Autor: ZWIĄZEK PRZEDSIĘBIORSTW FINANSOWYCH W POLSCE
UZUPEŁNIENIE STANOWISKA ZPF ZŁOŻONEGO W RAMACH KONSULTACJI SPOŁECZNYCH DOTYCZĄCYCH STOSOWANIA USTAWY O OCHRONIE SYGNALISTÓW W ZAKRESIE OCHRONY DANYCH OSOBOWYCH
1. Procedura kwalifikacji zgłoszeń
Przed przystąpieniem do analizy zgłoszenia należy najpierw ustalić, czy pochodzi ono od sygnalisty w rozumieniu Ustawy. Przetwarzanie danych osobowych sygnalistów wynika z obowiązku prawnego nałożonego na administratora. W związku z tym, zanim podjęte zostaną jakiekolwiek działania merytoryczne, administrator musi potwierdzić, że zgłoszenie jest objęte zakresem regulowanym przez tę Ustawę. Należy również pamiętać, że zgłoszenie może zawierać inne żądania, takie jak wniosek o realizację praw wynikających z RODO.
Weryfikacja musi być poprzedzona przygotowaniem i wdrożeniem przez administratora procedury kwalifikacji zgłoszeń, opartej na formalnych przesłankach zgłoszenia jako sygnalizacji w rozumieniu Ustawy. Podmioty prywatne (art. 2 pkt 11 Ustawy), będą musiały dokonać kwalifikacji zgłoszenia zgodnie z Ustawą. Brak takiej kwalifikacji prowadzi do naruszenia zasad RODO (szczególnie zasady zgodności z prawem – art. 5 ust. 1 lit. a RODO oraz zasady rozliczalności – art. 5 ust. 2 RODO) i potencjalnej odpowiedzialności w tym zakresie.
Pytania:
- Jakie konkretne kryteria powinny być brane pod uwagę przy kwalifikacji zgłoszenia jako sygnalizacji w rozumieniu Ustawy?
- W jakiej kolejności te kryteria będą weryfikowane?
- Czy UODO planuje wydać wytyczne dotyczące procedury kwalifikacji zgłoszeń, aby zapewnić jednolitość i zgodność z RODO?
2. Anonimowość zgłoszeń
Ustawa nie wprowadza obowiązku anonimowych zgłoszeń wewnętrznych i zewnętrznych. Ustawodawca przewiduje możliwość przyjmowania zgłoszeń anonimowych, ale wymaga identyfikacji zgłaszających dla skutecznego dokonania zgłoszenia (art. 10 ust. 2 Ustawy). Powstaje więc niespójność przepisów dotyczących katalogów danych zawartych w rejestrach zgłoszeń, które nie są dostosowane do możliwości anonimowego zgłoszenia.
Pytania:
- Jakie kroki powinny być podjęte przez administratorów danych w celu zapewnienia ochrony danych osobowych w przypadku anonimowych zgłoszeń?
- Czy istnieje możliwość dostosowania przepisów dotyczących katalogów danych w rejestrach zgłoszeń, aby lepiej uwzględniały możliwość anonimowego zgłoszenia?
3. Minimalizacja danych
Konieczne jest ustalenie w procedurze zgłoszeń, jakie dane osobowe umożliwią identyfikację sygnalistów i jakie dane są niezbędne do rozpatrzenia zgłoszenia, z uwzględnieniem zasady minimalizacji danych, na co wskazuje art. 8 ust. 4 Ustawy: „Podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.”
Pytanie:
Jakie konkretne dane osobowe powinny być uznane za niezbędne do rozpatrzenia zgłoszenia sygnalisty, zgodnie z zasadą minimalizacji danych?
4. Rozszerzenie zakresu sygnalizacji
Decyzja o rozszerzeniu zakresu sygnalizacji (art. 3 ust. 2 Ustawy) na badanie naruszeń regulacji wewnętrznych lub standardów etycznych powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO.
Pytanie:
Jakie kryteria powinny być stosowane podczas oceny skutków dla ochrony danych (DPIA) w przypadku rozszerzenia zakresu sygnalizacji na badanie naruszeń regulacji wewnętrznych lub standardów etycznych?
5. Retencja danych
Konieczna jest rewizja okresów przechowywania danych osobowych, zwłaszcza w odniesieniu do informacji o osobach fizycznych, które weszły w relacje z administratorem wskazane w art. 4 Ustawy. Należy określić cel przetwarzania danych osobowych w kontekście ich przechowywania, ustalić, jakie konkretnie dane będą przechowywane (zgodnie z zasadą minimalizacji danych), a następnie określić niezbędny czas ich przechowywania, mieszczący się w terminie 3-letnim wskazanym przez ustawę (art. 8 ust. 8 Ustawy).
Pytanie:
Jakie są rekomendacje UODO dotyczące okresów przechowywania danych osobowych związanych z sygnalistami, aby były one zgodne z zasadą minimalizacji danych oraz terminem 3-letnim określonym przez Ustawę?
