Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów

05.08.2024
Autor: Katarzyna Stańczak
Analizy

Przed nami ostatnia prosta. Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów została opublikowana w Dzienniku Ustaw 24 czerwca 2024 r. Przepisy wchodzą w życie 25 września 2024 r.

W relatywnie krótkim czasie przedsiębiorcy zatrudniający 50 lub więcej pracowników, wszystkie podmioty sektora publicznego (z wyjątkiem organów gmin lub powiatów liczących do 10 000 mieszkańców) oraz podmioty prawne wykonujący działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska zobowiązani są do zorganizowania efektywnego i transparentnego systemu ochrony sygnalistów.

Wychodząc naprzeciw licznym pytaniom i wątpliwościom jak zorganizować proces obsługi zgłoszeń sygnalistów pod kątem wymagań RODO przedstawiam checklistę działań.

Przygotowanie procedury zgłoszeń wewnętrznych. Elementy obligatoryjne procedury wskazane są art. 25 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów. Pamiętajmy o możliwości stworzenia wspólnej procedury zgłoszeń wewnętrznych w przypadku podmiotów należących do grupy kapitałowej.
Przegląd i ewentualna aktualizacja wpisu dotyczącego procesu obsługi zgłoszeń sygnalistów w rejestrze czynności przetwarzania (ze szczególnym uwzględnieniem na podstawy prawne legalizujące proces). Mając na uwadze możliwość przetwarzania danych osobowych sygnalistów, skłaniałabym się do przyjęcia, iż właściwymi podstawami prawnymi są:
1. w przypadku przetwarzania danych zwykłych np. danych kontaktowych sygnalisty – art. 6 ust 1 lit c oraz art. 6 ust 1 lit e RODO;
2. w przypadku przetwarzania danych szczególnych np. informacji o stanie zdrowia – art. 9 ust 2 lit g oraz art. 9 ust 2 lit b RODO.
Przygotowanie klauzul obowiązku informacyjnego dedykowanych sygnalistom, osobom postronnym, członkom rodziny zgodnie z art. 13 lub 14 RODO w zależności od źródła pozyskania danych osobowych. W zależności od przyjętego kanału komunikacji należy zastanowić się nad formą oraz momentem spełniania obowiązku informacyjnego.
1. Jeśli organizacja przygotowała infolinię za pośrednictwem której sygnalista może zgłosić nieprawidłowości – dopełnienie obowiązku informacyjnego powinno nastąpić w formie komunikatu dźwiękowego;
2. Jeśli organizacja przygotowała dedykowane skrzynki mailowe – dopełnienie obowiązku informacyjnego może nastąpić chociażby w ramach stosownego autorespondera.
Przegląd i aktualizacja Polityki retencji.
Nadanie upoważnień do przetwarzania danych, w tym przetwarzania danych szczególnych kategorii osobom zaangażowanym w proces.
Wykonanie Privacy by design dla procesu obsługi zgłoszeń sygnalistów.
Wykonanie DPIA (ocena skutków dla ochrony danych) dla procesu obsługi zgłoszeń sygnalistów zgodnie z Komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony tzn. systemy służące do zgłaszania nieprawidłowości (whistleblowing) oraz systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności gdy przetwarzane są w nim dane pracowników.
Przyjęcie procedury postępowania z danymi nadmiarowymi i niechcianymi w procesie.
Przygotowanie ulotek/broszur informacyjnych w obszarze zgłoszeń sygnalistów oraz szkoleń dla osób zaangażowanych w proces sygnalistów.
W przypadku korzystania z usług firm zewnętrznych (system do obsługo zgłoszeń sygnalistów) konieczność zawarcia umowy powierzenia przetwarzania danych osobowych zgodnie z wymaganiami art. 28 RODO. Pamiętajmy także o weryfikacji podmiotu przetwarzającego.
Udział IOD w procesie obsługi zgłoszeń sygnalistów. Przyjmując dość konserwatywne stanowisko UODO przyjęłabym iż IOD nie może należeć do komisji rozpatrującej żądanie, w tym nie może zajmować się bezpośrednią obsługą zgłoszenia. Udział IOD powinien ograniczyć się moim zdaniem do konsultacji w zakresie należytego dostępu i zabezpieczenia informacji mogących stanowić dane osobowe w rozumieniu RODO.

Ochrona Sygnalistów

Autor

Katarzyna Stańczak

Prawnik, specjalista z zakresu prawa ochrony danych osobowych. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego
w Warszawie. Ukończyła na tym samym uniwersytecie studia podyplomowe na kierunku Ochrona danych osobowych i informacji niejawnych. Od 2018 roku wykładowca na studiach podyplomowych
na kierunku Inspektor Ochrony Danych w Wyższej Szkole Bankowej w Toruniu oraz Bydgoszczy.
Doświadczenie w zakresu prawa ochrony danych osobowych nabyła w jednej z wiodących warszawskich kancelarii prawnych oraz w kilku firmach konsultingowych. Doradzała klientom m.in.
z branży produkcyjnej, budowlanej, medycznej oraz pożyczkowej. Wspierała wdrożenie RODO w organizacjach pozarządowych działających na terenie Warszawy. Autorka artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych.

Z tej samej kategorii

Ochrona danych osobowych w Prawie komunikacji elektronicznej Więcej

Prawo do bycia zapomnianym Więcej

Ochrona danych osobowych na tle sprawy Morele.net Więcej

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów Więcej

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

WSZYSTKIE Z KATEGORII

Kategorie

Analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Ustawienia plików cookie

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z pli...

Wymagane pliki cookie

Always Enabled

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia RODO
Wydarzenia
Regulamin
Polityka prywatności
Raportowanie ESG

Blog

Inspektor Ochrony Danych
Dopuszczalność cold calling i cold mailing na gruncie RODO
Kiedy nie trzeba spełniać obowiązku informacyjnego z RODO
Dane byłego pracownika – co z nimi zrobić, aby być w zgodzie z RODO?
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
Ochrona medycznych danych osobowych

Czytaj dalej >>