Zgłaszanie nieprawidłowości w organizacjach, czyli tzw. „whistleblowing” otwiera wiele pytań w zakresie przetwarzania danych osobowych, w tym w szczególności osób zgłaszających nieprawidłowości (sygnalistów), osób, których zgłoszenie dotyczy, jak i świadków. Skuteczna ochrona informacji ujawnianych w trakcie procedury zgłoszeniowej jest istotną częścią wewnątrzorganizacyjnych procedur z zakresu compliance. Prawa dotyczące ochrony prywatności danych odgrywają kluczową rolę w opracowywaniu koncepcji procedur informowania o nieprawidłowościach, a organizacje będą musiały zachować jeszcze większą ostrożność po wprowadzeniu ogólnego rozporządzenia o ochronie danych osobowych (RODO), szczególnie biorąc pod uwagę wysokie kary za naruszanie praw do ochrony prywatności danych.
Od 17 grudnia 2021 r. zaczęła obowiązywać Dyrektywa Parlamentu Europejskiego i Rady 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dyrektywa o ochronie sygnalistów). Pomimo braku implementacji jej przepisów w polskim porządku prawnym, od tego dnia jest chroniona tożsamość osób zgłaszających nieprawidłowości (nadużycia finansowe, korupcja lub poważne naruszenia w przedsiębiorstwach). Zapobiega to działaniom odwetowym (zwolnieniom, zmiany warunków zatrudnienia na mniej korzystne i wszelka forma mobbingu i dyskryminacji), które byłyby formą represji w związku ze zgłoszeniem nieprawidłowości. Bezpieczne kanały, które pozwolą sygnalistom zachować anonimowość w trakcie zgłaszania, a także rozpatrywania sprawy zgłoszonego naruszenia to nowe wyzwanie dla firm prywatnych oraz podmiotów publicznych, zwłaszcza tych zatrudniających co najmniej 50 pracowników.
Bez wątpliwości w ramach postępowań wynikających ze zgłoszeń sygnalistów przetwarzane będą dane osobowe. Będą to nie tylko dane sygnalisty, ale także świadków, osoby, której dotyczy zgłoszenie, czy innych osób, których dane zostaną ujawnione w ich toku. Pracodawca, który będzie co do zasady administratorem tych danych w rozumieniu RODO, celem zachowania zgodności z dyrektywą o ochronie sygnalistów, musi na pierwszym miejscu postawić zachowanie poufności i ochronę: zarówno tożsamości sygnalisty, jak i treści zgłoszenia, a także pogodzić to z konsekwentnym przestrzeganiem swoich obowiązków wynikających z RODO. Dyrektywa o ochronie sygnalistów wyraźnie przypomina, że wszelkie przetwarzanie danych osobowych dokonywane na jej podstawie musi odbywać się zgodnie z RODO. Naruszenie zasad ochrony prywatności danych w tym procesie może skutkować więc sankcjami finansowymi opartymi na wielkości procentowej rocznego obrotu firmy.
Pracodawca ma obowiązek poinformować wszystkich sygnalistów o działaniach związanych z przetwarzaniem danych w związku ze zgłoszeniem i następującym po nim procesem dochodzenia oraz o ochronie ich danych zgodnie z art. 13 RODO. Najlepiej informacje umieścić w przygotowanym kanale zgłoszeniowym. Prawo do informacji oraz efektywność rozpatrywania naruszeń pozornie stoją w bojowych szrankach, zwłaszcza że dane osobowe zawarte w zgłoszeniu mogą dotyczyć nie tylko osób je zgłaszających, a zatem skutkować prawem do informacji przysługującym osobie oskarżonej. Udzielenie informacji takiej osobie na wczesnym etapie rozpatrywania zgłoszenia może zagrozić dochodzeniu. Jednak w takich przypadkach konieczna może być udokumentowana i uzasadnioną decyzja o odroczeniu przekazania oskarżonemu określonych informacji.
Pewne prawa podmiotów danych wynikające z RODO mogą jednak potencjalnie stać w sprzeczności z interesem publicznym, jakim jest ochrona sygnalistów przed ryzykiem odwetu za ujawnienie chronionych informacji. Dla przykładu, jeśli jeden z pracowników ujawni pracodawcy informacje o drugim pracowniku, a następnie ten drugi pracownik złoży wniosek o dostęp do danych, to uzyska on prawo dostępu do swoich danych osobowych, a także jeśli dane osobowe nie są pozyskiwane od osoby, której dotyczą - do wszelkich informacji o ich źródle, co ujawniłoby tożsamość sygnalisty. Europejska Rada Ochrony Danych zaleca, aby w przypadku udzielenia dostępu zainteresowanej osobie, wszystkie dane osobowe sygnalisty oraz wszelkich stron trzecich zostały usunięte z tych dokumentów. Jeżeli nie jest to wykonalne, może istnieć możliwość wstrzymania ujawnienia danych osobowych danej osoby na podstawie uzasadnienia, że kolidowałoby to z prawami i wolnościami innej jednostki. To oczywiście wymaga przeprowadzenia odrębnej oceny każdego przypadku, także na poziomie regulacji danego państwa członkowskiego.
