Ochrona danych osobowych w procesie zgłaszania naruszeń przez sygnalistów - obowiązki administratora danych

Obowiązujące od 25 września 2024 r. krajowe przepisy dotyczące ochrony sygnalistów nakładają na administratorów nowe obowiązki związane z ochroną danych osobowych. ADO musi zadbać m.in. o to, aby czynności przetwarzania związane ze zgłaszaniem naruszeń były odpowiednio ujęte w rejestrze czynności przetwarzania, aby została przeprowadzona wnikliwa analiza ryzyka oraz, aby właściwie realizować obowiązki informacyjne. O tym, jak odpowiednio zadbać o ochronę danych osobowych w procesie ochrony sygnalistów, dowiesz się z LEX Ochrona Danych Osobowych.

Ochrona sygnalistów w RCP 

Podmioty prowadzące rejestr czynności przetwarzania muszą w nim uwzględnić nowe czynności przetwarzania związane z obsługą zgłoszeń sygnalistów. ADO musi zadbać, aby przy tej pozycji jasno wskazać cel przetwarzania, zakres danych osobowych, podstawę przetwarzania danych, kategorie osób, których dane dotyczą, informacje o ewentualnym powierzeniu danych osobowych innym podmiotom, powinien także możliwie precyzyjnie określić okres retencji (przechowywania danych).

Warto pamiętać, że w procesie zgłaszania naruszeń mogą być przetwarzane dane osobowe nie tylko samego sygnalisty. W zgłoszeniu mogą pojawić się inne osoby - naruszyciele (czyli osoby wskazane przez sygnalistę jako te, które dokonały naruszenia), osoby wspomagające sygnalistę przy dokonywaniu zgłoszenia, świadkowie, osoby pokrzywdzone, ale także osoby upoważnione do obsługi samych zgłoszeń. Katalog wymienionych wyżej osób jest katalogiem otwartym i może on obejmować inne osoby. ADO, a także wspierający go IOD, powinni możliwie precyzyjnie wskazać potencjalne kategorie osób, których dane mogą pojawić się w procesie zgłaszania naruszeń opisanych, w rejestrze czynności przetwarzania.

Kolejną problematyczną częścią rejestru może okazać się zakres przetwarzanych danych. Już w tej chwili ciężko sobie wyobrazić pełną listę potencjalnych informacji, jakie mogą zostać wskazane w procesie zgłaszania naruszenia (mogą to być szczególne kategorie danych osobowych - jak dane dotyczące zdrowia, poglądów politycznych czy przekonań religijnych, mogą to być także np. dane dotyczące wyroków skazujących).

W tym procesie może pomóc przykładowy rejestr czynności przetwarzania w związku z ochroną sygnalistów dostępny w LEX Ochrona Danych Osobowych.

Analiza ryzyka w procesie ochrony sygnalistów

Każda realizowana przez administratora czynność przetwarzania powinna być poprzedzona wykonaniem analizy ryzyka. Taka analiza pozwoli na odpowiednie dobranie środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa danych osobowych, co ma minimalizować ryzyka związane z wystąpieniem naruszenia ochrony danych osobowych. W procesie analizy ryzyka związanego z ochroną danych osobowych na gruncie przepisów o ochronie sygnalistów, należy uwzględnić takie elementy, jak m.in.:

• wybór kanału zgłoszeń (zgłoszenia ustne/pisemne);
• realizacja procesu obsługi zgłoszeń w ramach samej organizacji bądź też przekazanie (powierzenie) tej czynności podmiotowi zewnętrznemu;
• wybór narzędzia do realizacji obsługi sygnalistów (aplikacja/strona www/inne).

Przeprowadzanie analizy ryzyka to jeden z najważniejszych obowiązków, jakie nakłada na administratora danych rozporządzenie RODO. Wadliwie przeprowadzona, nieweryfikowana, nieaktualizowana czy nieprzystająca do rzeczywistości analiza ryzyka często bywa wskazywana przez Prezesa Urzędu Ochrony Danych Osobowych jako jeden z elementów, które przyczyniły się do nałożenia administracyjnej kary pieniężnej w przypadku stwierdzenia naruszenia ochrony danych osobowych.

Wskazówki dotyczące przeprowadzenia analizy ryzyka w przypadku ochrony sygnalistów znajdziesz m.in. w przykładowym formularzu analizy ryzyka w LEX Ochrona Danych Osobowych.

