RODO a zglaszanie nieprawidlowosci: co musisz wiedziec #
Kazde zgloszenie sygnalisty zawiera dane osobowe. Zglaszajacy moze podac swoje imie i nazwisko. Zgloszenie prawdopodobnie bedzie wskazywac osobe oskarzona o nieprawidlowosci. Dzialania osoby rozpatrujacej sa rejestrowane. Wszystko to stanowi dane osobowe w rozumieniu RODO.
Tworzy to napiecie, z ktorym specjalisci ds. zgodnosci zmagaja sie na co dzien: Dyrektywa o ochronie sygnalistow (2019/1937) wymaga zbierania i przechowywania zgloszen, a RODO wymaga posiadania podstawy prawnej do tego, minimalizacji zbieranych danych i ich usuwania, gdy nie sa juz potrzebne.
Oto jak te dwa systemy prawne wspoldzialaja i co to oznacza w praktyce.
Jakie dane osobowe zawiera zgloszenie sygnalisty? #
Wiecej niz mogloby sie wydawac:
| Dane | Zrodlo | Kategoria RODO |
|---|---|---|
| Imie i nazwisko zglaszajacego (jesli podane) | Dobrowolne | Dane osobowe |
| Dane kontaktowe zglaszajacego (jesli podane) | Dobrowolne | Dane osobowe |
| Imie i nazwisko osoby oskarzonej | Tresc zgloszenia | Dane osobowe (osoba trzecia) |
| Szczegoly domniemanego naruszenia | Tresc zgloszenia | Moga obejmowac dane szczegolnej kategorii (Art. 9) |
| Przeslane pliki (dokumenty, zdjecia) | Zglaszajacy | Moga zawierac metadane (GPS, autor, znaczniki czasu) |
| Dzialania i notatki osoby rozpatrujacej | Zarzadzanie sprawa | Dane osobowe (osoba rozpatrujaca) |
| Znaczniki czasu i dziennik audytu | System | Dane osobowe |
Jesli zgloszenie opisuje molestowanie, dyskryminacje, problemy zdrowotne lub dzialalnosc przestepcza, moze zawierac dane szczegolnej kategorii zgodnie z Art. 9 RODO — co uruchamia bardziej rygorystyczne warunki przetwarzania.
Jaka jest podstawa prawna przetwarzania? #
Potrzebujesz podstawy prawnej zgodnie z Art. 6 RODO, aby przetwarzac dane osobowe w zgloszeniach sygnalistow. Najczesciej stosowane podstawy:
Art. 6 ust. 1 lit. c) — Obowiazek prawny #
To jest podstawowa podstawa. Dyrektywa UE 2019/1937 i jej krajowe transpozycje nakladaja obowiazek prawny prowadzenia kanalu zgloszeniowego. Przetwarzanie danych osobowych jest niezbedne do spelnienia tego obowiazku.
Obejmuje to:
- Przyjmowanie zgloszenia
- Bezpieczne przechowywanie
- Badanie zarzutow
- Komunikacje ze zglaszajacym
- Prowadzenie dziennika audytu
Art. 6 ust. 1 lit. f) — Prawnie uzasadniony interes #
Niektore organizacje wykorzystuja prawnie uzasadniony interes jako dodatkowa podstawe, szczegolnie w przypadku przetwarzania wykraczajacego poza minimalne wymogi Dyrektywy (np. analiza wewnetrzna, raportowanie trendow). Wymaga to przeprowadzenia oceny prawnie uzasadnionego interesu (LIA) i testu rownowagi.
Art. 6 ust. 1 lit. e) — Interes publiczny (sektor publiczny) #
Organizacje sektora publicznego moga opierac sie na podstawie interesu publicznego, szczegolnie gdy prawo krajowe wyraznie upowazniao do przetwarzania w celu ochrony sygnalistow.
