Przed nami ostatnia prosta. Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów została opublikowana w Dzienniku Ustaw 24 czerwca 2024 r. Przepisy wchodzą w życie 25 września 2024 r.
W relatywnie krótkim czasie przedsiębiorcy zatrudniający 50 lub więcej pracowników, wszystkie podmioty sektora publicznego (z wyjątkiem organów gmin lub powiatów liczących do 10 000 mieszkańców) oraz podmioty prawne wykonujący działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska zobowiązani są do zorganizowania efektywnego i transparentnego systemu ochrony sygnalistów.
Wychodząc naprzeciw licznym pytaniom i wątpliwościom jak zorganizować proces obsługi zgłoszeń sygnalistów pod kątem wymagań RODO przedstawiam checklistę działań.
- Przygotowanie procedury zgłoszeń wewnętrznych. Elementy obligatoryjne procedury wskazane są art. 25 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów. Pamiętajmy o możliwości stworzenia wspólnej procedury zgłoszeń wewnętrznych w przypadku podmiotów należących do grupy kapitałowej.
- Przegląd i ewentualna aktualizacja wpisu dotyczącego procesu obsługi zgłoszeń sygnalistów w rejestrze czynności przetwarzania (ze szczególnym uwzględnieniem na podstawy prawne legalizujące proces). Mając na uwadze możliwość przetwarzania danych osobowych sygnalistów, skłaniałabym się do przyjęcia, iż właściwymi podstawami prawnymi są:
- w przypadku przetwarzania danych zwykłych np. danych kontaktowych sygnalisty – art. 6 ust 1 lit c oraz art. 6 ust 1 lit e RODO;
- w przypadku przetwarzania danych szczególnych np. informacji o stanie zdrowia – art. 9 ust 2 lit g oraz art. 9 ust 2 lit b RODO.
- Przygotowanie klauzul obowiązku informacyjnego dedykowanych sygnalistom, osobom postronnym, członkom rodziny zgodnie z art. 13 lub 14 RODO w zależności od źródła pozyskania danych osobowych. W zależności od przyjętego kanału komunikacji należy zastanowić się nad formą oraz momentem spełniania obowiązku informacyjnego.
- Jeśli organizacja przygotowała infolinię za pośrednictwem której sygnalista może zgłosić nieprawidłowości – dopełnienie obowiązku informacyjnego powinno nastąpić w formie komunikatu dźwiękowego;
- Jeśli organizacja przygotowała dedykowane skrzynki mailowe – dopełnienie obowiązku informacyjnego może nastąpić chociażby w ramach stosownego autorespondera.
- Przegląd i aktualizacja Polityki retencji.
- Nadanie upoważnień do przetwarzania danych, w tym przetwarzania danych szczególnych kategorii osobom zaangażowanym w proces.
- Wykonanie Privacy by design dla procesu obsługi zgłoszeń sygnalistów.
- Wykonanie DPIA (ocena skutków dla ochrony danych) dla procesu obsługi zgłoszeń sygnalistów zgodnie z Komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony tzn. systemy służące do zgłaszania nieprawidłowości (whistleblowing) oraz systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności gdy przetwarzane są w nim dane pracowników.
- Przyjęcie procedury postępowania z danymi nadmiarowymi i niechcianymi w procesie.
- Przygotowanie ulotek/broszur informacyjnych w obszarze zgłoszeń sygnalistów oraz szkoleń dla osób zaangażowanych w proces sygnalistów.
- W przypadku korzystania z usług firm zewnętrznych (system do obsługo zgłoszeń sygnalistów) konieczność zawarcia umowy powierzenia przetwarzania danych osobowych zgodnie z wymaganiami art. 28 RODO. Pamiętajmy także o weryfikacji podmiotu przetwarzającego.
- Udział IOD w procesie obsługi zgłoszeń sygnalistów. Przyjmując dość konserwatywne stanowisko UODO przyjęłabym iż IOD nie może należeć do komisji rozpatrującej żądanie, w tym nie może zajmować się bezpośrednią obsługą zgłoszenia. Udział IOD powinien ograniczyć się moim zdaniem do konsultacji w zakresie należytego dostępu i zabezpieczenia informacji mogących stanowić dane osobowe w rozumieniu RODO.
