Facebook

Jak szukać?»

Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Wskazówki dla przedsiębiorcy  »   Dokumentacja w procesie ochrony sygnalistów w aspekcie RODO
POLECAMY
A A A  drukuj artykuł

Dokumentacja w procesie ochrony sygnalistów w aspekcie RODO

Gazeta Podatkowa nr 75 (2158) z dnia 16.09.2024
Marta Stefanowicz - Wasilewska

Ujawnienie tożsamości sygnalisty nie musi koniecznie polegać na podaniu jego imienia i nazwiska. Kwestię tożsamości sygnalisty należy traktować szeroko. Czasami wystarczające będzie podanie informacji pośrednich, które umożliwią jego identyfikację. Rolą administratora danych, np. pracodawcy, jest zapewnienie właściwej ochrony sygnalistom oraz pozostałym osobom biorącym udział w procesie zgłaszania naruszeń prawa. Konieczne jest więc przygotowanie w tym zakresie odpowiedniej dokumentacji, takiej jak upoważnienia do przetwarzania danych przez osoby obsługujące zgłoszenia sygnalistów czy też odpowiednie klauzule informacyjne dla osób biorących udział w procesie zgłaszania naruszeń.

Ochrona tożsamości sygnalisty

Sygnalista podlega ochronie od chwili dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa. Nie ma znaczenia, czy informacje objęte zgłoszeniem lub ujawnieniem okażą się prawdziwe, czy sygnalista prawidłowo zakwalifikuje dane zachowanie (np. jako przestępstwo lub wykroczenie). Istotne jest jedynie, czy w momencie dokonywania zgłoszenia miał uzasadnione podstawy, by sądzić, że dokonuje prawdziwego zgłoszenia lub ujawnienia publicznego. Sygnalista podlega ochronie przed działaniami odwetowymi od momentu dokonania zgłoszenia. Takie same zasady ochrony dotyczą osób udzielających pomocy w dokonaniu zgłoszenia oraz osób powiązanych z sygnalistą. Myśląc o ochronie danych osobowych sygnalistów na etapie planowania i później w procesach zgłoszeń należy pamiętać, że podstawowym źródłem prawa są przepisy RODO i stosowanie regulacji wynikających z ustawy o sygnalistach nie może odbywać się w oderwaniu od przepisów unijnego rozporządzenia.

Podmiot prawny i organ publiczny zobowiązani do ustalenia wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następnych są administratorami danych osobowych przetwarzanych w związku z przyjęciem zgłoszenia, a także w związku z prowadzeniem działań następczych oraz prowadzeniem rejestru zgłoszeń. Procedura zgłoszeń wewnętrznych powinna określać wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych. Osoby, które na podstawie procedury zostaną upoważnione do przyjmowania lub weryfikacji zgłoszeń, powinny uzyskać pisemne upoważnienie administratora do przetwarzania danych osobowych (patrz ramka). Upoważnienie powinno określać zakres, cel i czas, w jakim dana osoba zostaje upoważniona do przetwarzania danych osobowych.

Ujawnienie danych sygnalisty

]
Druki dotyczące sygnalistów dostępne w dziale Ochrona sygnalistów w programie DRUKI Gofin

Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty. Art. 8 ustawy o ochronie sygnalistów (Dz. U. z 2024 r. poz. 928) określa, kiedy dane osobowe sygnalisty mogą zostać ujawnione. Przede wszystkim można ujawnić dane osobowe za wyraźną i dobrowolną zgodą sygnalisty, po poinformowaniu, komu, w jakim zakresie i celu dane mają być udostępnione. Drugi przypadek, w którym takie ujawnienie może być dokonane, będzie mieć miejsce, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa, w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie, np. na żądanie Policji, prokuratora lub sądu. Przed dokonaniem ujawnienia właściwy organ publiczny lub właściwy sąd musi powiadomić o tym sygnalistę, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych, chyba że takie powiadomienie zagrozi postępowaniu wyjaśniającemu lub postępowaniu przygotowawczemu, lub sądowemu.

