Whistleblowing, czyli Sygnalista a RODO

„Whistleblower” to dosłownie osoba dmuchająca w gwizdek w celu nagłośnienia zauważonych nieprawidłowości lub naruszeń prawa. Sygnaliści odgrywają zatem kluczową rolę w ujawnianiu naruszeń, w szczególności że mogą znajdować się wokół nas w każdej organizacji publicznej lub prywatnej. Aktualnie potencjalni sygnaliści często rezygnują ze zgłaszania zauważonych błędów w organizacji z obawy przed działaniami odwetowymi. W celu odwrócenia tego zjawiska powstała Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii[1] oraz projekt ustawy o ochronie osób zgłaszających naruszenia prawa[2].

Jak przygotować  się do wdrożenia procedury whistleblowingowej uwzględniając ochronę danych osobowych?

Zgodnie z art. 17 dyrektywy proces whistleblowingowy powinien być zgodny z RODO[3]. Oznacza to, iż unijny prawodawca obliguje każdego z administratorów do uwzględnienia przepisów o ochronie danych osobowych w tym procesie. Rekomendowanym jest wprowadzenie check listy uwzględniającej w szczególności:

  • Wyznaczenie osoby lub osób odpowiedzialnych za przyjmowanie i procedowanie zgłoszeń sygnalistów oraz nadanie im upoważnień do przetwarzania danych osobowych.

Podmioty działające w sektorze finansowym (m.in. banki, fundusze inwestycyjne, zakłady ubezpieczeń, zakłady reasekuracji, fundusze powiernicze, towarzystwa emerytalne, fundusze emerytalne, domy maklerskie, towarzystwa funduszy inwestycyjnych) będą miały obowiązek ustanowienia wewnętrznych kanałów zgłaszania naruszeń niezależnie od tego, czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników. Dla pozostałych podmiotów zatrudniających poniżej 50 pracowników utworzenie wewnętrznych kanałów dokonywania zgłoszeń nie będzie obligatoryjne, ale podmioty te, w zależności od potrzeb, będę mogły utworzyć je dobrowolnie, stosując zasady przewidziane w ustawie krajowej[4].

Zatrudnienie w podmiocie, w którym nie będzie ustanowionych wewnętrznych kanałów dokonywania zgłoszeń, nie wyłączy możliwości zgłoszenia naruszenia prawa. Osoby takie będą mogły dokonać zgłoszenia naruszenia prawa za pośrednictwem zewnętrznych kanałów zgłoszeń lub w drodze ujawnienia publicznego.

Wysoce rekomendowanym jest zatem wyznaczenie osoby lub osób wewnątrz organizacji lub outsourcing obsługi tego procesu do podmiotu zewnętrznego w celu dochowania niezależności i neutralności przy ocenie zgłoszenia wpływającego od sygnalisty. Nie można bowiem wykluczyć sytuacji, gdy sygnalista złoży zawiadomienie o naruszeniu na osobę właśnie dokonującą oceny naruszeń w organizacji. Outsourcing tego procesu umożliwi wyeliminowanie tego rodzaju sytuacji.

  • Przygotowanie polityki zgłaszania naruszeń i postępowania whistleblowingowego.

Uprzednie przygotowanie kampanii informacyjnej w organizacji oraz przygotowanie procedur postępowania whistleblowingowego umożliwi prawidłową implementację dyrektywy. Właściwie przygotowana dokumentacja pozwoli usystematyzować proces oraz określi zasady komunikacji z sygnalistą oraz postępowania wewnątrz organizacji w przypadku otrzymania zawiadomienia o naruszeniu. Należy pamiętać, iż procedury powinny uwzględniać okres retencji danych, informację i terminie przekazania klauzuli informacyjnej (jeżeli dochodzić będzie do przetwarzania danych osobowych), jak i ogólne zasady dotyczące przetwarzania danych osobowych wynikające z RODO.

  • Wyznaczenie kanału zgłaszania naruszeń oraz wykonanie testu Privacy by design, który pozwoli na przygotowanie systemu informatycznego z uwzględnieniem ochrony danych osobowych.

Wyznaczenie kanału zgłaszania naruszeń oraz wykonanie testu Privacy by design jest kluczowe dla obsługi całego procesu whisteblowingowego. Kanał komunikacji z sygnalistą powinien zapewniać możliwość anonimowego przekazania zgłoszenia, niemniej system może umożliwiać podanie personaliów osoby zgłaszające naruszenie. Ponadto, nie można wykluczyć sytuacji, iż po przekazaniu informacji o zgłoszeniu, administrator będzie w stanie dokonać identyfikacji sygnalisty. Należy zatem pamiętać, iż przekazane informacje z danych nieosobowych mogą stać się danymi osobowymi. Kanał komunikacji powinien zatem uwzględniać m.in.: opis zdarzenia, dane do komunikacji z sygnalistą, miejsce przechowywania danych, okres retencji, dostęp do danych oraz sposób ich archiwizacji. Przeprowadzony zaś test Privacy by design umożliwi wdrożenie procesu z uwzględnieniem ochrony danych osobowych.

