Sygnaliści a RODO — ochrona danych osobowych w systemie zgłaszania nieprawidłowości

Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów, która weszła w życie 25 września 2024 r., nałożyła na firmy zatrudniające powyżej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłaszania naruszeń prawa. Od 25 grudnia 2024 r. funkcjonują również kanały zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich i organów publicznych.

Wdrożenie systemu whistleblowingowego wiąże się z intensywnym przetwarzaniem danych osobowych — danych sygnalisty, osoby, której dotyczy zgłoszenie, świadków i osób pomagających w dokonaniu zgłoszenia. Dane te są często szczególnie wrażliwe i wymagają podwyższonego poziomu ochrony.

W tym artykule wyjaśniam, jak przetwarzać dane osobowe w systemie sygnalistów zgodnie z RODO i ustawą o ochronie sygnalistów — od podstaw prawnych, przez poufność i retencję, po DPIA i prawa osób.

Ustawa o ochronie sygnalistów — najważniejsze informacje

Ustawa implementuje dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 i wprowadza trzy kanały zgłaszania naruszeń prawa:

Zgłoszenia wewnętrzne — do pracodawcy (podmiotu prawnego). Obowiązek wdrożenia procedury zgłoszeń wewnętrznych dotyczy podmiotów zatrudniających co najmniej 50 osób. Podmioty publiczne — niezależnie od liczby zatrudnionych (z wyjątkiem gmin i powiatów poniżej 10 tys. mieszkańców).

Zgłoszenia zewnętrzne — do Rzecznika Praw Obywatelskich lub właściwego organu publicznego. Funkcjonują od 25 grudnia 2024 r.

Ujawnienie publiczne — jako ostateczność, jeśli kanały wewnętrzne i zewnętrzne zawiodły lub istnieje bezpośrednie zagrożenie dla interesu publicznego.

Sygnalista podlega ochronie przed działaniami odwetowymi od momentu dokonania zgłoszenia, pod warunkiem że miał uzasadnione podstawy sądzić, że zgłaszane informacje są prawdziwe.

Jakie dane osobowe są przetwarzane w systemie sygnalistów?

System zgłaszania nieprawidłowości generuje przetwarzanie wielu kategorii danych osobowych:

Dane sygnalisty — imię, nazwisko, stanowisko, dane kontaktowe, relacja z organizacją (pracownik, współpracownik, dostawca). Te dane podlegają szczególnej ochronie — poufność tożsamości sygnalisty jest fundamentalną zasadą ustawy.

Dane osoby, której dotyczy zgłoszenie — imię, nazwisko, stanowisko, opis zarzucanych działań. Ta osoba ma prawa wynikające z RODO, ale ich realizacja jest ograniczona ze względu na ochronę sygnalisty i integralność postępowania.

Dane świadków i osób pomagających — osoby wskazane w zgłoszeniu lub uczestniczące w postępowaniu wyjaśniającym.

Treść zgłoszenia — opis naruszenia, który może zawierać dane osobowe wielu osób (klientów, pracowników, kontrahentów).

Dane z postępowania wyjaśniającego — protokoły przesłuchań, dokumenty, korespondencja, dowody.

Podstawy prawne przetwarzania danych sygnalistów

Ustawa o ochronie sygnalistów stanowi samoistną podstawę prawną do przetwarzania danych osobowych w związku z obsługą zgłoszeń. Art. 8 ust. 4 ustawy stanowi, że podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego.

W kontekście RODO podstawy prawne kształtują się następująco:

Art. 6 ust. 1 lit. c RODO (obowiązek prawny) — przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązek ten wynika z ustawy o ochronie sygnalistów — podmioty zatrudniające powyżej 50 osób muszą przyjmować zgłoszenia i prowadzić postępowania wyjaśniające.

Art. 6 ust. 1 lit. f RODO (uzasadniony interes) — jako podstawa uzupełniająca, np. do przetwarzania danych w celu obrony przed roszczeniami wynikającymi ze zgłoszenia.

