Autor: Olesiński i Wspólnicy sp.k. z siedzibą we Wrocławiu
1. Podstawa prawna przetwarzania danych osobowych „zwykłych”, o których mowa w art. 6 ust. 1 RODO
Przetwarzanie danych osobowych wymaga zapewnienia przez podmioty zgodności przetwarzania z prawem, tj. oparcia przetwarzania na ważnej podstawie prawnej. W ocenie komentujących, ze względu na pojawiające się rozbieżności w doborze podstaw przetwarzania danych osobowych na potrzeby systemu zgłoszeń naruszeń prawa przez podmioty prywatne, zasadnym jest doprecyzowanie jakie zdaniem Urzędu są prawidłowe podstawy przetwarzania.
Podstawa prawna przetwarzania danych osobowych, w ocenie komentujących wymaga rozdzielenia na trzy sytuacje:
- w przypadku podmiotów zobowiązanych do wdrożenia systemu zgłoszeń naruszeń prawa zgodnie z art. 23 ust. 1-3 Ustawy – w zakresie zgłoszeń z obligatoryjnego katalogu przedmiotowego z art. 3 ust. 1 Ustawy – prawidłową podstawą przetwarzania danych osobowych, w zakresie wynikającym z Ustawy, powinien być art. 6 ust. 1 lit. c RODO, tj. niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze;
- w przypadku podmiotów zobowiązanych do wdrożenia systemu zgłoszeń naruszeń prawa zgodnie z art. 23 ust. 1-3 Ustawy – w zakresie zgłoszeń spoza obligatoryjnego katalogu przedmiotowego, tj. przyjmowanych na podstawie art. 3 ust. 2 Ustawy – prawidłową podstawą przetwarzania danych osobowych, w zakresie wynikającym z Ustawy, powinien być art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes administratora w postaci obsługi zgłoszeń naruszeń prawa;
- natomiast, w przypadku podmiotów prywatnych niezobowiązanych do wdrożenia systemu zgłoszeń naruszeń prawa, jednak wprowadzających procedurę fakultatywnie, na podstawie art. 24 ust. 2 Ustawy – podstawą przetwarzania danych osobowych powinien być art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes administratora w postaci obsługi zgłoszeń naruszeń prawa.
Podobne stanowisko - w zakresie rozdzielenia podstaw wdrożenia systemów naruszeń prawa na podmioty zobowiązane do jego wdrożenia oraz podmioty wdrażające system fakultatywnie - zostało zaaprobowane przez francuski organ nadzorczy (Commission Nationale de l’Informatique et des Libertés, dalej: „CNIL”) w wydanym poradniku dotyczącym przetwarzania danych osobowych w ramach zgłaszania naruszeń prawa (dostępny tutaj: https://www.cnil.fr/sites/cnil/files/2023-07/referentiel_alertes_professionnelles.pdf, dalej: „Poradnik”).
Należy zauważyć, że stanowisko w zakresie podstaw przetwarzania danych osobowych nie jest jednolite w krajach UE – odmienne podejście zaprezentował m. in. hiszpański ustawodawca, wskazując, że w przypadku podmiotów niezobowiązanych do wdrożenia systemu, podstawą przetwarzania danych osobowych, jest art. 6 ust. 1 lit. e RODO, tj. niezbędność do wykonania zadania realizowanego w interesie publicznym (art. 30 ust. 2 hiszpańskiej ustawy implementującej Dyrektywę - Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción). Wobec odmiennych stanowisk europejskich organów nadzorczych oraz celem zapewnienia jednolitej praktyki wśród administratorów danych osobowych, zasadnym byłoby zajęcie stanowiska przez Urząd.
Podkreślenia wymaga, że powyższe odnosi się do „bazowych” podstaw przetwarzania danych osobowych w obszarze systemu zgłaszania naruszeń prawa. Natomiast należy mieć na względzie, że równolegle, przetwarzanie danych osobowych w procesie zgłoszeń naruszeń prawa może zostać oparte również na innych podstawach prawnych, w tym w szczególności prawnie uzasadniony interes administratora w postaci ustalenia, dochodzenia lub obrony przed roszczeniami (art. 6 ust. 1 lit. f RODO) lub zgoda w zakresie ujawnienia danych osobowych sygnalisty (art. 6 ust. 1 lit. a RODO).
2. Podstawa prawna przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO
W ramach zgłoszeń naruszeń prawa, jak również prowadzonych na ich skutek postępowań wyjaśniających, może dojść do przetwarzania danych osobowych należących do szczególnych kategorii danych, o których mowa w art. 9 ust. 1 RODO (w tym m.in. danych dot. zdrowia lub danych ujawniających przynależność do związków zawodowych - np. w ramach zgłoszenia, z którego wynika, że osoba przynależąca do związków zawodowych dokonuje korupcji w związku z pełnioną tam funkcją).
