Gdy Inspektor Ochrony Danych (IOD) siada do przeglądu systemu zgłoszeń sygnalistów, zazwyczaj jako pierwszy widzi problem: system przyjmuje dane osobowe na dwa różne sposoby – dane sygnalisty (do ochrony) i dane osoby, której dotyczy zgłoszenie (do przetwarzania w celu wyjaśnienia). Ustawa o sygnalistach i RODO mają różne, a niekiedy sprzeczne wymagania. Jak je pogodzić?
Dwie odrębne kategorie danych w jednym zgłoszeniu
- Dane sygnalisty – imię, nazwisko, dział, stanowisko (jeśli się ujawni) lub dane pośrednio identyfikujące (adres IP, metadane pliku, unikalny opis zdarzenia wskazujący na konkretną osobę).
- Dane osoby, której dotyczy zarzut – imię, nazwisko, stanowisko, opis zachowań, a niekiedy dane wrażliwe (zdrowie, orientacja seksualna, poglądy polityczne) przy zgłoszeniach o dyskryminacji.
Podstawa prawna przetwarzania danych
- Dane sygnalisty: Podstawą jest uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) lub obowiązek prawny (art. 6 ust. 1 lit. c). Ustawa o sygnalistach kreuje ten obowiązek.
- Dane osoby, której dotyczy zarzut: Uzasadniony interes lub obowiązek prawny. Przetwarzanie musi być ograniczone do minimum niezbędnego do dochodzenia (zasada minimalizacji danych z art. 5 RODO).
- Dane wrażliwe (art. 9 RODO): Jeśli zgłoszenie zawiera dane o zdrowiu czy orientacji seksualnej osoby, administrator musi mieć szczególną podstawę – najczęściej art. 9 ust. 2 lit. b lub lit. f RODO.
Konflikt między anonimowością a prawem do informacji
RODO przyznaje osobom, których dane dotyczą, prawo do informacji (art. 13/14) i prawo dostępu (art. 15). Osoba, której dotyczy zarzut, może zapytać: Skąd macie moje dane i w jakim celu?
Tymczasem ustawa o sygnalistach nakazuje chronić tożsamość sygnalisty nawet przed tą osobą. Te dwa obowiązki są w bezpośrednim napięciu.
Rozwiązanie: art. 14 ust. 5 lit. b RODO pozwala ograniczyć obowiązek informacyjny, jeśli ujawnienie uniemożliwiałoby realizację celów przetwarzania lub naruszało tajemnicę prawnie chronioną. Ustawa o sygnalistach tworzy właśnie taką tajemnicę. Organizacja może poinformować osobę, że jej dane są przetwarzane w ramach procedury zgłoszeń, bez wskazywania, kto złożył zgłoszenie.
Praktyczne konsekwencje dla architektury systemu
- Rozdzielenie dostępu – dostęp do treści zgłoszeń powinny mieć wyłącznie wyznaczone osoby, a każdy dostęp powinien być logowany.
- Minimalizacja danych w komunikacji – w korespondencji wewnętrznej należy unikać podawania danych identyfikujących sygnalisty.
- Ograniczony czas przechowywania – 5 lat dla rejestru (wymóg ustawy); dane sygnalisty usuwane po zakończeniu dochodzenia, jeśli nie są potrzebne dowodowo.
- Szyfrowanie jako wymóg – nieszyfrowana baza danych lub skrzynka e-mail nie spełniają wymogu odpowiednich środków z RODO.
- Rejestr czynności przetwarzania (RCP) – system zgłoszeń sygnalistów musi być osobną pozycją w RCP z opisaną podstawą prawną i okresem przechowywania.
Kiedy wymagana jest ocena skutków (DPIA)?
Przetwarzanie danych w systemie sygnalistów może wymagać przeprowadzenia DPIA (art. 35 RODO) jeśli:
- przetwarzane są dane wrażliwe (art. 9) na dużą skalę,
- system obejmuje systematyczne monitorowanie zachowań pracowników,
- przetwarzane są dane dotyczące naruszeń prawa lub wyroków skazujących.
W przypadku dużych organizacji DPIA dla systemu sygnalistów jest prawie zawsze wskazana. Sygnato dostarcza dokumentację techniczną architektury systemu, która ułatwia sporządzenie takiej oceny.
Ustawa o sygnalistach i RODO nie są ze sobą sprzeczne – ale wymagają świadomego zaprojektowania systemu, który respektuje oba reżimy jednocześnie.
