Czasopisma logo

Monitor Prawniczy

nr 8/2021

Ochrona danych osobowych sygnalistów. Implementacja dyrektywy o sygnalistach

DOI: 10.32027/MOP.21.8.1
Paweł Litwiński
Autor jest adwokatem, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.
Abstrakt

Każdy system zgłaszania naruszeń opracowany na podstawie przepisów implementujących dyrektywę 2019/1937 z 23.10.2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii będzie objęty europejskim prawem ochrony danych osobowych, jeżeli będzie oparty choćby częściowo o automatyczne przetwarzanie danych lub ręczne przetwarzanie danych uporządkowanych choćby chronologicznie, i jeżeli będzie dotyczył działalności prowadzonej w Unii lub osób przebywających w Unii. Administratorami danych osobowych przetwarzanych w ramach takich systemów będą organy właściwe do przyjmowania zgłoszeń ustanowione zgodnie z art. 11 dyrektywy 2019/1937.Z punktu widzenia podmiotów zaangażowanych w procesy przetwarzania danych osobowych w systemach zgłaszania naruszeń najkorzystniejszą byłaby sytuacja, w której istniałby prawny obowiązek przetwarzania danych, ustanowiony w przepisach krajowych. Będzie tak dlatego, ponieważ tzw. uzasadniony interes jako podstawa przetwarzania danych niesie ze sobą wiele niepewności prawnej. Jednocześnie bez ustawowej podstawy prawnej, przetwarzanie tzw. danych wrażliwych byłoby niedopuszczalne. Z punktu widzenia ochrony praw sygnalisty, kluczowe pozostaje odpowiednie ograniczenie w przepisach krajowych tzw. obowiązków informacyjnych wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). Będzie tak dlatego, że przekazanie osobie, której dane osobowe są przekazywane przez sygnalistę, informacji o źródle jej danych, prowadziłoby do ujawnienia tożsamości sygnalisty. Również prawa osób, których dane dotyczą, opisane w art. 16–22 RODO, mogą w praktyce pozostawać z konflikcie z dążeniem do zapewnienia efektywnego przetwarzania danych osobowych na potrzeby systemów zgłaszania naruszeń prawa, stąd należy rozważyć ich odpowiednie, ustawowe, ograniczenie. Pamiętać także należy o konieczności przestrzegania zasad privacy by design i privacy by default przy projektowaniu systemów zgłaszania naruszeń. Wdrażając rozwiązania służące zgłaszaniu naruszeń prawa w relacjach międzynarodowych, zakładających przekazywanie danych do krajów trzecich, należy więc bezwzględnie wdrożyć odpowiednie rozwiązania w zakresie transferów danych, a w braku możliwości zapewnienia zgodności transferów z zasadami RODO, zrezygnować z transferów.