Została opublikowana kolejna wersja projektu ustawy o ochronie osób zgłaszających naruszenia prawa (tzw. ustawa o ochronie sygnalistów). Stawia on mocny akcent na ochronę prywatności sygnalistów. Zmiany w stosunku do poprzedniej wersji projektu mają sprawić, że zgłaszający – przynajmniej w teorii lub przez pewien czas – pozostanie anonimowy dla osoby, której dotyczy zgłaszane naruszenie.

Do najważniejszych aktualizacji z perspektywy ochrony danych osobowych należą:

  • rozszerzenie katalogu informacji o sygnaliście niepodlegających ujawnieniu również o te, które pośrednio mogą umożliwić zidentyfikowanie zgłaszającego;
  • częściowe wyłączenie – w zakresie informacji o źródle danych – obowiązku informacyjnego z art. 14 RODO w stosunku do osoby, której dotyczy zgłoszenie. Klauzula informacyjna przekazana przez podmiot, który otrzymał zgłoszenie, nie będzie musiała zawierać informacji o źródle danych, którym jest sygnalista. Niemniej podmiot, jako administrator, nadal będzie musiał ją przekazać i w praktyce poinformować, że dane są przetwarzane w związku z działaniami następczymi, zapoczątkowanymi zgłoszeniem;
  • odroczenie o 3 miesiące od zakończenia działań następczych odpowiedzi na wniosek o udzielenie dostępu do danych (art. 15 RODO) złożony przez osobę, której dotyczy zgłoszenie – tu również jedynie w zakresie źródła danych. Po tym terminie źródło danych może jednak nadal pozostać niejawne, jeśli wciąż będzie istniało ryzyko tzw. działań odwetowych w stosunku do sygnalisty;
  • skrócenie okresu przechowywania danych osobowych związanych ze zgłoszeniem – z 5 lat do 15 miesięcy od zakończenia działań następczych (okres zastanawiająco krótki w porównaniu z okresami przedawnienia potencjalnych roszczeń związanych ze zgłoszeniem, niemniej istotny nie tylko dla praktyki retencji danych, ale również pod kątem treści obowiązku informacyjnego, jako jego obowiązkowy element);
  • dodatkowe obowiązki w zakresie bezpieczeństwa i poufności danych w związku z przyjmowaniem i weryfikacją zgłoszeń oraz nakaz uwzględnienia ich w wewnętrznej procedurze zgłaszania naruszeń prawa i podejmowania działań następczych;
  • obowiązek udzielenia przez administratora pisemnych upoważnień do przetwarzania danych w związku z przyjmowaniem i weryfikacją zgłoszeń.

 

Ustawa o ochronie sygnalistów – wiele oczekiwanych zmian, wciąż sporo nieścisłości

Kontrowersje może wzbudzać nałożony na podmiot przyjmujący zgłoszenia obowiązek usunięcia danych nadmiarowych, które zebrał w związku ze zgłoszeniem, a które nie mają znaczenia dla jego rozpatrzenia. Stanowi on bowiem powtórzenie obowiązku minimalizacji danych, który wynika z przepisów o ochronie danych osobowych, zaś użycie określenia „przypadkowe” w kontekście pozyskania danych, przysparza wątpliwości interpretacyjnych.

Sporo nowych wskazówek dotyczących ochrony danych osobowych sygnalistów zawiera również uzasadnienie projektu ustawy, w którym m.in. wskazano realizację zadania w interesie publicznym[1] jako podstawę przetwarzania danych osobowych sygnalisty przez podmiot przyjmujący zgłoszenia. Niestety podstawa ta znajduje zastosowanie jedynie do tzw. danych zwykłych. Ustawodawcy umknęło, że zgłoszenie może zawierać również dane szczególnych kategorii oraz dotyczące skazań, które są przetwarzane na innych podstawach prawnych.

 

Obowiązek przeprowadzenia oceny ryzyka nadal pod znakiem zapytania

Uzasadnienie projektu ustawy zawiera również potwierdzenie, że przetwarzanie danych osobowych sygnalistów może powodować ryzyko naruszenia ich praw lub wolności. Przepisy RODO, w przypadku dużego prawdopodobieństwa zaistnienia wysokiego ryzyka w tym zakresie, wymagają od administratora danych przeprowadzenia oceny skutków dla ochrony danych (tzw. DPIA).

Wyjątkiem od takiego obowiązku są m.in. sytuacje, w których przetwarzanie ma za podstawę realizację zadania w interesie publicznym, a ustawodawca przeprowadził DPIA w ramach oceny skutków regulacji. Uzasadnienie ustawy zawiera lakoniczny opis ryzyka, który obejmuje zasadnicze, określone w RODO, elementy tej oceny. Niemniej wydaje się, że w przypadku podmiotów z sektora prywatnego, poprzeczka w zakresie oceny ryzyka jest postanowiona znacznie wyżej. Powstaje zatem pytanie, czy można uznać, że ustawodawca spełnił przesłanki zwalniające administratorów z obowiązku przeprowadzenia oceny skutków. Wypowiedź Prezesa UODO w tej kwestii pomogłaby rozwiać te wątpliwości.

 

Miejmy nadzieję, że do czasu uchwalenia ustawy o ochronie sygnalistów pojawią się wytyczne w zakresie przeprowadzenia DPIA oraz odpowiedzi na inne pytania związane z ochroną danych osobowych sygnalistów.

Zespół ekspertów zajmujących się ochroną danych osobowych w OW na bieżąco monitoruje prace nad projektem ustawy. Będziemy Państwa informować o kluczowych aspektach nowej regulacji oraz jej ewentualnych zmianach w toku prac parlamentu. W przypadku potrzeby wsparcia w zakresie ustawy whistleblowingowej, zachęcamy do kontaktu z naszymi doradcami.

 

Zuzanna Prandecka-Walek
Senior Associate | Adwokat
zuzanna.prandecka-walek@olesinski.com

 


[1] art. 6 ust. 1 lit. e RODO