Sygnaliści w kontekście ochrony danych osobowych

14.02.2024 | Compliance

Sygnaliści, zwani inaczej whistleblowerami, to osoby ujawniające nieprawidłowości, nadużycia czy nielegalne działanie w instytucjach publicznych bądź prywatnych przedsiębiorstwach. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) nakłada pewne kluczowe obowiązki aby zapewnić im odpowiednią ochronę i zachęcić do działania w interesie wszystkich organizacji.

Na wstępie należy wskazać, iż administratorem danych osobowych przekazanych przez sygnalistę jest osoba, która otrzymała konkretne zgłoszenie. Po otrzymaniu informacji organizacja ma prawo przetwarzać takie dane w zakresie niezbędnym do przyjęcia zgłoszenia i podjęcia ewentualnego działania następczego. Dane będą przechowywane przez okres piętnastu miesięcy od zakończenia działań następczych, bądź przekazania zgłoszenia do organu publicznego. Jeśli dane mają być przetwarzane przez podmiot zewnętrzny, konieczne będzie zawarcie umowy powierzenia przetwarzania, zgodnie z art. 28 RODO.

Najistotniejszym obowiązkiem nałożonym przez RODO jest stworzenie bezpiecznego i zaufanego środowiska pracy dla sygnalisty. Polega to na zapewnieniu właściwej procedury i środków ochrony w danej organizacji, które umożliwią tym podmiotom bezpieczne zgłaszanie nieprawidłowości i ustrzegą przed stosowaniem jakichkolwiek form represji czy szykany ze strony współpracowników. Konieczna jest więc należyta ochrona danych osobowych w celu uniemożliwienia identyfikacji i ustalenia tożsamości zgłaszającego nieupoważnionym podmiotom. Ujawnienie takie będzie możliwe wyłącznie w sytuacjach wskazanych w RODO, tj. za jego wyraźną zgodą oraz gdy będzie koniecznym i proporcjonalnym prawnym obowiązkiem związanym z prowadzonymi przez organy publiczne lub sądy postępowaniami wyjaśniających lub sądowych. O takim ujawnieniu należy poinformować sygnalistę. Kolejnym istotnym aspektem jest również obowiązek powiadomienia organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych, o naruszeniu danych osobowych które ujawnił zgłaszający. Takie zgłoszenie powinno być dokonane w ciągu 72 godzin od ich wykrycia, aby organ był w stanie podjąć odpowiednie działania. Ponadto zachodzi konieczność przeprowadzenia dochodzenia o charakterze wewnętrznym w celu wyjaśnienia nieprawidłowości i podjęcia działań naprawczych w przypadku stwierdzenia zaistnienia naruszenia. Sygnaliści w każdej organizacji powinni być również świadomi przysługujących im praw, dlatego niezbędne jest się przeprowadzanie szkoleń i dokształcanie w zakresie RODO.

Dzięki RODO działania sygnalistów są więc chronione, co sprzyja wykrywaniu wszelkich nieprawidłowości oraz podejmowaniu skutecznych działań naprawczych. Niezbędne jest tym samym, aby organizacje respektowały przepisy Rozporządzenia i zapewniły odpowiednie środowisko pracy i wsparcie dla sygnalistów.

Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.

Stan prawny na dzień 14 lutego 2024 r.

autor:

Aleksandra Kamińska

Prawnik
+48 536 226 845 | a.kaminska@kglegal.pl

redaktor cyklu:

Mateusz Grosicki

Adwokat, wspólnik
+48 506 367 109 | m.grosicki@kglegal.pl