iSecure logo
  • pl
  • en
    • Blog

    Ustawa o sygnalistach w końcu uchwalona – nowe wyzwania pod kątem ochrony danych osobowych

    Maciej Łukaszewicz
    Kategorie

    Wstęp

    Po bardzo długich miesiącach, licznych zmianach, poprawkach, dyskusjach, głośna medialnie ustawa o ochronie sygnalistów w końcu została podpisana przez Prezydenta oraz opublikowana w Dzienniku Ustaw. Ustawa wejdzie w życie w ciągu 3 miesięcy od dnia jej ogłoszenia, tj. 25 września 2024. Organizacje mają zatem niecałe 3 miesiące na dostosowanie się do wymogów ustawy, a także na wprowadzenie niezbędnych zmian pod kątem przetwarzania danych osobowych związanych z wprowadzeniem procedury zgłaszania naruszeń. Co ciekawe, ustawa pierwotnie miała wejść w życie w 2021 roku. Co istotne, jeszcze niedawno Prezes Urzędu Ochrony Danych Osobowych zgłaszał swoje uwagi w zakresie przetwarzania danych osobowych do ustawy, natomiast sugestie te nie zostały w żaden sposób wzięte pod uwagę przez polskiego ustawodawcę.

    Na samym początku warto wyjaśnić, kim w ogóle są sygnaliści. Sygnaliści to osoby, które zgłaszają informacje o nieprawidłowościach, naruszeniach prawa czy innych działaniach sprzecznych z interesem publicznym, które zaobserwowały w miejscu pracy lub w innych sytuacjach. Celem ochrony sygnalistów jest umożliwienie im bezpiecznego zgłaszania takich informacji, bez obawy o negatywne konsekwencje, takie jak zwolnienie z pracy, degradacja czy inne formy represji.

    Obowiązek przygotowania procedury zgłoszeń wewnętrznych istnieje, jeżeli na dzień 1 lipca lub 1 stycznia danego roku, pracę zarobkową w organizacji wykonuje co najmniej 50 osób – nie ma tutaj ograniczenia wyłącznie do osób zatrudnionych na umowę o pracę, ale także dotyczy to osób, które wykonują pracę zarobkową na podstawie innej formy współpracy lub innej formy zatrudnienia. Ograniczenia te nie mają  zastosowania do podmiotów wykonujących działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937.

    Stanowisko PUODO

    PUODO w swojej opinii z dnia 30.05.2024 r. skierowanej do Marszałka Senatu, wskazał, że należy pochylić się m.in. nad:

    • Wskazania w ustawie poprzez jakie dane osobowe możliwa będzie identyfikacja sygnalisty – tak, aby organizacja miała jasne wytyczne w zakresie jakie dane osobowe sygnalisty może przetwarzać.
    • Brak uzasadnienia dla 12-miesięcznego okresu retencji danych przetwarzanych przez Rzecznika Praw Obywatelskich.

    Uwagi te nie zostały w żaden sposób rozpatrzone przez ustawodawcę, co PUODO podkreślił w swoim komunikacie z 25.06.2024 r. [1]

    Obowiązki związane z przepisami RODO

    Sama dyrektywa, która wprowadza przepisy ustawy o sygnalistach do porządku krajowego, wskazuje wyraźnie, że przetwarzanie danych osobowych związanych z realizacją celów i założeń dyrektywy odbywa się zgodnie z przepisami Rozporządzenia o ochronie danych osobowych. Przetwarzając więc dane osobowe związane z procesem obsługi sygnalistów, należy rozpatrzyć i przyporządkować właściwe podstawy prawne przetwarzania. Od momentu obowiązywania ustawy, dane osobowe zwykłe sygnalisty zgłaszające naruszenie będą przetwarzane na podstawie art. 6 ust. 1 lit. c RODO – tj. niezbędność do realizacji obowiązków prawnych nałożonych na administratora. Ten obowiązek wynika wprost z art. 8 ust. 4 ustawy o sygnalistach, który brzmi następująco: „Podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.”

    Z kolei art. 8 ust. 1 tejże ustawy mówi nam: „Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty.” – wszelkie ujawnienie danych sygnalistów osobom, które nie mają prawa mieć dostępu do tych danych może odbyć się wyłącznie na podstawie wyraźnej zgody sygnalisty. Podczas zgłaszania naruszeń prawa może również dojść do przetwarzania danych szczególnej kategorii sygnalisty. Na jakiej podstawie podmiot otrzymujący zgłoszenie może przetwarzać tego rodzaju informacje? Zgodnie z motywem 83 dyrektywy 2019/1937[2]: przetwarzanie danych osobowych zgodnie z dyrektywą, w tym wymiana lub przekazywanie danych osobowych przez właściwe organy, powinno być dokonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679. Oznacza to, że wprowadzając procedurę obsługi naruszeń, powinniśmy uwzględnić w niej również przetwarzanie danych osobowych zgodnie z podstawowymi zasadami, tj. art. 5 RODO. Dodatkowo warto wskazać na art. 17 zd. 2 dyrektywy, który stwierdza, że dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki.

