7 sierpnia w Urzędzie Ochrony Danych Osobowych odbyło się seminarium, podczas którego Mirosław Wróblewski, prezes UODO wspólnie z pracownikami Urzędu, przedstawicielami Społecznego Zespołu Ekspertów przy PUODO oraz zewnętrznymi ekspertami omówili uwagi przesłane w ramach konsultacji społecznych i przedstawili propozycje wykładni przepisów ustawy o ochronie sygnalistów w zakresie dotyczącym danych osobowych. W spotkaniu, dostępnym również online, wzięło udział ponad tysiąc osób.
Jak zaznaczył na wstępie Mirosław Wróblewski: „Chcielibyśmy, aby to seminarium miało praktyczny wymiar, było pomocą dla wszystkich organizacji w przygotowaniu się do wdrożenia i do stosowania przepisów ustawy o ochronie sygnalistów i prawdziwej ochrony sygnalistów, którzy mają istotne znaczenie. Myślę, że wejście w życie tej ustawy jest też ważnym momentem w kontekście odbudowywania praworządności w naszym kraju”.
Podczas seminarium Prezes UODO zapowiedział, że będzie w stałym kontakcie m.in. z Rzecznikiem Praw Obywatelskich jako organem, który ma szczególną rolę w realizacji zadań ustawy. W opinii PUODO obserwacja praktyki tego organu będzie bardzo ważna dla przesądzenia istotnych kwestii, takich jak rozumienie pojęcia sygnalisty. Prezes UODO podkreślił także potrzebę dalszej edukacji w tym zakresie i zapowiedział, że na stronie urzędu pojawiać się będą systematycznie wyjaśnienia dotyczące spraw, które zostały omówione na seminarium. W szczególności Urząd będzie komunikował praktyki dotyczące stosowania przepisów o ochronie sygnalistów.
Dr Mirosław Gumularz, przewodniczący Społecznego Zespołu Ekspertów przy PUODO podziękował za przesłanie licznych uwag i aktywny udział w konsultacjach społecznych. Zapewnił jednocześnie, że każda uwaga została wnikliwie przeanalizowana przez Społeczny Zespół Ekspertów w dialogu z Urzędem oraz zaprezentował najbardziej problematyczne kwestie, jakie pojawiły się w ramach konsultacji społecznych. Omawiano je w kolejnych panelach.
Obowiązki informacyjne oraz retencja danych
W pierwszym panelu podkreślono, że tożsamość sygnalisty to nie tylko imię i nazwisko, ale wszelkie dane, na podstawie których można byłoby go pośrednio zidentyfikować, takie jak np. jego miejsce pracy.
Prelegenci poruszyli również wątek obowiązków informacyjnych i ewentualnych wyłączeń w tym zakresie wynikających z ustawy o ochronie sygnalistów oraz samego RODO (w szczególności w kontekście realizacji tych obowiązków względem osób których dotyczy zgłoszenie). Zwrócono też uwagę na brak wskazania w ustawie momentu, od którego należy liczyć okres retencji danych osobowych.
W panelu tym zwrócono także uwagę, że (co podkreślał m.in. dr Paweł Litwiński) art. 8 ust. 3 ustawy o ochronie sygnalistów nie jest do końca jasny, gdy uświadomimy sobie, że jedno zgłoszenie może zawierać informacje o kilku naruszeniach prawa - wtedy okresy retencji danych liczone oddzielnie dla każdej z informacji o naruszeniu prawa mogą być różne. Mimo tego wydaje się, że 3-letni okres retencji danych powinien być zawsze liczony od daty przyjęcia zgłoszenia. Dotyczy to także danych zawartych w rejestrze zgłoszeń (art. 29 ust. 5 ustawy o ochronie sygnalistów) - rejestr zgłoszeń jest bowiem konstruowany w oparciu o zgłoszenie (w rejestrze odnotowujemy numer zgłoszenia itd., a więc informacje związane ze zgłoszeniem), a w konsekwencji, to data dokonania zgłoszenia będzie miała podstawowe znaczenia dla obliczania okresu retencji danych.