Wobec powyższego oraz ze względu na pojawiające się rozbieżności w doborze podstaw przetwarzania danych osobowych we wskazanym zakresie, zasadnym byłoby uwzględnienie w wytycznych Urzędu również tego aspektu.
W ocenie komentujących, prawidłowym jest przyjęcie możliwości oparcia przetwarzania danych osobowych na następujących podstawach prawnych w zakresie danych osobowych należących do szczególnych kategorii (w zależności od celu przetwarzania oraz przedmiotu zgłoszenia):
- niezbędność do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy (art. 9 ust. 2 lit. b RODO) – przykładowo w przypadku rozszerzenia katalogu przedmiotu zgłoszeń o zgłoszenia wynikające z prawa pracy;
- niezbędność ze względów związanych z ważnym interesem publicznym (art. 9 ust. 2 lit. g RODO);
- niezbędność do ustalenia, dochodzenia lub obrony roszczeń (art. 9 ust. 2 lit. f RODO).
3. Podstawa prawna przetwarzania danych osobowych, o których mowa w art. 10 RODO
W ramach zgłoszeń naruszeń prawa, jak również prowadzonych na ich skutek, postępowań wyjaśniających, może dojść do przetwarzania danych osobowych dotyczących wyroków skazujących lub czynów zabronionych o których mowa w art. 10 RODO (np. w przypadku zgłoszenia, że na stanowisku, na którym wymagana jest niekaralność, pracuje osoba karana, która przedłożyła podczas rekrutacji podrobioną lub nieaktualną informację o niekaralności z Krajowego Rejestru Karnego).
Zgodnie z art. 10 RODO przetwarzanie danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 RODO jest dopuszczalne wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenie praw i wolności osób, których dane dotyczą.
W Ustawie nie wprowadzono wprost uregulowania zezwalającego na przetwarzanie danych osobowych o których mowa w art. 10 RODO oraz nie odniesiono się do tego aspektu w żaden inny sposób.
W ocenie komentujących możliwe są w szczególności dwa podejścia dot. dopuszczalności przetwarzania danych osobowych w tym zakresie:
- możliwość przetwarzania danych w ramach zgłaszania naruszeń prawa, jedynie w zakresie wynikającym z przepisów sektorowych – np. (i) konieczność pozyskania informacji o niekaralności przez osoby zatrudnione do pracy z dziećmi na podstawie ustawy z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich (t.j. Dz. U. z 2024 r. poz. 560), a także (ii) obowiązek weryfikacji karalności pracowników ochrony, a w przypadku przedsiębiorcy innego niż osoba fizyczna, dodatkowo osób, o których mowa w art. 17 ust. 1 pkt 2 ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (t.j. Dz. U. z 2021 r. poz. 1995).
- ogólna możliwość przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa – w tym przypadku brakuje jednak wyraźnej podstawy prawnej, która legalizowałaby takie działanie, pomimo odniesienia się ustawodawcy do art. 10 w uzasadnieniu do projektu Ustawy.
W ocenie komentujących, dla spełnienia celu regulacji z zakresu ochrony sygnalistów – korzystniejszym podejściem jest drugie z wyżej wymienionych, tj. ogólna możliwość przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa w ramach systemów zgłaszania naruszeń.
Wobec powyższego, wyjaśnienia wymaga, jakie podejście jest akceptowane przez Urząd.
Należy zwrócić uwagę, że w przypadku węższego rozumienia przepisów – dane, o których mowa w art. 10 RODO pojawiające się w zgłoszeniach, a które nie są uregulowane w przepisach sektorowych (np. informacje o korupcji) będzie należało traktować jako dane nadmiarowe i zgodnie z art. 8 ust. 4 Ustawy, usunąć niezwłocznie nie później niż w terminie 14 dni od dnia stwierdzenia ich dalszej nieprzydatności – nawet, gdy stanowią one integralną, kluczową do oceny zgłoszenia okoliczność.
W przypadku szerszego podejścia – zagadnienie może natomiast wymagać podjęcia zmian legislacyjnych w Ustawie celem umożliwienia przez podmioty prawne przetwarzania danych osobowych o których mowa w art. 10 RODO. Dodatkowo, w takim przypadku konieczne może się okazać wskazanie odpowiedniego podejścia przez Urząd w okresie do czasu ich ewentualnego wprowadzenia.
