Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Whistleblowing a RODO

Whistleblowing a RODO

18.10.2021
Autor: Klaudia Dryja
obowiązki administratora danych

„Whistleblower” to dosłownie osoba dmuchająca w gwizdek w celu nagłośnienia zauważonych nieprawidłowości lub naruszeń prawa. Osoby te odgrywają zatem kluczową rolę w ujawnianiu naruszeń, w szczególności że mogą znajdować się wokół nas w każdej organizacji publicznej lub prywatnej. Aktualnie potencjalni sygnaliści często rezygnują ze zgłaszania zauważonych błędów w organizacji z obawy przed działaniami odwetowymi. W celu odwrócenia tego zjawiska powstała Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii[1] oraz projekt ustawy o ochronie osób zgłaszających naruszenia prawa[2].

Jak przygotować się do wdrożenia procedury whistleblowingowej uwzględniając ochronę danych osobowych?

Zgodnie z art. 17 dyrektywy proces whistleblowingowy powinien być zgodny z RODO[3]. Oznacza to, iż unijny prawodawca obliguje każdego z administratorów do uwzględnienia przepisów o ochronie danych osobowych w tym procesie. Rekomendowanym jest wprowadzenie check listy uwzględniającej w szczególności:

Wyznaczenie osoby lub osób odpowiedzialnych za przyjmowanie i procedowanie zgłoszeń sygnalistów oraz nadanie im upoważnień do przetwarzania danych osobowych.

Podmioty działające w sektorze finansowym (m.in. banki, fundusze inwestycyjne, zakłady ubezpieczeń, zakłady reasekuracji, fundusze powiernicze, towarzystwa emerytalne, fundusze emerytalne, domy maklerskie, towarzystwa funduszy inwestycyjnych) będą miały obowiązek ustanowienia wewnętrznych kanałów zgłaszania naruszeń niezależnie od tego, czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników. Dla pozostałych podmiotów zatrudniających poniżej 50 pracowników utworzenie wewnętrznych kanałów dokonywania zgłoszeń nie będzie obligatoryjne, ale podmioty te, w zależności od potrzeb, będę mogły utworzyć je dobrowolnie, stosując zasady przewidziane w ustawie krajowej[4].

Zatrudnienie w podmiocie, w którym nie będzie ustanowionych wewnętrznych kanałów dokonywania zgłoszeń, nie wyłączy możliwości zgłoszenia naruszenia prawa. Osoby takie będą mogły dokonać zgłoszenia naruszenia prawa za pośrednictwem zewnętrznych kanałów zgłoszeń lub w drodze ujawnienia publicznego.

Wysoce rekomendowanym jest zatem wyznaczenie osoby lub osób wewnątrz organizacji lub outsourcing obsługi tego procesu do podmiotu zewnętrznego w celu dochowania niezależności i neutralności przy ocenie zgłoszenia wpływającego od sygnalisty. Nie można bowiem wykluczyć sytuacji, gdy sygnalista złoży zawiadomienie o naruszeniu na osobę właśnie dokonującą oceny naruszeń w organizacji. Outsourcing tego procesu umożliwi wyeliminowanie tego rodzaju sytuacji.

Przygotowanie polityki zgłaszania naruszeń i postępowania whistleblowingowego.

Uprzednie przygotowanie kampanii informacyjnej w organizacji oraz przygotowanie procedur postępowania whistleblowingowego umożliwi prawidłową implementację dyrektywy. Właściwie przygotowana dokumentacja pozwoli usystematyzować proces oraz określi zasady komunikacji z sygnalistą oraz postępowania wewnątrz organizacji w przypadku otrzymania zawiadomienia o naruszeniu. Należy pamiętać, iż procedury powinny uwzględniać okres retencji danych, informację i terminie przekazania klauzuli informacyjnej (jeżeli dochodzić będzie do przetwarzania danych osobowych), jak i ogólne zasady dotyczące przetwarzania danych osobowych wynikające z RODO.

Wyznaczenie kanału zgłaszania naruszeń oraz wykonanie testu Privacy by design, który pozwoli na przygotowanie systemu informatycznego z uwzględnieniem ochrony danych osobowych.

Wyznaczenie kanału zgłaszania naruszeń oraz wykonanie testu Privacy by design jest kluczowe dla obsługi całego procesu whisteblowingowego. Kanał komunikacji z sygnalistą powinien zapewniać możliwość anonimowego przekazania zgłoszenia, niemniej system może umożliwiać podanie personaliów osoby zgłaszające naruszenie. Ponadto, nie można wykluczyć sytuacji, iż po przekazaniu informacji o zgłoszeniu, administrator będzie w stanie dokonać identyfikacji sygnalisty. Należy zatem pamiętać, iż przekazane informacje z danych nieosobowych mogą stać się danymi osobowymi. Kanał komunikacji powinien zatem uwzględniać m.in.: opis zdarzenia, dane do komunikacji z sygnalistą, miejsce przechowywania danych, okres retencji, dostęp do danych oraz sposób ich archiwizacji. Przeprowadzony zaś test Privacy by design umożliwi wdrożenie procesu z uwzględnieniem ochrony danych osobowych.

