Sygnaliści – czy RODO zawsze znajdzie zastosowanie?

Zapewnienie odpowiedniego kanału zgłaszania naruszeń prawa oraz zabezpieczenie osób dokonujących takich zgłoszeń to nowe obowiązki, z jakimi zmierzyć będą musieli się pracodawcy począwszy od 17 grudnia 2021 r., kiedy to wejść w życie powinny przepisy ustawy o ochronie sygnalistów.

Na tym polu pojawia się wiele wątpliwości dotyczących tego, jak z jednej strony zapewnić poufność danych sygnalisty, osób których dotyczy zgłoszenie, ale jednocześnie dochować wobec nich obowiązku informacyjnego, o którym mowa w przepisach Ogólnego Rozporządzenia o Ochronie Danych.

 

Przepisy o sygnalistach jako podstawa przetwarzania

Dyrektywa wskazuje, że przyjmowane przez pracodawców procedury powinny zapewniać ochronę tożsamości zgłaszającego, osób, których dotyczy zgłoszenie oraz innych osób, o których mowa w zgłoszeniu (na przykład świadków lub współpracowników) – i to na wszystkich etapach procedury. Podstawę prawną przetwarzania danych przez pracodawcę i jego status określa sam projekt ustawy wskazując, że pracodawca jest administratorem danych osobowych zgromadzonych w prowadzonym przez niego rejestrze zgłoszeń wewnętrznych. Nadto przepisy nakładają na niego szereg obowiązków związanych z przetwarzaniem danych w związku ze zgłaszaniem nieprawidłowości.

Zgodnie z wytycznymi Dyrektywy projekt krajowych przepisów przewiduje, że jakiekolwiek dane pozwalające na ustalenie tożsamości zgłaszającego, w tym jego dane osobowe mogą zostać ujawnione wyłącznie za jego wyraźną zgodą. Natomiast zgody osoby, której dotyczy zgłoszenie (potencjalnego naruszyciela) nie wymaga zbieranie i przetwarzanie jej danych, po otrzymaniu zgłoszenia, w celu jego weryfikacji zgłoszenia oraz podjęcia działań następczych.

Dyrektywa nakazuje również, by dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie były w ogóle zbierane, a w razie przypadkowego zebrania, by zostały niezwłocznie usunięte. Istotne jest też, by w trakcie procesowania zgłoszenia, wprowadzone zostały takie rozwiązania, które zapewniają odseparowanie informacji pozwalających na identyfikację sygnalisty od samej treści zawiadomienia.

Obowiązek informacyjny

Przepisy unijne pozwalają na ustawowe ograniczenie wykonywania niektórych praw do ochrony danych osób, których dotyczy zgłoszenie – w zakresie, w jakim i o ile jest to konieczne, by przeciwdziałać próbom utrudniania dokonywania zgłoszeń, utrudniania lub spowalniania działań następczych, czy też próbom ustalenia tożsamości sygnalistów.

Zgodnie z tymi wytycznymi projekt krajowych przepisów przewiduje, że wobec osób wskazanych w zgłoszeniu (brak jest precyzyjnego określenia, czy chodzi tylko o osobę, której zgłoszenie dotyczy, czy również potencjalnych świadków i itp.) pracodawca nie musi informować skąd uzyskał dane tychże osób w związku w prowadzonym postępowaniem wyjaśniającym. Ograniczenie to ma nie mieć zastosowania, jeśli zgłaszający działał bez uzasadnionych podstaw co do tego, że przekazuje prawdziwe informacje dotyczące naruszenia prawa. Wówczas pracodawca będzie mógł przekazać osobie, której dotyczy zgłoszenie, z jakiego źródła uzyskał informację w tym przedmiocie.

Poufność danych a anonimowość

Istotnym rozróżnieniem na gruncie przepisów o ochronie sygnalistów jest zapewnienie poufności danych dotyczących tożsamości zgłaszającego oraz umożliwienie dokonywania zgłoszeń anonimowych.

Pierwsze stanowi bezwzględny obowiązek pracodawcy i osób zaangażowanych w przeprowadzenie postępowania wyjaśniającego. Wyłączyć może go jedynie wyraźna zgoda samego zgłaszającego, który wraz z przekazaną informacją na temat naruszenia prawa podał swoje personalia.

Przyjmowanie zaś zgłoszeń anonimowych polega na tym, że sama informacja nie jest opatrzona żadnymi danymi pozwalającymi na zidentyfikowanie zgłaszającego. Tym samym nawet sam przyjmujący zgłoszenie od samego początku nie wie, od kogo ono pochodzi. Dopuszczalność tego rodzaju zgłoszeń jest jednak możliwa wyłącznie, jeśli pracodawca przewidzi ją w ustanowionym regulaminie dokonywania zgłoszeń.

Tym samym, ustawodawca nie narzuca mu obowiązku przyjmowania informacji anonimowych o potencjalnym naruszeniu.

Zgłoszenie anonimowe – co z danymi osobowymi?

Co w tym zakresie istotne – przepisy RODO nie mają zastosowania do informacji anonimowych. Oznacza to w szczególności wyłączenie obowiązku informacyjnego, o którym mowa w art. 13 RODO, który de facto nie byłby możliwy do realizacji.

Potwierdza to również motyw 26 Rozporządzenia, który wskazuje, że zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. W warunkach więc, kiedy pracodawca dopuszcza możliwość przyjmowania zgłoszeń anonimowych, obowiązki dotyczące odpowiedniego zabezpieczenia danych osobowych odnosić będą się do osób wskazanych w zgłoszeniu, w tym w szczególności osoby, której zgłoszenie dotyczy oraz innych osób w nim wymienionych – o ile możliwym jest ich zidentyfikowanie.

Warto zwrócić uwagę, że naruszenia przepisów dotyczących ochrony danych osobowych w świetle Dyrektywy oraz projektowanych polskich regulacji również stanowić może przedmiot zgłoszenia. Dotyczyć mogą one w szczególności incydentów bezpieczeństwa ochrony danych, takich jak uzyskanie do nich nieautoryzowanego dostępu, utrudnianie realizacji praw podmiotu danych lub przetwarzanie ich bez podstawy prawnej.