W związku z uchwaleniem ustawy o ochronie sygnalistów, Prezes Urzędu Ochrony Danych Osobowych (PUODO) ogłosił w lipcu, we współpracy ze Społecznym Zespołem Ekspertów przy PUODO, konsultacje społeczne dotyczące stosowania przepisów tej ustawy w kontekście ochrony danych osobowych. W ramach tych konsultacji zgłoszono pytania i wątpliwości, które zostały omówione podczas seminarium zorganizowanego w dniu 7 sierpnia 2024 roku. W trakcie kolejnych paneli dyskusyjnych szczegółowo przeanalizowano najbardziej problematyczne zagadnienia związane z ochroną danych osobowych.

Podczas panelu poświęconego obowiązkom informacyjnym oraz retencji danych ustalono, że okres przechowywania danych należy liczyć od momentu otrzymania zgłoszenia. Paneliści zaznaczyli, że tożsamość sygnalisty nie może być ujawniona, a obejmuje ona nie tylko imię i nazwisko, ale także inne dane, takie jak miejsce i stanowisko pracy. Sygnalista musi również zostać poinformowany o ewentualnych konsekwencjach, jakie mogą wyniknąć w przypadku ujawnienia jego tożsamości.

Podkreślono również, że dane osobowe sygnalisty oraz innych osób wskazanych w art. 27 ustawy mogą być przetwarzane wewnątrz organizacji wyłącznie przez osoby uprawnione, zgodnie z art. 27 ust. 1 ustawy, czyli te odpowiedzialne za przyjmowanie zgłoszeń i prowadzenie działań następczych.

W kolejnym panelu, który dotyczył procedury przyjmowania zgłoszeń wewnętrznych oraz prowadzenia postępowań wyjaśniających, omawiano m.in. kwestię zgłoszeń anonimowych. Eksperci zwrócili uwagę, że organizacje decydujące się na przyjmowanie anonimowych zgłoszeń muszą liczyć się z potencjalnymi konsekwencjami, zwłaszcza że w niektórych przypadkach anonimowość może być jedynie pozorna.

Podczas podsumowania seminarium wskazano kluczowe kwestie, na które organizacje wdrażające przepisy ustawy o sygnalistach muszą zwrócić szczególną uwagę. Do najważniejszych zadań należą:

• Ustalenie kanałów przyjmowania zgłoszeń: Przed wdrożeniem ustawy organizacja powinna zdecydować, jakimi kanałami będą przyjmowane zgłoszenia – czy będzie to odbywać się elektronicznie, telefonicznie, oraz czy będą akceptowane zgłoszenia anonimowe, co wymaga oceny ryzyka w formularzu.
• Wyznaczenie osób odpowiedzialnych za przyjmowanie zgłoszeń i działania następcze: Należy podjąć decyzję, kto będzie odpowiedzialny za przyjmowanie zgłoszeń i prowadzenie dalszych działań. Osoby te muszą być bezstronne.
• Ocena ryzyka naruszenia praw i wolności osób fizycznych: Już na etapie projektowania procesu przyjmowania zgłoszeń sygnalistów konieczne jest przeprowadzenie oceny ryzyka (zgodnie z art. 25 i 32 RODO), uwzględniając wymagania dotyczące oceny skutków dla ochrony danych (art. 35 RODO).
• Dostosowanie klauzul informacyjnych: Klauzule informacyjne muszą być dostosowane, szczególnie w zakresie informowania sygnalistów o obowiązku lub dobrowolności podania danych.
• Powierzenie przekazywania danych i weryfikacja upoważnień: Należy uwzględnić kwestie związane z powierzeniem danych oraz weryfikacją uprawnień nadawanych w organizacji.
• Zarządzanie usuwaniem danych i aktualizacja rejestru czynności: Konieczne jest ustalenie procedur zarządzania usuwaniem danych oraz aktualizacja rejestru czynności przetwarzania w zależności od rodzaju i zakresu pozyskiwanych danych.
• Wskazanie podstawy do przetwarzania danych: Organizacja musi określić, na jakiej podstawie prawnej będą przetwarzane dane związane z sygnalistami.
• Aktualizacja rejestru czynności przetwarzania: Rejestr czynności przetwarzania danych powinien zostać zaktualizowany, uwzględniając nowy proces przetwarzania danych oraz różne kategorie osób, których dane będą przetwarzane, w tym sygnalistów, osoby, których dotyczy zgłoszenie, świadków i osoby powiązane z sygnalistą.

Urząd Ochrony Danych Osobowych zapowiedział, że na stronie UODO będą systematycznie publikowane pisemne wyjaśnienia, które pomogą organizacjom prawidłowo interpretować przepisy ustawy o sygnalistach w zakresie ochrony danych osobowych.