Klauzule informacyjne

Jednym z ważniejszych obowiązków administratora danych wobec osób, których dane są przetwarzane, jest przekazanie tym osobom informacji, o których mowa w art. 13 i art. 14 RODO. Przekazanie klauzuli informacyjnej zawierającej dane określone w art. 13 ust. 1 i ust. 2 RODO nie wydaje się budzić zastrzeżeń. Problematyczne jest natomiast spełnienie obowiązku informacyjnego w przypadku, gdy przetwarzane są dane osobowe pozyskane nie bezpośrednio od osoby, której dotyczą, czyli m.in. dane osoby dokonującej naruszenia prawa, które przekazuje w swoim zgłoszeniu sygnalista.

Zgodnie z art. 14 ust. 1 i ust. 2 RODO administrator w takim wypadku powinien poinformować osobę, której dotyczą dane, o ich przetwarzaniu, a także m.in. o celu i podstawie prawnej przetwarzania, kategorii danych osobowych, czy okresie, przez jaki dane będą przetwarzane. W ustawie o ochronie sygnalistów wyłączono stosowanie art. 14 ust. 2 lit. f) RODO, tj. obowiązek powiadomienia podmiotu danych o źródle pochodzenia danych (tzn. wskazania, kto podał dane osobowe osoby). Ponadto wyłączono zastosowanie art. 15 ust. 1 lit. g) RODO, który mówi o obowiązku przedstawienia na żądanie podmiotu danych wszelkich informacji o źródle pozyskania jego danych.

Eksperci wskazując na niedociągnięcia w ustawie o ochronie sygnalistów zwracają uwagę, iż taki zakres wyłączenia oznacza, że każdorazowo po przyjęciu zgłoszenia i pozyskaniu od kogokolwiek danych osobowych innych osób (w tym podejrzewanego o naruszenie prawa) należałoby wykonać pozostałe obowiązki określone w art. 14-15 RODO. Taka regulacja praktycznie uniemożliwiałaby prowadzenie działań następczych (prowadzenie postępowań wyjaśniających), narażałaby sygnalistę i inne osoby na działania odwetowe i uniemożliwiałaby rozsądną ochronę, a więc osiągnięcie podstawowych celów ustawy o ochronie sygnalistów.

W związku z powyższym wydaje się, że należy skorzystać z możliwości określonej w art. 14 ust. 5 RODO, która umożliwia wyłączenie w ogóle obowiązku informacyjnego wobec podmiotów danych w sytuacji, gdy jego wykonanie mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania (np. weryfikację zgłoszenia w ramach działań następczych).

Jeśli chodzi o sposoby spełniania obowiązku informacyjnego, to oczywiście powinien on być spełniony np. w momencie zatrudnienia nowego pracownika, który musi zapoznać się również z procedurą zgłaszania naruszeń. Następnie obowiązek ten powinien być wykonany ponownie w momencie dokonywania przez sygnalistę zgłoszenia. Sposób jego przekazania będzie zależny od kanału dokonywania zgłoszenia (zgłoszenie ustne, linia telefoniczna, w formie elektronicznej). Może być zrealizowany w sposób warstwowy. W pierwszej warstwie należy podać najważniejsze informacje, tj. kto przetwarza dane, w jakim celu i jakie prawa ma osoba, której dane są przetwarzane. Druga warstwa może zostać podana w drodze odesłania. Przykładowo, jeżeli zgłoszenie dokonywane jest przez dedykowaną linię telefoniczną - wiadomość głosowa: "po więcej informacji na temat przetwarzania danych naciśnij określony numer", jeśli w drodze elektronicznej - poprzez odesłanie do podanego linku.