6. Ochrona praw osób trzecich
Ochrona poufności tożsamości osób, których dane będą przetwarzane w związku ze zgłoszeniem oraz procedurami zgłoszeń, jest kluczowa. Konieczne jest jasne zdefiniowanie pojęć takich jak „osoba trzecia wskazana w zgłoszeniu”, „osoba pomagająca w dokonaniu zgłoszenia” oraz „osoba powiązana z sygnalistą”. Po otrzymaniu zgłoszenia należy zbadać, czy możliwe jest sprawdzenie informacji objętych zgłoszeniem przy jednoczesnym zachowaniu tajemnicy. Jeśli nie, należy rozszerzyć zakres osób upoważnionych do weryfikacji informacji.
Pytanie:
- Jakie wytyczne UODO przewiduje w zakresie ochrony poufności tożsamości osób, których dane są przetwarzane w związku ze zgłoszeniem sygnalistów?
- Jak powinno być definiowane pojęcie „osoba trzecia wskazana w zgłoszeniu” oraz „osoba pomagająca w dokonaniu zgłoszenia” oraz „osoba powiązana z sygnalistą”?
7. Zgoda sygnalisty
Udostępnienie danych sygnalisty będzie możliwe wyłącznie za jego wyraźną zgodą, zgodnie z definicją i warunkami określonymi w rozporządzeniu 2016/679. Dlatego konieczne jest opracowanie prawidłowego procesu uzyskiwania ważnych zgód zgodnie z RODO. Proces ten należy potwierdzić testem zgody (szczegóły dotyczące testu zgody można znaleźć w motywie 32 preambuły RODO oraz w art. 7 RODO).
Pytania:
- Jakie wytyczne powinny być przyjęte w celu prawidłowego uzyskiwania ważnych zgód od sygnalistów zgodnie z RODO?
- Na co zwrócić szczególną uwagę podczas uzyskiwania zgody od sygnalistów na udostępnienie ich danych?
8. Przetwarzanie danych sygnalisty bez „uzasadnionych podstaw”
Zgodnie z treścią art. 6 Ustawy warunkiem objęcia sygnalisty ochroną przewidzianą w przepisach Ustawy jest posiadanie przez sygnalistę uzasadnionych podstaw, by sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa.
Wobec powyższych założeń ustawodawcy powstaje pytanie do kogo należeć będzie ocena przesłanki „uzasadnionych podstaw” utwierdzających sygnalistę w przekonaniu o prawdziwości informacji objętej zgłoszeniem. Należy podzielić opinię Prezesa Urzędu Ochrony Danych Osobowych z dnia 30.05.2024 r. wyrażoną w piśmie do Marszałka Senatu[1] (nr DOL.401.512.2021, opinia pozostaje aktualna, albowiem przepisy dot. „uzasadnionych podstaw” zostały uchwalone w brzmieniu z dnia 30.05.2024 r.), że istnieje obiektywna trudność w dokonaniu takiej oceny, bez uszczerbku dla stosowania pewnych uproszczeń w dokonywaniu kwalifikacji uzasadnionego przekonania sygnalisty o wystąpieniu naruszenia. Z kolei mając na względzie zasadę przejrzystości wyrażoną w art. 5 ust. 1 lit. a rozporządzenia 2016/679 oczekuje się, aby tworzone przepisów sposób jasny, precyzyjny oraz wyczerpujący, w sposób nie budzący wątpliwości interpretacyjnych regulowały kwestie dotyczące przetwarzania danych.
Ocena przesłanki „uzasadnionych podstaw” determinuje podjęcie decyzji o spełnieniu lub odstąpienia od obowiązku informacyjnego względem osoby, od której nie pozyskano dane, a której dane są objęte zgłoszeniem, albowiem zgodnie z art. 8 ust. 5 Ustawy przepisu art. 14 ust. 2 lit. f RODO nie stosuje się, chyba że sygnalista nie spełnia warunków wskazanych w art. 6 albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości.
Idąc dalej ocena „uzasadnionych podstaw” wpłynie na zasadność prawa dostępu do źródła pozyskania danych, ponieważ w myśl art. 8 ust. 6 Ustawy przepisu art. 15 ust. 1 lit. g RODO w zakresie przekazania informacji o źródle pozyskania danych osobowych nie stosuje się, chyba że sygnalista nie spełnia warunków wskazanych w art. 6 albo wyraził wyraźną zgodę na takie przekazanie.
Zatem należy dokładnie określić, kto dokona oceny „uzasadnionych podstaw” i na podstawie jakich kryteriów.
Pytania:
- Kto powinien być odpowiedzialny za ocenę „uzasadnionych podstaw” sygnalisty oraz na jakich kryteriach powinna się opierać ta ocena?
- Jakie działania powinny być podjęte w przypadku braku „uzasadnionych podstaw” w kontekście spełniania obowiązku informacyjnego względem osób, których dane są przetwarzane?
- Jakie szczegółowe wymogi legislacyjne muszą być spełnione, aby wprowadzić ograniczenia zgodnie z art. 23 RODO w kontekście ochrony tożsamości sygnalistów?
9. Dokumentacja i konsultacje
Pytania dotyczące dokumentacji związanej z przetwarzaniem danych na podstawie Ustawy:
- Jakie szczegółowe procedury i zasady powinny być zawarte w dokumentach dotyczących przetwarzania danych osobowych w kontekście procedur zgłoszeń, zgodnie z art. 5, 24 i 25 RODO?
- Jakie elementy powinny być uwzględnione w rejestrze zgłoszeń wewnętrznych, aby były zgodne z art. 29 ust. 4 Ustawy?