Klauzula informacyjna - sygnaliści

Klauzula informacyjna – sygnaliści

➡️ Dlaczego klauzula informacyjna dla sygnalistów jest tak istotna?

Nowe regulacje dotyczące ochrony sygnalistów nakładają na organizacje obowiązek zapewnienia bezpiecznego, poufnego i zgodnego z prawem procesu zgłaszania naruszeń. Większość zgłoszeń sygnalistów wiąże się jednak z przetwarzaniem danych osobowych sygnalisty, dlatego konieczne jest przygotowanie przejrzystej i zgodnej z RODO klauzuli informacyjnej.

Osoba dokonująca zgłoszenia powinna od pierwszego kontaktu wiedzieć, jakie dane osobowe przetwarzane są w ramach systemu zgłoszeń, na jakiej podstawie i w jakim celu. Jest to podstawowy obowiązek informacyjny, realizowany zgodnie z art. 13 RODO, art. 14 RODO oraz przepisami ustawy o ochronie sygnalistów.

Umów się na bezpłatną konsultację!

☎️ 22 53 53 016

✉️ biuro@directgroup.com.pl

System zgłoszeń naruszeń a ochrona danych osobowych

Każdy administrator wdrażający system zgłoszeń ma obowiązek zapewnić poufność danych sygnalistów, świadków, osób wskazanych w zgłoszeniu oraz świadków. W praktyce, w ramach obsługi zgłoszeń naruszeń, przetwarzane mogą być m.in.:

dane osobowe sygnalisty pozwalające na identyfikację, jeśli zgłoszenie nie jest anonimowe,
dane osób, których dotyczy zgłoszenie,
okoliczności zdarzenia, które pozwalają na zidentyfikowanie osoby fizycznej,
dane świadków i osób zaangażowanych,

To oznacza konieczność wdrożenia procedur zapewniających ochronę danych osobowych, minimalizacji danych oraz jasnego określenia zakresu przetwarzania danych w klauzuli informacyjnej.

Jakie dane osobowe przetwarzane są w systemie zgłoszeń?

W zależności od formy zgłoszenia i jego treści, przetwarzanie danych sygnalisty obejmuje:

imię i nazwisko,
dane kontaktowe,
informacje konieczne do weryfikacji zgłoszenia,
opis zdarzenia, materiały dowodowe i dane osobowe osób trzecich.

W szczególnych przypadkach zgłoszenie może zawierać również dane osobowe szczególnej kategorii (np. dane zdrowotne lub informacje o poglądach) – wtedy administrator stosuje zasady wynikające z art. 9 RODO.

Kanał zgłoszeń naruszeń – obowiązki administratora

Administrator danych, który przyjmuje zgłoszenia, który odpowiada za:

określenie podstawy prawnej przetwarzania danych,
prowadzenie rejestru zgłoszeń,
zapewnienie poufności tożsamości i ochrony danych osobowych sygnalistów,
zabezpieczenie systemów wykorzystywanych do obsługi zgłoszeń,
zawarcie umowy powierzenia przetwarzania danych z podmiotem zewnętrznym, jeśli uczestniczy w obsłudze zgłoszeń,
kontrolę, aby każde dokonanie zgłoszenie było przekazywane w sposób bezpieczny.

Inspektor Ochrony Danych (jeśli został wyznaczony) może wspierać administratora w analizie ryzyka, ocenie zgodności i reagowaniu na naruszenia związane z przetwarzaniem danych sygnalistów.

Podstawa prawna przetwarzania danych sygnalisty

W zależności od sytuacji, administrator może opierać przetwarzanie na:

art. 6 ust. 1 lit. c RODO – obowiązek prawny wynikający z ustawy o ochronie sygnalistów (główna podstawa przetwarzania w przypadku zgłoszeń ustawowych),
art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes administratora (np. obsługa zgłoszeń wykraczających poza zakres ustawy, przetwarzanie danych osób trzecich, realizacja postępowań wyjaśniających),
art. 6 ust. 1 lit. a RODO – zgoda sygnalisty, wyłącznie w odniesieniu do danych podanych dobrowolnie i niewymaganych do rozpatrzenia zgłoszenia,

Jeżeli w zgłoszeniu pojawią się dane szczególnych kategorii, będą one przetwarzane wyłącznie w zakresie przewidzianym przepisami RODO. Podstawa prawna musi być jasno wskazana w klauzuli informacyjnej, co wynika z art. 13 i 14 RODO.

Prawa sygnalistów i innych osób objętych zgłoszeniem

Osobom, których dane są przetwarzane w ramach systemu zgłoszeń, przysługują m.in.:

prawo dostępu do danych i uzyskania ich kopii (z zastrzeżeniem ochrony poufności sygnalisty i prawidłowego przebiegu postępowania),
prawo do sprostowania,
prawo do ograniczenia przetwarzania,
prawo do usunięcia danych osobowych, jeśli nie są już potrzebne i nie wynikają z obowiązków prawnych administratora,
prawo do informacji o źródle danych (w zakresie, który nie narusza poufności sygnalisty),
prawo do ochrony przed działaniami odwetowymi — to kluczowy element ustawy o ochronie sygnalistów.

W procesie obsługi sygnalistów szczególnie ważne jest, aby poufność danych osobowych była zachowana na każdym etapie.

Dlaczego klauzula informacyjna jest niezbędna?

Profesjonalnie przygotowana klauzula pozwala uniknąć naruszeń, zapewnia przejrzystość procesu i minimalizuje ryzyko błędów. Każdy podmiot wdrażający system ochrony sygnalistów powinien określić:

jakie kategorie danych są przetwarzane,
w jakich celach i na jakiej podstawie prawnej,
skąd pochodzą dane (jeśli nie pochodzą bezpośrednio od osoby),
kto może uzyskać do nich dostęp i komu mogą być przekazywane,
przez jaki okres będą przechowywane,
jakie prawa przysługują osobom, których dane dotyczą,
dane administratora i IOD (jeśli został wyznaczony).

Niewłaściwe przetwarzanie danych osobowych w systemie zgłoszeń może doprowadzić do poważnych naruszeń i konieczności zgłoszenia incydentu do organu nadzorczego.

Nasze wsparcie – klauzule informacyjne dla sygnalistów

Direct Group wspiera organizacje w tworzeniu bezpiecznych, zgodnych z prawem systemów zgłaszania naruszeń. Oferujemy:

opracowanie profesjonalnej klauzuli informacyjnej dla sygnalistów,
przygotowanie pełnych procedur przyjmowania zgłoszeń,
wsparcie w zakresie ochrony danych osobowych i RODO,
stały nadzór i doradztwo Inspektora Ochrony Danych,
analizę ryzyka i bezpieczne wdrożenie systemu, w którym dane osobowe przetwarzane są zgodnie z przepisami.

➡️ Zadbaj o zgodność i bezpieczeństwo. Właściwa klauzula informacyjna dla sygnalistów to fundament skutecznego, przejrzystego i zgodnego z prawem systemu zgłoszeń nieprawidłowości..