4. Ocena skutków dla ochrony danych (DPIA)
Zgodnie z art. 35 ust. 1 RODO, ocenę skutków dla ochrony danych osobowych należy przeprowadzić, jeżeli ze względu na charakter, zakres, kontekst i cele przetwarzania danych osobowych, przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Biorąc pod uwagę charakter procesu przetwarzania (zgłaszanie naruszeń prawa), przetwarzanie w ramach procesu danych osób wymagających szczególnej opieki (m.in. pracownicy, kandydaci do pracy) oraz potencjalną możliwość przetwarzania danych osobowych należących do szczególnej kategorii oraz dane dotyczące wyroków skazujących i czynów zabronionych – należy stwierdzić, że proces z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
Zgodnie z Komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 roku w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, w którym wskazano w ramach rodzajów operacji przetwarzania, dla których wymagane jest przeprowadzenie oceny – przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi (jako przykład wskazano "systemy służące do zgłaszania nieprawidłowości (whistleblowing)").
Jednocześnie, nie ma zastosowania wyjątek określony w art. 35 ust. 10 RODO z uwagi na brak przeprowadzenia oceny skutków dla ochrony danych w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej.
Biorąc pod uwagę powyższe, należy stwierdzić, że przeprowadzenie oceny skutków dla ochrony danych dla procesu przetwarzania danych osobowych w ramach zgłaszania naruszeń prawa, będzie z dużym prawdopodobieństwem obowiązkowe ze względu na wysokie ryzyko naruszenia praw lub wolności sygnalistów oraz osób, których dotyczy zgłoszenia. Finalna ocena konieczności przeprowadzenia oceny skutków dla podmiotów danych będzie jednak uzależniona od specyfiki wdrożenia systemu zgłoszeń naruszeń prawa w danej organizacji (przyjętych rozwiązań) oraz wyniku przeprowadzonej analizy ryzyka.
5. Realizacja obowiązku informacyjnego – sygnalista
Informacja o przetwarzaniu danych osobowych pozyskanych bezpośrednio od osoby, której dane dotyczą, powinna być przekazana podczas pozyskiwania danych osobowych (zgodnie z art. 13 ust. 1 RODO).
W praktyce oznacza to, że informacja o zasadach przetwarzania danych osobowych powinna zostać przekazana sygnaliście podczas dokonywania zgłoszenia naruszeń prawa (np. w przypadku dokonywania zgłoszenia naruszenia prawa w dedykowanej platformie – klauzula może zostać umieszczona przed faktycznym wysłaniem zgłoszenia, w taki sposób, aby zapewnić możliwość zapoznania się z jej treścią, a dodatkowo dopuszczalne powinno być uzależnienie wysyłki zgłoszenia od oznaczenia checkboxa dotyczącego zapoznania się z treścią klauzuli informacyjnej).
Zasadnym byłoby również dopuszczenie w przypadku przekazania zgłoszenia naruszenia prawa za pomocą innych kanałów zgłoszeń (np. pocztą tradycyjną, pocztą elektroniczną itp.) możliwości przekazania informacji o zasadach przetwarzania danych osobowych niezwłocznie od momentu, w którym jest to możliwe (a nie w momencie faktycznego pozyskiwania danych osobowych). Takie stanowisko zostało zaaprobowane przez CNIL w Poradniku.
Dobrym rozwiązaniem byłoby umieszczenie informacji o zasadach przetwarzania danych osobowych w ogólnodostępnym miejscu celem umożliwienia sygnalistom zapoznania się z jej treścią nawet przed wysyłką zgłoszenia np. na stronie internetowej.
Przyjąć należy, że zastosowanie ww. form jednocześnie byłoby dobrą praktyką, zgodnie z stanowiskiem Europejskiego Inspektora Ochrony Danych (dalej: „EIOD”) wyrażonym w wytycznych dotyczących przetwarzania danych osobowych w ramach procesu zgłaszania nieprawidłowości (Guidelines on processing personal information within a whistleblowing procedure, dalej: „Wytyczne”).
6. Realizacja obowiązku informacyjnego – osoby inne niż sygnalista
W przypadku innych osób niż sygnalista, których dane osobowe są przetwarzane w związku ze zgłoszeniem naruszenia prawa (tj. osoba, której dotyczy zgłoszenie, osoby trzecie wskazane w zgłoszeniu, osoby powiązane z sygnalistą, osoby pomagające w zgłoszeniu oraz inne osoby biorące udział w postępowaniu wyjaśniającym), informację o zasadach przetwarzania danych osobowych należy przekazać odpowiednio:
- w momencie ich zebrania od osoby, której dane dotyczą;
- w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych; lub
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Należy jednak umożliwić opóźnienie przekazania informacji o zasadach przetwarzania danych osobowych w przypadku osób, których dotyczy zgłoszenie z uwagi na prawdopodobieństwo uniemożliwienia lub poważnego utrudnienia realizacji celów przetwarzania – na podstawie art. 14 ust. 5 lit. b RODO. W szczególności okoliczności takie mogą występować w przypadkach: (i) braku zakończenia postępowania wyjaśniającego w terminie 1 miesiąca lub (ii) jeżeli przed tym terminem następuje przekazanie danych innemu odbiorcy np. organom ścigania. Podkreślenia wymaga, że administratorzy nie powinni całkowicie rezygnować z spełnienia obowiązku informacyjnego wobec osób, których dane dotyczą, ale wyłącznie opóźnić jego spełnienie do czasu usunięcia przeszkody uniemożliwiającej lub poważnie utrudniającej realizację celów przetwarzania. Stanowisko zostało zaaprobowane przez EIOD w Wytycznych.
