Spis treści:
1. Identyfikacja celów i podstaw prawnych
3. Zapewnienie poufności danych
4. Realizacja obowiązku informacyjnego
5. Analiza skutków dla ochrony danych (DPIA)
6. Szkolenia i podnoszenie świadomości
7. Wdrożenie ustawy o sygnalistach: przegląd i aktualizacja polityk
Wdrożenie ustawy o sygnalistach wprowadza szereg nowych obowiązków dla Administratorów danych osobowych. Wiąże się to przetwarzaniem danych osobowych zawartych w zgłoszeniu naruszenia jak i danych samych sygnalistów, jeżeli zgłoszenie nie jest anonimowe. Przedsiębiorcy jako Administratorzy muszą dostosować swoje procedury i polityki ochrony danych osobowych, aby zapewnić zgodność swojej „dokumentacji RODO” z nowymi przepisami. Na co należy zwrócić szczególną uwagę? Wyjaśniamy:
Identyfikacja celów i podstaw prawnych
Administratorzy muszą jasno określić, w jakim celu zbierają i przetwarzają dane osobowe związane ze zgłoszeniami o naruszeniach prawa. Cele te powinny być zgodne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), tzn. konkretne, wyraźnie określone i uzasadnione. To pozwoli z kolei określić podstawę prawną przetwarzania, która może różnić się w zależności od celu i osoby, której dane dotyczą (np. sygnalista czy osoba dokonująca naruszenia).
Minimalizacja danych
Zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO), Administratorzy powinni ograniczyć zbierane dane osobowe do tych, które są niezbędne do realizacji celów przetwarzania. Oznacza to, że należy dokładnie przeanalizować, które dane są niezbędne do przyjęcia i przetwarzania zgłoszeń o naruszeniach prawa, a które mogą być zbędne i odzwierciedlić to w swoich procedurach zgłaszania naruszeń prawa, które wdrażają.
Zapewnienie poufności danych
Ustawa o sygnalistach nakłada na Administratorów obowiązek zapewnienia poufności danych osobowych sygnalistów. Obejmuje to ochronę tożsamości sygnalistów przed nieuprawnionym ujawnieniem. W praktyce oznacza to wdrożenie takiego systemu zgłaszania naruszeń prawa, który to zapewni. Najwyższą poufność zapewni oczywiście dopuszczenie możliwości dokonywania zgłoszeń w sposób anonimowy, z drugiej strony może to jednak powodować niemożność uzupełnienia rejestru zgłoszeń, który powinien obejmować dane niezbędne do identyfikacji sygnalisty.
Realizacja obowiązku informacyjnego
W ramach obsługi zgłoszeń Administratorzy nie mogą zapomnieć o przekazaniu stosownej klauzuli informacyjnej stanowiącej realizację obowiązku informacyjnego, o którym mowa w art. 13 lub 14 RODO. Informacja taka powinna być przekazana zarówno sygnaliście, jak i osobie, której dotyczy zgłoszenie z tym jednak wyjątkiem, że w tym drugim przypadku, aby zapewnić poufność danych sygnalisty, ustawa wyłącza obowiązek przekazania danych o źródle ich pochodzenia.
Analiza skutków dla ochrony danych (DPIA)
Jednym z kluczowych obowiązków Administratorów danych osobowych przy wdrażaniu ustawy o sygnalistach jest przeprowadzenie obowiązkowej analizy skutków dla ochrony danych (DPIA – Data Protection Impact Assessment). Obowiązek jego wykonania wynika z Komunikatu Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
Szkolenia i podnoszenie świadomości
Kluczowym elementem wdrożenia nowych przepisów jest edukacja pracowników. Administratorzy powinni przeprowadzać regularne szkolenia z zakresu ochrony danych osobowych, co powinno również objąć zasady przetwarzania danych sygnalistów. Jeżeli do tej pory system zgłaszania naruszeń prawa nie funkcjonował lub szkolenie nie obejmowało tej materii, rekomenduje się uzupełnienie wiedzy pracowników z tego zakresu, aby zapewnić, że wszyscy pracownicy są świadomi swoich obowiązków i potrafią odpowiednio reagować na zgłoszenia o naruszeniach prawa.
Wdrożenie ustawy o sygnalistach: przegląd i aktualizacja polityk
Obsługa zgłoszeń sygnalistów stanowi odrębną czynność przetwarzania danych osobowych, która powinna być ujęta w rejestrze czynności przetwarzania danych osobowych prowadzonym przez każdego Administratora. Wdrożenie ustawy o sygnalistach może wymagać zmian w istniejących politykach i procedurach wewnętrznych, w tym w szczególności z zakresu ochrony danych osobowych. Należy na bieżąco monitorować zmiany prawne i dostosowywać wewnętrzne regulacje do nowych wymogów. Uwzględnienie powyższych aspektów, na które zwróciliśmy uwagę, pomoże w prawidłowym uzupełnieniu lub dostosowaniu dokumentacji.