Retencja danych osobowych
Podmioty przyjmujące zgłoszenia powinny pamiętać, że postępowanie z danymi zgromadzonymi w związku ze zgłoszeniem powinno być zgodne z zasadą minimalizacji danych. Przetwarzanie danych osobowych powinno odbywać się zatem w zakresie niezbędnym do weryfikacji zgłoszenia i podjęcia działań następczych. Po upływie okresu retencji zebrane dane osobowe powinny zostać usunięte, a dokumenty związane ze zgłoszeniem zniszczone. Okres retencji ulegał wielokrotnym zmianom w toku prac legislacyjnych, a wg. ostatniej wersji projektu wynosi 3 lata liczone po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Wyjątek mają stanowić dane osobowe przetwarzane przez Rzecznika Praw Obywatelskich w związku z przyjęciem zgłoszenia zewnętrznego – w tym przypadku okres retencji wynosi 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.
DPIA dla systemów whistleblowingowych
Podkreślenia wymaga, że zgodnie z komunikatem Prezesa UODO, systemy whistleblowingowe ujęte zostały w wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz ten obejmuje rodzaje przetwarzania mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powyższe oznacza, że przed rozpoczęciem przetwarzania administrator danych osobowych powinien wykonać tzw. DPIA (Data Protection Impact Assessment) w zakresie procedury obsługi zgłoszeń, zgodnie z wymogami art. 35 RODO.
Obsługa zgłoszeń sygnalistów przez IOD
Mając na uwadze, że procedura zgłoszeń wewnętrznych powinna określać m.in. jednostkę upoważnioną do przyjmowania zgłoszeń oraz podejmowania działań następczych, zwrócić należy uwagę na stanowisko UODO w sprawie możliwości powierzenia tych zadań inspektorowi ochrony danych (IOD). Wskazano w nim, że co prawda przepisy RODO dopuszczają możliwość wykonywania innych zadań i obowiązków przez IOD, jednak nie mogą one powodować powstania konfliktu interesów. Każdy podmiot powinien zatem dokonać analizy czy połączenie tych funkcji nie spowoduje niemożności pogodzenia „wykonywania zadań IOD z realizacją innych zadań”. Dokonując powyższej oceny należy wziąć pod uwagę nie tylko ryzyko wystąpienia konfliktu interesów na płaszczyźnie merytorycznej, ale również rozważyć czy obciążenie nowymi obowiązkami nie wpłynie na możliwość realizacji przez IOD jego dotychczasowych zadań. Ryzyko wystąpienia konfliktu interesów powinno być stale monitorowane. Należy ponadto pamiętać, że przepisy RODO wymagają, by IOD podlegał bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
Opóźnienia we wdrożeniu unijnej dyrektywy
W związku z brakiem terminowego wdrożenia dyrektywy o ochronie sygnalistów w styczniu 2022 r. Komisja Europejska wezwała Polskę do usunięcia uchybienia, w lipcu 2022 r. wystosowała uzasadnioną opinię, a w marcu 2023 r. wniosła przeciwko Polsce skargę. Mimo, że działania te nie doprowadziły dotychczas do przejęcia krajowej ustawy, nie należy zwlekać z przygotowaniami do wdrożenia odpowiednich procedur.
O tym jak przygotować się do ustawy o sygnalistach - https://kancelarierp.pl/jak-przygotowac-sie-do-wdrozenia-ustawy-o-sygnalistach/.