Ciekawym zagadnieniem jest kwestia przepisów wynikających z ustawy o ochronie sygnalistów w kontekście przetwarzania danych osobowych. Okazuje się bowiem, iż potencjalnego naruszyciela trzeba będzie również poinformować o przetwarzaniu jego danych osobowych. Obowiązek taki wynika wprost z przepisów ustawy, a gdy przedsiębiorca go nie wykona, wówczas naraża się na karę finansową ze strony Urzędu Ochrony Danych Osobowych.
Co zatem jest istotne w kontekście ochrony danych osobowych i obowiązków wynikających z ustawy o ochronie sygnalistów?
Generalnie wielu przedsiębiorców przygotowuje obecnie swe firmowe programy ochrony sygnalistów, tworząc procedury zgłoszeń wewnętrznych. Tutaj jednak należałoby pamiętać, iż obowiązki wynikające z ustawy o ochronie sygnalistów z 14 czerwca 2024 roku (Dz.U. z 2024 r. poz. 928, zwana dalej ustawą o sygnalistach) nie sprowadzają się jedynie do opracowania procedury zgłoszeń i ustalenia jakimi kanałami i komu sygnaliści będą mogli zgłaszać naruszenia. Tutaj bowiem nie mniej istotną kwestią jest, obostrzoną poważnymi konsekwencjami finansowymi, realizacja obowiązku informacyjnego dotyczącego przetwarzania danych osobowych, zarówno samego sygnalisty, potencjalnego naruszyciela, jak i osób trzecich ujętych w zgłoszeniu lub zebranych w toku postępowania wyjaśniającego.
W tym miejscu warto podkreślić, iż ustawa o sygnalistach nie wyłącza realizacji obowiązku informacyjnego wobec żadnej z tych osób, których dane będziemy przetwarzać, przyjmując i rozpatrując zgłoszenie. Tym samym dotyczy to zarówno osoby zgłaszającej naruszenie w organizacji, jak i innych osób, których dane zostaną zebrane w toku rozpatrywania sprawy, nie wyłączając osoby, która potencjalnie dopuściła się naruszenia prawa. Wobec wszystkich tych osób należy spełnić obowiązek informacyjny, zgodnie z przepisami zarówno ustawy o sygnalistach, jak i również rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.U. UE L z 2016 r. nr 119, s. 1, zwana dalej RODO).
Tym samym w zgodzie z art. 13 ust. 1 RODO realizacja obowiązku informacyjnego wobec sygnalisty powinna nastąpić podczas pozyskiwania jego danych osobowych, a więc najpóźniej bezpośrednio przed dokonaniem zgłoszenia. Zatem z praktycznego punktu widzenia rozsądnym wydaje się umieszczenie klauzuli informacyjnej w samej procedurze zgłoszeń, by potencjalny sygnalista miał możliwość uzyskania informacji o tym kto i na jakich zasadach będzie miał dostęp do jego danych osobowych. To niewątpliwie może wpłynąć na decyzję sygnalisty w kontekście tego czy dokonać zgłoszenia wewnętrznego w ogóle, bądź też skorzystać z możliwości anonimowego zawiadomienia.
W odniesieniu natomiast do pozostałych osób, których dane będą przetwarzane w toku rozpoznania sprawy, czas w jakim należy je poinformować o tym w jaki sposób to przetwarzanie się odbywa, określa art. 14 ust. 3 RODO i powinno to nastąpić w rozsądnym terminie, po uzyskaniu tych danych, najpóźniej w ciągu miesiąca, uwzględniając okoliczności konkretnego przypadku. W sytuacji jednak, gdy dane mają być wykorzystane do komunikacji z osobą, której dotyczą, należy umożliwić jej zapoznanie się z klauzulą informacyjną najpóźniej przy pierwszej takiej komunikacji z taką osobą. W sytuacji natomiast, gdy planowane będzie ujawnienie danych osobowych pozyskanych w toku postępowania innemu odbiorcy, obowiązek informacyjny wobec świadków lub potencjalnych sprawców naruszenia należy zrealizować najpóźniej przy ich pierwszym ujawnieniu.