Dodatkowo, podkreślenia wymaga, że zgodnie z art. 8 ust. 4 Ustawy informacji o źródle pozyskania danych osobowych o której mowa w art. 14 ust. 2 lit. f RODO, nie podaje się za wyjątkiem sytuacji, w których sygnalista wyraził zgodę na ujawnienie danych osobowych lub nie spełnia warunków objęcia go ochroną (tj. sygnalista podlega ochronie od chwili dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem, że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa). W ocenie komentujących, dozwolona powinna być jednak praktyka pośrednia polegająca na ogólnym wskazaniu źródła pozyskania danych (np. „dane osobowe zostały pozyskane w ramach zgłoszenia naruszenia prawa” lub „dane osobowe zostały przekazane przez sygnalistę”). Takie rozwiązanie umożliwiałoby wskazanie źródła pozyskania danych przy jednoczesnym zachowaniu anonimowości sygnalisty lub innych osób, od których pozyskano dane osobowe (zagwarantowanie poufności danych osobowych).
Ponadto należy zauważyć, że źródłem pozyskania danych osobowych mogą być inne podmioty niż sygnalista (np. świadkowie w ramach prowadzonego postępowania wyjaśniającego), a w tym zakresie nie powinno łączyć się braku możliwości udzielenia informacji o źródle pozyskania danych z ewentualnym wyrażeniem zgody przez sygnalistę na ujawnienie danych osobowych lub brakiem objęcia sygnalisty ochroną. W ocenie komentujących, wprowadzone obostrzenie nie uwzględnia innych źródeł pozyskania danych osobowych niż sygnalista, a w konsekwencji może prowadzić do trudności interpretacyjnych przez administratorów danych osobowych.
7. Zgoda sygnalisty na ujawnienie danych osobowych
Zgodnie z art. 8 Ustawy dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty. Komentujący podzielają pogląd tut. Urzędu wyrażony w piśmie z dnia 30.05.2024 r. skierowanym do Marszałka Sejmu RP (dalej: „Pismo”) w zakresie konieczności zastosowania zasad dotyczących wyrażenia zgody na podstawie RODO, w zakresie zgody sygnalisty na ujawnienie danych osobowych. Zgoda powinna zostać odebrana w sposób dobrowolny, a jej wycofanie powinno być możliwe w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Dobrym rozwiązaniem byłoby podkreślenie, że zgoda sygnalisty może zostać pozyskana w postaci działania potwierdzającego przez sygnalistę np. w formie oznaczenia checkboxa zawierającego zgodę na ujawnienie danych osobowych podczas składania zgłoszenia naruszenia prawa lub wyboru możliwego kanału dokonania zgłoszenia (np. zgłoszenie jawne umożliwiające ujawnienie danych osobowych sygnalistów).
8. Ujawnienie danych osobowych sygnalisty osobom „nieupoważnionym”
Zgodnie z art. 8 Ustawy, dane osobowe sygnalisty mogą zostać ujawnione osobom nieupoważnionym w przypadku wyrażenia przez sygnalistę zgody na ich ujawnienie.
W ocenie komentujących, przyjęte sformułowanie odnoszące się do ujawnienia danych osobowych sygnalisty „osobom nieupoważnionym” jest dosyć niefortunne i może powodować trudności interpretacyjne. W odczuciu potocznym, przywołuje to na myśl sytuację ujawienia poufnych danych osobie, która nie powinna być profesjonalnie zainteresowana danym zagadnieniem, najczęściej spoza organizacji przedsiębiorcy – powodując tym samym poczucie obawy o bezpieczeństwo danych. Dodatkowo, pozostając w tematyce ochrony danych osobowych – potencjalnie ujawnienie danych osobowych osobom nieupoważnionym – jako nieupoważnionym do przetwarzania danych osobowych w odpowiednim zakresie, stanowiłoby naruszenie ochrony danych osobowych (naruszenie poufności danych osobowych).
Dlatego, mając na względzie cel mechanizmu ujawnienia danych osobowych na podstawie Ustawy oraz faktyczny katalog osób, które poczytywać należałoby za osoby „nieupoważnione” w rozumieniu Ustawy (przykładowo – osoby, której dotyczy zgłoszenie lub świadek biorący udział w postępowaniu wyjaśniającym), zasadnym byłoby podkreślenie w wytycznych Urzędu, że takie ujawnienie ma miejsce w granicach prawa (dobrowolnie, na podstawie zgody sygnalisty) i pozwala na prowadzenie postępowania w wariancie dopuszczalnym przez Ustawę, a tym samym nie powoduje naruszenia ochrony danych osobowych, w rozumieniu RODO (zatarcie „wrażenia” obawy wywołanego przez niefortunne sformułowanie Ustawy).
