Sygnaliści RODO to temat, który od 25 września 2024 roku dotyczy każdej organizacji zatrudniającej co najmniej 50 osób. Od tego dnia każda organizacja zatrudniająca co najmniej 50 osób jest zobowiązana do wdrożenia wewnętrznej procedury zgłaszania naruszeń prawa. Od 25 grudnia 2024 roku działają również zewnętrzne kanały zgłoszeń do Rzecznika Praw Obywatelskich.

Wdrożenie systemu zgłoszeń to jednak nie tylko kwestia organizacyjna — to również obszar, w którym RODO stosuje się ze szczególną intensywnością. Dane osobowe sygnalisty, osoby wskazanej w zgłoszeniu jako sprawca naruszenia, świadków i osób powiązanych wymagają ścisłej ochrony. Błędy w tym obszarze mogą być jednocześnie naruszeniem ustawy o sygnalistach i naruszeniem RODO.

W tym artykule wyjaśniamy:

• jakie dane osobowe przetwarza się w ramach systemu zgłoszeń,
• jakie obowiązki z zakresu RODO nakłada ustawa o sygnalistach,
• jak chronić tożsamość sygnalisty zgodnie z przepisami,
• co uwzględnić w dokumentacji RODO po wdrożeniu procedury zgłoszeń.

Sygnaliści RODO — kogo dotyczy ustawa

Obowiązek wdrożenia wewnętrznej procedury zgłoszeń dotyczy podmiotów prawnych, na rzecz których według stanu na 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Próg ten obejmuje zarówno pracowników etatowych, jak i osoby współpracujące na podstawie umów cywilnoprawnych.

Wyjątek stanowią jednostki organizacyjne gmin lub powiatów liczące mniej niż 10 000 mieszkańców — te są zwolnione z obowiązku niezależnie od liczby zatrudnionych.

Naruszenia, które mogą być przedmiotem zgłoszenia, dotyczą szerokiego katalogu dziedzin prawa — w tym wprost ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych. Oznacza to, że system zgłoszeń może być narzędziem do raportowania naruszeń RODO wewnątrz organizacji.

Jakie dane osobowe są przetwarzane w systemie zgłoszeń

Przyjmowanie i obsługa zgłoszeń wiąże się z przetwarzaniem danych osobowych kilku kategorii osób:

Sygnalista — osoba dokonująca zgłoszenia. Jej tożsamość objęta jest szczególną ochroną. Ustawa dopuszcza przyjmowanie zgłoszeń anonimowych, choć nie nakłada takiego obowiązku — organizacja samodzielnie decyduje, czy anonimowość jest obsługiwana.

Osoba, której dotyczy zgłoszenie — czyli osoba wskazana jako sprawca naruszenia. Jej dane są przetwarzane w toku postępowania wyjaśniającego.

Osoby trzecie — świadkowie, pokrzywdzeni i inne osoby wymienione w zgłoszeniu, których dane mogą pojawić się w dokumentacji.

Ustawa wprost stanowi, że organizacja przetwarza dane osobowe wyłącznie w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia działań następczych. Dane nieistotne dla sprawy nie są zbierane, a zebrane przypadkowo — usuwane w terminie 14 dni od ustalenia ich irrelewantności. To bezpośrednie zastosowanie zasady minimalizacji danych z art. 5 RODO.

Obowiązek poufności tożsamości sygnalisty

To jeden z centralnych wymogów, w którym ustawa o sygnalistach i RODO spotykają się najsilniej. Organizacja jest zobowiązana zagwarantować, że procedura zgłoszeń wewnętrznych uniemożliwia nieupoważnionym osobom dostęp do informacji objętych zgłoszeniem i zapewnia ochronę poufności tożsamości sygnalisty, osoby wskazanej w zgłoszeniu oraz osób trzecich.

Ochrona poufności obejmuje nie tylko imię i nazwisko, ale wszelkie dane, na podstawie których można pośrednio zidentyfikować sygnalistę — takie jak stanowisko, dział, miejsce pracy czy specyfika opisywanego zdarzenia.

Do przyjmowania, weryfikacji zgłoszeń i przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Osoby te są obowiązane do zachowania tajemnicy nawet po zakończeniu stosunku pracy.

Ujawnienie tożsamości sygnalisty bez podstawy prawnej może stanowić jednocześnie naruszenie ustawy o sygnalistach i naruszenie ochrony danych osobowych wymagające zgłoszenia do UODO.

Obowiązki informacyjne RODO wobec uczestników procesu zgłoszeń

Administrator danych — czyli organizacja prowadząca system zgłoszeń — ma obowiązek spełnienia obowiązku informacyjnego wobec trzech grup osób:

Sygnalisty — na podstawie art. 13 RODO, czyli przed lub w momencie zebrania danych. W praktyce realizuje się to przez zamieszczenie klauzuli informacyjnej w procedurze zgłoszeń wewnętrznych lub w formularzu zgłoszeniowym.

Osoby, której dotyczy zgłoszenie — na podstawie art. 14 RODO, czyli gdy dane zostały zebrane nie bezpośrednio od tej osoby. Ustawa wprowadza jednak istotny wyjątek: nie stosuje się obowiązku informowania o źródle pozyskania danych (art. 14 ust. 2 lit. f RODO), jeśli mogłoby to ujawnić tożsamość sygnalisty. To celowe wyłączenie chroniące poufność systemu zgłoszeń.

