Sygnaliści a ochrona danych osobowych

Nie koniec na tym, bowiem ustawodawca w artykule 27 ustawy o ochronie sygnalistów również jednoznacznie rozszerzył ochronę poufności zgłoszeń i zawartych w nich danych, gdyż punkt 1 tego artykułu stanowi: „Podmiot prawny gwarantuje, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób”.

Czyli ochrona poufności dotyczy w ogóle informacji, na podstawie których można zidentyfikować tożsamość osób. I tu ustawodawca poszerza zakres ochrony tożsamości również na inne osoby.

W tym miejscu pojawia się kolejny dylemat: czy i kiedy spełnić obowiązek informacyjny wobec osoby, której dotyczy zgłoszenie? Otóż taki obowiązek istnieje, oczywiście bez podawania źródła zgłoszenia, ale RODO w artykule 14 pozostawia też pewną furtkę. W ust. 5 jest bowiem zapis, że można nie realizować tego obowiązku, jeżeli by to poważnie utrudniło lub uniemożliwiło realizację celów przetwarzania danych.

RODO daje także osobie, której dane dotyczą, uprawnienie do uzyskania kopii danych podlegających przetwarzaniu. I tu także istnieje możliwość nierealizowania tego obowiązku, ponieważ z RODO wprost wynika, że prawo do uzyskania kopii „nie może niekorzystnie wpływać na prawa i wolności innych osób”.

Ustawodawca przewidział możliwość w przedmiotowej sprawie powierzenia przyjmowania zgłoszeń sygnalistów podmiotowi zewnętrznemu. Reguluje to artykuł 28 ustawy o ochronie sygnalistów: „Upoważnienie podmiotu zewnętrznego, o którym mowa w art. 25 ust. 1 pkt 1, wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą”.

W związku z tym pojawia sprawa najważniejsza, czyli wstępna ocena danego podmiotu. Należy sprawdzić, czy wytypowany podmiot gwarantuje nam bezpieczeństwo w myśl rozumienia ustawy. Dopiero, gdy podmiot potwierdzi swoją wiarygodność, należy zawrzeć z nim klarowną umowę na konkretne, wymienione zadania. I tu nie chodzi o to, aby przepisać postanowienia wynikające z RODO, ale szczegółowo określić termin obowiązywania umowy, jej charakter, rodzaj gromadzonych danych, sposób przetwarzania, czyli – mówiąc wprost – należy opisać, co ten podmiot ma zrobić z konkretnym zgłoszeniem. Dla przykładu: czy z automatu ma je przekazać do konkretnej komórki, czy przeprowadzić wstępną lub pogłębioną weryfikację, jakie czynności powinny być następnie podjęte, jak długo dane mają być przez ten podmiot przechowywane.

Zagrożenia wynikające z różnych sposobów przyjmowania zgłoszeń, którym trzeba przeciwdziałać:

• dostęp do skrzynki e-mail nieuprawnionych osób;
• zapoznanie się z korespondencją i danymi sygnalisty przez osobę nieuprawnioną (np. pracownika sekretariatu);
• zbyt szeroki krąg osób upoważnionych/upoważnienie osób niewłaściwych;
• pozostawienie dokumentów/dowodów w niewłaściwym miejscu;
• ujawnienie danych sygnalisty np. podczas przesłuchania świadka.

Źródło: Państwowa Inspekcja Pracy

Może Cię także zainteresować: Czy w Polsce jest problem z umowami cywilnoprawnymi?