Przetwarzanie i ochrona danych w ramach procedury whistleblowingu
Whistleblowing to coraz popularniejsze w ostatnim czasie pojęcie, posiadające liczne definicje. Międzynarodowa Organizacja Pracy określa go jako „raportowanie przez obecnych lub byłych pracowników o nielegalnych, niewłaściwych, niebezpiecznych lub nieetycznych praktykach pracodawców”.
Natomiast według autorek jednej z pierwszych publikacji w tej materii „Blowing the whistle” z 1985 r. jest to „ujawnienie przez obecnych lub byłych członków organizacji nielegalnych, niemoralnych lub niedopuszczalnych praktyk prowadzonych pod nadzorem/kontrolą ich pracodawców, osobom lub organizacjom, które są w stanie przedsięwziąć działania”.
Niezależnie od przyjętej definicji jedno jest pewne – koncepcja ta wzbudza mnóstwo emocji: od pełnego przyzwolenia, poprzez warunkową tolerancję, aż po wyraźną krytykę. Na czym jednak tak naprawdę polega whistleblowing i jak w prawidłowy i bezpieczny sposób go stosować?
Whistleblowing w świetle prawa
Niezależnie od przytoczonych wyżej, sformalizowanych definicji whistleblowingu w praktyce sprowadza się on do informowania o szeroko pojętych nadużyciach mających miejsce w określonej organizacji, najczęściej w odniesieniu do korporacji. Początkowo instytucja ta nie była w żaden sposób regulowana przez prawo.
Obecnie dotykające jej ustawodawstwo dynamicznie się rozwija. W grudniu 2019 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady nr 2019/1937 z dnia 23 października 2019 r. ws. ochrony osób zgłaszających naruszenia prawa Unii, na wdrożenie której państwa członkowskie UE mają dwa lata.
Istotą unijnego aktu jest opracowanie odpowiednich procedur mających umożliwić proste i bezpieczne dokonywanie zgłoszenia, jak również zapewnienie pełnej ochrony sygnalistom, bo tak powszechnie nazywane są osoby zgłaszające naruszenia w swojej organizacji.
Działania zmierzające do wydania w tym zakresie normy ISO 37002 („Zarządzanie systemami zgłaszania nieprawidłowości”) rozpoczęła także Międzynarodowa Organizacja Normalizacyjna. Zakończenie prac zadeklarowała na 2021 r. Również w Polsce powstają kolejne unormowania dotyczące przedmiotowej materii.
Ministerstwo Inwestycji i Rozwoju wydało poradnik w zakresie przeciwdziałania nadużyciom finansowym w ramach projektów z Programu Infrastruktura i Środowisko 2014-2020, a UOKiK opracował dedykowany sygnalistom program.
Idąc dalej, treść ustawy z dnia 16 października 2019 r. o zmianie ustawy o ofercie i warunkach wprowadzania instrumentów finansowych, która weszła w życie 30 listopada 2019 r., przewiduje pewne wymagania w odniesieniu do procedur anonimowego zgłaszania naruszeń prawa.
Nie bez znaczenia dla uregulowania whistleblowingu w Polsce są także projekty ustawy o jawności życia publicznego oraz nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary.
Jak dbać o informacje wykorzystywane w procesie whistleblowingu?
Oprócz aktów wymienionych powyżej dla realizacji procedury zgłaszania naruszeń niebagatelne znaczenie mają Wytyczne Europejskiego Inspektora Ochrony Danych (dalej „EIOD”) dotyczące przetwarzania informacji w ramach procedury whistleblowingu, których treść w znacznym stopniu wpływa także na kształt przywoływanych powyżej aktów.
Wśród rekomendacji EIOD na pierwszy plan wysuwa się zapewnienie poufności otrzymanych informacji, jak również ochrona tożsamości sygnalistów i osób zaangażowanych. W szczególności niedopuszczalne jest ujawnianie danych sygnalisty bez jego wyraźnej zgody w tym zakresie.