W powyższym aspekcie niewątpliwie ważnym jest, iż klauzula informacyjna skierowana do osób, których dane będą pozyskane w toku rozpoznania zgłoszenia, powinna być odpowiednio dostosowana do okoliczności danej sprawy. A zatem treść owej klauzuli zależeć będzie przede wszystkim od tego jakie dane osób zgromadzi zespół czy też osoba prowadząca postępowanie wyjaśniające i tego, czy sygnalista zgodził się na ujawnienie swojej tożsamości.
Co jest jeszcze istotne w kontekście przetwarzania danych osobowych osób zaangażowanych w proces dokonywania zgłoszenia naruszeń?
Generalnie pamiętać należy również o wyjątkach dotyczących informowania o przetwarzaniu danych osobowych, przewidzianych zarówno w ustawie o sygnalistach, jak i również przepisach RODO.
Biorąc bowiem pod uwagę ustawę o sygnalistach, zgodnie z art. 8 ust. 5 tejże ustawy, osób, których dane osobowe pozyskujemy w toku rozpoznawania zgłoszenia niebezpośrednio od nich, co do zasady nie informuje się o źródle, z którego one pochodzą. W praktyce oznacza to zatem, iż osób tych nie informujemy o tym, że ich dane otrzymaliśmy od sygnalisty i nie wskazujemy go z imienia ani nazwiska jako źródła. Informację taką przekazać można wyłącznie wtedy, gdy sygnalista zgodził się na ujawnienie jego tożsamości bądź dokonał zgłoszenia w złej wierze.
Generalnie ustawa o sygnalistach nie przewiduje możliwości rezygnacji z realizacji obowiązku informacyjnego wobec żadnej z osób, których dane przetwarzamy w związku z dokonanym zgłoszeniem. Wyjątków można jedynie poszukać natomiast w przepisach RODO, lecz tutaj pamiętać należy o tym, iż wyjątków nie należy interpretować rozszerzająco, co oznacza, że stosować można je wyłącznie w warunkach wprost w nich opisanych.
W tym zakresie zatem art. 15 ust. 5 RODO przewiduje wyjątki od obowiązku przekazania informacji o zasadach przetwarzania danych osobowych, pozyskanych niebezpośrednio od danej osoby i dotyczy to sytuacji i wyłącznie z zakresu, w jakim:
- osoba ta dysponuje już tymi informacjami
- realizacja obowiązku informacyjnego jest niemożliwa lub wymagałaby niewspółmiernie dużego wysiłku lub o ile może ona uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania; w tej sytuacji jednak administrator musi podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, a w tym udostępniania informacji publicznie
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii Europejskiej lub krajowym, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej, w tym ustawowym obowiązkiem zachowania tajemnicy
A zatem w odniesieniu do sygnalistów wydaje się, iż w wyjątkowych przypadkach zastosowanie może znaleźć druga z wymienionych powyżej przesłanek, a w szczególności uzasadnić może ona odstąpienie od obowiązku informacyjnego wobec potencjalnego naruszyciela lub osoby z nim powiązanej. Tego typu okoliczności jednakże rozpatrywać należy bardzo restrykcyjnie.
O czym jeszcze warto pamiętać w kontekście obowiązków informacyjnych wobec sygnalistów?