A co ze zgoda? #
Nie opieraj sie na zgodzie. Nierownosc sil miedzy zglaszajacym a pracodawca oznacza, ze zgoda prawdopodobnie nie jest wyrazana dobrowolnie (motyw 43 RODO). Zglaszajacy nie moze w sposob znaczacy wyrazic zgody, gdy jego praca moze zalezec od wyniku. Zastosuj obowiazek prawny (Art. 6 ust. 1 lit. c)).
Anonimowe zgloszenia a RODO #
To pytanie, ktore specjalisci ds. zgodnosci zadaja najczesciej: jesli zgloszenie jest naprawde anonimowe, czy RODO ma zastosowanie?
Jesli zglaszajacy jest niemozliwy do zidentyfikowania: RODO nie ma do niego zastosowania #
RODO ma zastosowanie do danych osobowych dotyczacych zidentyfikowanej lub mozliwej do zidentyfikowania osoby (Art. 4 ust. 1). Jesli zglaszajacy przesyla zgloszenie bez podania imienia, adresu e-mail ani zadnych danych identyfikujacych — a system nie rejestruje ich adresu IP ani zadnego innego identyfikatora — tresc zgloszenia nie stanowi danych osobowych w odniesieniu do zglaszajacego.
Jednakze:
- Osoba oskarzona wskazana w zgloszeniu jest nadal mozliwa do zidentyfikowania. RODO ma pelne zastosowanie do jej danych.
- Jesli tresc zgloszenia zawiera szczegoly, ktore moga posrednio zidentyfikowac zglaszajacego (“jestem jedyna kobieta na trzecim pietrze”), moze to nadal stanowic dane osobowe.
Co technicznie oznacza “anonimowosc” #
Aby anonimowosc byla zgodna z wymogami RODO, narzedzie do zglaszania musi:
- Nie rejestrowac adresow IP. Jakiekolwiek rejestrowanie IP czyni zglaszajacego pseudonimowym, a nie anonimowym.
- Nie wymagac konta ani adresu e-mail. Jesli zglaszajacy sie uwierzytelnia, jest mozliwy do zidentyfikowania.
- Usuwac metadane plikow. Przeslane zdjecia i dokumenty zawieraja dane EXIF (wspolrzedne GPS, imie autora, informacje o urzadzeniu), ktore moga zidentyfikowac zglaszajacego.
- Nie uzywac analityki ani sledzacych plikow cookie na portalu zgloszeniowym.
Jesli Twoje narzedzie robi ktorakolwiek z tych rzeczy, zbierasz dane pseudonimowe, a nie anonimowe, i RODO ma pelne zastosowanie.
Minimalizacja danych (Art. 5 ust. 1 lit. c)) #
Dyrektywa wymaga kanalu zgloszeniowego. Nie wymaga zbierania wiekszej ilosci danych niz to konieczne.
W praktyce:
- Tozsamosc zglaszajacego musi byc opcjonalna. Zglaszajacy powinien moc przeslac zgloszenie bez podawania imienia i nazwiska ani danych kontaktowych.
- Formularze zgloszeniowe powinny zbierac tylko niezbedne dane. Opis naruszenia, kategoria i opcjonalne pliki pomocnicze. Nie wymagaj dzialu, numeru pracownika ani innych identyfikatorow, chyba ze zglaszajacy zdecyduje sie je podac.
- Notatki osoby rozpatrujacej powinny byc zwiazane z dochodzeniem. Nie rejestruj zbednych danych osobowych zglaszajacego ani osoby oskarzonej.
Prawa osoby oskarzonej #
To jest miejsce, w ktorym robi sie skomplikowanie. Osoba oskarzona w zgloszeniu sygnalisty ma prawa wynikajace z RODO — w tym prawo do informacji (Art. 14), prawo dostepu (Art. 15) i prawo do usuniecia danych (Art. 17).
Ale korzystanie z tych praw nie moze naruszyc poufnosci zglaszajacego (Art. 16 Dyrektywy).
