Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

Kolejny projekt ustawy o sygnalistach – skrócony okres przechowywania danych

Wczoraj opublikowano kolejny projekt ustawy o ochronie osób zgłaszających naruszenia prawa – czyli ustawa o sygnalistach.

Nietrudno zgadnąć, że w tym wpisie poruszę zmiany dotyczące zasad przetwarzania danych osobowych w najnowszym projekcie.

Zacznę od tego, że art. 8 projektu ustawy został bardzo mocno rozbudowany poprzez dodanie kilku zupełnie nowych jednostek redakcyjnych.

W mojej opinii najistotniejszą zmianą jest skrócenie okresu przechowywania danych osobowych, aż o 70 %. To jest bardzo dobry ruch w prawidłowym kierunku.

Ustęp 9 art. 8 projektu ustawy o ochronie osób zgłaszających naruszenia prawa otrzymał taką treść:

Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia oraz podjęciem działań następczych są przechowywane przez podmiot prawny oraz organ publiczny nie dłużej niż przez okres 15 miesięcy od dnia zakończenia działań następczych.

Poprzedni projekt ustawy wskazywał okres o wiele dłuższy. Podmiot prawny przyjmujący zgłoszenie oraz podejmujący działania musiałby przechowywać dane osobowe przetwarza, w tym celu, aż przez 5 lat.

W uzasadnieniu do tej wersji projektu ustawy wskazano, że takie okres:

Taki okres, w ocenie projektodawcy, wydaje się niezbędny dla celów wystąpienia ewentualnych postępowań, po zakończeniu działań następczych.

Mnie osobiście zawsze cieszy jak okres przechowywania danych jest krótszy niż dłuższy, bo dla niejednego pracodawcy koszt zabezpieczenia przechowywania danych może być znacznym elementem budżetu organizacji.

Wracając jednak do początku – ustawodawca proponuje rozbudowanie informacji jakich przetwarzanie ma być zabezpieczone, gdyż wskazuje:

art. 8 ust. 1 :

Dane osobowe zgłaszającego pozwalające na ustalenie jego tożsamości oraz inne informacje, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość zgłaszającego nie podlegają ujawnieniu, chyba że zgłaszający wskaże inaczej.

Pytanie czy są dane osobowe, które nie pozwalają na ustalenie czyjejś tożsamości? Czy pojęcie danych osobowych zdefiniowane w art. 4 ust. 1 RODO nie byłoby wystarczające? Taki katalog danych, które nie mogą być ujawnione, bez zgody osoby zgłaszające, oceniam jako zbędny i prowadzący do wielu zbędnych dyskusji o to czym jest informacja „pozwalająca ustalić tożsamość” czy też „inne informacje”.

Kolejnym posunięciem ustawodawcy jest wskazanie wprost w art. 8 ust. 3, iż:

Podmiot prawny, Rzecznik Praw Obywatelskich lub organ publiczny, po otrzymaniu zgłoszenia, zbiera i przetwarza dane osobowe osoby, w zakresie niezbędnym do realizacji celów ustawy. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są niezwłocznie usuwane.

Pytanie czy tutaj chodzi o osobę zgłaszającą czy osobę, w odniesieniu do której dokonywane jest zgłoszenie, a może świadków wskazanych przez zgłaszającego albo wszystkich tych osób?

Z uzasadnienia projektu wynika, że chodzi tutaj o ten ostatni zbiór:

Wszystkie informacje przekazane w zgłoszeniu (tj. dane osobowe oraz informacje umożliwiające identyfikację zgłaszającego) będą przetwarzane wyłącznie w celu niezbędnym do realizacji celów ustawy, w szczególności przeprowadzenia postępowania wyjaśniającego oraz podjęcia ewentualnych działań następczych. Takie rozwiązania prawne są niezbędne dla celów wdrożenia przepisów Dyrektywy. Przetwarzanie danych osobowych na mocy projektowanej ustawy może rodzić ryzyko naruszenia praw lub wolności osób dokonujących zgłoszenia.