Analogicznie postępować należy w odniesieniu do osób, wobec których kierowane są oskarżenia o udział w określonej sprawie. Istotne jest też, aby przekazywane przez sygnalistów informacje kierowane były wyłącznie do ograniczonego kręgu wyznaczonych do tego osób, które nadto będą zobowiązane do zachowania tajemnicy w tym obszarze. Realizacja powyższego pociąga za sobą oczywiście konieczność opracowania, a następnie wdrożenia w organizacji czytelnych i przejrzystych polityk oraz kanałów przeznaczonych do zgłaszania nieprawidłowości.
Tylko tyle danych, ile potrzebujemy
Europejski Inspektor Ochrony Danych zaznacza, że wspomniane procedury powinny uwzględniać zasadę minimalizacji danych polegającą na zawężeniu zakresu pozyskiwanych danych do tych, które są absolutnie niezbędne do realizacji założonego celu. Natomiast pozyskane w toku procesu dane osobowe, które pozostają irrelewantne dla konkretnej sprawy, zwłaszcza jeśli są to dane wrażliwe, powinny zostać niezwłocznie usunięte.
Informowanie obowiązkowe
Nie sposób nie wspomnieć, że organizacja przetwarzająca dane w związku z sygnalizowaniem nieprawidłowości jest ich administratorem w świetle RODO, wobec czego spoczywa na niej szereg obowiązków, w tym obowiązek informacyjny. Stosownie do przywoływanych wytycznych w omawianym procesie obowiązek informacyjny powinien być spełniony dwuetapowo.
Po pierwsze klauzula informacyjna uwzględniająca niezbędne elementy wymagane przez przepisy prawa powinna zostać zamieszczona w ogólnodostępnych miejscach, takich jak firmowy serwis internetowy czy intranet.
Poprzestanie na tym nie jest jednak wystarczające, wobec czego każda osoba, której dane w jakikolwiek sposób są przetwarzane z uwagi na realizację konkretnego postępowania sygnalizacyjnego, powinna otrzymać klauzulę informacyjną bezpośrednio.
Z zobowiązaniem administratora do przekazywania określonych informacji osobom, których dane dotyczą, wiąże się nadto uprawnienie podmiotu danych do dostępu do nich, w odniesieniu do którego zaakcentowania wymaga konieczność zadbania o to, aby dane nie zostały udostępnione osobom postronnym. Administrator jest oczywiście zobowiązany również do realizacji pozostałych uprawnień przysługujących osobom, których dane dotyczą na gruncie RODO.
Udostępnianie danych tylko wyjątkowo, a przechowywanie możliwie krótko
Dane osobowe przetwarzane w ramach whistleblowingu co do zasady nie powinny być udostępniane podmiotom trzecim. Jedynym wyjątkiem od tej reguły jest potrzeba pozyskania danych z uwagi na konieczność realizacji przyznanych przez prawo kompetencji oznaczonego odbiorcy. Za przykład tego typu podmiotów można podać prokuraturę,
Policję czy właściwe organy skarbowe. Pochylając się nad inną istotną dla bezpieczeństwa danych kwestią, jaką jest okres ich przetwarzania, zaznaczenia wymaga, iż w przedmiotowej materii okres przechowywania danych osobowych należy badać indywidualnie w każdym stanie faktycznym. Ogólnym zaleceniem jest jednak bezzwłoczne ich usuwanie w momencie, gdy nie są już przydatne.
Proces trudny, ale potrzebny
Mimo że pojęcia „whistleblowing” oraz „sygnalista” niejednokrotnie uważane są za nacechowane pejoratywnie, uregulowanie i rozwijanie tego obszaru wydaje się zasadne, w szczególności z perspektywy podmiotów dążących do funkcjonowania w zgodzie z prawem. Aby móc jednak w pełni skorzystać z atutów tego systemu, nie należy tracić z pola widzenia właściwej jego konstrukcji, obejmującej również przetwarzanie danych osobowych.
Przygotowanie odpowiednich polityk, instrukcji, a także środków technicznych uzasadnionych wynikami analizy ryzyka powinno zagwarantować stosowne i bezpieczne warunki tak dla organizacji, jak i dla osób, których dane w procesie whistleblowingu są wykorzystywane.
Autor: Kancelaria Prawna Skarbiec