Autor: G.
1. Spełnienie obowiązku informacyjnego wobec sygnalisty
Czy w przypadku grupy kapitałowej, w autoodpowiedzi na zgłoszenie (e-mail), w klauzuli o przetwarzaniu danych osobowych jako administratora danych osobowych można wskazać jednostkę przyjmującą zgłoszenie i prowadzącą postępowanie wyjaśniające? Czy należałoby przesłać klauzulę 2 razy: 1. ze wskazaniem jako administratora spółki przyjmującej zgłoszenie, gdzie celem przetwarzania byłaby analiza zgłoszenia; 2. po ustaleniu, której spółki z grupy dotyczy zgłoszenie przesłanie kolejnej klauzuli, gdzie administratorem jest spółka, w której doszło do nieprawidłowości. Powyższa wątpliwość wynika z faktu, że pomimo wspólnej procedury każda ze spółek pozostaje osobnym administratorem.
2. Administrator
Czy za administratora danych osobowych przetwarzanych na potrzeby postępowania wyjaśniającego należy uznać całą spółkę, czy konkretnie jednostkę przyjmującą zgłoszenie i prowadzącą postępowanie? Istnieje ryzyko, że uznając za administratora całą spółkę osoba, której zgłoszenie dotyczy wystąpi z wnioskiem o spełnienie obowiązku informacyjnego. Wniosek ten trafi do osób, które o postępowaniu nie wiedzą i nie powinny wiedzieć i w ten sposób dojdzie do utraty poufności prowadzonego postępowania. Uznając za administratora jednostkę prowadzącą postępowanie spółka nie naraża się na sankcje spowodowane nieprawidłowym spełnieniem obowiązku informacyjnego lub utratą poufności danych sygnalisty.
3. Umowa powierzenia danych osobowych pomiędzy spółkami z grupy
Przyjmując za Ministerstwem Rodziny, że możliwość posiadania wspólnej procedury w grupie kapitałowej oznacza możliwość posiadania wspólnej jednostki organizacyjnej prowadzącej postępowanie wyjaśniające, czy można także założyć, że pomiędzy spółkami nie trzeba podpisywać umowy powierzenia przetwarzania danych osobowych?
4. Przetwarzanie danych w dokumentacji pracowniczej a okresy retencji
Jeśli w wyniku postępowania wyjaśniającego dojdzie do zastosowania kar dyscyplinarnych/ zwolnienia pracownika, to dokumentacja na temat okoliczności sprawy powinna znaleźć się w aktach pracownika i być tam przechowywana przez okres wskazany w Kodeksie pracy. Czy dokumenty pozyskane/ stworzone w trakcie postępowania wyjaśniającego ze zgłoszenia dotyczącego naruszenia prawa pracy powinny trafić do dokumentacji pracowniczej i być tam przechowywane przez 10 lat zgodnie z art. 94 ze zn. 4 i jednocześnie te same dane dotyczące tego zgłoszenia powinny zostać usunięte z rejestru po 3 latach?