Art. 9 ust. 2 lit. b RODO — jeśli zgłoszenie zawiera dane szczególnych kategorii (np. dane o zdrowiu, orientacji seksualnej, przynależności związkowej) — przetwarzanie jest niezbędne do wypełnienia obowiązków z zakresu prawa pracy i zabezpieczenia społecznego.

Art. 9 ust. 2 lit. f RODO — przetwarzanie danych szczególnych jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Poufność tożsamości sygnalisty — fundamentalna zasada

Art. 8 ustawy o ochronie sygnalistów nakłada obowiązek zachowania poufności tożsamości sygnalisty. Dane pozwalające na ustalenie tożsamości sygnalisty nie mogą być ujawnione osobom nieuprawnionym.

Co to oznacza w praktyce:

Dostęp do danych sygnalisty powinien być ograniczony do minimum — tylko osoby prowadzące postępowanie wyjaśniające.

System zgłoszeniowy musi zapewniać techniczną ochronę poufności — np. szyfrowanie zgłoszeń, oddzielna baza danych, kontrola dostępu.

Tożsamość sygnalisty może być ujawniona wyłącznie za jego wyraźną zgodą lub w przypadkach określonych ustawą (np. na żądanie sądu lub prokuratury w toku postępowania karnego).

Naruszenie poufności tożsamości sygnalisty jest sankcjonowane karnie — ustawa przewiduje karę grzywny, ograniczenia wolności lub pozbawienia wolności do roku.

Poufność a anonimowość: Ustawa odróżnia zgłoszenia poufne (tożsamość znana, ale chroniona) od zgłoszeń anonimowych (tożsamość nieznana). Podmioty mogą, ale nie muszą, przyjmować zgłoszenia anonimowe. Jeśli zdecydują się je przyjmować — muszą to określić w procedurze zgłoszeń wewnętrznych.

Prawa osób, których dane dotyczą — szczególne ograniczenia

W systemie sygnalistów standardowe prawa z RODO podlegają istotnym ograniczeniom:

Osoba, której dotyczy zgłoszenie — ma prawo do informacji o przetwarzaniu danych, ale prawo to jest ograniczone w zakresie, w jakim mogłoby zagrozić poufności tożsamości sygnalisty lub integralności postępowania wyjaśniającego. Art. 14 ust. 5 lit. d RODO pozwala na odroczenie obowiązku informacyjnego, jeśli ujawnienie informacji mogłoby uniemożliwić lub poważnie utrudnić realizację celów przetwarzania.

W praktyce oznacza to, że osoba, której dotyczy zgłoszenie, nie musi być natychmiast poinformowana o fakcie zgłoszenia — informację można odroczyć do czasu zakończenia wstępnej oceny lub postępowania wyjaśniającego, jeśli wcześniejsze poinformowanie mogłoby prowadzić do zatarcia dowodów lub zastraszenia sygnalisty.

Prawo dostępu (art. 15 RODO) — osoba, której dotyczy zgłoszenie, może żądać dostępu do swoich danych, ale administrator może ograniczyć ten dostęp w zakresie, w jakim ujawniłby tożsamość sygnalisty lub treść zgłoszenia mogłaby zagrozić postępowaniu.

Prawo do usunięcia (art. 17 RODO) — ograniczone. Administrator nie może usunąć danych z postępowania wyjaśniającego przed upływem ustawowego okresu retencji.

Prawo do sprostowania (art. 16 RODO) — osoba, której dotyczy zgłoszenie, może żądać sprostowania nieprawidłowych danych. To prawo nie jest ograniczone — sprostowanie błędnych informacji służy interesom obu stron.

Retencja danych — ile przechowywać zgłoszenia?

Art. 8 ust. 2 ustawy o ochronie sygnalistów określa okres przechowywania danych:

Dane w rejestrze zgłoszeń wewnętrznych — przechowywane przez 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

Po upływie tego okresu dane muszą zostać usunięte, chyba że są niezbędne do dochodzenia lub obrony roszczeń.

Dane osobowe nieprzydatne — dane, które nie mają znaczenia dla rozpatrzenia zgłoszenia, powinny zostać niezwłocznie usunięte. Jeśli zgłoszenie zawiera nadmiarowe dane osobowe osób trzecich niezwiązanych ze sprawą, należy je usunąć jak najszybciej.

W praktyce administrator powinien ustalić w procedurze zgłoszeń wewnętrznych jasne zasady retencji i wdrożyć mechanizm regularnego przeglądu i usuwania danych.

Procedura zgłoszeń wewnętrznych — elementy RODO

Procedura zgłoszeń wewnętrznych, której wdrożenie jest obowiązkowe, musi uwzględniać aspekty RODO:

Klauzula informacyjna — osoby potencjalnie dokonujące zgłoszeń muszą być poinformowane o przetwarzaniu danych osobowych. Klauzula powinna być dostępna np. w procedurze zgłoszeń wewnętrznych, na stronie intranetowej, przy kanale zgłoszeniowym.

Klauzula informacyjna powinna obejmować: tożsamość administratora, dane kontaktowe IOD, cele i podstawy prawne przetwarzania (ustawa o ochronie sygnalistów jako obowiązek prawny), kategorie odbiorców (osoby prowadzące postępowanie, w określonych przypadkach organy ścigania), okres retencji (3 lata po zakończeniu roku kalendarzowego), prawa osób (z informacją o ograniczeniach wynikających z ustawy).

Rejestr zgłoszeń wewnętrznych — ustawa wymaga prowadzenia rejestru zgłoszeń zawierającego dane osobowe. Rejestr ten musi być odpowiednio zabezpieczony — ograniczony dostęp, szyfrowanie, logowanie operacji.

Upoważnienia do przetwarzania danych — osoby obsługujące zgłoszenia muszą posiadać formalne upoważnienie do przetwarzania danych osobowych oraz być zobowiązane do zachowania poufności.

Wyznaczenie podmiotu wewnętrznego lub zewnętrznego — ustawa wymaga wyznaczenia osoby lub komórki organizacyjnej odpowiedzialnej za obsługę zgłoszeń. Jeśli obsługę zlecono podmiotowi zewnętrznemu — konieczna jest umowa powierzenia przetwarzania danych (art. 28 RODO).

DPIA dla systemu sygnalistów

Wdrożenie systemu sygnalistów w wielu przypadkach wymaga DPIA. Przesłanki:

Przetwarzanie danych o charakterze wysoce osobistym — zgłoszenia mogą zawierać informacje o naruszeniach prawa, korupcji, mobbingu, dyskryminacji, molestowaniu — dane szczególnie wrażliwe.

Dane dotyczące osób wymagających szczególnej ochrony — sygnalista jest osobą w relacji zależności od organizacji (pracownik), co zwiększa ryzyko.

Potencjalne konsekwencje dla osób — zarówno dla sygnalisty (ryzyko działań odwetowych), jak i dla osoby, której dotyczy zgłoszenie (ryzyko konsekwencji zawodowych, prawnych, reputacyjnych).

Nowe rozwiązanie technologiczne — jeśli wdrażasz dedykowaną platformę do obsługi zgłoszeń.

EDPB i UODO rekomendują przeprowadzenie DPIA przed uruchomieniem kanału zgłoszeniowego.

Bezpieczeństwo danych w systemie sygnalistów

Ze względu na wrażliwość danych, system zgłoszeniowy musi zapewniać podwyższony poziom bezpieczeństwa:

Szyfrowanie — treść zgłoszeń musi być szyfrowana zarówno w spoczynku (baza danych), jak i w transmisji (formularz zgłoszeniowy, e-mail).

Kontrola dostępu — dostęp do zgłoszeń i danych sygnalistów ograniczony wyłącznie do osób prowadzących postępowanie. System uprawnień musi być szczególnie restrykcyjny.

Separacja danych — dane sygnalisty (tożsamość) powinny być oddzielone od treści zgłoszenia — tak, aby osoby analizujące zgłoszenie mogły ocenić sprawę bez poznania tożsamości sygnalisty (jeśli to możliwe).

Logowanie dostępu — rejestrowanie, kto i kiedy miał dostęp do danych zgłoszenia. Kluczowe dla rozliczalności i wykrywania naruszeń poufności.

Bezpieczny kanał zgłoszeniowy — jeśli zgłoszenia przyjmujesz online, formularz musi być zabezpieczony (HTTPS, szyfrowanie end-to-end). Unikaj przyjmowania zgłoszeń na zwykły firmowy e-mail — brak kontroli dostępu i szyfrowania.

Kopie zapasowe — szyfrowane, z ograniczonym dostępem.

Fizyczne bezpieczeństwo — dokumenty papierowe (jeśli zgłoszenia są ustne lub pisemne) przechowywane w zamkniętej szafie z ograniczonym dostępem.

Platforma do obsługi zgłoszeń — na co zwrócić uwagę

Wiele firm korzysta z dedykowanych platform do obsługi zgłoszeń sygnalistów. Przy wyborze platformy zwróć uwagę na:

Lokalizacja danych — czy dane są przechowywane w EOG? Jeśli poza — konieczna analiza transferu (SCC, TIA).

Szyfrowanie — czy platforma zapewnia szyfrowanie end-to-end?

Kontrola dostępu — czy możesz definiować role i uprawnienia?

Anonimowość — czy platforma umożliwia anonimowe zgłoszenia (jeśli organizacja zdecydowała się je przyjmować)?

Umowa powierzenia — dostawca platformy jest procesorem i musi mieć umowę powierzenia (art. 28 RODO).

Certyfikaty — czy dostawca posiada ISO 27001 lub inne certyfikaty bezpieczeństwa?

Retencja — czy platforma umożliwia automatyczne usuwanie danych po upływie okresu retencji?

Logowanie — czy platforma rejestruje, kto miał dostęp do zgłoszeń?

Zgłoszenia anonimowe a RODO

Jeśli organizacja zdecydowała się przyjmować zgłoszenia anonimowe, sytuacja RODO jest specyficzna:

Dane anonimowe — jeśli zgłoszenie jest rzeczywiście anonimowe (nie można zidentyfikować sygnalisty), same dane sygnalisty nie podlegają RODO (bo nie są danymi osobowymi).

Ale treść zgłoszenia może zawierać dane osobowe — osób, których dotyczy zgłoszenie, świadków, poszkodowanych. Te dane podlegają RODO.

Ryzyko deanonimizacji — nawet jeśli sygnalista nie podaje swojego imienia, treść zgłoszenia może pozwolić na jego identyfikację (np. „jestem jedyną osobą pracującą w dziale X, która miała dostęp do dokumentu Y”). Administrator musi to uwzględnić.

Sygnaliści a IOD

Inspektor Ochrony Danych Osobowych (IOD) powinien być zaangażowany w proces wdrażania i funkcjonowania systemu sygnalistów:

Konsultacja procedury zgłoszeń wewnętrznych — IOD powinien opiniować procedurę pod kątem RODO.

DPIA — IOD powinien być konsultowany przy przeprowadzaniu DPIA dla systemu zgłoszeniowego.

Monitoring — IOD powinien nadzorować, czy przetwarzanie danych w systemie sygnalistów odbywa się zgodnie z RODO.

Szkolenia — IOD powinien szkolić osoby obsługujące zgłoszenia z zakresu ochrony danych.

Ważne: IOD nie powinien być osobą obsługującą zgłoszenia — mogłoby to prowadzić do konfliktu interesów (IOD bada naruszenia RODO, a jednocześnie zgłoszenie może dotyczyć naruszenia RODO w organizacji).

Najczęstsze błędy RODO przy wdrożeniu systemu sygnalistów

Brak klauzuli informacyjnej — procedura zgłoszeń wewnętrznych nie zawiera informacji o przetwarzaniu danych osobowych.

Brak umowy powierzenia z dostawcą platformy — firma korzysta z zewnętrznej platformy bez formalizacji relacji procesorskiej.

Zbyt szeroki dostęp do zgłoszeń — zgłoszenia dostępne dla zbyt wielu osób w organizacji (np. cały dział HR zamiast wyznaczonej osoby).

Brak szyfrowania — zgłoszenia przechowywane w zwykłym folderze na dysku sieciowym lub w skrzynce e-mail bez szyfrowania.

Brak retencji — zgłoszenia przechowywane w nieskończoność, bez procedury usuwania po 3 latach.

Natychmiastowe informowanie osoby, której dotyczy zgłoszenie — ujawnienie tożsamości sygnalisty lub treści zgłoszenia przed oceną sprawy.

Brak DPIA — wdrożenie systemu bez przeprowadzenia oceny skutków.

Brak upoważnień — osoby obsługujące zgłoszenia bez formalnego upoważnienia do przetwarzania danych i bez zobowiązania do poufności.

Przyjmowanie zgłoszeń na zwykły e-mail — brak kontroli dostępu, szyfrowania i separacji danych.

Nieuwzględnienie sygnalistów w RCP — proces obsługi zgłoszeń nie jest ujęty w Rejestrze Czynności Przetwarzania.

Checklist — sygnaliści i RODO

1. Wdróż procedurę zgłoszeń wewnętrznych — z uwzględnieniem elementów RODO.
2. Przygotuj klauzulę informacyjną dla sygnalistów — dołącz do procedury i kanału zgłoszeniowego.
3. Określ podstawę prawną — art. 6 ust. 1 lit. c RODO + ustawa o ochronie sygnalistów.
4. Zapewnij poufność tożsamości sygnalisty — techniczne i organizacyjne środki ochrony.
5. Ogranicz dostęp do zgłoszeń — tylko wyznaczone osoby z upoważnieniem i zobowiązaniem do poufności.
6. Wdróż szyfrowanie — zgłoszeń, bazy danych, komunikacji.
7. Przeprowadź DPIA — przed uruchomieniem kanału zgłoszeniowego.
8. Skonsultuj z IOD — procedurę, DPIA, środki bezpieczeństwa.
9. Zawrzyj umowę powierzenia — z dostawcą platformy zgłoszeniowej (jeśli zewnętrzna).
10. Ustal retencję — 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze.
11. Prowadź rejestr zgłoszeń — zabezpieczony, z ograniczonym dostępem.
12. Uwzględnij w RCP — obsługę zgłoszeń sygnalistów jako odrębny proces przetwarzania.
13. Przeszkol osoby obsługujące zgłoszenia — z zakresu RODO i poufności.
14. Wdróż procedurę usuwania danych nieprzydatnych — dane niezwiązane ze zgłoszeniem usuwaj niezwłocznie.
15. Zaplanuj regularne przeglądy — czy system działa zgodnie z RODO i ustawą.

Potrzebujesz wsparcia z wdrożeniem systemu sygnalistów?

Wdrożenie systemu zgłaszania nieprawidłowości wymaga jednoczesnego spełnienia wymogów ustawy o ochronie sygnalistów i RODO — od procedury zgłoszeń, przez DPIA i klauzule informacyjne, po bezpieczeństwo techniczne i retencję danych. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont pomagamy firmom i instytucjom we wdrożeniu systemu sygnalistów zgodnego z prawem — przygotowujemy procedury, klauzule informacyjne, DPIA i szkolimy osoby odpowiedzialne za obsługę zgłoszeń.