Przykłady dokumentacji w procesie ochrony sygnalistów

» Klauzula informacyjna RODO

Zgodnie z art. 13 RODO informujemy, że:

1. Administratorem Pani/Pana danych osobowych jest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. Administrator powołał Inspektora Ochrony Danych, z którym może się Pani/Pan skontaktować w przypadku jakichkolwiek pytań lub uwag dotyczących przetwarzania Pani/Pana danych osobowych i praw przysługujących Pani/Panu na mocy przepisów o ochronie danych osobowych. Dane kontaktowe: . . . . . . . . . . . . . . . . . . . . . . . .
3. Pani/Pana dane osobowe przetwarzane będą w celu realizacji obowiązków ciążących na Administratorze zawartych w Procedurze zgłoszeń wewnętrznych w związku z przetwarzaniem danych zawartych w zgłoszeniu wewnętrznym w rozumieniu przetwarzania informacji o naruszeniu prawa u Administratora,
4. Pani/Pana dane osobowe będą przetwarzane zgodnie z art. 6 ust. 1 lit. c) RODO w związku z przepisami ustawy o ochronie sygnalistów.
5. Posiada Pan/Pani prawo do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania oraz prawo do wniesienia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych).
6. Pani/Pana dane osobowe zawarte w zgłoszeniu będą przetwarzane przez okres 5 lat od zakończenia postępowania wyjaśniającego.
7. Co do zasady Pani/Pana dane są zachowane w poufności. Pani/Pana dane osobowe mogą być ujawniane uprawnionym podmiotom, w związku z weryfikacją zgłoszenia, a także za Pani/Pana wyraźnym przyzwoleniem, w trybie określonym przez obowiązujące przepisy prawa.
8. Pani/Pana dane nie będą przetwarzane w sposób zautomatyzowany.
9. Podanie danych osobowych jest dobrowolne, jednak brak ich podania może skutkować brakiem możliwości przyjęcia zgłoszenia oraz podjęcia działań następczych.

» Upoważnienie do przetwarzania danych osobowych dla osoby wyznaczonej do obsługi zgłoszeń sygnalistów

Na podstawie Procedury zgłoszeń wewnętrznych (nazwa pracodawcy) oraz na podstawie RODO, upoważnia się Panią/Pana/Stanowisko . . . . . . . . . . . . . . . . . . . . . . do pełnienia funkcji Pełnomocnika ds. naruszeń.

Zakresem upoważnienia objęte jest przetwarzanie danych zawartych w zgłoszeniu wewnętrznym w rozumieniu przyjmowania przetwarzania informacji o naruszeniu prawa pracodawcy w formie pisemnej oraz elektronicznej w zakresie zbierania, utrwalania, wglądu, zmieniania, dopasowywania, udostępniania, usuwania i przechowywania danych.

Zakresem upoważnienia objęte jest przetwarzanie danych w celu podejmowania działań następczych, w szczególności weryfikacji zgłoszeń i dalszej komunikacji ze zgłaszającymi, w tym występowania o dodatkowe informacje i przekazywania zgłaszającym informacji zwrotnej, w formie pisemnej oraz elektronicznej w zakresie zbierania, utrwalania, wglądu, zmieniania, dopasowywania, udostępniania, usuwania i przechowywania danych.

Upoważnienie obowiązuje od . . . . . . . . . . . . . . do . . . . . . . . . . . . . .

  . . . . . . . . . . . . . . . . . . . . .
(podpis administratora)

» Zobowiązanie do zachowania poufności

Oświadczam, iż w związku z nadanym mi upoważnieniem zapoznano mnie z przepisami dotyczącymi ochrony danych osobowych, w szczególności RODO oraz odnośnymi wymaganiami Procedury zgłoszeń wewnętrznych.

W szczególności zobowiązuję się do:

1) przetwarzania wszelkich informacji, w tym danych osobowych wyłącznie w zakresie i celu przewidzianym upoważnieniem,
2) zachowania w tajemnicy wszelkich informacji, w tym danych osobowych przetwarzanych na podstawie upoważnienia,
3) zachowania w tajemnicy sposobów zabezpieczenia wszelkich informacji, w tym danych osobowych przetwarzanych na podstawie upoważnienia,
4) zabezpieczenia wszelkich informacji, w tym danych osobowych przetwarzanych na podstawie upoważnienia przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem, nieuprawnionym dostępem oraz przetwarzaniem.
  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(data i podpis osoby upoważnionej)

Wskazówki dla przedsiębiorcy - czytaj także:

 
Przydatne linki
 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.