Ważnym jest, iż organizacje, które zdecydują się na wprowadzenie możliwości zgłoszeń anonimowych, ten aspekt również powinny uwzględnić w realizacji obowiązku informacyjnego. Niewątpliwie bowiem zgłoszenie anonimowe nie będzie się wiązało z przetwarzaniem danych osobowych samego sygnalisty, a tym samym nie zajdą wówczas warunki dla realizacji obowiązku informacyjnego. Jeżeli jednak w toku rozpatrywania zgłoszenia, osoby prowadzące postępowanie uzyskają informacje pozwalające na zidentyfikowanie konkretnej osoby lub sygnalista sam ujawni swą tożsamość, to wówczas dojdzie do przetwarzania danych osobowych, a tym samym aktualnym stanie się obowiązek przekazania takiej osobie klauzuli informacyjnej na temat zasad przetwarzania jej danych.
Tutaj ważnym jest, iż ustawa o sygnalistach przewiduje możliwość ujawnienia danych sygnalisty, jeśli dokonał on zgłoszenia w złej wierze, a zatem mając świadomość, że informacja o naruszeniu nie jest prawdziwa lub nie dotyczy naruszenia prawa, które może być przedmiotem zgłoszenia, zgodnie z ustawą o sygnalistach. Stąd też poza jego zgodą na ujawnienie tożsamości i koniecznością jej ujawnienia w związku z prowadzonym postępowaniem przez organ publiczny lub sąd, jest to jedyna sytuacja, gdy zachodzi wyjątek od obowiązku poufności informacji pozwalających na jego identyfikację.
Skutki takowego ujawnienia są dwojakie, bowiem z jednej strony koniecznym będzie poinformowanie chociażby potencjalnego sprawcy naruszenia o źródle, z którego pozyskano jego dane osobowe, a z drugiej strony przekazanie sygnaliście informacji o odbiorcach jego danych. W obydwu tych sytuacjach wiązać się to będzie z odpowiednim uzupełnieniem przekazanej wcześniej klauzuli informacyjnej.
Pracodawcy winni pamiętać też o tym, iż brak procedury zgłoszeń wewnętrznych jako takiej nie wiąże się z dotkliwymi konsekwencjami finansowymi dla organizacji, bowiem ustawa o sygnalistach traktuje to jako wykroczenie, zagrożone grzywną w maksymalnej wysokości 5.000,00 zł. Jednocześnie jednak bardziej bolesny finansowo okazać może się brak realizacji obowiązku informacyjnego, zarówno wobec samego sygnalisty, jak i pozostałych osób, których dane będą przetwarzane, w związku z procedowaniem zgłoszenia. Zgodnie bowiem z przepisami RODO tego typu uchybienie jest zagrożone administracyjną karą pieniężną w wysokości równowartości 20 mln euro lub 4,0% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Niewątpliwie jednak każdy przypadek jest rozpatrywany indywidualnie, a ostateczna decyzja inspektora Urzędu Ochrony Danych Osobowych (UODO) uzależniona jest od wielu czynników. Z dotychczasowych doświadczeń wynika, iż zapewne w początkowym etapie stosowania przepisów wynikających z ustawy o sygnalistach, spodziewać należy się przede wszystkim zaleceń i pouczeń. Z drugiej strony nie wolno zapominać, że realizacja obowiązków informacyjnych jest jednym z obszarów, które prezes UODO wskazał w swym planie kontroli na rok obecny.
Podsumowując, wielu przedsiębiorców przygotowuje się obecnie do wdrożenia w życie przepisów ustawy o ochronie sygnalistów. Jednakże powinni oni pamiętać o tym, iż nie chodzi jedynie o stworzenie odpowiednich procedur dokonywania zgłoszeń wewnętrznych, bowiem niemniej istotne są przepisy dotyczące realizacji obowiązku informacyjnego wobec osób, których dane będą przetwarzane w związku ze zgłoszeniem. Tutaj bowiem obowiązki informacyjne będą zarówno wobec samego sygnalisty, potencjalnego naruszyciela, jak i również osób trzecich, ujętych w zgłoszeniu lub zebranych w toku postępowania wyjaśniającego. Tak naprawdę nie ma tutaj prawie żadnych wyjątków od obowiązku poinformowania wyżej wymienionych osób o przetwarzaniu danych osobowych.