Istotą ustawy o ochronie sygnalistów z 14 czerwca 2024 r. nie jest jedynie ochrona ich przed ewentualnymi działaniami odwetowymi, próbami lub groźbami zastosowania takich działań. Obejmuje ona także ochronę danych osobowych sygnalistów, osób z nimi powiązanych, pomagających im w dokonaniu zgłoszenia opartego na uzasadnionym podejrzeniu dotyczącym zaistniałego lub potencjalnego naruszenia prawa, oraz osób, których przedmiotowe zgłoszenie może dotyczyć.
I choć w treści Ustawy szczegółowo opisano wymagania odnoszące się do ochrony danych osobowych przetwarzanych w procesie ochrony osób zgłaszających naruszenia prawa, to w dalszym ciągu budzą one kontrowersje. Wywołują też niepotrzebny – w mojej ocenie – dysonans merytoryczny oparty na stereotypie „Gdzie dwóch prawników, tam trzy opinie”. I coś w tym niestety jest.
Kontrowersje
Proces opisany przyjętymi przepisami o ochronie sygnalistów wskazuje zakres przedmiotowy naruszeń prawa, definiując je jako działanie lub zaniechanie niezgodne z prawem lub działanie mające na celu obejście prawa, m.in. w zakresie naruszenia ochrony danych osobowych. Powyższe może oznaczać, że niezależnie od przyjętych omawianą Ustawą rozwiązań ubezpieczyciele oraz agenci i brokerzy ubezpieczeniowi, dla których pracę zarobkową wykonuje co najmniej 50 osób, muszą (musieli) dokonać analizy i aktualizacji rozwiązań w zakresie zarządzania naruszeniami ochrony danych, przewidzianych zapisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO).
W kontekście limitu czasu określonego w przepisach (72 godziny) oraz skomplikowanych relacji opartych na rozwiązaniach administrator – podmiot przetwarzający nie jest to już takie proste.
Zapisy Ustawy jednoznacznie wskazują na konieczność realizacji względem osób, których dane osobowe będą (są) przetwarzane w procesie ochrony osób zgłaszających naruszenie prawa obowiązku informacyjnego wynikającego z art. 13 ust. 1 i 2 oraz 14 ust. 1 i 2 RODO. W zasadzie zapisy te nie budzą większych kontrowersji (być może z jednym małym wyłączeniem odnoszącym się do źródła danych). Niemniej pojawiają się pytania o zawartość merytoryczną treści obowiązku informacyjnego, odnoszące się do podstaw prawnych przetwarzania danych osobowych w całym procesie opisanym w Ustawie oraz o liczbę koniecznych do przygotowania i, w konsekwencji, wdrożenia treści obowiązku informacyjnego.
Zbiorcza klauzula lub kilka odrębnych
Obserwacja rynku wskazuje, że w zdecydowanej większości podmioty zobowiązane do przygotowania wymaganych treści opracowują jedną zbiorczą klauzulę informacyjną. Zdarzają się także podmioty, które opracowują kilka odrębnych treści, decydując się na dopasowanie ich do etapu toczącego się procesu. Treści te adresowane są oddzielnie do sygnalisty anonimowego; sygnalisty, który ujawnia swoje dane osobowe; osoby, której dotyczy zgłoszenie sygnalisty bez podania źródła danych; osoby, której dotyczy zgłoszenie sygnalisty z podaniem źródła danych; osoby, której dotyczy zgłoszenie sygnalisty w odpowiedzi na wniosek o podanie źródła danych; osoby pomagającej sygnaliście w dokonaniu zgłoszenia; osoby powiązanej z sygnalistą itd., itd.
Czy faktycznie taka była intencja ustawodawcy? Trudno stwierdzić, ale z całą pewnością tak może być zinterpretowana praktyczna realizacja zasady rozliczalności, o jakiej mowa w art. 5 ust. 2 RODO, a na jaką powołują się zapisy Ustawy.
Zasadą wynikającą z RODO jest takie ujęcie treści obowiązku informacyjnego, by w sposób transparentny dostarczała osobom, których dane są przetwarzane w określonym procesie biznesowym (tutaj w procesie ochrony osób zgłaszających naruszenia prawa), wszelkich niezbędnych informacji odnoszących się do tegoż przetwarzania. Jedną z nich jest niezbędna do zapewnienia rzetelności i przejrzystości przetwarzania tych danych wiedza o okresie, przez który dane osobowe będą przechowywane, tzw. retencja danych. Dotyczy to nie tylko danych zgromadzonych w systemie/narzędziu (kopiach zapasowych) służącym do przyjmowania zgłoszeń naruszeń prawa lub jego kopiach zapasowych czy też utrwalonych w rejestrze zgłoszeń naruszeń prawa, ale także dotyczy tych danych, które z punktu widzenia wymagań Ustawy nie mają znaczenia dla rozpatrywania zgłoszenia naruszenia prawa i stanowią dane nadmiarowe, a co w kontekście wybranego sposobu dokonywania zgłoszeń może być problematyczne, pomijane i pozbawione nadzoru.
Realne ryzyko każdego administratora
Holistyczne ujęcie ochrony danych osobowych w procesie zgłaszania naruszeń prawa wskazuje także na obowiązek wdrożenia takich mechanizmów, które uniemożliwią osobom nieupoważnionym uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewnią rzeczywistą ochronę poufności tożsamości sygnalistom, osobom, których dotyczy zgłoszenie, oraz osobom trzecim wskazanym w treści zgłoszenia.
Pomocnym w realizacji tych działań mają być pisemne upoważnienia do przetwarzania danych oraz zobowiązania do zachowania tajemnicy, nie tylko ze względu na możliwość umieszczenia w zgłoszeniu także szczególnych kategorii danych, co jest uzależnione wyłącznie od decyzji sygnalisty. Pisemne zgłoszenia adresowane winny być do tych osób (podmiotów), które uzyskały dostęp do danych podczas przyjmowania i weryfikacji zgłoszeń oraz w czasie działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały te działania.
Szczególne kontrowersje budzi podyktowana wyborem systemu/narzędzia dedykowanego do przyjmowania zgłoszeń naruszeń prawa konieczność – a czasem i realna możliwość – zawarcia wymaganej zapisami Ustawy umowy powierzenia przetwarzania danych osobowych. Stanowi to realne ryzyko każdego administratora, a w konsekwencji ryzyko dla osób chcących podzielić się informacjami objętymi zakresem przedmiotowym opisanym w Ustawie.
Warto podkreślić, że zaplanowane, przyjęte i wdrożone przez zakłady ubezpieczeń, agentów i brokerów ubezpieczeniowych rozwiązania muszą spełniać wymagania określone w przepisach prawa oraz być – z punktu widzenia osób zgłaszających naruszenia prawa – spójne, jednoznaczne i oczywiste. Tym bardziej że rynek ubezpieczeniowy tworzą instytucje zaufania publicznego, cechujące się stabilnym, rzetelnym, gwarantującym pewność oferowanych rozwiązań działaniem, gdzie nie ma miejsca na filozofię „jakoś to będzie”.
Grzegorz Leśniewski
ekspert w firmie M3M
