Autor: Zespół Kancelarii CMS: Adriana Zdanowicz – Leśniak, Agnieszka Górecka, Magdalena Zajęcka
- Obowiązek informacyjny - możliwość spełnienia obowiązku informacyjnego w ramach jednego dokumentu np. polityki prywatności
Podstawa prawna: Art. 13-14 RODO oraz art. 8 ust. 5-6 Ustawy
Wyjaśnienie: Postulujemy dopuszczenie spełnienia obowiązku informacyjnego wynikającego z RODO w jednym dokumencie – np. polityce prywatności – zarówno wobec sygnalisty, osoby, której dotyczy zgłoszenie (uwzględniając przepisy Ustawy) oraz osób trzecich, których dane mogą być przetwarzane w ramach postępowania wyjaśniającego. W naszej ocenie ani przepisy RODO, ani przepisy Ustawy nie zakazują takiego postępowania. Oczywiście uwzględnić należy odrębności wynikające z zakresu przekazanych danych osobie, której dotyczy zgłoszenie czy samych sygnalistów, którzy mogą nie być pracownikami lub osobami współpracującymi z podmiotami prawnymi na podstawie innej niż umowa o pracę.
- Obowiązek informacyjny - dopuszczalność wstrzymania się z obowiązkiem informacyjnym wobec osoby, której dotyczy zgłoszenie sygnalisty
Podstawa prawna: Art. 14 ust. 3 lit. a RODO w zw. z art. 14 ust. 5 lit. b RODO oraz art. 8 ust. 5-6 Ustawy
Wyjaśnienie: Wskazujemy, że konieczność spełnienia obowiązku informacyjnego w czasie przewidzianym przez RODO (najpóźniej w ciągu miesiąca) może wpłynąć na dalszy etap analizy zgłoszenia lub wręcz doprowadzić do zniweczenia postępowania prowadzonego na skutek zgłoszenia przez sygnalistę, bądź też skutkować negatywnymi działaniami w stosunku do sygnalisty, na które podmiot prawny nie będzie w stanie zareagować odpowiednio szybko. W naszej ocenie, ważnym jest potwierdzenie – przez Prezesa UODO – możliwości skorzystania z wyjątku przewidzianego w art. 14 ust. 5 lit. b RODO.
- Zgoda - pojęcie wyraźnej zgody udzielonej przez sygnalistę na ujawnienie danych oraz na przekazanie informacji o źródle
Podstawa prawna: Art. 7 RODO oraz art. 8 ust. 1, 5-6 Ustawy
Wyjaśnienie: Mimo braku odwołania się przez Ustawodawcę do wymogów wyrażenia zgody wskazanych w art. 7 RODO rozumiemy, że zarówno do pojęcia „zgody”, jak i „wyraźnej zgody”, którymi posługuje się Ustawa, należy stosować przepisy RODO. Takiej zgody Ustawa wymaga chociażby na nagranie rozmowy z sygnalistą.
Dodatkowo, art. 8 ust. 1 oraz ust. 5 Ustawy wskazują na odpowiednio „wyraźną zgodę” lub „wyraźną zgodę na ujawnienie swojej tożsamości” (tak ust. 5), natomiast ust. 6 wskazuje, że „(sygnalista) wyraził wyraźną zgodę na takie (informacje o źródle) przekazanie”. Czy w ocenie Prezesa UODO wskazane zgody – jeśli zostaną udzielone – powinny zostać odrębnie zebrane a) w stosunku do ujawnienia danych sygnalisty osobom nieupoważnionym (w nawiązaniu do art. 8 ust. 1 oraz ust. 5 Ustawy) oraz odrębnie b) na ujawnienie danych o źródle (art. 8 ust. 6 Ustawy)? Stanowisko Prezesa UODO byłoby w tym zakresie pomocne.
- Możliwość przetwarzania danych dot. wyroków skazujących
Podstawa prawna: Art. 10 RODO i art. 8 Ustawy
Wyjaśnienie: W naszej ocenie treść zgłoszenia sygnalisty może zawierać dane dot. „wyroków skazujących i naruszeń prawa”. Czy w ocenie Prezesa UODO, jeśli podmiot prawny (którym może być np. prawodawca) otrzyma - w ramach zgłoszenia od sygnalisty - informację dotyczącą wyroku skazującego lub naruszenia prawa, może na podstawie Ustawy takie dane przetwarzać? Jeśli nie, czy w ocenie Prezesa UODO prawidłowe postępowanie to usunięcie w terminie 14 dni tych danych jako „niemających znaczenia dla rozpatrywania zgłoszenia” (art. 8 ust. 4 Ustawy)? Stanowisko Prezesa UODO byłoby w tym zakresie pomocne.
