Sygnaliści a ochrona danych osobowych
Podsumowanie i wnioski z wykładu dr Dominiki Dörre-Kolasy z Katedry Prawa Pracy i Polityki Społecznej Uniwersytetu Jagiellońskiego, wygłoszonego w ramach webinaru Państwowej Inspekcji Pracy „Sygnaliści – czy jesteśmy gotowi?”.
Procedura zgłoszeń wewnętrznych jest dokumentem, który odzwierciedla między innymi procesy przetwarzania danych. Tworząc taką procedurę dla organizacji, należy na nią spojrzeć przez pryzmat owych procesów.
Uproszczony schemat tych procesów prezentuje się następująco:
- zgłoszenie sygnalisty;
- przyjęcie zgłoszenia;
- działania następcze: weryfikacja zgłoszenia, komunikacja z sygnalistą;
- działania następcze: wewnętrzne postępowanie wyjaśniające;
- ustalenia, wnioski, raport końcowy, informacja zwrotna dla sygnalisty.
Ustawa narzuca „obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie”. Należy odróżnić potwierdzenie, że zgłoszenie zostało otrzymane, od potwierdzenia przyjęcia tego zgłoszenia. Możemy bowiem mieć do czynienia z automatyczną odbitką po wysłaniu zgłoszenia przez aplikację czy maila nawet bez zapoznania się przez kogokolwiek z jego treścią. Może to być potwierdzenie przyjęcia zgłoszenia, które jest poprzedzone sprawdzeniem zgłoszenia pod kątem spełnienia warunków formalnych. Niezależnie jednak od tego, z którą formą mamy do czynienia, nie jest to nic innego, jak procesy przetwarzania danych. I właśnie te procesy muszą być odpowiednio zaprojektowane i zabezpieczone. Osoby dokonujące czynności przetwarzania danych w ramach tego procesu muszą być odpowiednio dobrane i wyselekcjonowane z uwzględnieniem ich przygotowania merytorycznego i predyspozycji. Zwłaszcza że mogą to być te same osoby, które będą podejmować działania następcze.
Artykuł 27 ustęp 2 ustawy o ochronie danych osobowych stanowi, że do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ustępie 1 tego przepisu, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.
Z upoważnienia powinno jasno wynikać, do czego upoważnione są wskazane osoby, czyli do jakich procesów są upoważnione. Jakie działania mogą podjąć. Czy mogą przekazywać dalej informacje zawarte w zgłoszeniu sygnalisty. Czy mogą się kontaktować z sygnalistą i pozyskiwać od niego dodatkowe informacje.
Bardzo istotne jest to, że upoważnienia nadajemy wyłącznie tym osobom, których udział w procesie przyjmowania zgłoszeń i podejmowania działań następczych wynika z procedury, a nie wszystkim tym, którzy mogą na jakimś etapie podejmować jakieś czynności pomocnicze, np. pracownik służb ochrony dostarczający nagrania z monitoringu czy pracownik działu kadr sprawdzający na polecenie zespołu obecność poszczególnych osób w pracy w danych dniach. Oczywiście najlepiej byłoby, aby osoby wytypowane do działań następczych miały możliwość pozyskania jak największej liczby potrzebnych informacji we własnym zakresie, ale wiadomo, że nie zawsze będzie to możliwe.
Kilka ważnych zasad:
- Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane.
- Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem.
- Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.
- Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.
Dołącz do newslettera!
Co tydzień otrzymasz od nas porządną dawkę wiedzy o BHP i nie tylko!
- Nie ominą Cię najciekawsze newsy ze świata behapowców
- Przeczytasz bezpłatnie wybrane artykuły z „Promotora BHP”
- Będziesz wiedział, na jakich wydarzeniach spotka się nasza branża
- Wyślemy Ci kody, dzięki którym czasopisma i książki kupisz taniej
- Dowiesz się wcześniej o premierach wydawniczych i najlepszych promocjach
Mogą zainteresować Cię również
Dołącz do newslettera!
Co tydzień otrzymasz od nas porządną dawkę wiedzy o BHP!