Przygotowanie klauzul informacyjnych dla sygnalisty, świadków oraz potencjalnego „sprawcy”.

Administrator zgodnie z art. 13 i 14 RODO zobowiązany jest do realizacji obowiązków informacyjnych wobec podmiotów danych. W procesie whistleblowing może niewątpliwie dochodzić do przetwarzania danych osobowych. Administrator powinien zatem przygotować klauzule informacje dla trzech grup podmiotów: sygnalistów, świadków oraz potencjalnego „sprawcy”. Kluczowym problemem dla administratorów będzie czas realizacji obowiązku informacyjnego. Należy bowiem zwrócić uwagę, iż realizacja klauzuli informacyjnej może odbywać się w zupełnie innym czasie wobec każdej ze wskazanych powyżej grup podmiotów. Czas realizacji obowiązku wobec sygnalisty nastąpi zatem w momencie, gdy administrator będzie w stanie zidentyfikować podmiot danych. Dobrą praktyką jest również poinformowanie sygnalisty o osobach, do których dane zostały przekazane w ramach realizacji procedury, jak i o konsekwencjach jakie mogą spotkać sygnalistę, gdy zgłoszenie zostało dokonane w złej wierze. W przypadku osób trzecich, obowiązek informacyjny należy zrealizować jak najszybciej, jednocześnie pamiętając o możliwych konsekwencjach przekazania obowiązku informacyjnego na zbyt wczesnym etapie postępowania, co w ostateczności może być szkodliwe dla przeprowadzenia procedury whistleblowingowej.

Przeprowadzenie szkolenia dla kluczowych osób uczestniczących w procesie.

Szkolenia dla kluczowych osób uczestniczących w procesie whistleblowingowym umożliwi właściwe funkcjonowanie procedur w organizacji oraz zniwelowania ryzyka naruszenia ochrony danych osobowych. Rekomendowanym jest uwzględnienie kwestii ochrony danych osobowych w przedmiocie szkoleń, a w szczególności: przetwarzania danych szczególnej kategorii, prawidłowego przechowywania danych, retencji tych danych, odpowiednim ich zabezpieczeniu, wprowadzenia informacji w aktach osobowych (w przypadku postępowania dyscyplinarnego) oraz ograniczenia osób uczestniczących w procesie. Należy bowiem wskazać, iż najczęstszą przyczyną naruszeń ochrony danych osobowych jest błąd ludzki (ponad 89%) zatem właściwe przeszkolenie osób kluczowych w procesie whisleblowing powinno być istotne dla administratora[5].

Wykonanie testu DPIA w przedmiocie procesu whisteblowingu, który zgodnie z wykazem przygotowanym przez Prezesa Urzędu Ochrony Danych został obligatoryjnie wskazany jako proces wymagający przeprowadzenia analizy skutków dla ochrony danych.

Zgodnie z komunikatem Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony[6], whistleblowing został zakwalifikowany jako rodzaj operacji przetwarzania wymagający przeprowadzania oceny skutków dla ochrony danych. Administrator zatem dokonując przetwarzania, został zobligowany przez organ nadzorczy do przeprowadzania dodatkowej analizy. Test DPIA pozwoli administratorowi zweryfikować podatności, jak i wdrożyć odpowiednie środki w celu zmniejszenia wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.

Zgodnie z obecnym projektem ustawy implementującej dyrektywę, ustawa wchodzi w życie po upływie 14 dni od dnia ogłoszenia. Wobec podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników okres implementacji został wydłużony do 17 grudnia 2023 r. Obecnie organizacje powinny rozpocząć przygotowania do wdrożenia polityk oraz implementacji wewnętrznych kanałów zgłaszania. Za utrudnianie dokonania zgłoszenia, podejmowanie działań odwetowych lub naruszenie obowiązku zachowania poufności tożsamości osoby, która dokonała zgłoszenia, jak i nieustanowienie wewnętrznej procedury zgłaszania naruszeń albo ustanowienie procedury z naruszeniem przepisów ustawy krajowej, przewidziano sankcje karne – grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 3.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz.U.UE.L.2019.305.17)

[2] https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822857#12822857

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[4] Projekt ustawy o ochronie osób zgłaszających naruszenie prawa (https://archiwum.bip.kprm.gov.pl/kpr/form/r230343592,Projekt-ustawy-o-ochronie-osob-zglaszajacych-naruszenia-prawa.html)

[5] Raport Związku Firm Ochrony Danych Osobowych – Incydenty ochrony danych osobowych

[6] Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (Dz. U. poz. 666)

Autor

Klaudia Dryja

Prawniczka, absolwentka prawa na Uniwersytecie Warszawskim.
Specjalizuje się w prawie nowych technologii i ochronie danych osobowych.
Doświadczenie zdobywała w renomowanych kancelariach prawnych.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>