Ustawa o sygnalistach a RODO: W związku z przyjęciem ustawy o ochronie sygnalistów Prezes Urzędu Ochrony danych Osobowych ogłosił w lipcu we współpracy ze Społecznym Zespołem Ekspertów przy PUODO konsultacje społeczne, dotyczące stosowania przepisów ustawy o ochronie sygnalistów. Przesłane pytania i wątpliwości dotyczące stosowania tych przepisów w zakresie ochrony danych osobowych stały się podstawą wyjaśnień, przedstawionych w trakcie seminarium, które odbyło się 7 sierpnia 2024 roku. W kolejnych panelach zostały omówione najbardziej problematyczne kwestie związane z ochroną danych osobowych.
W panelu który był poświęcony obowiązkom informacyjnym i retencji danych w wyniku dyskusji ustalono, że okres retencji danych należy liczyć od momentu wpłynięcia zgłoszenia. Paneliści podkreślili również, że nie wolno informować o tożsamości sygnalisty, a jego tożsamość to nie tylko imię i nazwisko, ale też np. jego miejsce i stanowisko pracy. Sygnalista musi też zostać poinformowany co się wydarzy, w przypadku, gdy jego tożsamość zostanie ujawniona.
Mocno zostało również podkreślone, że dane osobowe sygnalisty (oraz innych osób wskazanych w art. 27 ustawy) wewnątrz organizacji przetwarzać mogą wyłącznie osoby wskazane w art. 27 ust. 1 ustawy, a więc zajmujące się przyjmowaniem zgłoszeń i prowadzeniem działań następczych.
W kolejnym panelu, który był poświęcony procedurze przyjmowania zgłoszeń wewnętrznych i prowadzenia postępowań wyjaśniających dyskusja dotyczyła między innymi dokonywania zgłoszeń anonimowych. Eksperci podkreślali, że podmioty, które się na to zdecydują, będą musiały wziąć pod uwagę konsekwencje tej decyzji, pamiętając, że anonimowość może być w niektórych przypadkach pozorna.
W podsumowaniu seminarium wskazano, na jakie kwestie w szczególności musi uważać organizacja, wdrażająca przepisy ustawy o sygnalistach. Należy przede wszystkim:
- przed przystąpieniem do wdrożenia ustawy trzeba ustalić, jakimi kanałami będzie przyjmować zgłoszenia (elektronicznie, telefonicznie, czy dopuszczalne są anonimowe zgłoszenia i czym to będzie skutkowało w ocenie ryzyka formularza).
- podjąć decyzję, kto będzie przyjmował zgłoszenia i prowadził działania następcze (mogą to robić wyłącznie osoby bezstronne).
- przeprowadzić ocenę ryzyka naruszenia praw lub wolności osób fizycznych (z art. 25 RODO i 32 RODO) już w fazie projektowania procesu przyjmowania zgłoszeń sygnalistów uwzględniając także wymagania dotyczące oceny skutków (art. 35 RODO).
- dostosować klauzule informacyjne w szczególności w zakresie informowania o obowiązku lub też dobrowolności podania danych przez sygnalistę.
- uwzględnić kwestie powierzenia przekazania danych oraz weryfikacji nadawanych upoważnień.
- ustalić jak zarządzać usuwaniem danych i dokonać aktualizacji rejestru czynności, w zależności od typu i zakresu pozyskiwanych danych.
- wskazać podstawę do przetwarzania danych
- uwzględnić konieczność aktualizacji rejestru czynności o nowy proces przetwarzania danych (uwzględniając różne kategorie osób, których dane są przetwarzane m.in. sygnalista, osoba, której dotyczy zgłoszenie, świadek, osoba powiązana z sygnalistą).
Urząd zapowiedział, że na stronie UODO systematycznie będą pojawiać się pisemne wyjaśnienia podpowiadające właściwe kierunki interpretacji przepisów ustawy o sygnalistach w zakresie dotyczącym danych osobowych.