Przy wdrażaniu wewnętrznego systemu sygnalizowania o nieprawidłowościach niezwykle ważne jest zapewnienie, aby dane osobowe wszystkich uczestników postępowania – sygnalisty, sprawców lub ewentualnych świadków opisanego w zgłoszeniu naruszenia ‒ były należycie chronione, a ich prawa przestrzegane. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: dyrektywa) wskazuje wprost na wymóg stosowania RODO przy korzystaniu z mechanizmów whistleblowingowych. Zgodnie z motywem 82 dyrektywy ochrona poufności tożsamości osoby dokonującej zgłoszenia podczas trwania procesu dokonywania zgłoszenia i w toku postępowań wyjaśniających uruchomionych na skutek danego zgłoszenia jest jednym z zasadniczych środków ex ante zapobiegających działaniom odwetowym. Zgodnie zaś z art. 53 ust. 4 i 7 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML ‒ w brzmieniu obowiązujący od 31 października 2021 r.) procedura anonimowego zgłaszania naruszeń powinna określać sposób ochrony danych osobowych pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych, a także termin usunięcia danych osobowych zawartych w zgłoszeniu.
Konieczne staje się więc dostosowanie wewnętrznych procedur służących zgłaszaniu nieprawidłowości do przewidzianych w RODO (rozporządzenie Parlamentu Europejskiego i Rady [UE] 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) zasad, takich jak zasada przejrzystości, rzetelności, legalności, celowości, rozliczalności czy minimalizacji danych.
Na uwagę w odniesieniu do wewnętrznych procedur whistleblowingowych zasługuje m.in. zasada minimalizacji danych, co będzie sprowadzać się do tego, że danych osobowych, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie należy zbierać, a w przypadku ich przypadkowego zebrania należy je niezwłocznie usunąć.
Osoby upoważnione
W obrębie poruszanego zagadnienia administratorem danych osobowych jest podmiot, który wdraża system do zgłaszania nieprawidłowości i prowadzi wewnętrzne postępowanie wyjaśniające. Dane osobowe mogą przetwarzać administrator, podmiot działający na podstawie upoważnienia administratora i osoby upoważnione przez podmiot przetwarzający. Dlatego należy zwrócić uwagę na kwestie organizacyjne ochrony danych osobowych, co powinno znaleźć odzwierciedlenie w wewnętrznej procedurze dotyczącej systemu zgłaszania nieprawidłowości poprzez wskazanie wprost osób upoważnionych do przetwarzania w imieniu administratora danych osobowych. Równie ważne są kwestie techniczne, jak rzetelne zabezpieczenie serwerów i ustanowienie silnych, systematycznie zmienianych haseł dostępu. Okres budowania i wdrażania wewnętrznego systemu zgłaszania nieprawidłowości warto więc wykorzystać do audytu obowiązujących polityk ochrony danych osobowych.
Legalność przetwarzania
Skoro już wiemy, że przetwarzanie danych osobowych musi odbywać się zgodnie z RODO, należy wskazać na warunki, które muszą być spełnione, aby przetwarzanie danych osobowych było dopuszczalne. Na podstawie art. 6 RODO są nimi:
  • zgoda osoby, której dane dotyczą, wyrażona na przetwarzanie danych osobowych w jednym lub większej liczbie celów,
  • niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  • niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Podstawą prawną przetwarzania danych osobowych w wewnętrznych procedurach whistleblowingowych, zarówno danych dotyczących sygnalisty, jak i sprawcy naruszenia lub ewentualnych świadków opisanego w zgłoszeniu naruszenia, są niezbędność realizacji obowiązku prawnego administratora i jego prawnie uzasadniony interes. Jest to wprost związane z obowiązkiem ustanowienia wewnętrznych kanałów i procedur do zgłaszania nieprawidłowości oraz obowiązkiem prowadzenia wewnętrznych postępowań wyjaśniających.
Obowiązek informacyjny
Pozyskując dane osobowe w trakcie postępowania wyjaśniającego, pamiętać należy, że przepisy RODO nie pozwalają na wyłączenie obowiązku informacyjnego wobec osoby, która przekazuje swoje dane osobowe. Zakres obowiązku informacyjnego zdefiniowany został w art. 13 RODO i obejmuje konieczność podania informacji:
  • identyfikującej administratora i pozwalającej się z nim skontaktować,
  • pozwalającej się skontaktować z inspektorem ochrony danych,
  • dotyczącej celów przetwarzania danych osobowych i podstaw prawnych i przetwarzania,
  • o tym, jaki prawnie usprawiedliwiony cel stanowi podstawę przetwarzania danych,
  • o odbiorcach lub kategoriach odbiorców danych,
  • dotyczących przetwarzania danych do państwa trzeciego bądź organizacji międzynarodowej i związanych z tym wymogach.
Szczególnie istotny będzie cel przetwarzania danych osobowych, stanowiący granicę dopuszczalności przetwarzania danych osobowych, który powinien zostać zdefiniowany w procedurze dotyczącej wewnętrznych postępowań wyjaśniających. Oczywistym na gruncie zarówno dyrektywy, jak i ustawy AML celem przetwarzania danych osobowych jest przeprowadzenie wewnętrznego postępowania wyjaśniającego, ustalenie okoliczności, w jakich doszło lub mogło dojść do naruszenia, lub wreszcie wyciągnięcie konsekwencji prawnych w stosunku do sprawców naruszenia. Okres przetwarzania danych osobowych sygnalisty nie powinien być dłuższy, niż jest to konieczne dla celów zgłoszenia naruszenia i przeprowadzenia postępowania. Obowiązek informacyjny dotyczy także osób, których dane zostaną pozyskane nie bezpośrednio od osoby, której dotyczą – osoby, której zarzuca się nieprawidłowe zachowanie czy świadków takiego naruszenia. W odniesieniu do tych uczestników wewnętrznego postępowania wyjaśniającego obowiązek informacyjny reguluje art. 14 RODO, który pozwala na niewykonanie obowiązku informacyjnego, gdy jego wykonanie mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą.
Warto na marginesie zauważyć, że Rządowe Centrum Legislacji 18 października 2021 r. opublikowało projekt ustawy o ochronie osób zgłaszających naruszenia prawa, wdrażającej dyrektywę 2019/1937 do polskiego porządku prawnego.
Kontynuujemy cykl o ochronie sygnalistów w polskim prawie. Poruszamy w nim kwestie związane zarówno z implementacją przepisów dyrektywy AML (tj. dotyczącej zapobiegania praniu pieniędzy), które wchodzą w życie 31 października 2021 r., jak i z dyrektywą o ochronie sygnalistów, które muszą być zaimplementowane do 17 grudnia 2021 r. W obu przypadkach na pracodawcach będą ciążyły obowiązki, które warto poznać już teraz.
Dotychczas w cyklu ukazały się teksty:
„Już niedługo sygnalista powinien być lepiej chroniony nie tylko w UE, lecz także w Polsce”, DGP nr 165 z 26 sierpnia 2021 r.;
„Sygnalista zgłaszający pranie brudnych pieniędzy według ustawy AML musi pozostać anonimowy”, DGP nr 170 z 2 września 2021 r.;
„Każde zgłoszenie sygnalisty powinno być zweryfikowane”, DGP nr 180 z 16 września 2021 r.
Podstawa prawna
• motyw 82 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz.Urz. UE z 2019 r. L 305, s. 17)
• art. 7 i 53 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2021 r. poz. 1132; ost.zm. Dz.U. z 2021 r. poz. 1535)
• art. 6, 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO)