Obowiązujące od 25 września 2024 r. przepisy o ochronie sygnalistów powodują, że podmioty obowiązane, np. brokerzy czy agenci ubezpieczeniowi, muszą zająć się przepisami rozporządzenia RODO, a konkretnie dokumentacją, w której należy dokonać obowiązkowych zmian.
Przepisy RODO w kontekście sygnalistów to proces nierozerwalny. Unijny prawodawca już w motywie 83 dyrektywy o ochronie sygnalistów poczynił zastrzeżenie, że przetwarzanie danych osobowych musi być dokonywane zgodnie z zapisami art. 5 i 25 RODO.
Myśląc o sygnalistach, należy mieć na uwadze szeroki zakres osób, jakimi należy się zaopiekować, a dokładnie ich danymi osobowymi. Czyje to dane? Przede wszystkim sygnalistów, ale również osób pomagających w zgłoszeniu, świadków, osób, których dotyczy zgłoszenie, osób pokrzywdzonych czy członków komisji prowadzącej postępowania wyjaśniające. To nie koniec, bo mogą to być też dane osobowe zabezpieczone w materiałach dowodowych, np. korespondencji e-mail czy z logów w systemach informatycznych.
Bezpieczne przetwarzanie danych w systemie whistleblowing
Przetwarzanie danych ma miejsce na wszystkich etapach systemu whistleblowing.
Obowiązkowe zmiany w dokumentacji RODO
1. aktualizacja Rejestru czynności przetwarzania (RCP),
2. spełnienie obowiązku informacyjnego – art. 13, 14 RODO,
3. przekazanie okresowych upoważnień i oświadczeń do przetwarzania danych,
4. przestrzeganie zasad: Privacy by design, Privacy by default,
5. stosowanie zasady minimalizacji,
6. wykonanie analizy ryzyka – art. 32 RODO,
7. wykonanie DPIA – Oceny skutków dla ochrony danych osobowych – art. 35 RODO,
Podmioty prowadzące RCP muszą w nim uwzględnić nowe czynności przetwarzania danych osobowych związane z obsługą zgłoszeń sygnalistów i określić: cel i podstawę prawną przetwarzania, kategorie danych i osób, których dane dotyczą, opis zastosowanych środków technicznych i organizacyjnych oraz okres retencji, czyli planowany termin usunięcia danych. Okres przechowywania tych danych osobowych to trzy lata.
Realizacja obowiązku informacyjnego wymaga: ustalenia statusu osób występujących w zgłoszeniu oraz ograniczenia zakresu przekazywanej informacji z uwagi na bezwzględną ochronę tożsamości osób uczestniczących w całym procesie, tzn. nie podajemy informacji o źródle danych. Ponadto w klauzuli informacyjnej mamy obowiązek poinformować o możliwości dokonywania przez sygnalistów zgłoszeń zewnętrznych i ujawnień publicznych.
Należy zadbać o nadanie odpowiednich upoważnień osobom obsługującym proces zgłoszeń oraz odebrania od nich oświadczeń.
Analogicznie jak w przypadku stosowania przepisów RODO, należy uwzględnić ochronę danych osobowych i prywatności na etapie tworzenia założeń projektu nowego produktu lub usługi (privacy by design) i wprowadzania domyślnych ustawień zapewniających maksymalny, stały stopień prywatności (privacy by default).
Mamy obowiązek stosować zasadę minimalizacji,co oznacza wyraźne, ustawowe ograniczenie zakresu przetwarzania danych osobowych (art. 8 pkt. 4 u.o.s.). Przetwarzamy dane osobowe tylko w zakresie niezbędnym do przyjęcia zgłoszenia lub ewentualnego podjęcia działania następczego. Natomiast dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, powinny być zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane – 14 dni.
Przeprowadzenie analizy ryzyka to najważniejszy obowiązek, jaki nakłada rozporządzenie RODO. Wadliwie przeprowadzona, nieaktualizowana często bywa wskazywana przez prezesa UODO jako jeden z elementów, które przyczyniły się do nałożenia administracyjnej kary pieniężnej.
W procesie analizy ryzyka na gruncie przepisów o ochronie sygnalistów należy uwzględnić: wybór kanału zgłoszeń (ustne/pisemne) oraz sposób realizacji i wybór narzędzi obsługi zgłoszeń (aplikacja, strona www.)
DPIA (Data Protection Impact Assessment) – Ocena skutków dla ochrony danych to nowy obowiązek, którego wymaga wprowadzony system whistleblowing.
DPIA to proces oceny ryzyka, który obejmuje analizę metod przetwarzania danych, ocenę potencjalnych zagrożeń oraz wdrożenie odpowiednich środków ochronnych, a jej przeprowadzenie jest obowiązkowe.
Dokonując DPIA, stawiamy się na miejscu osoby, której dane dotyczą, i analizujemy, co złego może się stać w wyniku nieprawidłowego przetwarzania danych.
Ryzyka, które musimy uwzględnić w DPIA, to:nieautoryzowane ujawnienie tożsamości sygnalisty, dostęp osób nieuprawnionych do treści zgłoszenia, manipulacja danymi czy zagrożenia technologiczne.
Podsumowanie
Przedstawiłam katalog zadań, jakie ma administrator w zakresie prawidłowej ochrony danych osobowych w procesie przyjmowania i realizacji zgłoszenia od sygnalisty. Dla podmiotów, które mają prawidłowo wdrożone procedury RODO, to zadanie nie będzie zbyt trudne, bo będzie polegało na dokonaniu pewnych uzupełnień czy zmian w już posiadanej dokumentacji oraz przeprowadzenia dodatkowej analizy ryzyka z uwagi na inne aspekty.
Oczywiście największym wyzwaniem będzie przeprowadzenie DPIA, która jest procesem budowania i pokazywania zgodności z zapisami RODO. Ochrona sygnalistów to nie tylko wymóg prawny, ale przede wszystkim element budowania silnej i etycznej organizacji.
Zainteresowanych Wzorem DPIA lub praktycznym przykładem DPIA zapraszam do kontaktu.
Teresa Grabowska
TG-Doradztwo i Zarządzanie
biuro.tg.doradztwo@gmail.com