Prawo do informacji (Art. 14) #
Zgodnie z RODO musisz informowac osoby o przetwarzaniu ich danych. Jednak Art. 16 ust. 1 Dyrektywy wymaga ochrony tozsamosci zglaszajacego. Rozwiazanie:
- Mozesz poinformowac osobe oskarzona o zlozeniu zgloszenia — ale tylko wtedy, gdy nie stwarza to ryzyka zidentyfikowania zglaszajacego.
- Czas ma znaczenie. Wiele panstw czlonkowskich zezwala na opoznienie powiadomienia do momentu, w ktorym nie zagrozioby to dochodzeniu. Niemiecki HinSchG wyraznie ogranicza ujawnianie informacji w okresie dochodzenia.
- Krajowe organy ochrony danych generalnie akceptuja, ze wymogi poufnosci Dyrektywy maja pierwszenstwo przed natychmiastowym obowiazkiem powiadomienia.
Prawo dostepu (Art. 15) #
Osoba oskarzona moze zlozyc wniosek o dostep do danych przechowywanych na jej temat. Musisz je udostepnic — ale musisz zanonimizowac wszelkie informacje, ktore moglyby zidentyfikowac zglaszajacego. Obejmuje to imie i nazwisko zglaszajacego, ale takze szczegoly kontekstowe, ktore moglyby go posrednio ujawnic.
Prawo do usuniecia danych (Art. 17) #
Osoba oskarzona nie moze zadac usuniecia zgloszenia bedacego czescia trwajacego dochodzenia lub ktore musi byc przechowywane na podstawie obowiazkow prawnych. Art. 17 ust. 3 lit. b) i e) RODO przewiduja wyjatki dla obowiazkow prawnych i roszczen prawnych.
Okresy przechowywania #
Dyrektywa (Art. 18) wymaga prowadzenia rejestru zgloszen. RODO (Art. 5 ust. 1 lit. e)) wymaga nieprzechowywania danych osobowych dluzej niz jest to konieczne.
Jak dlugo nalezy przechowywac zgloszenia? #
Dyrektywa nie okresla konkretnego okresu przechowywania. Krajowe transpozycje roznia sie:
| Kraj | Okres przechowywania | Zrodlo |
|---|---|---|
| Francja | 5 lat po zamknieciu sprawy | Decree 2022-1284 |
| Wlochy | 5 lat od daty zgloszenia | D.Lgs. 24/2023 |
| Niemcy | 3 lata po zamknieciu sprawy (chyba ze trwaja postepowania) | HinSchG §11 |
| Hiszpania | Nieokreslony (obowiazuje ogolna minimalizacja RODO) | Law 2/2023 |
Najlepsza praktyka #
- Ustaw konfigurowalny okres przechowywania (np. 12, 24, 36 lub 60 miesiecy po zamknieciu sprawy).
- Automatycznie usuwaj zamkniete sprawy po uplywie okresu przechowywania.
- Umozliw reczne usuwanie przez administratorow w przypadkach, gdy przechowywanie nie jest juz konieczne.
- Udokumentuj swoja polityke przechowywania i badz przygotowany na jej uzasadnienie przed regulatorem.
Miedzynarodowe transfery danych #
Dane sygnalistow musza pozostac w UE, chyba ze posiadasz wazny mechanizm transferu zgodnie z rozdzialem V RODO.
Ma to znaczenie przy wyborze narzedzia do zglaszania:
- Platformy hostowane w UE (dane przechowywane w Niemczech, Francji, Holandii itp.): brak problemu z transferem.
- Platformy hostowane w USA lub platformy korzystajace z amerykanskich dostawcow chmury (AWS US, Azure US, Google Cloud US): wymagaja oparcia na Standardowych klauzulach umownych (SCC) lub na ramach prywatnosci danych UE-USA — oba te mechanizmy zostaly prawnie zakwestionowane.
Najprostsza droga: wybierz platforme, ktora hostuje wszystkie dane w UE. To eliminuje kwestie transferu calkowicie.
Ocena skutkow dla ochrony danych (DPIA) #
Art. 35 RODO wymaga przeprowadzenia DPIA, gdy przetwarzanie “moze powodowac wysokie ryzyko naruszenia praw i wolnosci osob fizycznych”.
Zglaszanie nieprawidlowosci prawdopodobnie kwalifikuje sie, poniewaz:
- Obejmuje powazne zarzuty wobec zidentyfikowanych osob
- Zgloszenia moga zawierac dane szczegolnej kategorii (Art. 9)
- Istnieje nieodlaczna nierownosc sil miedzy zglaszajacym a organizacja
- Naruszenie poufnosci moze prowadzic do dzialan odwetowych
Wiekszosc organow ochrony danych zaleca przeprowadzenie DPIA przed wdrozeniem systemu zglaszania nieprawidlowosci.
Czego wymaga Twoje narzedzie do zglaszania #
Na podstawie powyzszych wymagan RODO, oprogramowanie do zglaszania nieprawidlowosci powinno:
| Wymog | Dlaczego |
|---|---|
| Opcjonalna tozsamosc zglaszajacego | Minimalizacja danych (Art. 5 ust. 1 lit. c)) |
| Brak rejestrowania IP | Zachowanie anonimowosci, unikniecie tworzenia danych pseudonimowych |
| Usuwanie metadanych plikow | Zapobieganie przypadkowej identyfikacji przez dane EXIF/GPS |
| Szyfrowanie w spoczynku | Integralnosc i poufnosc (Art. 5 ust. 1 lit. f)) |
| Konfigurowalne okresy przechowywania | Ograniczenie przechowywania (Art. 5 ust. 1 lit. e)) |
| Automatyczne usuwanie wygaslych spraw | Egzekwowanie ograniczenia przechowywania |
| Kontrola dostepu oparta na rolach | Poufnosc (Art. 16 Dyrektywy) |
| Niezmienny dziennik audytu | Rozliczalnosc (Art. 5 ust. 2) |
| Hosting danych w UE | Unikniecie komplikacji zwiazanych z miedzynarodowym transferem (rozdzial V) |
| Informacja o ochronie prywatnosci w formularzu zgloszeniowym | Przejrzystosc (Art. 13/14) |
Jak EthicsPortal radzi sobie z RODO #
EthicsPortal zostal zaprojektowany z uwzglednieniem zarowno Dyrektywy, jak i RODO jako ograniczen od samego poczatku:
- Podstawa prawna: Przetwarzanie opiera sie na obowiazku prawnym (Art. 6 ust. 1 lit. c)) — zgodnosc z Dyrektywa UE 2019/1937.
- Anonimowosc domyslnie: Brak rejestrowania IP, brak kont, brak sledzenia. Metadane plikow (EXIF, GPS, autor) usuwane automatycznie.
- Minimalizacja danych: Imie i nazwisko oraz dane kontaktowe zglaszajacego sa polami opcjonalnymi. Zbierane sa tylko niezbedne dane.
- Szyfrowanie w spoczynku: Wszystkie opisy zgloszen, imiona i nazwiska, dane kontaktowe oraz wiadomosci zaszyfrowane w bazie danych.
- Konfigurowalne przechowywanie: Organizacje ustalaja wlasny okres przechowywania (12, 24, 36 lub 60 miesiecy). Wygasle zamkniete sprawy sa usuwane automatycznie.
- Hosting w UE: Wszystkie dane przechowywane na serwerach Hetzner w Norymberdze, Niemcy. Zadne dane nie opuszczaja UE. Brak amerykanskich dostawcow chmury.
- Kontrola dostepu: Tylko administratorzy i wyznaczone osoby rozpatrujace moga przegladac zgloszenia. Imiona osob rozpatrujacych nigdy nie sa ujawniane zglaszajacym.
- Dziennik audytu: Niezmienny rejestr kazdego dzialania na potrzeby rozliczalnosci i kontroli regulacyjnej.
- Umowa powierzenia przetwarzania danych: Umowa zgodna z Art. 28 RODO dostepna dla wszystkich klientow — Umowa powierzenia przetwarzania danych.
Szczegolowa analize zgodnosci artykul po artykule znajdziesz na naszej stronie zgodnosci.