Osób trzecich — świadków i innych osób wymienionych w zgłoszeniu, wobec których również stosuje się art. 14 RODO z analogicznym wyłączeniem dotyczącym źródła.

Rejestr zgłoszeń jako obowiązek administratora danych

Ustawa nakłada obowiązek prowadzenia rejestru zgłoszeń wewnętrznych. Wprost wskazuje przy tym, że podmiot prowadzący taki rejestr jest administratorem danych osobowych w nim zgromadzonych.

Rejestr zgłoszeń powinien zawierać m.in.: numer zgłoszenia, datę dokonania zgłoszenia, opis przedmiotu zgłoszenia, informacje o podjętych działaniach następczych oraz datę zamknięcia sprawy.

Z perspektywy RODO rejestr zgłoszeń to odrębna czynność przetwarzania, która powinna znaleźć się w rejestrze czynności przetwarzania z określoną podstawą prawną, celem, kategoriami danych i okresem retencji.

Podstawa prawna przetwarzania danych w systemie zgłoszeń

Przetwarzanie danych osobowych w ramach procedury zgłoszeń wewnętrznych opiera się przede wszystkim na art. 6 ust. 1 lit. c RODO — wypełnienie obowiązku prawnego — ponieważ prowadzenie systemu zgłoszeń jest obowiązkiem nałożonym przez ustawę.

W przypadku danych szczególnych kategorii (np. danych dotyczących zdrowia, przynależności związkowej), które mogą pojawić się w treści zgłoszenia, zastosowanie ma art. 9 ust. 2 lit. b RODO — przetwarzanie niezbędne do wypełnienia obowiązków w dziedzinie prawa pracy.

Warto pamiętać, że podstawy prawne przetwarzania powinny być jasno wskazane w klauzulach informacyjnych przekazywanych uczestnikom procesu.

Co należy zaktualizować w dokumentacji RODO

Wdrożenie systemu zgłoszeń sygnalistów wymaga przeglądu i aktualizacji dokumentacji RODO w organizacji. W praktyce oznacza to:

Rejestr czynności przetwarzania — dodanie nowej czynności: „Obsługa zgłoszeń sygnalistów” z określoną podstawą prawną, celami, kategoriami danych, odbiorcami i okresem retencji.

Analiza ryzyka — system zgłoszeń przetwarza dane potencjalnie wrażliwe i objęte szczególną ochroną, co wymaga przeprowadzenia analizy ryzyka, a w uzasadnionych przypadkach — pełnej DPIA.

Upoważnienia — wyłącznie osoby z pisemnym upoważnieniem mogą mieć dostęp do zgłoszeń i danych osobowych w nich zawartych. Lista upoważnionych powinna być prowadzona i aktualizowana.

Umowy powierzenia — jeśli obsługa systemu zgłoszeń jest outsourcowana do zewnętrznego dostawcy (np. platformy do przyjmowania zgłoszeń), konieczna jest umowa powierzenia przetwarzania danych.

Polityka retencji — dane ze zgłoszeń przechowuje się przez 3 lata po zakończeniu roku kalendarzowego, w którym podjęto działania następcze, lub przez dłuższy okres wymagany przez odrębne przepisy.

Rola IOD w systemie zgłoszeń — ważna uwaga

Prezes UODO zwrócił uwagę na ryzyko konfliktu interesów, gdy Inspektor Ochrony Danych zostaje bezpośrednio włączony w procedowanie zgłoszeń sygnalistów. Zgłoszenia mogą dotyczyć naruszeń RODO — czyli materii, którą IOD ocenia w ramach swoich ustawowych zadań. W takiej sytuacji trudno mówić o pełnej bezstronności IOD.

Rekomendowane podejście: IOD pełni rolę doradczą i nadzorczą wobec systemu zgłoszeń, ale nie powinien być osobą przyjmującą ani procedującą zgłoszenia.

Podsumowanie

Ustawa o sygnalistach i RODO wzajemnie się uzupełniają i nakładają na administratorów zbieżne obowiązki w zakresie ochrony danych. Wdrożenie procedury zgłoszeń wewnętrznych bez aktualizacji dokumentacji RODO jest wdrożeniem niekompletnym.

Kluczowe zasady:

• tożsamość sygnalisty objęta jest szczególną ochroną — jej ujawnienie może być jednocześnie naruszeniem ustawy i naruszeniem RODO,
• dostęp do danych ze zgłoszeń mają wyłącznie osoby z pisemnym upoważnieniem,
• obowiązek informacyjny RODO dotyczy sygnalisty, osoby wskazanej w zgłoszeniu i osób trzecich,
• rejestr zgłoszeń to odrębna czynność przetwarzania wymagająca wpisu do RCP,
• IOD nie powinien procedować zgłoszeń — pełni rolę nadzorczą, nie wykonawczą.

Jeśli Twoja organizacja wdrożyła system zgłoszeń, sprawdź czy dokumentacja RODO — rejestr czynności, analiza ryzyka, upoważnienia i umowy powierzenia — została odpowiednio zaktualizowana.