Praktycy Compliance Stowarzyszenie
1. Głównym celem przetwarzania danych osobowych w związku z przyjmowaniem zgłoszeń od sygnalistów o naruszeniach prawa jest walka z naruszeniami prawa m.in. poprzez rzetelne prowadzenie działań następczych, w tym postępowań wyjaśniających. Jednocześnie zgodnie z art. 14 ust 3 RODO powinniśmy poinformować o przetwarzaniu danych osobowych osobę której dotyczy zgłoszenie (potencjalny sprawca naruszenia) i świadków, w rozsądnym terminie, najpóźniej w ciągu miesiąca. Postepowania wyjaśniające trwają w praktyce parę miesięcy. Przedwczesne poinformowanie np. osoby, której dotyczy zgłoszenie, o toczący się postępowaniu wyjaśniającym może spowodować, że zacznie ona ukrywać dowody lub mataczyć. Znowu poinformowanie świadka grozi, że rozniesie się w podmiocie informacja o postępowaniu (nawet jeżeli zobowiążemy go do poufności). W związku z powyższym, ponieważ wykonanie obowiązku z art. 14 RODO może uniemożliwić lub poważnie utrudnić realizację celów przetwarzania w naszej ocenie Administrator powinien zawsze ocenić czy nie zachodzą przesłanki z art. 14 ust 5 lit. b) i wstrzymać się z realizacją obowiązku z art. 14 RODO do czasu gdy nie będzie to uniemożliwiało lub znacznie utrudniało celu przetwarzania.
2. W zgłoszeniu mogą pojawić się informacje dotyczące wyroków skazujących, jednocześnie:
a) nie ma ustawowej podstawy prawnej przetwarzania,
b) przetwarzanie tych danych może być niezbędne do celów przetwarzania. Nawet jeżeli dojdziemy do wniosku, że nie ma podstaw przetwarzania tych danych to samo ich usunięcie też jest przetwarzaniem. Należy rozważyć zalecany sposób postępowania gdy taka informacja pojawi się w systemie.
3. Zwracamy uwagę, że brak w ustawie zapisów o przetwarzaniu danych osobowych świadka.
4. W zgłoszeniu lub później w procesie obsługi zgłoszeń o naruszeniach mogą pojawić się dane szczególnej kategorii. Będą one przetwarzane na podstawie:
a) art. 9 ust 2 lit a) - np. jak swoje dane szczególnej kategorii poda nam dobrowolnie sam sygnalista
b) art. 9 ust 2 lit b) - wykonanie obowiązków wynikających chociażby z ustawy o ochronie sygnalistów),
c) art. 9 ust 2 lit f)
5. Art. 8 ust 4 ustawy o ochronie sygnalistów nakazuje usunąć, dane nie mające znaczenia dla rozpatrywania zgłoszenia, w terminie 14 dni od daty stwierdzenia, że te dane nie mają znaczenia dla rozpatrywania zgłoszenia. W wielu przypadkach będzie to możliwe dopiero po zakończeniu postępowania wyjaśniającego.