Wdrażając procedury dotyczące ochrony sygnalistów, wielu administratorów danych zastanawia się, jak prawidłowo ująć w rejestrze czynności przetwarzania sytuację, w której sygnalista wyraża zgodę na ujawnienie swojej tożsamości. Problem pojawia się szczególnie wtedy, gdy ustawa przewiduje maksymalny okres przechowywania danych (np. 3 lata), a jednocześnie RODO pozwala na wycofanie zgody w dowolnym momencie.
Ten poradnik wyjaśnia, jak pogodzić te dwa reżimy prawne, aby działać zgodnie z przepisami i nie narazić się na zarzut naruszenia praw osoby, której dane dotyczą.
Dlaczego temat jest istotny?
Ochrona tożsamości sygnalisty to fundament zaufania w systemie zgłaszania naruszeń. Jeśli osoba zgłaszająca naruszenie ma mieć poczucie bezpieczeństwa, musi wiedzieć, że jej dane osobowe będą przetwarzane wyłącznie w granicach, na które się zgodziła – i że może tę zgodę w każdej chwili odwołać. Administratorzy muszą więc zadbać, aby procedury dotyczące ujawnienia tożsamości były spójne z RODO oraz ustawą o ochronie sygnalistów.
Podstawa prawna przetwarzania – zgoda czy obowiązek prawny?
W omawianym przypadku kluczowe znaczenie ma art. 6 ust. 1 lit. a RODO, który stanowi, że przetwarzanie jest zgodne z prawem, jeżeli osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie w określonym celu.
W przypadku sygnalistów takim celem może być ujawnienie tożsamości określonym podmiotom (np. organom prowadzącym postępowanie).
Niektórzy administratorzy zastanawiają się, czy nie powinna tu znaleźć zastosowania również podstawa z art. 6 ust. 1 lit. c RODO – czyli przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Jednak w kontekście ujawnienia tożsamości nie ma przepisu nakazującego administratorowi ujawnienie danych sygnalisty – przeciwnie, ustawa co do zasady nakłada obowiązek ich ochrony. Oznacza to, że ujawnienie może nastąpić wyłącznie wtedy, gdy sygnalista wyrazi na to zgodę.
Wycofanie zgody – czy okres retencji ma znaczenie?
RODO w art. 7 ust. 3 mówi jasno:
„Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, a wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na jej podstawie przed jej wycofaniem”.
Oznacza to, że administrator nie może ograniczyć prawa do cofnięcia zgody, nawet jeśli w ustawie o ochronie sygnalistów przewidziano, że dokumentacja związana ze zgłoszeniem powinna być przechowywana maksymalnie przez 3 lata.
Innymi słowy – okres retencji określony w ustawie dotyczy maksymalnego czasu przechowywania danych, ale nie znosi prawa sygnalisty do wcześniejszego wycofania zgody.
Praktyczne konsekwencje dla administratora danych
- Jeżeli sygnalista wycofa zgodę, administrator musi niezwłocznie zaprzestać przetwarzania danych w zakresie, którego dotyczyła zgoda (czyli ujawnienia tożsamości).
- Dane można nadal przetwarzać w innych celach, jeśli istnieje odrębna podstawa prawna (np. obowiązek prawny związany z przechowywaniem dokumentacji sprawy).
- Wycofanie zgody nie oznacza automatycznego usunięcia wszystkich danych – administrator usuwa tylko te dane lub ten zakres przetwarzania, na który zgoda była podstawą prawną.
Przykład 1 – zgoda wycofana przed upływem retencji
Firma „Ekoplus” prowadzi postępowanie wewnętrzne po zgłoszeniu przez pracownika naruszenia zasad BHP. Sygnalista zgadza się na ujawnienie swojej tożsamości komisji powołanej w firmie. Po pół roku jednak zmienia zdanie i wycofuje zgodę.
Administrator danych musi natychmiast wstrzymać możliwość ujawniania jego danych osobowych członkom komisji, ale dokumentacja sprawy może być nadal przechowywana do 3 lat – pod warunkiem, że dane osobowe sygnalisty w tej dokumentacji zostaną odpowiednio zanonimizowane.
Przykład 2 – brak cofnięcia zgody, ale upływ okresu retencji
Sygnalista w spółce „Technopro” wyraża zgodę na ujawnienie swojej tożsamości prokuraturze. Sprawa trwa długo, ale po 3 latach od zakończenia postępowania upływa ustawowy okres retencji. Administrator, nawet jeśli sygnalista nie cofnął zgody, musi usunąć dane lub je zanonimizować, aby nie naruszyć przepisu ustawy o ochronie sygnalistów.
Podsumowanie – kluczowe wnioski
- Zgoda na ujawnienie tożsamości sygnalisty jest podstawą z art. 6 ust. 1 lit. a RODO.
- Sygnalista może wycofać zgodę w dowolnym momencie, niezależnie od przewidzianego w ustawie okresu retencji danych.
- Okres 3 lat z ustawy o ochronie sygnalistów określa maksymalny czas przechowywania dokumentacji, ale nie ogranicza prawa do wcześniejszego wycofania zgody.
- Administrator musi rozdzielać cele przetwarzania – po wycofaniu zgody można przechowywać dane tylko w zakresie, w jakim istnieje inna podstawa prawna.
- W rejestrze czynności przetwarzania należy jasno wskazać, że przetwarzanie w celu ujawnienia tożsamości opiera się na zgodzie sygnalisty, którą można cofnąć w każdej chwili.
Podstawa prawna
- art. 6 ust. 1 lit. a, art. 6 ust. 1 lit. c, art. 7 ust. 3, art. 17, art. 18 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)
- art. … – Ustawa z dnia … o ochronie sygnalistów (po jej wejściu w życie – obecnie projekt)
Tematy porad zawartych w poradniku
- zgoda sygnalisty na ujawnienie tożsamości
- RODO a ochrona sygnalistów
- okres retencji danych sygnalisty
- wycofanie zgody na przetwarzanie danych
- rejestr czynności przetwarzania sygnalistów
Przydatne adresy urzędowe: