszenia o naruszeniu?
Podstawą prawną przetwarzania danych o wyrokach i czynach zabronionych będzie prawnie uzasadniony interes Spółki, z zastrzeżeniem, że przetwarzanie takich danych jest dozwolone prawem Unii lub prawem krajowym, w szczególności uprawnienie Spółki do dochodzenia roszczeń (np. na podstawie kodeksu cywilnego, prawa pracy) oraz prawny obowiązek do zgłaszania zawiadomienia o popełnieniu przestępstwa (art. 304 § 1 Kodeksu postępowania karnego).
Art. 8 ust. 4 Ustawy
Zgodnie z art. 8 ust. 4 Ustawy, podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.
Jak w praktyce należy stosować ten przepis? Jeśli zgłoszenie wpłynie drogą pisemną lub elektroniczną, to dane będą w systemie i trzeba będzie ingerować w te dane, np. ręcznie zmieniając treść maila lub usuwając maila a zostawiając tylko notatkę o nim, czy to nie będzie pozbawianie się dowodów do ewentualnej sprawy?
Art. 8 ust. 5 Ustawy
Zgodnie z art. 8 ust. 5 Ustawy, przepisu art. 14 ust. 2 lit. f) RODO nie stosuje się, chyba że sygnalista nie spełnia warunków wskazanych w art. 6 albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości.
Treść wyżej wskazanego przepisu budzi następujące wątpliwości:
- Co oznacza, że zgoda powinna być wyraźna? Brak odwołania do art. 7 RODO, który opisuje warunki wyrażenia zgody.
- Art. 14 ust. 2 lit f) RODO wskazuje na zwolnienie z obowiązku informowania osoby, której dane zostały pozyskane w sposób inny niż od osoby, której dane dotyczą, tylko źródło danych, cały obowiązek informacyjny zostaje – co oznacza, że należy informować osoby trzecie i osoby których dotyczy zgłoszenie o pozyskaniu ich danych do 30 dni od ich pozyskania, a jeśli mamy się z nimi kontaktować to przy pierwszym kontakcie z tą osobą (jeśli nastąpi nie dalej niż w terminie 30 dni).
- Brak zwolnienia z art. 13 powoduje też obowiązek informacyjny wobec sygnalisty.
- Przepis wyraźnie wskazuje, że zwolnienie dotyczy przekazywania danych sygnalisty jako źródła danych, czyli dotyczy tylko osób trzecich i osób których dotyczy zgłoszenie, wszelkie inne informacje należy tym osobom ujawnić, w tym np. treść skargi, która może zawierać informacje pozwalające ustalić tożsamość sygnalisty (a nie są informacjami o źródle).
- Jeśli sygnalista nie dokonał zgłoszenia w dobrej wierze, wtedy można ujawnić jego dane jako źródło danych, aby umożliwić np. dochodzenie roszczeń osobie pokrzywdzonej? – przepisu art. 14 nie interpretuje się w ten sposób, że można podawać dane osoby fizycznej, aby nie naruszać jej praw i wolności - czy interpretacja zgodnie z którą należy podać imię i nazwisko sygnalisty jako źródło danych jest właściwa?
- Zgodnie z szeroką interpretacją art. 15 RODO wszelkie informacje mogą naprowadzić na tożsamość, nie tylko dane kontaktowe pozyskane od sygnalisty, ale także treść zgłoszenia - czy trzeba ujawniać notatkę z treści?
- Co z pozostałymi przepisami, np. prawem do sprzeciwu, ograniczenia przetwarzania lub usuwania danych? Osoba, której zgłoszenie dotyczy ma prawo wniesienia umotywowanego żądania zaprzestania przetwarzania jej danych osobowych ze względu na jej szczególną sytuację - czy może wycofać zgłoszenie i zażądać usunięcia danych?
- Jak udokumentować przekazywanie klauzuli informacyjnej („osoba, której zgłoszenie dotyczy powinna zostać powiadomiona o rozpoczęciu przetwarzania jej danych bezpośrednio po ich utrwaleniu, czyli zapisaniu w bazie zgłoszeń”) jeśli przekazanie odbywa się np. ustnie lub telefonicznie?
- Jakich danych można użyć, aby przekazać klauzulę informacyjną osobie trzeciej lub osobie, której dotyczy naruszenie? Sygnalista nie musi podawać przecież danych kontaktowych do tych osób, czy można użyć danych które są w posiadaniu administratora do innych celów? Czy można użyć zwolnienia, że nie ma danych kontaktowych więc nie musi ich pozyskiwać do realizacji obowiązków RODO?
Art. 8 ust. 8 Ustawy
Zgodnie z art. 8 ust. 8 Ustawy, dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Treść wyżej wskazanego przepisu budzi następujące wątpliwości:
- Uzasadnienie projektu zawiera wyjaśnienie 3-letniego okresu przechowywania danych przez podmiot prawny oraz organ publiczny jako niezbędnego dla celów ewentualnych postępowań po zakończeniu działań następczych oraz spójnego z terminem przedawnienia roszczeń ze stosunku pracy (art. 291 Kodeku pracy), jak też roszczeń o świadczenia okresowe i roszczeń związanych z prowadzeniem działalności gospodarczej (art. 118 Kodeksu cywilnego). Powstaje pytanie, jak liczyć moment, w którym zakończono działania i czy będziemy wiedzieć, kiedy zakończyły się postępowania?
- Czy przechowywanie danych sygnalisty, osoby trzeciej i osoby, której dotyczy zgłoszenie przechowywane są na podstawie art. 6 ust. 1 lit b) RODO, tj. do spełnienia obowiązku prawnego wynikającego z tego przepisu?
Art. 10 ust. 2 Ustawy
Zgodnie z art. 10 ust. 2 Ustawy, Ustawa nie wyłącza stosowania przepisów odrębnych przewidujących szczególny tryb zgłaszania naruszeń prawa, w tym rozpatrywanie informacji o naruszeniu prawa zgłoszonych anonimowo.
Treść wyżej wskazanego przepisu budzi wątpliwości w zakresie tego, w jaki sposób wypełnić przepisy Ustawy o prowadzeniu rejestru i przekazywaniu klauzuli informacyjnej w przypadku zgłoszeń anonimowych - czy można się oprzeć na zwolnieniu z obowiązku pozyskiwania danych do wypełniania przepisów RODO?
Art. 25 ust. 1 pkt 5) i 7) Ustawy
Zgodnie z art. 25 ust. 1 pkt 5) Ustawy, procedura zgłoszeń wewnętrznych określa obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie.
Zgodnie z art. 25 ust. 1 pkt 7) Ustawy, procedura zgłoszeń wewnętrznych określa o maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nieprzekraczający 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego lub - w przypadku nieprzekazania potwierdzenia, o którym mowa w pkt 5 - 3 miesięcy od upływu 7 dni od dnia dokonania zgłoszenia wewnętrznego, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać informację zwrotną.
Treść wyżej wskazanych przepisów budzi następujące wątpliwości:
- Jak należy rozumieć adres - czy to może być adres email? Jeśli możemy dostać tylko dane identyfikacyjne jak wskazano na początku to czy adres jest dozwolony? Na jakiej podstawie prawnej go przetwarzamy? Czy można przekazać tę informację telefonicznie lub ustnie podczas rozmowy i jak to udokumentować w celach dowodowych?
- Co w przypadku zgłoszenia anonimowego? Jak spełnić ten obowiązek i czy jesteśmy z niego zwolnieni, jako że sygnalista „nie podał adresu do kontaktu”?
Art. 26 ust. 1 Ustawy
Zgodnie z art. 26 ust. 1 Ustawy, sposoby przekazywania zgłoszeń wewnętrznych, o których mowa w art. 25 ust. 1 pkt 2, obejmują co najmniej możliwość dokonywania zgłoszeń ustnie lub pisemnie.
W jakiej formie i w jaki sposób należy udokumentować przekazanie klauzuli RODO w formie ustnej?
