Sygnaliści a ochrona danych osobowych

Co do przetwarzania danych to z zapisów ustawy wprost wynika, że podmiot prawny opracowujący i wdrażający procedurę zgłoszeń wewnętrznych jest też administratorem danych osobowych. To on decyduje o sposobie przetwarzania tych danych, o sposobie ich zabezpieczenia. Ten podmiot prawny wyłania też osoby, którym udziela pisemnych upoważnień do przyjmowania zgłoszeń, podejmowania działań następczych, a w konsekwencji upoważnia do przetwarzania danych osobowych.

Ustawa jednoznacznie ustala również „maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nieprzekraczający 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego”. Co nie oznacza, że w tym terminie sygnalista ma otrzymać już informację końcową wraz z ewentualnymi wnioskami. Jeżeli sprawa zgłoszenia nie została jeszcze zakończona, należy poinformować, jakie działania już udało się podjąć, jakich jeszcze nie, a jakie są planowane w najbliższej przyszłości. W konsekwencji jest to informacja o przesunięciu w czasie ostatecznego rozstrzygnięcia.

Bardzo często pojawiają się pytania i wątpliwości, czy po zakończeniu sprawy musi powstać raport końcowy. Otóż nie musi. To mogą być rekomendacje, to może być protokół ustaleń, to mogą być wnioski. Ich nazwa i forma zależą od tego, co zostało zapisane w procedurze zgłoszeń wewnętrznych.

To wszystko powinno być zapisane w procedurze w sposób, jasny, czytelny i zrozumiały dla osób fizycznych.

Artykuł 8 ust. 4 ustawy o ochronie sygnalistów stanowi: „Podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy”.

Należy zwrócić uwagę, że ani z tego przepisu, ani z jakiegokolwiek innego w ustawie nie wynika obowiązek  usuwania tak zwanych danych nadmiarowych. W ustawie jest jedynie mowa o usuwaniu danych, które nie mają znaczenia, które zostały zebrane przypadkowo, a nie mają związku ze sprawą.

Dr Dominika Dörre-Kolasa stoi na stanowisku, że z samego zgłoszenia sygnalisty, niezależnie od tego, w jakiej formie będzie ono złożone, nie należy usuwać niczego, gdyż stanowi ono integralną całość. Natomiast na dalszym etapie przetwarzania danych nie należy gromadzić i przetwarzać ewentualnych załączników, których treść jednoznacznie nie ma związku ze sprawą. Dane przypadkowe, zebrane w toku sprawy, są usuwane w terminie 14 dni.

Inaczej sprawa ma się z danymi nadmiarowymi. To nie są dane przypadkowe, ale na przykład przytoczenie opisów kolejnych faktów, które mają wzmocnić uwiarygodnienie tez sygnalisty,  wykazanie tych „uzasadnionych podstaw” wówczas, gdy nie są potrzebne, ponieważ prawdziwość informacji została już wykazana w dostateczny sposób.

Należy odpowiedzieć sobie na pytanie, czyje dane – w ramach procedury zgłoszeń wewnętrznych – podlegają ochronie.

Otóż artykuł 8 ust. 1 ustawy o ochronie sygnalistów stanowi: „Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty”.

Czyli w sposób oczywisty chronione są dane osobowe sygnalisty, ale też wszelkich innych osób, których dane są przetwarzane w związku ze stosowaniem ustawy o ochronie sygnalistów. Wynika to jednoznacznie z rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (…), czyli RODO.

W tym rozporządzeniu znajduje się też definicja danych osobowych. W artykule 4 punkt 1 znajduje się zapis: „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Należy też dobrze rozumieć sformułowanie dotyczące ujawnienia danych osobowych „za wyraźną zgodą sygnalisty”. Nie jest ono bowiem jednoznaczne z ich upublicznieniem, ale ze zgodą na ich wykorzystanie, gdy zachodzi, dajmy na to, konieczność pozyskania dodatkowych informacji od osoby, która jest osobą upoważnioną do przyjmowania zgłoszeń bądź podejmowania działań następczych.