Najważniejszym aspektem, by prawidłowo chronić dane osobowe sygnalisty jest zapewnienie poufności jego tożsamości.

Ochrona danych osobowych sygnalisty

Podstawa prawna

Dane osobowe zgłaszającego należy chronić zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/69 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Temat ochrony danych osobowych sygnalistów porusza Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie osób zgłaszających naruszenia prawa Unii (zwana dyrektywą o sygnalistach).

Jakie rozwiązania ochrony sygnalisty należy zastosować by prawidłowo chronić dane osobowe sygnalisty?

Najważniejszym aspektem ochrony sygnalisty jest zapewnienie poufności jego tożsamości. Należy mieć na uwadze to, że tożsamość zgłaszającego można zidentyfikować bezpośrednio, kiedy poda nam swoje dane albo w sposób pośredni, kiedy z treści przekazanych informacji możemy wnioskować kim jest sygnalista. Dlatego też powinniśmy wprowadzić takie rozwiązania techniczne i organizacyjne, aby chronić dane zgłaszającego, jak również osób wymienionych w zgłoszeniu.

Upoważnienia

Przede wszystkim dostęp do zgłoszenia powinna mieć ograniczona liczba osób. Wyznaczone do obsługi zgłoszeń osoby powinny działać tylko na podstawie pisemnego upoważnienia. Należy je również zobowiązać do zachowania tajemnicy posiadanych informacji, również po cofnięciu upoważnienia. Warto nadmienić, że projekt polskiej ustawy przewiduje karę grzywny, ograniczenia wolności albo pozbawienia wolności do lat 3 dla osób, które naruszą obowiązek zachowania poufności tożsamości zgłaszającego.

Anonimizacja

Bardzo dobrym rozwiązaniem jest stosowanie anonimizacji danych osobowych zgłaszającego. Na przykład w sytuacji, kiedy zobowiązani jesteśmy przekazać informacje innym osobom, które np. wykonują działania następcze albo raportujemy przełożonym naruszenia. Należy pamiętać o tym, że takiego zabiegu możemy dokonać, jeżeli w żaden sposób nie wpłynie to na weryfikację zgłoszenia i wykonanie działań następczych. W niektórych wypadkach anonimizacji nie możemy dokonać nieodwracalnie, ponieważ zobowiązani jesteśmy do komunikacji z sygnalistą, w tym potwierdzenia przyjęcia zgłoszenia i przekazania informacji zwrotnych.

Szkolenia

Zawsze warto pamiętać o szkoleniu osób zaangażowanych w obsługę zgłoszeń, jak również pozostałych pracowników. Cykliczne szkolenia przypominające dla osób, które przyjmują zgłoszenia i wykonują działania następcze oraz dla osób, które mogą pracować z sygnalistą lub osób, które w sposób przypadkowy i niezamierzony weszły w posiadanie informacji o zgłoszeniu i sygnaliście.

Stosowne zapisy

Zastosowane rozwiązania należy ująć w regulaminach i procedurach dotyczących przyjmowania i obsługi zgłoszeń. Regularny przegląd systemu zgłaszania nieprawidłowości pozwoli na kontrolę poprawności zastosowanych zasad i wprowadzenie ewentualnej korekty.

Przykład z góry

I najważniejsze, bez czego żaden system i wprowadzone rozwiązanie nie zadziała poprawnie. Mianowicie dobry przykład z góry. Od szefów, prezesów, dyrektorów i przełożonych – osób decyzyjnych, które dały zielone światło na przyjmowanie zgłoszeń od sygnalistów. Nie wystarczy tylko uchwalić regulamin czy zatwierdzić procedurę, wprowadzony system trzeba utrzymać, aby spełniał swoje założenia.

Dzięki sygnaliście i przekazanej przez niego informacji nasza organizacja doskonali się. Jesteśmy postrzegani jako firma przyjazna, uczciwa, godna zaufania. Dla pracowników, klientów, kontrahentów.

Obowiązek informacyjny

Jesteśmy zobowiązani do spełnienia obowiązku informacyjnego wobec zgłaszającego i osoby, której zgłoszenie dotyczy zgodnie z RODO. Spełnienie tego obowiązku wobec sygnalisty jest łatwe. Należy stosowną informację udostępnić na stronie internetowej, przekazać zgłaszającemu lub umieścić w aplikacji takiej jak SYGNALISTA24.info. W aplikacji, sygnalista przed wysłaniem zgłoszenia, musi potwierdzić zapoznanie się z jej treścią.

Trochę bardziej skomplikowana jest kwestia spełnienia obowiązku informacyjnego wobec sprawcy naruszenia. Zgodnie z RODO mamy na przekazanie tej informacji 30 dni od momentu pozyskania tych danych. Może się to wiązać z problemem zidentyfikowania adresu korespondencyjnego sprawcy, a nawet ze zniszczeniem przez niego dowodów. Przypominam, że na działania następcze mamy 90 dni od momentu potwierdzenia przyjęcia zgłoszenia. Projekt polskiej ustawy o ochronie osób zgłaszających zwolnił z obowiązku poinformowania sprawcy od kogo uzyskaliśmy te informacje; czyli nie będziemy musieli przekazywać informacji o sygnaliście.

Podsumowanie. Jak prawidłowo chronić dane osobowe sygnalisty?

Osoba przekazująca nam posiadaną wiedzę na temat naruszeń prawa podejmuje i tak wysokie ryzyko, którego skali oraz konsekwencji często nie jest w stanie przewidzieć. To naszym obowiązkiem jest przygotowanie takich rozwiązań, aby sygnalista czuł się na tyle pewnie i bezpiecznie i bez obaw przekazał nam informacje, które posiada.