Pełną analizę ryzyka możesz przeprowadzić w dostępnym w LEX Ochrona Danych Osobowych narzędziu GDPR Risk Tracker. To proste i przejrzyste narzędzie do analizy ryzyka, które poprowadzi Ciebie krok po kroku, a na koniec wygeneruje obszerny raport, który będziesz mógł przedłożyć podczas ewentualnej kontroli ze strony UODO.

Obowiązki informacyjne w procesie ochrony sygnalistów 

Kolejną kwestią, która już teraz generuje sporą ilość wątpliwości, jest realizacja obowiązków informacyjnych na gruncie art. 13 i 14 RODO (poinformowanie osoby o tym, w jaki sposób podmiot przetwarza jej dane osobowe). Administratorzy danych muszą być bardzo uważni przy każdym zgłoszeniu naruszenia prawa przez sygnalistów. Po ich stronie leży identyfikacja występujących w zgłoszeniu osób, ich statusu (kto jest sygnalistą, kto świadkiem, etc.) i dostosowanie zakresu realizacji obowiązku informacyjnego do każdej z tych osób, a w pewnych przypadkach jego ograniczenie.

Przygotowując obowiązki informacyjne, ADO powinien rozważyć, jak je zrealizuje wobec takich osób, jak m.in.

1. sygnaliści;
2. osoby pomagające przy zgłoszeniu naruszenia;
3. osoby, których dotyczy zgłoszenie (naruszyciele);
4. eksperci wewnętrzni w organizacji.

Dodatkowo ADO musi ustalić, w jaki sposób (jakim kanałem) będzie realizował obowiązki informacyjne tak, aby były one skutecznie przekazane właściwym osobom.

W LEX Ochrona Danych Osobowych znajdziesz szablony niezbędnych klauzul informacyjnych (np. Klauzula informacyjna o zasadach przetwarzania danych osobowych sygnalisty czy też Klauzula informacyjna o zasadach przetwarzania danych osobowych osoby, której dotyczy zgłoszenie od sygnalisty)

Powyżej wskazane obowiązki ciążące na administratorach danych związane z realizacją przepisów w zakresie ochrony sygnalistów, nie wyczerpują w całości katalogu zadań, jakie ma ADO w zakresie właściwej ochrony danych osobowych w tym procesie.

Musi on także obsłużyć m.in. kwestie związane z:

• realizacją praw osób, których dane dotyczą (jak. np. prawa do sprostowania danych, prawa do ograniczenia przetwarzania danych osobowych, dostępu do danych), wynikających z art. 15-22 RODO;
• ustaleniem, czy należy przeprowadzić ocenę skutków dla ochrony danych (DPIA);
• nadaniem odpowiednich upoważnień osobom obsługującym proces zgłoszeń od sygnalistów (wzory takich upoważnień znajdziesz w LEX Ochrona Danych Osobowych, np. upoważnienie do przetwarzania danych osobowych dla osoby wyznaczonej do obsługi zgłoszeń sygnalistów;
• przeszkoleniem personelu (w tym pracowników mogących być potencjalnie sygnalistami) w zakresie ochrony danych osobowych związanych ze zgłaszaniem naruszeń;
• wprowadzeniem odpowiednich procedur związanych z ochroną danych osobowych w procesie zgłaszania naruszeń przez sygnalistów;
• powierzeniem przetwarzania danych osobowych (a także weryfikacją procesora przed zawarciem umowy i w trakcie jej trwania) - w przypadku, gdy administrator zdecyduje się na realizację obsługi zgłoszeń przez podmiot zewnętrzny lub poprzez zewnętrzną aplikację/narzędzie (w LEX ODO znajdziesz przykładowy wzór umowy powierzenia przetwarzania danych osobowych w zakresie przyjmowania zgłoszeń wewnętrznych / dostarczenia i serwisowania systemu informatycznego do rejestracji wewnętrznych zgłoszeń sygnalistów).

O wszystkich tych obowiązkach dowiesz się więcej w LEX Ochrona Danych Osobowych.

Zapoznaj się z naszym programem TUTAJ.

Alicja Plichta

Product Manager

LEX Ochrona Danych Osobowych

Tagi:
• LEX Ochrona Danych Osobowych