Tech in the Know 2/2024

Witamy w drugim wydaniu Tech in the Know, cyklu krótkich artykułów przygotowywanych przez warszawski zespół TMT/IP.

W naszym cyklu znajdą Państwo informacje o najważniejszych zmianach prawnych w zakresie nowych technologii, ochrony danych osobowych i prywatności, sztucznej inteligencji oraz cyberbezpieczeństwa.

Zapraszamy do lektury!

Sygnaliści a ochrona danych osobowych

Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów ("Ustawa") wdrażająca do polskiego prawa unijną dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa wchodzi w życie już 25 września 2024 r. Czasu na przygotowanie organizacji do nowych przepisów o ochronie sygnalistów pozostało zatem niewiele. Wdrażając w organizacji procedury ochrony sygnalistów nie można zapominać o tym, że procesy whistleblowingu wiążą się nieodłącznie z przetwarzaniem danych osobowych. Stąd konieczne jest zaadresowanie wymogów wynikających nie tylko z samej Ustawy, ale także z ogólnych przepisów o ochronie danych osobowych. Poniżej zwracamy uwagę na kluczowe działania, które należy podjąć, aby wdrożyć procedury ochrony sygnalistów w zgodzie z przepisami o ochronie danych osobowych.

Kluczowe działania w zakresie ochrony danych osobowych

Przetwarzanie danych w ramach wewnętrznego procesu zgłaszania naruszeń prawa i ich rozpatrywania może obejmować nie tylko dane zwykłe (takie jak dane identyfikacyjne sygnalisty lub naruszyciela prawa), ale także dane szczególnej kategorii oraz dane osobowe dotyczące wyroków skazujących i czynów zabronionych. Dane te dotyczyć mogą różnych kategorii osób, w tym sygnalistów, osób, którym zarzuca się naruszenia prawa oraz osób postronnych.

Biorąc pod uwagę charakter i potencjalnie szeroki zakres danych osobowych przetwarzanych podczas obsługi zgłoszeń naruszeń prawa, organizacje powinny zapewnić przestrzeganie wymogów w zakresie ochrony danych osobowych. Wynikają one z samej Ustawy oraz innych obowiązujących przepisów o ochronie danych, w tym ogólnego rozporządzenia o ochronie danych („RODO”), które będzie odgrywać tutaj znaczącą rolę.

Wobec tego, organizacje powinny podjąć m.in. następujące kroki:

• Dokumentacja ochrony danych osobowych: Przygotowanie klauzul informacyjnych dla sygnalistów oraz tych, których dotyczy zgłoszone naruszenie prawa, a także zaktualizowanie dotychczasowej dokumentacji ochrony danych osobowych, w tym klauzul informacyjnych dla pracowników, rejestru czynności przetwarzania, polityki retencji danych oraz procedury realizacji praw osób, których dane dotyczą.
• Upoważnienia do przetwarzania danych: Opracowanie wzorów upoważnień dla osób zajmujących się obsługą zgłoszeń naruszeń prawa, obejmujących także zobowiązania do zachowania poufności.
• DPIA: Przeprowadzenie oceny skutków dla ochrony danych („DPIA”) zgodnie z art. 35 RODO - wdrożenie systemów zgłaszania naruszeń prawa znajduje się na liście operacji podlegających wymogowi przeprowadzenia DPIA, opublikowanej przez Prezesa UODO.
• Umowy powierzenia: Zawarcie umów powierzenia przetwarzania danych osobowych w przypadku korzystania z zewnętrznych dostawców systemów zgłaszania naruszeń prawa.
• Transfery wewnątrzgrupowe: W przypadku grup kapitałowych, zawarcie lub aktualizacja umów wewnątrzgrupowych regulujących powierzenie przetwarzanie danych w ramach systemu zgłaszania naruszeń prawa.
• Dostosowanie polityk grupowych: Przegląd i dostosowanie grupowych procedur zgłaszania naruszeń prawa w celu zaadresowania wymogów Ustawy, w szczególności w kontekście dopuszczalnego zakresu przetwarzania danych osobowych, wyjątków od obowiązków informacyjnych wynikających z RODO oraz określonych okresów retencji danych.
• Szkolenia: Wdrożenie programów szkoleniowych dotyczących procedur zgłaszania naruszeń prawa w celu zapewnienia, że wszyscy pracownicy są odpowiednio poinformowani i przestrzegają przepisów.

Ustawa wprowadza również pewne mechanizmy ochrony danych, takie jak wzmocniona ochrona tożsamości sygnalisty czy ograniczenie dostępu do danych objętych zgłoszeniem. Należy wziąć je pod uwagę przy opracowywaniu i wdrażaniu systemu zgłaszania naruszeń prawa w organizacji.

Wytyczne UODO

Prezes UODO zorganizował w sierpniu spotkanie poświęcone praktycznym problemom związanym ze stosowaniem przepisów Ustawy z perspektywy przepisów o ochronie danych osobowych. W kontekście kanałów zgłoszeń w ramach grup kapitałowych rozważano różne możliwości ich ukształtowania. Zwrócono również uwagę na zagwarantowanie bezpieczeństwa kanałów zgłaszania naruszeń poprzez zapewnienie odpowiednich zabezpieczeń technicznych i organizacyjnych. Spotkanie miało charakter dyskusyjny, pozostawiając wiele pytań bez jednoznacznej odpowiedzi. Prezes UODO zapowiedział jednak, że wyjaśnienia dotyczące stosowania przepisów Ustawy w zakresie przetwarzania danych osobowych będą publikowane systematycznie na stronie internetowej UODO. Do tej pory nie pojawiły się jednak oficjalne wytyczne polskiego regulatora.

Podsumowanie

Biorąc pod uwagę krótki termin na dostosowanie organizacji do regulacji związanych z ochroną sygnalistów, zalecamy przeprowadzenie przeglądu i aktualizacji dokumentacji ochrony danych osobowych w celu dostosowania jej do przepisów Ustawy i ogólnych przepisów w zakresie ochrony danych osobowych.

Jeśli potrzebują Państwo pomocy w przygotowaniu lub uaktualnieniu dokumentacji z zakresu ochrony danych osobowych lub mają Państwo jakiekolwiek pytania dotyczące prawa ochrony danych osobowych, zapraszamy do kontaktu.

***

Zapraszamy także do odsłuchania naszej serii podcastów dostępnej na portalu oraz w popularnych serwisach streamingowych:

Prawo sztucznej inteligencji

• Sztuczna inteligencja w sektorze finansowym
• Prawo własności intelektualnej w kontekście AI
• Ochrona danych osobowych przy wykorzystaniu systemów AI
• Ramy prawne AI w Unii Europejskiej