- Postępowanie z anonimowymi zgłoszeniami
Podstawa prawna: art. 7 ust. 1 Ustawy oraz art. 25 ust. 1 pkt 4 Ustawy
Wyjaśnienie: Ustawa dopuszcza możliwość przyjmowania przez podmiot prawny zgłoszeń dokonanych anonimowo. Czy w ocenie Prezesa UODO, jeśli podmiot prawny dopuści możliwość przyjmowania takich zgłoszeń, czy ich odnotowanie w wewnętrznym rejestrze prowadzonym przez podmiot prawny będzie dopuszczalne? W takim rejestrze mogą być zawarte dane osobowe osób, których dotyczy zgłoszenie lub dane kontaktowe sygnalisty. Stanowisko Prezesa UODO byłoby w tym zakresie pomocne.
- Brak wskazania adresu do kontaktu
Podstawa prawna: art. 25 ust. 1 pkt 2, 5, 7 Ustawy
Wyjaśnienie: Ustawa wskazuje na szereg obowiązków, które podmiot prawny musi wypełnić w konkretnym czasie np. 7 dni lub 3 miesięcy. Czy w ocenie Prezesa UODO, jeśli sygnalista nie podał adresu do kontaktu takie zgłoszenie należy usunąć czy mimo tego braku należy przetwarzać dane osobowe w takim zgłoszeniu i dokonać analizy samego zgłoszenia? Jeśli tak, to rozumiemy, że jedynie sam obowiązek informowania sygnalisty o zgłoszeniu i jego dalszych etapach jest wyłączony.
- Nadanie upoważnienia a skorzystanie z usług podmiotu zewnętrznego
Podstawa prawna: art. 28 ust. 3 RODO, art. 25 ust. 1 pkt 1 Ustawy w zw. z art. 28 Ustawy
Wyjaśnienie: Ustawa dopuszcza możliwość skorzystania z usług podmiotu zewnętrznego (art. 28 ust. 1 i 2 Ustawy). Czy w ocenie Prezesa PUODO takiemu podmiotowi zewnętrznemu i/lub jego personelowi muszą zostać nadane upoważnienia, o których mowa w art. 25 ust. 1 pkt 1 Ustawy? Czy zawarcie umowy powierzenia przetwarzania danych zawierającej wszystkie elementy z art. 28 ust. 3 RODO jest wystarczające i można taki podmiot zewnętrzny uznać za upoważniony w rozumieniu Ustawy? Ważnym zagadnieniem jest również kwestia, który z podmiotów powinien takie upoważnienia nadać w stosunku do swojego personelu, czy podmiot zewnętrzny czy sam podmiot prawny? Stanowisko Prezesa UODO byłoby w tym zakresie pomocne.
- Przetwarzanie danych w grupie kapitałowej - dopuszczanie współadministrowania danymi
Podstawa prawna: art. 28 ust. 3 Ustawy w zw. z art. 28 ust. 6 Ustawy
Wyjaśnienie: W naszej ocenie, mimo brzmienia art. 28 ust. 6 Ustawy, w grupach kapitałowych może dojść do współadministrowania danymi sygnalistów, np. kiedy zgłoszenie dotyczy kliku spółek zlokalizowanych w Polsce. Wskazujemy, że art. 28 ust. 6 Ustawy, zgodnie z którym podmioty prawne powinny działać jako odrębni administratorzy, jest adresowany do podmiotów z ust. 3 tego artykułu, tj. podmiotów ustalających wspólne „zasady dotyczące przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz prowadzenia postępowania wyjaśniającego”, natomiast wyjątek z art. 28 ust. 8 nie stanowi o odpowiednim stosowaniu powyższego przepisu (Art. 28 ust. 6 Ustawy). Stanowisko Prezesa UODO byłoby w tym zakresie pomocne.
- Przetwarzanie danych w grupie kapitałowej - wspólna procedura dla grupy kapitałowej
Podstawa prawna: art. 24 ust. 1 Ustawy oraz art. 28 ust. 3 Ustawy
Wyjaśnienie: Art. 28 ust. 3 Ustawy upoważnia podmioty należące do grupy kapitałowej do ustalenia wspólnej procedury zgłoszeń wewnętrznych. Wskazana procedura w art. 24 ust. 1 Ustawy jest określona jako „procedura dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych”. A zatem, wykładnia systemowa sugeruje możliwość zlecenia przetwarzania danych sygnalistów również w zakresie, w jakim dotyczy to działań następczych. Czy w ocenie Prezesa UODO możliwe jest powierzenie spółkom z grupy przetwarzania danych nie tylko w zakresie przyjmowania zgłoszeń, ale i prowadzenia postępowań wyjaśniających? Stanowisko Prezesa UODO byłoby w tym zakresie pomocne.