  • Przygotowanie klauzul informacyjnych dla sygnalisty, świadków oraz potencjalnego „sprawcy”.

Administrator zgodnie z art. 13 i 14 RODO zobowiązany jest do realizacji obowiązków informacyjnych wobec podmiotów danych. W procesie whistleblowing może niewątpliwie dochodzić do przetwarzania danych osobowych. Administrator powinien zatem przygotować klauzule informacje dla trzech grup podmiotów: sygnalistów, świadków oraz potencjalnego „sprawcy”. Kluczowym problemem dla administratorów będzie czas realizacji obowiązku informacyjnego. Należy bowiem zwrócić uwagę, iż realizacja klauzuli informacyjnej może odbywać się w zupełnie innym czasie wobec każdej ze wskazanych powyżej grup podmiotów. Czas realizacji obowiązku wobec sygnalisty nastąpi zatem w momencie, gdy administrator będzie w stanie zidentyfikować podmiot danych. Dobrą praktyką jest również poinformowanie sygnalisty o osobach, do których dane zostały przekazane w ramach realizacji procedury, jak i o konsekwencjach jakie mogą spotkać sygnalistę, gdy zgłoszenie zostało dokonane w złej wierze. W przypadku osób trzecich, obowiązek informacyjny należy zrealizować jak najszybciej, jednocześnie pamiętając o możliwych konsekwencjach przekazania obowiązku informacyjnego na zbyt wczesnym etapie postępowania, co w ostateczności może być szkodliwe dla przeprowadzenia procedury whistleblowingowej.

  • Przeprowadzenie szkolenia dla kluczowych osób uczestniczących w procesie.

Szkolenia dla kluczowych osób uczestniczących w procesie whistleblowingowym umożliwi właściwe funkcjonowanie procedur w organizacji oraz zniwelowania ryzyka naruszenia ochrony danych osobowych. Rekomendowanym jest uwzględnienie kwestii ochrony danych osobowych w przedmiocie szkoleń, a w szczególności: przetwarzania danych szczególnej kategorii, prawidłowego przechowywania danych, retencji tych danych, odpowiednim ich zabezpieczeniu, wprowadzenia informacji w aktach osobowych (w przypadku postępowania dyscyplinarnego) oraz ograniczenia osób uczestniczących w procesie. Należy bowiem wskazać, iż najczęstszą przyczyną naruszeń ochrony danych osobowych jest błąd ludzki (ponad 89%) zatem właściwe przeszkolenie osób kluczowych w procesie whisleblowing powinno być istotne dla administratora[5].

  • Wykonanie testu DPIA w przedmiocie procesu whisteblowingu, który zgodnie z wykazem przygotowanym przez Prezesa Urzędu Ochrony Danych został obligatoryjnie wskazany jako proces wymagający przeprowadzenia analizy skutków dla ochrony danych.

Zgodnie z komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony[6], whistleblowing został zakwalifikowany jako rodzaj operacji przetwarzania wymagający przeprowadzania oceny skutków dla ochrony danych. Administrator zatem dokonując przetwarzania, został zobligowany przez organ nadzorczy do przeprowadzania dodatkowej analizy. Test DPIA pozwoli administratorowi zweryfikować podatności, jak i wdrożyć odpowiednie środki w celu zmniejszenia wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.

Zgodnie z obecnym projektem ustawy implementującej dyrektywę, ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia.  Wobec podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników okres implementacji został wydłużony do 17 grudnia 2023 r. Obecnie organizacje powinny rozpocząć przygotowania do wdrożenia polityk oraz implementacji wewnętrznych kanałów zgłaszania. Za utrudnianie dokonania zgłoszenia, podejmowanie działań odwetowych lub naruszenie obowiązku zachowania poufności tożsamości osoby, która dokonała zgłoszenia, jak i nieustanowienie wewnętrznej procedury zgłaszania naruszeń albo ustanowienie procedury z naruszeniem przepisów ustawy krajowej, przewidziano sankcje karne – grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 3.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz.U.UE.L.2019.305.17)

[2] https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822857#12822857

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[4] Projekt ustawy o ochronie osób zgłaszających naruszenie prawa (https://archiwum.bip.kprm.gov.pl/kpr/form/r230343592,Projekt-ustawy-o-ochronie-osob-zglaszajacych-naruszenia-prawa.html)

[5] Raport Związku Firm Ochrony Danych Osobowych – Incydenty ochrony danych osobowych

[6] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Dz. U. poz. 666)

Autor

Klaudia Dryja

Prawniczka, absolwentka prawa na Uniwersytecie Warszawskim.
Specjalizuje się w prawie nowych technologii i ochronie danych osobowych.
Doświadczenie zdobywała w renomowanych kancelariach prawnych.