    Warto zwrócić uwagę także na uzasadnienie do projektu ustawy o ochronie osób zgłaszających naruszenia prawa z dnia 5 stycznia 2023 r. W uzasadnieniu wskazuje się na podstawą przetwarzania danych szczególnej kategorii, tj.: „(…) W związku z tym, mając na względzie art. 6 ust. 1 lit. e, art. 9 ust. 1 lit g oraz art. 10 RODO, proponuje się wskazać, iż podmiot prawny lub organ publiczny, po otrzymaniu zgłoszenia, przetwarza dane osobowe, w zakresie niezbędnym do przyjęcia zgłoszenia oraz podjęcia ewentualnego działania następczego. Natomiast dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie będą zbierane, a w razie przypadkowego zebrania, będą niezwłocznie usuwane.”[3] Podstawą prawną przetwarzania danych szczególnej kategorii będzie art. 9 ust. 2 lit. g RODO.

    Jednocześnie powyższe fragmenty potwierdzają, że podmiot odbierający zgłoszenie powinien przetwarzać wyłącznie dane osobowe niezbędne do prawidłowego rozpatrzenia zgłoszenia. Niestety w ustawie nie mamy wpisanego minimalnego katalogu danych, który można przetwarzać, o co postulował nasz organ nadzorczy. Administrator samemu musi dokonywać oceny, które dane osobowe będzie przetwarzać w związku z otrzymanym zgłoszeniem – jedna zasada – przetwarzamy dane tylko te, które są niezbędne do rozpatrzenia zgłoszenia. Warto zwrócić uwagę również na okres retencji danych osobowych. Podmiot przyjmujący zgłoszenia ma obowiązek prowadzić rejestr zgłoszeń wewnętrznych. Dane w rejestrze przechowywane są przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Należy wyjaśnić czym są działania następcze. Są to działania podjęte przez podmiot, który otrzyma zgłoszenie o naruszeniu praw. Działania te mają na celu zweryfikowanie okoliczności naruszenia oraz podjęcie stosownych kroków prawnych, jeżeli takie będą potrzebne.

    Warto także zwrócić uwagę, że nie wszystkie prawa z art. 12-22 RODO mogą być realizowane tj. art. 14 ust. 1 lit. f oraz art. 15 ust. 1 lit. g RODO – to znaczy – spółka, która otrzymała zgłoszenie, nie ma prawa informować osoby, której dane dotyczą o źródle pozyskania danych osobowych tj. o sygnaliście – pamiętajmy o art. 8 ust. 1 ustawy o sygnalistach. Ujawnienie osobie nieuprawnionej danych sygnalisty może odbyć się wyłącznie na podstawie uprzedniej, wyraźnej zgody samego zainteresowanego. Jednocześnie na sam koniec należy wziąć pod uwagę wyjątek w zakresie tego obowiązku, o którym mowa w następnym ustępie: „Przepisu ust. 1 nie stosuje się w przypadku, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.” Ujawnienie danych sygnalisty w teorii jest możliwe, ale gdy wprost wynika to z przepisów albo gdy prowadzone jest właściwe postępowanie na bazie przepisów prawa związanych z wyjaśnianiem okoliczności naruszenia.

    Zmian w zakresie zapewniania zgodności z przetwarzaniem danych sygnalistów jest naprawdę sporo. Na koniec warto wspomnieć o bardzo ciekawej inicjatywie Prezesa Urzędu Ochrony Danych Osobowych. 1 lipca 2024 UODO poinformowało o rozpoczęciu konsultacji społecznych dotyczących stosowania ustawy o ochronie sygnalistów – https://uodo.gov.pl/pl/138/3162. Jak wskazuje komunikat – po przesłanych uwagach, pytaniach – w sierpniu odbędzie się seminarium, podczas którego eksperci UODO postarają się rozjaśnić wszelkie wątpliwości związane z wdrożeniem ustawy o ochronie sygnalistów pod kątem zgodności z przepisami RODO. Warto temat obserwować!

    [1] https://uodo.gov.pl/pl/138/3136

    [2] https://legislacja.rcl.gov.pl/docs//2/12352401/12822867/12822871/dokument599334.pdf,

    [3] https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822845

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Jak przetwarzać dane - poradnik (cz. III)
    Maria Lothamer

    Jak przetwarzać dane – poradnik (cz. III)

    W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

    Czytaj więcej
    Daniel Taberski

    Nowa decyzja o zapewnieniu odpowiedniego poziomu ochrony przez „Ramy ochrony danych UE-USA”

    10 lipca 2023 r. Komisja Europejska przyjęła – na podstawie art. 45 RODO – decyzję o zapewnieniu odpowiedniego poziomu ochrony przez „Ramy ochrony danych UE-USA”. To zwieńczenie długiego procesu budowania nowej regulacji do wymiany danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi, który rozpoczął się wkrótce po uchyleniu poprzedniej decyzji o zapewnieniu odpowiedniego poziomu ochrony […]

    Czytaj więcej
    Maria Lothamer

    Uregulowanie stosunku powierzenia

    Każda współpraca pomiędzy podmiotami, polegająca na wykonywaniu czynności na danych osobowych, które to czynności określa jeden z tych podmiotów (administrator danych osobowych), a wykonuje je drugi w jego imieniu (podmiot przetwarzający), musi zostać uregulowana umową powierzenia. Zdarza się, że podmioty powierzając dane, nie do końca zdają sobie sprawę, że dana czynność jest właśnie powierzeniem danych […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki