HR Sygnał: Dostęp do treści zgłoszeń w kontekście ochrony danych osobowych
28.07.2021
Udzielenie ochrony sygnalistom to bardzo ważne zadanie pracodawców. Jednak przy jego realizacji muszą uważać, aby nie naruszyć zasad dotyczących ochrony danych osobowych. Nie należy ujawniać treści zgłoszeń ani tożsamości sygnalistów, które powinny pozostać tajemnicą. Przekazując informacje objęte treścią zgłoszenia należy kierować się zasadą need-to-know, a zatem dostęp do nich powinny mieć tylko te osoby, którym jest to niezbędne do podjęcia reakcji. Nie można zapomnieć o tym, że prawo chroni dane osobowe nie tylko sygnalistów, ale także ewentualnych sprawców czy świadków opisywanych w zgłoszeniach zdarzeń.
Sama Dyrektywa wskazuje wprost na wymóg stosowania RODO przy korzystaniu z mechanizmów whistleblowingowych. Oznacza to konieczność dostosowania wewnętrznych procedur do przewidzianych w RODO zasad, takich jak zasada legalności, celowości, poufności czy minimalizacji danych.
Poza samym RODO, problematykę ochrony danych osobowych sygnalistów reguluje też unijna Opinia 1/2006, niestety częściowo już nieaktualna i znacznie ograniczona zakresowo.
Nawet tak fundamentalna kwestia jak podstawa przetwarzania danych wydaje się dość problematyczna. W przypadku osób, które decydują się na podpisanie (zamieszczenie swojego imienia i nazwiska) na zgłoszeniu można pokusić się o stwierdzenie, iż podstawą będzie ich zgoda. W naszej ocenie jednak podstawa ta nie jest prawidłowa do realizacji celu, mając na uwadze przede wszystkim możliwość wycofania zgody w dowolnym czasie, co w konsekwencji mogłoby uniemożliwić dalsze prowadzenie postępowania. Bardziej odpowiednią podstawą będzie w tym wypadku niezbędność realizacji obowiązku prawnego administratora bądź prawnie uzasadniony interes, polegające na wszczęciu i przeprowadzeniu postępowania wyjaśniającego. W takiej sytuacji zgoda na przetwarzanie danych nie jest wymagana.
Analogiczne podstawy znajdą zastosowanie do przetwarzania danych innych „uczestników” zgłoszenia i postępowania, np. świadków czy potencjalnych sprawców.
Przepisy o przetwarzaniu danych nie stoją również na przeszkodzie, aby pracodawca (administrator danych) mógł korzystać z usług zewnętrznych, przerzucając obowiązek prowadzenia infrastruktury whistleblowingowej na profesjonalnego dostawcę takich usług. W zależności od konkretnych okoliczności w takiej sytuacji podmiot trzeci przetwarzać będzie dane bądź jako tzw. procesor (na podstawie umowy powierzenia przetwarzania danych) bądź osobny administrator.
Danych osobowych, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie należy zbierać, a w przypadku ich przypadkowego zebrania, powinno się je usunąć bez zbędnej zwłoki. Takie dane będą wyłączone z surowych rygorów przepisów unijnych.
Pracodawca, jako administrator danych osobowych, powinien również zwrócić uwagę na kwestie organizacyjno – techniczne ochrony danych osobowych sygnalisty. RODO obliguje go do wdrożenia odpowiednich środków w tym zakresie, a zatem m.in. do należytego zabezpieczenia serwerów, ustanowienia silnych haseł dostępu czy przeszkolenia osób odpowiedzialnych za rozpatrywanie zgłoszeń i zobowiązania ich do zachowania danych w tajemnicy.
Wreszcie, pracodawcy powinni zaktualizować, a jeśli takich nie posiadają – niezwłocznie wdrożyć odpowiednie polityki ochronne, uwzględniające rozwiązania whistleblowingowe. Dokumenty te należy przygotować w sposób łączący zasady ochrony sygnalistów i ochrony danych osobowych.
Do prac nad tymi rozwiązaniami warto zaangażować compliance oficera, lub – w przypadku jego braku w organizacji – skorzystać z outsourcingu, np. kancelarii prawnej. Eksperci z PCS | Littler chętnie wspierają Klientów w tego typu sprawach.