Procedura przyjmowania zgłoszeń wewnętrznych i prowadzenia postępowań wyjaśniających
W drugim panelu uczestnicy seminarium omawiali procedury przyjmowania zgłoszeń wewnętrznych i prowadzenia postępowań wyjaśniających z perspektywy zasad przetwarzania danych osobowych.
Wiele pytań, które wpłynęły do Urzędu w ramach konsultacji społecznych dotyczyło możliwości zgłoszeń anonimowych, sposobów przekazywania zgłoszeń (kontrowersje wzbudził przekaz ustny). Poruszono również zagadnienie tzw. „fałszywego sygnalisty”, bowiem dopiero na zaawansowanym etapie postępowania można stwierdzić, czy osoba zgłaszająca naruszenie mieści się w ustawowych ramach definicji określającej takiego sygnalistę.
Dużą część dyskusji poświęcono grupom kapitałowym w kontekście sygnalistów, kanałów zgłoszeń i tego, jak powinno wyglądać zgłoszenie. W kontekście kanałów zgłoszeń rozważano różne możliwości ich wdrażania przez spółki kapitałowe z perspektywy praktycznej oraz zgodności z prawem. Przede wszystkim zwrócono uwagę na ryzyko, jakie niesie za sobą pozostawienie jedynie kanałów korporacyjnych. Prelegenci zastanawiali się również nad praktyką przyjmowania zgłoszeń telefonicznych i wyrażenia zgody na nagrywanie i transkrypcję rozmowy i czy jest to zgoda w rozumieniu art. 7 RODO (pojęcie „zgody” pojawiło się w art. 26 ust. 3 ustawy o ochronie sygnalistów).
Zgłoszenia zewnętrzne
Panel trzeci dał możliwość uzyskania informacji, w jaki sposób Biuro Rzecznika Praw Obywatelskich przygotowuje się do wejścia w życie ustawy o sygnalistach. Bowiem polski ustawodawca właśnie RPO powierzył rolę centralnego organu wspierającego sygnalistów w korzystaniu z przysługujących im praw.
Jak zauważył przedstawiciel Biura RPO dyr. Marcin Malecko, nowo powstający w Biurze Rzecznika Praw Obywatelskich Zespół ds. Sygnalistów wciąż ma więcej pytań niż gotowych odpowiedzi Wyzwaniem dla BRPO jest zorganizowanie systemu zgłoszeń zewnętrznych i odseparowanie go od systemu zgłoszeń wewnętrznych.
Zabezpieczenia techniczne i organizacyjne
W ostatnim panelu dyskutowano o bezpieczeństwie wybranych kanałów zgłaszania naruszeń poprzez zapewnienie odpowiednich zabezpieczeń technicznych i organizacyjnych.
Podkreślono konieczność uwzględnienia, w projektowanych procesach przetwarzania danych, ochrony danych osobowych zgodnie z zasadami privacy by design i privacy by default - przy równoczesnym zadbaniu o integralność i dostępność danych oraz przy zachowaniu ich poufności.
Co dalej?
W następstwie dyskusji seminaryjnej na stronie UODO systematycznie będą pojawiać się pisemne wyjaśnienia UODO podpowiadające właściwe kierunki interpretacji przepisów ustawy o sygnalistach w zakresie dotyczącym danych osobowych.
W związku z tym, że bardzo dużo pytań dotyczyło roli kancelarii prawnych w kontekście outsourcingu czynności zgłoszeń sygnalistów Mirosław Wróblewski, prezes UODO, zapowiedział, że zwróci się do samorządów radców prawnych i adwokatów o spotkanie w celu omówienia roli kancelarii prawnych we wspieraniu klientów, biorąc pod uwagę możliwość zawarcia z nimi umowy powierzenia przyjmowania zgłoszeń wewnętrznych w rozumieniu art. 28 ust. 1 ustawy o ochronie sygnalistów.
Źródło: www.uodo.gov.pl