Art. 26 ust. 3 Ustawy
Zgodnie z art. 26 ust. 3 Ustawy, zgłoszenie ustne dokonane za pośrednictwem nagrywanej linii telefonicznej lub innego nagrywanego systemu komunikacji głosowej jest dokumentowane za zgodą sygnalisty w formie:
1) nagrania rozmowy, umożliwiającego jej wyszukanie lub
2) kompletnej i dokładnej transkrypcji rozmowy przygotowanej przez jednostkę lub osobę, lub podmiot, o których mowa w art. 25 ust. 1 pkt 1.
Treść wyżej wskazanego przepisu budzi następujące wątpliwości:
- Czy brak wyrażenia przez sygnalistę dobrowolnej zgody z art. 26 ust. 3 Ustawy zobowiązuje administratora danych do zapoznania się ze zgłoszeniem i jego rozpatrzeniem z tym zastrzeżeniem, że nie jest jedynie możliwe nagranie rozmowy umożliwiające jej wyszukanie lub dokonanie transkrypcji rozmowy? W rozmowie takiej lub jej nagraniu stanowiącym załącznik do zgłoszenia przesłanego za pomocą środków porozumiewania na odległość mogą znajdować się wszystkie dane osobowe zgłaszającego.
- Czy brak wyrażenia przez sygnalistę dobrowolnej zgody z art. 26 ust. 3 Ustawy uniemożliwia administratorowi jakiekolwiek przetwarzanie danych osobowych sygnalisty (w tym jego głosu) co powinno skutkować przerwaniem połączenia ewentualnie natychmiastowym usunięciem nagrania rozmowy (bez zapoznania się z jego treścią) jeżeli kanał zgłoszeń przewiduje jedynie możliwość przesyłania nagrań ustnych zgłoszeń?
- Czy w przypadku braku wyrażenia przez sygnalistę zgody, o której mowa w art. 26 ust. 3 Ustawy można skontaktować się z sygnalistą w celu odpytania czy wyraża zgodę i do tego czasu przetrzymywać nagranie ustnego zgłoszenia dołączonego przez sygnalistę do zgłoszenia w formie załącznika?
- W jakiej formie i w jaki sposób należy udokumentować wyrażenie zgody i jak zapewnić anonimowość?
Art. 27 ust. 2 Ustawy
Zgodnie z art. 27 ust. 2 Ustawy, do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.
Czy jako pisemne upoważnienie dla podmiotu zewnętrznego można uznać umowę z art. 28 Ustawy (umowa w sprawie upoważnienia podmiotu zewnętrznego do przyjmowania zgłoszeń wewnętrznych), czy również pracownicy tego podmiotu powinni mieć odrębne upoważnienia? W przypadku podmiotu zewnętrznego dostęp także powinien być ograniczony do zaufanych osób?
Art. 28 ust. 8 Ustawy
Zgodnie z art. 28 ust. 8 Ustawy, podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt 14 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r. poz. 594) mogą ustalić wspólną procedurę zgłoszeń
wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą.
Przepis nie określa, kto jest w takim przypadku administratorem danych. Analogiczny zapis w ust. 3 tego artykułu doprecyzowuje to w ust. 6, który wskazuje, iż podmioty, o których mowa w ust. 3, są odrębnymi administratorami danych osobowych pozyskanych w związku z przyjmowaniem i weryfikacją zgłoszeń.
W przypadku grupy kapitałowej mamy zależność jednego podmiotu od drugiego, a więc sytuacja nie jest tożsama z tą opisaną w ust. 3. Gdyby np. zgłoszenie na kadrę zarządzającą spółki trafiło do spółki matki, to kto jest tutaj zarządzającym zgłoszeniem oraz kto jest administratorem danych? Czy można dzielić się danymi sygnalistów i osób których zgłoszenia dotyczą z grupą / spółką matką? Jeśli mamy jeden system zgłoszeń, to czy sygnalista może się zgłaszać do grupy i grupa ustala która spółka obsługuje sprawę?
Art. 29 ust. 1 Ustawy
Zgodnie z art. 29 ust. 1 Ustawy, podmiot prawny:
1) prowadzi rejestr zgłoszeń wewnętrznych;
2) jest administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych.
