Systemy sygnalizowania nieprawidłowości (tzw. whistleblowing scheme), zwłaszcza w zakładzie pracy to duże wyzwanie w zakresie zapewnienia bezpieczeństwa przetwarzania danych osobowych. Przed ich wdrożeniem należy zadbać o to, by dane osobowe wszystkich uczestników postępowania były należycie chronione, a ich prawa respektowane.
Ochrona danych osobowych sygnalisty
Sygnalista ma prawo zdecydować, czy chce ujawnić swoją tożsamość podczas zgłoszenia naruszenia czy też woli pozostać anonimowy. Jego dane powinny być w takiej sytuacji szczególnie chronione. Coraz częściej pracodawcy korzystają z pomocy dedykowanych systemów, gwarantujących ochronę tożsamości pracowników – sygnalistów np. poprzez zastosowanie pseudoanonimizacji.
Podstawą przetwarzania danych osobowych sygnalisty będzie w tym przypadku jego zgoda (Art. 6 ust 1 lit a RODO), co oznacza, że będzie mógł on w dowolnej chwili skorzystać z prawa do jej cofnięcia. Pracodawca powinien w związku z tym tak przygotować system zgłaszania naruszeń by:
a) sygnalista wiedział, że ma prawo zdecydować czy ujawni swoje dane osobowe,
b) sygnalista wiedział, że w każdej chwili może zmienić zdanie i wycofać zgodę na przetwarzanie swoich danych osobowych,
c) sygnalista miał świadomość, że cofnięcie zgody nie wpływa na przetwarzanie danych, które miało miejsce podczas jej obowiązywania – jeżeli zdecyduje się na cofnięcie zgody po pewnym czasie, informacje o jego danych mogą już zostać przekazane osobie, której dotyczy zgłoszenie,
d) dane osobowe sygnalisty były chronione przed dostępem osób nieuprawnionych.
Ograniczony okres przetwarzania danych osobowych
Pracodawca jako administrator danych powinien określić jak długo przetwarzane będą dane osobowe pozyskane w związku z systemem whistleblowing i po jego upływie je usuwać. Ponieważ nie każde zgłoszenie naruszenia prowadzi do podjęcia dalszych działań, należy wprowadzić odpowiednio krótszy okres retencji, dla tych danych osobowych, które zostały pozyskane w wyniku zgłoszenia nie prowadzącego do wszczęcia postępowania.
Okresy przetwarzania danych należy oczywiście zamieścić w klauzuli informacyjnej.
Obowiązek informacyjny wobec sygnalisty i osób, których dotyczy postępowanie
Pracodawca ma obowiązek zapewnić przekazanie sygnaliście pełnej informacji o przetwarzaniu danych osobowych (tzw. klauzulę informacyjną) i to jak najszybciej po otrzymaniu zgłoszenia. Praktycznym rozwiązaniem jest zamieszczenie klauzuli informacyjnej już w treści formularza zgłoszenia. Nie jest zalecane w tym przypadku ograniczanie się do umieszczenia informacji na stronie internetowej pracodawcy np. w postaci polityki prywatności.
Zgodnie z art. 14 ust 1 i 2 RODO, obowiązek informacyjny dotyczy także osób, których dane zostaną pozyskane w związku ze zgłoszeniem naruszenia np. świadków czy osoby, której zarzuca się nieprawidłowe zachowanie. W pewnych przypadkach, ze względu na cel postępowania, pełen obowiązek informacyjny wobec osób, których dotyczy zgłoszenie będzie mógł być odroczony.
Konieczność przeprowadzenia oceny skutków przetwarzania danych (DPIA)
Procedura Whistleblowing została umieszczona przez Prezesa Urzędu Ochrony Danych w wykazie czynności przetwarzania rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (DPIA). Pracodawca powinien przeprowadzić ocenę skutków przetwarzania danych jeszcze przed wdrożeniem systemu informowania o nieprawidłowościach. Na podstawie uzyskanych wyników konieczne może okazać się wprowadzenie dodatkowych zabezpieczeń danych lub procedur.