9. Realizacja prawa do sprostowania danych
W przypadku systemu zgłaszania naruszeń prawa, realizacja prawa do sprostowania danych osobowych o którym mowa w art. 16 RODO nie może polegać na modyfikowaniu danych zawartych w zgłoszeniu naruszenia prawa lub gromadzonych w ramach prowadzonego postępowania wyjaśniającego.
Realizacja prawa do sprostowania danych będzie polegała na pozostawieniu danych pierwotnych wraz z umieszczeniem dodatkowej adnotacji o ich sprostowaniu. Komentujący popierają w tym zakresie stanowisko CNIL, który w wydanym Poradniku wskazał, że w przypadku systemów informowania o nieprawidłowościach nie może być możliwe modyfikowanie z mocą wsteczną informacji zawartych we wpisie lub zebranych w trakcie dochodzenia.
Skorzystanie z tego prawa, o ile jest dozwolone, nie może uniemożliwić odtworzenie chronologii wszelkich zmian dokonanych w ważnych elementach dochodzenia. Skorzystanie z prawa możliwe jest w celu sprostowania danych faktycznych, których prawidłowość może zostać zweryfikowana przez administratora danych na podstawie dokumentacji dowodowej, bez usuwania lub zastępowania pierwotnie zebranych danych, nawet jeśli są one nieprawidłowe.
10. Realizacja prawa dostępu do danych
Zgodnie z art. 8 ust. 6 Ustawy – przepisu art. 15 ust. 1 lit. g RODO nie stosuje się w zakresie informacji o źródle pozyskania danych osobowych, za wyjątkiem sytuacji, w których sygnalista wyraził zgodę na ujawnienie swoich danych osobowych lub nie spełnia warunków objęcia go ochroną (tj. sygnalista podlega ochronie od chwili dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem, że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa).
W ocenie komentujących należałoby jednak dopuścić możliwość ogólnego wskazania źródła pozyskania danych osobowych (przykładowo: dane osobowe zostały pozyskane w ramach zgłoszenia naruszenia prawa), które choć dostarcza informacji o źródle pozyskania danych, nie ujawnia tożsamości sygnalisty i gwarantuje zachowanie jego danych w poufności. Jednocześnie podkreślenia wymaga, że realizacja prawa dostępu do danych powinna obejmować każdorazowo szczegółową analizę możliwości podania informacji o źródle pozyskania danych osobowych w świetle jego wyłączenia w Ustawie.
Podkreślenia wymaga, że wyłączenie zawarte w Ustawie nie uwzględnia sytuacji pozyskania danych osobowych z innego źródła niż sygnalista (np. świadkowie uczestniczący w postępowaniu wyjaśniającym), co może powodować trudności interpretacyjne w zakresie możliwości wskazania ich jako źródło pozyskania danych osobowych. Nieprawidłowym działaniem jest skorelowanie możliwości realizacji prawa dostępu do danych w zakresie udzielenia informacji o źródle pozyskania danych osobowych od uzyskania zgody sygnalisty na ujawnienie danych osobowych lub braku objęcia sygnalisty ochroną prawną. W naszej ocenie, zasadne jest zagwarantowanie poufności danych osobowych osób, które przekazały informacje, co jednak nie wyklucza wprost możliwości podania informacji o źródle pozyskania danych wobec możliwości jego przekazanie w bardziej ogólnej formie.
Podczas realizacji prawa dostępu do danych osobowych zgłoszonego przez osobę, której dotyczy zgłoszenie, należy zwrócić szczególną uwagę na zakres przekazywanych informacji celem zachowania poufności sygnalisty lub innych osób, które przekazały informacje. EIOD w Wytycznych podkreśla, że w przypadku części dokumentów mogą one pośrednio pozwalać na identyfikację sygnalisty lub innych osób (np. świadków), nawet jeśli w ich treści nie znajdują się konkretne dane osobowe tych osób. Przykładowo zgłoszenie naruszenia prawa może pośrednio pozwalać na identyfikację podmiotu danych z uwagi na kontekst oraz okoliczności zdarzeń wskazanych w zgłoszeniu, a które dotyczyły zarówno sygnalisty, jak i osoby, której dotyczy zgłoszenie – w takim przypadku nawet usunięcie danych osobowych sygnalisty może nie zagwarantować faktycznego braku możliwości jego identyfikacji. W takim przypadku, administratorzy powinni odstąpić od realizacji prawa dostępu do danych osobowych w tym zakresie z uwagi na brak możliwości ujawnienia tożsamości sygnalisty (co nie dotyczy sytuacji, w których sygnalista wyraził zgodę na ujawnienie danych osobowych lub nie spełnia przesłanek objęcia go ochroną).
