Spis treści

Osobom sygnalizującym nieprawidłowość w miejscu pracy zgodnie z Ustawą o ochronie sygnalistów przysługuje prawo do poufności. Pracodawca ma obowiązek chronić dane osobowe sygnalisty i nie dotyczy to tylko zgłoszeń anonimowych. Komórka odpowiedzialna za przyjmowania i weryfikację wniosków musi nie tylko dostosować się do przepisów ustawy, ale też wytycznych RODO. W jaki sposób odnoszą się one do sygnalistów? Jak należy przetwarzać dane zgłaszających, aby było to zgodne z prawem polskim i unijnym?

Ochrona danych osobowych sygnalistów – co mówi ustawa? 

Ochrona danych osobowych sygnalistów jest zapewniona na mocy przepisów z dnia 14 czerwca 2024 r. Zgodnie z art. 8 ust. 1 Ustawy o ochronie sygnalistów zarówno pracodawca, jak i osoby zajmujące się przyjmowaniem zgłoszeń nie mogą ujawniać tożsamości sygnalisty. Dotyczy to nie tylko publicznego podania do wiadomości informacji o tym, kto dokonał zgłoszenia. Dostęp do danych osobowych mogą mieć tylko osoby do tego upoważnione, zatem przekazanie ich komukolwiek innemu oznacza złamanie obowiązujących przepisów. 

Czytaj więcej: ustawa o ochronie sygnalistów przyjęta przez sejm 

Od tej zasady istnieje jeden wyjątek, przewidziany w art. 8 ust. 2. Do ujawnienia może dojść z powodu postępowania wyjaśniającego, przygotowawczego lub sądowego, w sytuacji, gdy o zgłoszeniu zostały poinformowane organy publiczne, a wspomniana czynność jest niezbędna do rozpatrzenia sprawy i obrony przed zarzutami przez osobę oskarżoną. Wtedy sygnalista zostaje pisemnie poinformowany o przyczynach takiego działania. 

RODO i sygnaliści – jak to się łączy?

Sygnalista a RODO… Jaki jest tutaj związek? Unijne Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadza wymogi dotyczące przetwarzania danych osobowych, co ma bezpośrednie zastosowanie także do sygnalistów. Zwłaszcza, że krajowe normy prawne wprowadzono po to, aby dostosować wewnętrzne prawo do regulacji wynikających z dyrektywy Parlamentu Europejskiego i Rady UE z 2019 r., w której wyraźnie podkreślono, że przetwarzanie danych osobowych sygnalisty ma się odbywać zgodnie z RODO (art. 17 ust.1). 

Administrator danych a sygnalista – RODO określa zasady przetwarzania danych

RODO nakłada na administratorów danych obowiązek przestrzegania określonych zasad, takich jak legalność, rzetelność czy minimalizacja przetwarzania danych. Wyzwaniem jest tu balansowanie między koniecznością ochrony tożsamości sygnalistów a zapewnieniem przejrzystości i sprawiedliwości w procesach dochodzeniowych. Zadbać trzeba więc o zabezpieczenia, dzięki którym dane będą chronione przed nieuprawnionym dostępem. 

  • Czas przechowywania danych 

Jak długo mają być przechowywane dane ze zgłoszenia, którego dokonał sygnalista? RODO i krajowa ustawa przewidują, że dokumenty oraz informacje o wnioskodawcy mogą być magazynowane do 3 lat od zakończenia się roku kalendarzowego, w którym zakończono działania następcze lub przekazano zgłoszenie do organów publicznych. 

  • Minimalizacja danych 

Administrator danych osobowych sygnalisty może przetwarzać tylko te informacje, które są istotne dla sprawy. Wszystkie dane, niemające wpływu na postępowanie jednostki rozpatrującej zgłoszenie powinny zostać usunięte w ciągu 14 dni od czasu, gdy uda się ustalić, że są zbędne. Wdrażanie tej zasady zwiększa poziom bezpieczeństwa sygnalistów. 

  • Informowanie sygnalistów o RODO

RODO narzuca na podmiot prawny obowiązek informowania sygnalistów i osób, których dotyczy zgłoszenie, o tym, że ich dane są przetwarzane. W takim komunikacie powinna znajdować się informacja o sposobie oraz czasie ich przechowywania, a także prawach zgłaszającego wynikających z RODO. 

Warto podkreślić, że ochrona danych wynikających z RODO i Ustawy o ochronie sygnalistów dotyczy tylko prawidłowych zgłoszeń. W przypadku bezpodstawnych oskarżeń na sygnaliście ciąży odpowiedzialność karna. Warto więc zorganizować szkolenia dla osób, które mogą być sygnalistami, aby uniknąć takiej sytuacji.