Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Dyrektywa o ochronie sygnalistów a RODO

30/11/2021

Już niebawem tj. 17 grudnia 2021 r. zaczną obowiązywać regulacje dotyczące ochrony sygnalistów tj. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej zwana dyrektywą o ochronie sygnalistów lub też Dyrektywą).


Dyrektywa o ochronie sygnalistów bardzo lakonicznie odnosi się do kwestii ochrony danych osobowych. W motywie 83 Dyrektywy stanowi ona, że w zakresie ochrony danych osobowych ich przetwarzanie ma się odbywać zgodnie z rozporządzeniem (UE) 2016/679 tj. RODO i dyrektywą (UE) 2016/680 ze szczególnym uwzględnieniem zasad dotyczących przetwarzania danych osobowych określonych w art. 5 rozporządzenia (UE) 2016/679, art. 4 dyrektywy (UE) 2016/680 i art. 4 rozporządzenia (UE) 2018/1725. Ponadto stosownie do postanowień motywu 84 Dyrektywy państwa członkowskie powinny zapewnić skuteczność Dyrektywy, w tym w stosownych przypadkach poprzez ograniczenie – w drodze aktów prawnych – wykonywania niektórych praw do ochrony danych osobowych osób, których dotyczy zgłoszenie, zgodnie z art. 23 ust. 1 lit. e) i i) oraz art. 23 ust. 2 rozporządzenia (UE) 2016/679, w zakresie, w jakim i o ile jest to konieczne, by zapobiec i zaradzić próbom utrudniania dokonywania zgłoszeń, utrudniania, udaremniania lub spowalniania działań następczych, w szczególności postępowań wyjaśniających, lub próbom ustalenia tożsamości osób dokonujących zgłoszenia.

 

Nie ma jednak wątpliwości, że wbrew tym lapidarnym postanowieniom problematyka ochrony danych osobowych w kontekście wdrożenia i obowiązywania dyrektywy o ochronie sygnalistów jest istotnym obszarem do uregulowania przez podmioty obowiązane do stosowania dyrektywy. Podkreślić należy, że powiązania pomiędzy dyrektywą o ochronie sygnalistów a przepisami w zakresie ochrony danych osobowych, w tym RODO są wieloaspektowe i wielopłaszczyznowe.

 

Po pierwsze naruszenia ochrony prywatności i danych osobowych objęte są zakresem przedmiotowym dyrektywy i mogą stanowić przedmiot zgłoszenia. Kolejnym zagadnieniem jest przetwarzanie i ochrona danych osobowych sygnalistów. Istotna pozostaje do rozwiązania również kwestia realizacji obowiązków na gruncie RODO w związku z wdrażaniem dyrektywy o ochronie sygnalistów (tj. np. przeprowadzenie oceny skutków dla ochrony danych, uzupełnienie rejestru czynności przetwarzania, upoważnienia do przetwarzania danych, obowiązki informacyjne dla każdej z grup podmiotów które mogą pojawić się w związku ze zgłoszeniem nieprawidłowości, umowy powierzenia danych z podmiotami biorącymi udział w procesie przyjmowania, ewidencjonowania czy rozpatrywania zgłoszeń). Z uwagi na obszerność każdego z tych zagadnień będziemy zajmować się nimi szczegółowo w naszych kolejnych publikacjach, a teraz jeszcze kilka słów na temat ochrony danych osobowych w projekcie polskiej ustawy implementującej Dyrektywę.

 

Państwa członkowskie zostały zobligowane do wprowadzenia przepisów krajowych niezbędnych do wykonania postanowień Dyrektywy do 17 grudnia 2021 roku. Projekt z dnia 14 października 2021 roku ustawy o ochronie osób zgłaszających naruszenia prawa implementującej Dyrektywę pojawił się 18 października 2021 roku na stronach Rządowego Centrum Legislacyjnego. Jak wynika z informacji RCL aktualny stan prac nad polską ustawą wdrażającą dyrektywę o ochronie sygnalistów nie jest zaawansowany i zapewne nie uda się uchwalić ustawy przed wskazana datą (przypis – właśnie upłynął termin do składania opinii do projektu ustawy o ochronie osób zgłaszających naruszenia prawa (UC101)).

Zgodnie z art. 8 projektu ustawy: „1. Dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że za wyraźną zgodą zgłaszającego.

2. Pracodawca, organ publiczny lub organ centralny, po otrzymaniu zgłoszenia, może w celu weryfikacji zgłoszenia oraz podjęcia działań następczych zbierać i przetwarzać dane osobowe osoby, której dotyczy zgłoszenie, nawet bez jej zgody. Przepisu art. 14 ust. 2 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) nie stosuje się, chyba że zgłaszający działał z naruszeniem art. 6.

3. Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia są przechowywane przez pracodawcę, organ publiczny lub organ centralny nie dłużej niż przez okres 5 lat od dnia przyjęcia zgłoszenia.”

 

Jak wynika z powyższego ustawodawca zapewnił poufność przetwarzania danych sygnalisty, a zgodnie z wytycznymi Europejskiego Inspektora Ochrony Danych także zagwarantował prawo do  przetwarzania danych osobowych, osoby której dotyczy zgłoszenie, nawet bez jej zgody. Jednocześnie wyłączony został w części wtórny obowiązek informacyjny wobec osoby, której dotyczy zgłoszenie w zakresie informowania o źródle pochodzenia danych. Odnośnie okresu retencji pojawiają się głosy wskazujące na zbyt krótki okres przechowywania informacji i być może ulegnie on zmianie w toku procesu legislacji.

radca prawny Julia Kamińska-Kasjaniuk

 

Jeśli chcesz być na bieżąc informowany o naszych publikacjach dołącz do nas na Facebooku.

 

 

Datatilsynet i Norwegian Accreditation współpracują w zakresie akredytacji jednostek certyfikujących zgodnie z RODO
Datatilsynet i Norwegian Accreditation współpracują w zakresie akredytacji jednostek certyfikujących zgodnie z RODO
Zaktualizowane narzędzie do kompleksowego zarządzania przetwarzaniem i ochroną danych osobowych - Gestiona
Zaktualizowane narzędzie do kompleksowego zarządzania przetwarzaniem i ochroną danych osobowych - Gestiona
Wyniki badania dotyczącego inspektorów ochrony danych
Wyniki badania dotyczącego inspektorów ochrony danych