11. Realizacja prawa do sprzeciwu
Prawo do wniesienia sprzeciwu o którym mowa w art. 21 RODO, przysługuje wyłącznie w przypadku przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. e lub f RODO. Prawo do sprzeciwu nie znajdzie zastosowania w przypadku podmiotów zobowiązanych do wdrożenia systemu zgłoszeń naruszeń prawa, oraz które przetwarzają dane osobowe na podstawie art. 6 ust. 1 lit. c RODO (szersze wyjaśnienie w pkt. 1 powyżej).
W przypadku podmiotów, które nie są zobowiązane do wdrożenia systemu zgłoszeń naruszeń prawa, ale dokonują jego wdrożenia na zasadzie dobrowolności zgodnie z art. 24 ust. 2 Ustawy, a podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), powinny umożliwić podmiotom danych wniesienie sprzeciwu wobec przetwarzania danych osobowych.
Biorąc pod uwagę kontekst i charakter przetwarzania danych osobowych, z dużym prawdopodobieństwem istnieć będą ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Podkreślenia również wymaga, że wniesienie sprzeciwu wobec przetwarzania danych osobowych wymaga wykazania przez podmiot danych istnienia przyczyn związanych z jego szczególną sytuację wobec czego realizacja prawa do sprzeciwu nie powinna następować automatycznie. Podmioty powinny być zobowiązane do szczegółowej analizy każdego zgłoszonego przypadku wniesienia sprzeciwu wobec przetwarzania danych osobowych z możliwością uwzględniania ww. okoliczności. Stanowisko zostało zaaprobowane przez CNIL w Poradniku.
12. Rejestr zgłoszeń wewnętrznych a zgłoszenia anonimowe
Zgodnie z art. 7 Ustawy, przyjmowanie zgłoszeń w formie anonimowej jest dobrowolne, co oznacza, że każdy z administratorów danych powinien dokonać samodzielnej decyzji w zakresie wprowadzenia takiej możliwości.
Jednocześnie, na podmiotach ciąży obowiązek prowadzenia rejestru zgłoszeń wewnętrznych, którego zakres został określony w art. 29 ust. 4 Ustawy. W ramach rejestru należy uwzględnić m.in. dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób, a także adres do kontaktu sygnalisty. Komentujący podzielają w tym zakresie opinię Urzędu przedstawioną w Piśmie, dotyczącą braku jednoznaczności przepisów Ustawy w tym zakresie.
Należałoby zatem wskazać, że w przypadku dokonania zgłoszenia anonimowego lub braku dysponowania adresem do kontaktu sygnalisty, koniecznym jest odstąpienie od uwzględniania tych informacji w rejestrze zgłoszeń wewnętrznych.
Podkreślenia wymaga, że podmioty prawne często decydują się na umożliwienie zgłaszania naruszeń prawa poprzez zewnętrzne platformy, które za pomocą metod szyfrujących pozwalają na dokonanie zgłoszenia oraz prowadzenie dalszej korespondencji poprzez platformę, co powoduje brak konieczności wskazywania przez sygnalistów adresu do kontaktu (będzie to zatem stanowić bardzo częsty problem w zakresie braku możliwości uzupełnienia tej części rejestru zgłoszeń wewnętrznych). Za nieprawidłową należałoby uznać praktykę podejmowania przez administratorów dodatkowego kontaktu z sygnalistą wyłącznie w celu ustalenia informacji, których uwzględnienie jest wymagane w rejestrze zgłoszeń wewnętrznych.
13. Wspólne zasady przyjmowania i weryfikacji zgłoszeń (podmioty niepowiązane)
Zgodnie z art. 28 ust. 3 Ustawy podmioty prywatne, na rzecz których wykonuje pracę zarobkową co najmniej 50, lecz nie więcej niż 249 osób, mogą na podstawie umowy ustalić wspólne zasad dotyczące przyjmowania i weryfikacji zgłoszeń wewnętrznych i prowadzenia postępowania wyjaśniającego, pod warunkiem zapewnienia zgodności wykonywanych czynności z Ustawą. Jednocześnie zgodnie z art. 28 ust. 6 ww. podmioty pozostają odrębnymi administratorami danych osobowych pozyskanych w związku z przyjmowaniem i weryfikacją zgłoszeń oraz nie mają dostępu do danych pozyskanych przez innego administratora.