Wyżej wskazany przepis może budzić wątpliwości w zakresie ustalenia, który podmiot prawny prowadzi taki rejestr, biorąc pod uwagę np. sytuację opisaną w art. 28 ust. 8 Ustawy, gdzie podmioty z grupy kapitałowej mają wspólną procedurę zgłoszeń? Czy rejestr prowadzi podmiot, który przyjmuje zgłoszenia czy podmiot, który obsługuje sprawę? Kto będzie tutaj administratorem danych i w jakim zakresie?
Art. 29 ust. 4 Ustawy
Zgodnie z art. 29 ust. 4 Ustawy, rejestr zgłoszeń wewnętrznych obejmuje:
1) numer zgłoszenia;
2) przedmiot naruszenia prawa;
3) dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;
4) adres do kontaktu sygnalisty;
5) datę dokonania zgłoszenia;
6) informację o podjętych działaniach następczych;
7) datę zakończenia sprawy.
Sygnalista nie jest zobowiązany do podawania adresu do kontaktu, jak zatem wypełnić obowiązek podawania go w rejestrze?
Art. 29 ust. 5 Ustawy
Zgodnie z art. 29 ust. 5 Ustawy, dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Uzasadnienie projektu Ustawy zawiera wyjaśnienie 3-letniego okresu przechowywania danych przez podmiot prawny oraz organ publiczny jako niezbędnego dla celów ewentualnych postępowań po zakończeniu działań następczych oraz spójnego z terminem przedawnienia roszczeń ze stosunku pracy (art. 291 Kodeku pracy), jak też roszczeń o świadczenia okresowe i roszczeń związanych z prowadzeniem działalności gospodarczej (art. 118 Kodeksu cywilnego). Powstaje pytanie, jak liczyć moment, w którym zakończono działania i czy będziemy wiedzieć, kiedy zakończyły się postępowania?
Czy przechowywanie danych sygnalisty, osoby trzeciej i osoby, której dotyczy zgłoszenie przechowywane są na podstawie art. 6 ust. 1 lit b) RODO, tj. do spełnienia obowiązku prawnego wynikającego z tego przepisu?
Art. 56 Ustawy
Zgodnie z art. 56 Ustawy, kto wbrew przepisom ustawy ujawnia tożsamość sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
W art. 8 ust. 1 Ustawa stanowi, że dane osobowe sygnalisty nie mogą być ujawnione nieupoważnionym osobom, chyba że za zgodą sygnalisty. Czy karą zagrożone jest tylko takie ujawnienie, tzn. ujawnienie osobie, która nie posiada pisemnego upoważnienia na gruncie tej ustawy, czy ujawnienie osobie, której dotyczy zgłoszenie, czy ujawnienie, czego zabrania RODO, osobom nieuprawnionym do przetwarzania danych osobowych w imieniu administratora (np. w przypadku naruszenia ochrony danych, takiego jak wyciek, bezprawny wgląd w dane)?
Poniżej podajemy dalsze pytania i wątpliwości, które pojawiły się w Organizacjach naszych Członków w procesie wdrażania Ustawy:
- Czy instytucje, które wdrożyły przepis wcześniej, niż termin wynikający z vacatio legis (tj. wprowadziły wewnętrzne regulacje), postąpiły poprawnie w świetle tekstu Ustawy? Wątpliwość dotyczy kwestii czy procesy/regulacje wdrożone przed 25 września 2024 r., nie należy uznać za nieważne?
- Czy w świetle nowego przepisu instytucje obowiązane powinny wprowadzić jedną czy więcej regulacji wewnętrznych dotyczących obowiązków z Ustawy (i dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, która stanowi o „procedurach zgłoszeń wewnętrznych i działań następczych”)?
- Czy instytucje, które działają w ramach grup kapitałowych i bazujące dotychczas na regulacjach grupowych w zakresie tematyki wyżej wskazanej dyrektywy (wdrożenie dyrektywy w innych krajach UE miało już miejsce wcześniej), muszą wprowadzić lokalną procedurę?