Dokumentacja w procesie ochrony sygnalistów w aspekcie RODO

Ujawnienie tożsamości sygnalisty nie musi koniecznie polegać na podaniu jego imienia i nazwiska. Kwestię tożsamości sygnalisty należy traktować szeroko. Czasami wystarczające będzie podanie informacji pośrednich, które umożliwią jego identyfikację. Rolą administratora danych, np. pracodawcy, jest zapewnienie właściwej ochrony sygnalistom oraz pozostałym osobom biorącym udział w procesie zgłaszania naruszeń prawa. Konieczne jest więc przygotowanie w tym zakresie odpowiedniej dokumentacji, takiej jak upoważnienia do przetwarzania danych przez osoby obsługujące zgłoszenia sygnalistów czy też odpowiednie klauzule informacyjne dla osób biorących udział w procesie zgłaszania naruszeń.

Ochrona tożsamości sygnalisty

Sygnalista podlega ochronie od chwili dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa. Nie ma znaczenia, czy informacje objęte zgłoszeniem lub ujawnieniem okażą się prawdziwe, czy sygnalista prawidłowo zakwalifikuje dane zachowanie (np. jako przestępstwo lub wykroczenie). Istotne jest jedynie, czy w momencie dokonywania zgłoszenia miał uzasadnione podstawy, by sądzić, że dokonuje prawdziwego zgłoszenia lub ujawnienia publicznego. Sygnalista podlega ochronie przed działaniami odwetowymi od momentu dokonania zgłoszenia. Takie same zasady ochrony dotyczą osób udzielających pomocy w dokonaniu zgłoszenia oraz osób powiązanych z sygnalistą. Myśląc o ochronie danych osobowych sygnalistów na etapie planowania i później w procesach zgłoszeń należy pamiętać, że podstawowym źródłem prawa są przepisy RODO i stosowanie regulacji wynikających z ustawy o sygnalistach nie może odbywać się w oderwaniu od przepisów unijnego rozporządzenia.

Podmiot prawny i organ publiczny zobowiązani do ustalenia wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następnych są administratorami danych osobowych przetwarzanych w związku z przyjęciem zgłoszenia, a także w związku z prowadzeniem działań następczych oraz prowadzeniem rejestru zgłoszeń. Procedura zgłoszeń wewnętrznych powinna określać wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych. Osoby, które na podstawie procedury zostaną upoważnione do przyjmowania lub weryfikacji zgłoszeń, powinny uzyskać pisemne upoważnienie administratora do przetwarzania danych osobowych (patrz ramka). Upoważnienie powinno określać zakres, cel i czas, w jakim dana osoba zostaje upoważniona do przetwarzania danych osobowych.

Ujawnienie danych sygnalisty

Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty. Art. 8 ustawy o ochronie sygnalistów (Dz. U. z 2024 r. poz. 928) określa, kiedy dane osobowe sygnalisty mogą zostać ujawnione. Przede wszystkim można ujawnić dane osobowe za wyraźną i dobrowolną zgodą sygnalisty, po poinformowaniu, komu, w jakim zakresie i celu dane mają być udostępnione. Drugi przypadek, w którym takie ujawnienie może być dokonane, będzie mieć miejsce, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa, w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie, np. na żądanie Policji, prokuratora lub sądu. Przed dokonaniem ujawnienia właściwy organ publiczny lub właściwy sąd musi powiadomić o tym sygnalistę, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych, chyba że takie powiadomienie zagrozi postępowaniu wyjaśniającemu lub postępowaniu przygotowawczemu, lub sądowemu.

Klauzule informacyjne

Jednym z ważniejszych obowiązków administratora danych wobec osób, których dane są przetwarzane, jest przekazanie tym osobom informacji, o których mowa w art. 13 i art. 14 RODO. Przekazanie klauzuli informacyjnej zawierającej dane określone w art. 13 ust. 1 i ust. 2 RODO nie wydaje się budzić zastrzeżeń. Problematyczne jest natomiast spełnienie obowiązku informacyjnego w przypadku, gdy przetwarzane są dane osobowe pozyskane nie bezpośrednio od osoby, której dotyczą, czyli m.in. dane osoby dokonującej naruszenia prawa, które przekazuje w swoim zgłoszeniu sygnalista.

Zgodnie z art. 14 ust. 1 i ust. 2 RODO administrator w takim wypadku powinien poinformować osobę, której dotyczą dane, o ich przetwarzaniu, a także m.in. o celu i podstawie prawnej przetwarzania, kategorii danych osobowych, czy okresie, przez jaki dane będą przetwarzane. W ustawie o ochronie sygnalistów wyłączono stosowanie art. 14 ust. 2 lit. f) RODO, tj. obowiązek powiadomienia podmiotu danych o źródle pochodzenia danych (tzn. wskazania, kto podał dane osobowe osoby). Ponadto wyłączono zastosowanie art. 15 ust. 1 lit. g) RODO, który mówi o obowiązku przedstawienia na żądanie podmiotu danych wszelkich informacji o źródle pozyskania jego danych.

Eksperci wskazując na niedociągnięcia w ustawie o ochronie sygnalistów zwracają uwagę, iż taki zakres wyłączenia oznacza, że każdorazowo po przyjęciu zgłoszenia i pozyskaniu od kogokolwiek danych osobowych innych osób (w tym podejrzewanego o naruszenie prawa) należałoby wykonać pozostałe obowiązki określone w art. 14-15 RODO. Taka regulacja praktycznie uniemożliwiałaby prowadzenie działań następczych (prowadzenie postępowań wyjaśniających), narażałaby sygnalistę i inne osoby na działania odwetowe i uniemożliwiałaby rozsądną ochronę, a więc osiągnięcie podstawowych celów ustawy o ochronie sygnalistów.

W związku z powyższym wydaje się, że należy skorzystać z możliwości określonej w art. 14 ust. 5 RODO, która umożliwia wyłączenie w ogóle obowiązku informacyjnego wobec podmiotów danych w sytuacji, gdy jego wykonanie mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania (np. weryfikację zgłoszenia w ramach działań następczych).

Jeśli chodzi o sposoby spełniania obowiązku informacyjnego, to oczywiście powinien on być spełniony np. w momencie zatrudnienia nowego pracownika, który musi zapoznać się również z procedurą zgłaszania naruszeń. Następnie obowiązek ten powinien być wykonany ponownie w momencie dokonywania przez sygnalistę zgłoszenia. Sposób jego przekazania będzie zależny od kanału dokonywania zgłoszenia (zgłoszenie ustne, linia telefoniczna, w formie elektronicznej). Może być zrealizowany w sposób warstwowy. W pierwszej warstwie należy podać najważniejsze informacje, tj. kto przetwarza dane, w jakim celu i jakie prawa ma osoba, której dane są przetwarzane. Druga warstwa może zostać podana w drodze odesłania. Przykładowo, jeżeli zgłoszenie dokonywane jest przez dedykowaną linię telefoniczną - wiadomość głosowa: "po więcej informacji na temat przetwarzania danych naciśnij określony numer", jeśli w drodze elektronicznej - poprzez odesłanie do podanego linku.