W ocenie komentujących, celem wprowadzenia ww. regulacji było określenie ról podmiotów danych w ramach procesu przetwarzania danych osobowych, działających jako odrębni administratorzy danych osobowych. W takim przypadku wyklucza się możliwość istnienia współadministrowania danymi osobowymi. Podkreślenia jednak wymaga, że taka konstrukcja nie wyklucza możliwości powierzenia przetwarzania danych osobowych do jednego z podmiotów ustanawiających wspólny kanał zgłoszeń naruszeń prawa, tzn. podmioty pozostają odrębnymi administratorami danych osobowych w zakresie w jakim dokonane zgłoszenie naruszenie prawa jest kierowane do ich organizacji, ale inny podmiot (który również uczestniczy w ustanowieniu wspólnego kanału zgłoszeń) jest odpowiedzialny za przyjęcie zgłoszenia, przekazanie informacji zwrotnej oraz dostarczanie informacji na temat procedury – działając w charakterze podmiotu przetwarzającego.
Intencją wprowadzenia braku możliwości wzajemnego dostępu do danych przetwarzanych w ramach zgłoszenia mogło być uniemożliwienie wykorzystywania pozyskanych danych osobowych do innych celów przez pozostałych administratorów danych osobowych. Potwierdza to uzasadnienie do projektu Ustawy, w którym wskazano, że „projektowany przepis ma zatem na celu wprowadzenie do ustawy powyższych postanowień Dyrektywy, jednocześnie rozgraniczając uprawnienia poszczególnych administratorów w powyższych przypadkach, w zakresie przetwarzanych danych osobowych, zgodnie z obowiązującymi przepisami RODO.”
Biorąc pod uwagę, charakter powierzenia przetwarzania danych osobowych, w tym w szczególności związanie podmiotu przetwarzającego instrukcjami administratora oraz brak możliwości wykorzystywania danych osobowych do innych celów niż wyraźnie wskazane w ramach dokonywanych poleceń lub łączącej strony umowy powierzenia przetwarzania danych, należałoby umożliwić powierzenie przetwarzania danych osobowych do podmiotu biorącego udział w ustanowieniu jednego kanału zgłoszeń naruszeń prawa, jako gwarantującego rozgraniczenie odpowiedzialności poszczególnych administratorów w zakresie przetwarzania danych osobowych zgodnie z RODO. W takim przypadku nie dochodzi do zmiany lub zmniejszenia odpowiedzialności administratora danych osobowych za przetwarzane dane.
14. Wspólna procedura zgłoszeń wewnętrznych (grupa kapitałowa)
W ocenie komentujących, zasadne będzie potwierdzenie w wytycznych optyki Urzędu wobec możliwych przepływów danych osobowych w przypadku systemów zgłoszeń naruszeń prawa przyjętych dla grup kapitałowych.
Zgodnie z art. 28 ust. 8 Ustawy podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt. 14 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r. poz. 594) mogą ustalić wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z Ustawą.
Należałoby przyjąć, że relacja przetwarzania danych osobowych zależeć będzie każdorazowo od okoliczności przetwarzania, które podmioty należące do grupy kapitałowej mogą dowolnie kształtować, tj. teoretycznie możliwe będzie przyjęcie działania przedsiębiorstw należących do grupy kapitałowej, jako:
- odrębnych administratorów – przy czym, w tym miejscu należy podkreślić, że zgodnie z Motywem 48 RODO, grupy kapitałowe mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych;
- współadministrowania (w tym zakresie, należy zwrócić uwagę na brak zastosowania do grup kapitałowych ograniczeń opisywanych w art. 28 ust. 6 Ustawy – a zatem przyjęcie „opieki” nad bazą zgłoszeń na zasadach współadministrowania nie powinno być wykluczone);
- powierzenia przetwarzania danych osobowych (w szczególności, gdy jeden z podmiotów należących do grupy świadczyć będzie na rzecz pozostałych usługi przyjmowania i obsługi zgłoszeń).
W ocenie komentujących, możliwe jest ustanowienie przez podmioty należące do grupy kapitałowej, wspólnego kanału zgłoszeń naruszeń prawa. W tym zakresie, częściowo (przy uwzględnieniu specyfiki Ustawy – o czym poniżej), w zakresie praktycznych aspektów funkcjonowania kanału oraz komunikacji z sygnalistami, zastosowania znaleźć mogą wytyczne Komisji Europejskiej wyrażone w piśmie z dnia 02.06.2021 r. (sygn. JUST/C2/MM/rp/(2021)3939215), w tym m.in. konieczność zagwarantowania, że:
- kanały zgłoszeń istnieją i pozostają dostępne na poziomie spółki zależnej;
- udzielenie informacji, że osoba wyznaczona na poziomie centralnym będzie uprawniona do dostępu do zgłoszenia;
- sygnalista ma możliwość złożenia sprzeciwu i żądania żeby postępowanie wyjaśniające było prowadzone wyłącznie na poziomie spółki zależnej;
- wypełnia się pozostałe obowiązki (np. udzielenie informacji zwrotnej).
