Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Ochrona (danych) sygnalisty

13-11-2020 Autor: Magdalena Kogut-Czarkowska

Wprowadzanie systemów raportowania nieprawidłowości wiąże się z przetwarzaniem informacji o sygnaliście, świadkach naruszenia oraz potencjalnych naruszycielach. Firmy, które decydują się wprowadzić takie rozwiązania, napotykają wiele problemów prawnych, w tym zgodności z rodo.

 

Pod koniec XX wieku seria głośnych skandali finansowych dotyczących znanych spółek giełdowych ujawniła zagrożenia związane z brakiem procedur umożliwiających wczesne wychwycenie niezgodnych z prawem praktyk. W rezultacie rządy dostrzegły potrzebę wspierania sygnalistów, którzy w dobrej wierze zgłaszają swoje podejrzenia o niezgodnych z przepisami działaniach pracodawcy.


W 2002 r. w Stanach Zjednoczonych wprowadzono ustawę Sarbanesa-Oxleya (SOX), która nakazała spółkom notowanym na giełdzie wprowadzenie zasad anonimowego raportowania i ochrony sygnalistów. Proces przejęcia rozwiązań legislacyjnych w Unii Europejskiej trwał dłużej. Dopiero 23 października 2019 r. uchwalono kompleksową dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dyrektywa o ochronie sygnalistów). Mimo że ma ona zostać zaimplementowana do systemów krajowych do 17 grudnia 2021 r., już teraz wiele spółek wprowadza systemy whistleblowing.


Wymogi rodo


Wśród trudności, z jakimi borykają się firmy, które decydują się wprowadzić systemy raportowania nieprawidłowości, można wskazać konieczność poszanowania zasad przejrzystości, minimalizacji danych oraz ograniczenia celu przetwarzania (art. 5 ust. 1 lit. a–c rodo). Podstawowym problemem jest zagwarantowanie sygnaliście ochrony przed działaniami odwetowymi przy jednoczesnym poszanowaniu praw osób, których dotyczy składany raport, w tym prawa do obrony.


Niestety przepisy nie dają łatwych odpowiedzi. Również dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 26 listopada 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii (dalej: dyrektywa o ochronie sygnalistów) nie zawiera szczególnych zasad dotyczących przetwarzania danych osobowych, a jedynie odwołuje się do przepisów rodo (art. 17). Warto zwrócić uwagę, że w motywach 84 i 86 dyrektywy o ochronie sygnalistów wskazano, że to kraje członkowskie, wdrażając jej postanowienia, powinny ograniczyć niektóre przewidziane rozporządzeniem uprawnienia osób, których dane dotyczą, zwłaszcza prawo dostępu do danych, prawo do sprostowania oraz obowiązki informacyjne. W obecnym stanie polskie prawo nie przewiduje takich ograniczeń. Istniejące wątpliwości nie zostały również zarejestrowane przez Urząd Ochrony Danych Osobowych ani wcześniej przez GIODO. W tej sytuacji pomocą przedsiębiorcom mogą służyć istniejące wytyczne organów unijnych.


Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych powołana na mocy art. 29 dyrektywy 95/46/WE (dalej: Grupa Robocza art. 29), wychodząc naprzeciw spółkom amerykańskim i ich oddziałom, które były zobowiązane ustawą SOX do wprowadzenia wewnątrzgrupowych systemów raportowania, wydała w 2006 r. opinię w sprawie stosowania unijnych zasad ochrony danych do wewnętrznych systemów informowania o nieprawidłowościach w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem, zwalczania przekupstwa oraz przestępstw bankowych i finansowych. W grudniu 2019 r. wytyczne dla organów unijnych wydał Europejski Inspektor Ochrony Danych (dalej: EIOD)1. Co prawda skierowane są one do instytucji, organów i agencji UE działających na podstawie rozporządzenia 2018/1725, ale wiele ze wskazań EIOD może stanowić cenny materiał również dla przedsiębiorców.


Podstawy prawne zbierania danych w procesach whistleblowing


Zgodnie z art. 6 ust. 1 rodo przetwarzanie danych osobowych wymaga wykazania podstawy prawnej. Tylko w niektórych sektorach istnieją szczegółowe przepisy, które nakładają na firmy obowiązek wdrożenia systemów raportowania, np. art. 53 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML)2. Przepisy te nie obowiązują jednak ogółu przedsiębiorców.


Przedsiębiorca, który pozostaje poza zakresem ustawy AML, nie może powołać się na obowiązek wynikający z przepisów prawa (art. 6 ust. 1 lit. c rodo) jako podstawę zbierania danych w ramach systemów raportowania nieprawidłowości. Nie jest możliwe powoływanie się na przepisy zagraniczne (w tym amerykańskie) jako zobowiązujące polski podmiot do wprowadzenia systemu whistleblowing i zbierania danych w ramach tego systemu3.


Sytuacja ulegnie zmianie po implementacji do porządku krajowego dyrektywy o ochronie sygnalistów. Zgodnie z nią kraje członkowskie będą musiały zobowiązać podmioty prawne w sektorze prywatnym i publicznym do ustanowienia kanałów i procedur na potrzeby dokonywania zgłoszeń wewnętrznych (art. 8). Do momentu uchwalenia stosownych przepisów krajowych przedsiębiorcy muszą poszukiwać uzasadnienia w innych warunkach przewidzianych w art. 6 ust. 1 rodo.


Wydaje się, że najczęściej podstawą przetwarzania danych sygnalisty oraz osób, których dotyczy raport, będzie realizacja prawnie uzasadnionych celów przedsiębiorcy (art. 6 ust. 1 lit. f rodo). Wskazania Grupy Roboczej art. 29 wydane na podstawie dyrektywy 95/46/WE pozostają aktualne. Tym samym, wdrażając system raportowania, należy pamiętać o konieczności przeanalizowania uzasadnionych interesów przedsiębiorcy, które stoją za tym, że taki system będzie wprowadzony. Interesy muszą być zbilansowane z prawami i wolnościami osób, których dane mogą być zbierane. Analiza (w formie tzw. testu równowagi) powinna zostać udokumentowana. Należy zastanowić się zwłaszcza nad tym, czy nie ograniczyć tematyki raportów do najpoważniejszych naruszeń. Mniej istotne sprawy i kwestie osobiste powinny być raportowane „zwykłymi” kanałami np. do działów HR. Na tę kwestię zwraca również uwagę w swoich wytycznych EIOD, wskazując, że systemy whistleblowing powinny służyć do raportowania wyłącznie nadużyć finansowych, korupcji lub innych poważnych nieprawidłowości.

 

[...]

 

Autorka jest radcą prawnym, pełni funkcję counsel w zespole IPTech Baker McKenzie w Warszawie.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.