Aby sprostać obowiązkom w zakresie ochrony danych, pracodawcy muszą zatem zapewnić przestrzeganie ścisłych procedur wewnętrznych przy rozpatrywaniu spraw dotyczących zgłaszania nieprawidłowości. Wykorzystanie technologii szyfrowania, kompleksowe zarządzanie danymi oraz środki zapewniające anonimowość osoby zgłaszającej są integralnymi wymogami takiego systemu. Zasady wynikające z art. 5 RODO mają niebagatelne znaczenie przy jego wdrażaniu. Ograniczenie celu i minimalizacja danych będą realizowane poprzez gromadzenie jedynie istotnych informacji we wstępnym etapie ich sprawdzania z zachowaniem reguł Privacy by design i Privacy by default. Kanały do zgłaszania naruszeń powinny gromadzić istotne dane w prosty i uporządkowany sposób. Przedsiębiorcy powinni również określić limit czasowy przechowywania danych zebranych za pośrednictwem kanału zgłoszeniowego. Odpowiednio zaprojektowany kanał posiadający możliwość usunięcia danych może czynić zadość tzw. prawu do bycia zapomnianym. Bezpieczne przetwarzanie danych zgodne z dyrektywą o ochronie sygnalistów oraz RODO powinno być oparte na właściwych postanowieniach umownych, z których powinno wynikać, że do procesowania danych sygnalistów muszą mieć prawo wszelkie niezbędne podmioty, w tym i strony trzecie - jak dostawcy infrastruktury obsługujący kanały zgłoszeń. Powinni oni gwarantować wdrożenie odpowiednich środków technicznych i organizacyjnych – co ważne udokumentowanych ze względu na zasadę rozliczalności, a także ze względu na zgodność z prawem międzynarodowych transferów danych (np. poprzez stosowanie standardowych klauzul umownych).
Podczas przedłużającego się procesu implementacji przedsiębiorcy i organizacje nie powinny zachowywać biernej postawy. Jest to odpowiednia okazja na zaprojektowanie wewnętrznych kanałów zgłoszeniowych zgodnych z złożonymi wymaganiami prawnymi. Im wcześniej procedura whistleblowowa zostanie wdrożona, w tym większym stopniu obecna będzie w świadomości zainteresowanych korzystaniem ze skutecznych procedur wspierających budowę zaufania. Biorąc pod uwagę polską implementację zapowiedzianą na pierwszy kwartał 2022 r., a także krótki - bo 14-dniowy - okres vacatio legis przedstawiony w projekcie, należy podjąć działania wdrożeniowe już w najbliższym czasie. Aby uniknąć postrzegania ich jako czynnika odstraszającego, zasady ochrony danych powinny stworzyć ramy, w których organizacje wprowadzą ścisłe wytyczne dotyczące obsługi zgłoszeń o nieprawidłowościach, a także pomóc im w zapewnieniu jednostkom najlepszej dostępnej platformy do zgłaszania problemów w ich organizacjach.
Jeśli Twoja organizacja potrzebuje pomocy w opracowywaniu i wdrożeniu procedury whistleblowowej skontaktuj się z naszym teamem: privacy.warsaw@dentons.com.
Niezamówione wiadomości i inne informacje przesłane dobrowolnie do firmy Dentons, nie będą uznane za informacje poufne i mogą zostać ujawnione osobom trzecim, mogą pozostać bez odpowiedzi i nie stanowią podstawy relacji pomiędzy prawnikiem a klientem. Jeśli nie jesteś klientem Dentons, prosimy o nieprzesyłanie informacji o charakterze poufnym.
Opis dostępny w innej wersji językowej.
Zostaniesz teraz przekierowany ze strony Dentons na stronę $redirectingsite w języku angielskim. Aby kontynuować, kliknij „Zatwierdź”.
Zostaniesz teraz przekierowany ze strony Dentons na stronę Beijing Dacheng Law Offices, LLP. Aby kontynuować, kliknij „Zatwierdź”.