Komentujący mają na względzie brak mocy prawnej pisma Komisji Europejskiej, jednak z uwagi na trudności interpretacyjne, wydawane stanowiska Komisji Europejskiej pozwalają na zagwarantowanie jednolitego stosowania przepisów Dyrektywy. Komisja Europejska stoi na stanowisku, że kwestia możliwości ustanowienia jednego kanału zgłoszeń naruszeń prawa w przypadku grup kapitałowych pozostaje do uwzględnienia w przepisach krajowych implementujących Dyrektywę. W przypadku polskiego ustawodawcy zdecydował się on na zagwarantowanie takiej możliwości.
Podkreślenia wymaga, że art. 28 ust. 8 Ustawy nie znajdował się co prawda w pierwotnym projekcie Ustawy, ale został dodany na etapie prac sejmowej Komisji Polityki Społecznej i Rodziny. Po zaproponowaniu poprawki w zakresie art. 28 ust. 8 Ustawy, Ministerstwo Pracy i Polityki Społecznej wyraziło opinię, że poprawka powinna być interpretowana szeroko i będzie pozwalała na podzielenie się działaniami w ramach grupy kapitałowej, tj. możliwość prowadzenia postępowań wyjaśniających przez spółkę matkę w ramach grupy kapitałowej (zapis przebiegu posiedzenia Komisji Polityki Społecznej i Rodziny z dnia 21.05.2024 r.).
Należy wskazać, że Komisja Europejska w ww. wytycznych wskazywała, że ustanowienie jednego kanału zgłoszeń nieprawidłowości w grupach kapitałowych powinno być możliwe, jeżeli spółka zależna jest średniej wielkości, tj. zatrudnia od 50 do 249 osób wykonujących pracę zarobkową. Przy czym, w związku z wprowadzeniem regulacji w Ustawie, dopuszczającej możliwość wprowadzenia jednej procedury zgłoszeń naruszeń prawa w grupach kapitałowych bez ograniczeń w zakresie wielkości zatrudnienia, a zatem ww., wspomniany warunek co do wielkości spółki zależnej nie znajdzie zastosowania w zakresie przedsiębiorstw objętych Ustawą. Oznacza to zielone światło dla możliwości uczestnictwa we wspólnym kanale zgłoszeń naruszeń prawa przyjętego w grupie kapitałowej dla podmiotów zatrudniających więcej niż 249 osób (co nie byłoby możliwe w przypadku wspólnego kanału zgłoszeń dla podmiotów niepowiązanych) lub mniej niż 50 osób (wdrożenie fakultatywne).
15. Dobre praktyki
Dobrym rozwiązaniem w zakresie ochrony danych osobowych byłoby opracowanie przez Urząd porad dotyczących przetwarzania danych osobowych w ramach procesu zgłaszania naruszeń prawa, przykładowo:
- zakomunikowanie sygnalistom konieczności przekazywania informacji opartych na faktach oraz bezpośrednio związanych z przedmiotem zgłoszenia celem minimalizacji przetwarzania danych nadmiarowych. Informacja mogłaby zostać przekazana w ramach komunikacji informującej o wprowadzeniu możliwości zgłaszania naruszeń prawa w organizacji. Stanowisko zostało zaaprobowane przez CNIL w Poradniku;
- powstrzymanie się przez administratorów danych od wszelkich prób ponownej identyfikacji sygnalistów, którzy chcieli dokonać zgłoszenia anonimowo np. poprzez umieszczanie plików cookies lub modułów śledzących na urządzeniu końcowym użytkowników lub gromadzenie i sprawdzanie informacji takich jak adres IP itp. Stanowisko zostało zaaprobowane przez CNIL w Poradniku;
- przedstawienie przykładów danych osobowych, które potencjalnie nie mają znaczenia dla rozpatrywania zgłoszenia np. pracownik dokonuje zgłoszenia naruszenia prawa w postaci korupcji, przy okazji zawiera informacje o stanie zdrowia pracownika, który dopuścił się czynu zabronionego. Dane o zdrowiu stanowią szczególne kategorie danych osobowych i można z dużym prawdopodobieństwem stwierdzić, że dane te nie mają znaczenia dla rozpatrywania sprawy więc powinny zostać usunięte niezwłocznie, nie później niż w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy;
- przedstawienie przykładowych środków bezpieczeństwa w ramach systemu zgłoszeń naruszeń prawa (przykładowo - podnoszenie świadomości użytkowników, uwierzytelnianie użytkowników, zarządzanie uprawnieniami, śledzenie dostępu i zarządzanie incydentami, zabezpieczanie stacji roboczych, zabezpieczanie narzędzi pracy, ochrona wewnętrznych systemów IT, zabezpieczenia serwerów, zabezpieczanie stron internetowych, planowanie kopii zapasowych i ciągłości działania, bezpieczna archiwizacja, nadzór nad usuwaniem danych osobowych, zarządzanie podwykonawstwem, zapewnienie wymiany danych osobowych, ochrona pomieszczeń).