W związku z takim zagrożeniem wprowadzono nowe brzmienie art. 27 (numeracja jednostek redakcyjnych mocno się zmieniła), w którym zobowiązano podmiot prawny do tego, aby:

(…) procedura wewnętrzna oraz związane z tym przetwarzanie danych osobowych uniemożliwiały uzyskanie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom oraz zapewniały ochronę poufności tożsamości zgłaszającego, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.

i wprowadzono, w art. 27 ust. 2, moje ulubione pisemne upoważnienia do przetwarzania danych, które jak wiemy ze stanowiska Prezesa UODO w cale nie muszą być „papierowe”.

Tak brzmi ten ustęp:

Do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.

Co ciekawe zrezygnowano z obowiązku „rozdzielania” danych osobowych osoby zgłaszającej od samego zgłoszenia – tak brzmiał usunięty art. 27 ust. 3:

Pracodawca stosuje rozwiązania techniczne i organizacyjne zapewniające przechowywanie danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmujących zgłoszenie, włączając w to, w odpowiednim przypadku, usunięcie z treści dokumentu lub innego nośnika informacji niezwłocznie po ich otrzymaniu wszystkich danych osobowych zgłaszającego.

W celu ograniczenia ryzyka naruszenia praw i wolności osób zgłaszających naruszenia ustawodawca wskazał nowe brzmienie art. 40 i art. 41 – czyli obowiązku przyjęcia środków komunikacji oraz zapewnienia procedur przez RPO oraz organy publiczne, a więc nie przez podmioty prawne:

Przyjęte przez Rzecznika Praw Obywatelskich albo organ publiczny środki komunikacji na potrzeby przyjmowania zgłoszeń zewnętrznych:

1)     są niezależne od sposobów komunikacji wykorzystywanych w ramach zwykłej działalności tego organu;

2)     zapewniają kompletność, poufność i integralność danych, w tym ich zabezpieczenie przed dostępem przez osoby nieupoważnione;

3)     pozwalają na przechowywanie informacji w sposób trwały w celu umożliwienia prowadzenia dalszego postępowania wyjaśniającego.

i

Rzecznik Praw Obywatelskich oraz organ publiczny zapewniają, aby procedura przyjmowania zgłoszeń zewnętrznych lub procedura zewnętrzna oraz związane z tym przetwarzanie danych osobowych:

1)     uniemożliwiały uzyskanie dostępu do informacji objętych zgłoszeniem zewnętrznym nieupoważnionym osobom;

2)     zapewniały ochronę poufności tożsamości zgłaszającego i osoby, której dotyczy zgłoszenie.

Ochrona poufności, o której mowa w ust. 1 pkt 2, dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia oraz osoby, której dotyczy zgłoszenie.

Wracając do art. 8 ust. 5 to wskazano, nikogo nie zaskakujące, podstawy ograniczające zastosowanie bezpośredniego obowiązku informacyjnego w zakresie wskazywania osobie zgłaszanej źródła pochodzenia danych osobowych:

Przepisu art. 14 ust. 2 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (…) zwanego dalej „rozporządzeniem 2016/679”, nie stosuje się na mocy art. 14 ust. 5 lit. c i d rozporządzenia 2016/679, chyba że zgłaszający nie spełnia przesłanek wskazanych w art. 6.

Słusznie ustawodawca poszedł za ciosem i odroczył na 3 miesiące stosowanie prawa do uzyskania informacji o zakresie przetwarzanych danych w zakresie informacji o źródle pozyskania takich danych:

Przepisu art. 15 ust 1 lit. g rozporządzenia 2016/679 nie stosuje się w zakresie terminu, w którym dane o źródle pozyskania danych mają być przekazane osobie, której dane dotyczą, chyba że zgłaszający nie spełnia przesłanek wskazanych w art. 6. Informacje dotyczące podmiotu będącego źródłem danych mogą być przekazane w terminie późniejszym, niż wynikający z art. 15 ust 1 lit. g rozporządzenia 2016/679, nie później jednak niż w ciągu 3 miesięcy od dnia zakończenia działań następczych.

Jestem ciekawe, czy to ostatni projekt ustawy i czy w takim brzmieniu trafi do Sejmu. Tam zapewne dojdzie do kolejnej zmiany…