Słowniczek

Whistleblowing a RODO

Whistleblowing a RODO to zagadnienie łączące przepisy o ochronie sygnalistów (ustawa o ochronie sygnalistów, implementująca dyrektywę UE 2019/1937) z przepisami o ochronie danych osobowych. Pracodawcy zatrudniający co najmniej 50 pracowników muszą wdrożyć kanały zgłaszania naruszeń prawa, co wiąże się z przetwarzaniem danych osobowych sygnalistów, osób wskazanych w zgłoszeniu i świadków. Z perspektywy RODO wdrożenie systemu whistleblowingowego wymaga: określenia podstawy prawnej przetwarzania (obowiązek prawny — art. 6.1.c RODO), realizacji obowiązku informacyjnego (wobec sygnalisty i osoby wskazanej), ochrony tożsamości sygnalisty (poufność), ograniczenia dostępu do zgłoszeń (need-to-know), DPIA (rekomendowana), określenia retencji (dane przechowywane do 3 lat po zakończeniu postępowania) i wpisu do rejestru czynności przetwarzania. Kluczowe wyzwanie: zbalansowanie prawa osoby wskazanej do informacji z ochroną tożsamości sygnalisty.

Obowiązek prawny (art. 6.1.c RODO) — ustawa o ochronie sygnalistów nakłada na pracodawcę obowiązek wdrożenia kanału zgłoszeń i rozpatrywania zgłoszeń. Nie potrzeba zgody sygnalisty. Dla danych wrażliwych — art. 9.2.b (obowiązki z zakresu prawa pracy).

Tak, ale nie natychmiast — informacja może być opóźniona, jeśli mogłaby zagrozić celowi postępowania wyjaśniającego lub tożsamości sygnalisty. Art. 14.5.b RODO pozwala na opóźnienie, gdy informacja uniemożliwiłaby realizację celów przetwarzania.

Ograniczenie dostępu (tylko osoby prowadzące postępowanie), pseudonimizacja w dokumentacji, szyfrowanie kanału zgłoszeń, zakaz ujawniania danych sygnalisty bez jego zgody, separacja danych identyfikacyjnych od treści zgłoszenia, szkolenia personelu.

Dane ze zgłoszeń przechowywane do 3 lat po zakończeniu działań następczych (ustawa o sygnalistach). Dane anonimowe/zanonimizowane — bez ograniczeń. Po upływie okresu — obowiązkowe usunięcie. Zgłoszenia bezzasadne — usunąć niezwłocznie po stwierdzeniu bezzasadności.

Nie jest bezwzględnie wymagana, ale silnie rekomendowana — przetwarzanie dotyczy danych wrażliwych (zarzuty), jest monitoringiem zachowań i może powodować poważne konsekwencje dla osób wskazanych. Organ nadzorczy może uznać DPIA za obowiązkową.

Powiązane pojęcia

Dane biometryczne pracowników

Inspektor Ochrony Danych (IOD)

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO