Sygnaliści a ochrona anonimowości – wymogi organizacyjne

Nawet jeżeli sygnalista wyraził zgodę na ujawnienie jego danych osobowych, nie powinno budzić wątpliwości, że to ujawnienie nie ma charakteru bezwzględnego. Nawet w takiej sytuacji konieczne będzie zapewnienie tym danym osobowym co najmniej takiego samego poziomu ochrony, jak innym danym przetwarzanym w organizacji.

Oczywiście uwagi tu zamieszczone dotyczą sytuacji, gdy ochrona sygnalistów realizowana jest in-house, a nie przez firmę zewnętrzną.

Ustawa o ochronie sygnalistów a umowy o zachowaniu poufności

Podstawowym i wymaganym ustawą o ochronie sygnalistów (art. 27 ust. 2 ustawy) obowiązkiem podmiotu prawnego jest zapewnienie, by osoby zajmujące się obsługą zgłoszeń sygnalistów były zobowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w związku z funkcjonowaniem systemu ochrony sygnalistów. Obowiązek ten powinien również trwać po ustaniu współpracy z daną osobą.

Oznacza to, iż dopuszczenie do przetwarzania danych sygnalistów osoby, z którą nie zawarto stosownej umowy o zachowaniu poufności, będzie stanowiło naruszenie przepisów ustawy o ochronie sygnalistów. Umowa taka powinna zawierać co najmniej:

• odpowiednio precyzyjne określenie informacji, które podlegają ochronie;
• zobowiązanie do zachowania danych w poufności, również po ustaniu stosunku pracy lub współpracy;
• zobowiązanie do zabezpieczenia danych przed dostępem osób nieuprawnionych;
• obowiązek zwrotu wszystkich informacji po zakończeniu współpracy, ewentualne kary umowne;
• ewentualne przypomnienie o odpowiedzialności karnej za ujawnienie tożsamości sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą.[1]

Warto przypomnieć o błędzie często popełnianym podczas redagowania tego typu umów, które najczęściej zawierane są „bezterminowo”. Zgodne z zapisami Kodeksu cywilnego umowy zawarte na czas nieokreślony mogą być w każdej chwili rozwiązane przez stronę umowy. Oznacza to, że taka umowa zawarta „na zawsze” może zostać w każdej chwili jednostronnie wypowiedziana przez stronę – o ile sama nie zawiera zapisów to umożliwiających. Z uwagi na to rekomendujemy, by takie obowiązki nakładać np. „bezterminowo, ale w żadnym wypadku nie krócej niż na 20 lat od czasu zakończenia lub rozwiązania umowy”.

Ochrona danych osobowych sygnalistów – inne środki organizacyjne

Dane sygnalistów powinny być chronione co najmniej tak samo jak wszystkie inne dane osobowe przetwarzane przez podmiot prawny. Oznacza to konieczność stosowania zabezpieczeń organizacyjnych, np:

• regularne prowadzenie analiz ryzyka;
• regularne szkolenie pracowników z zasad cyberbezpieczeństwa;
• uregulowanie i egzekwowanie zasad, takich jak zasada czystego biurka czy zasada czystego ekranu;
• kontrola dostępu do pomieszczeń, w których przetwarzane są dane sygnalistów;
• odpowiednia kontrola i nadzór nad dostawcami usług niezbędnych do działania systemu ochrony sygnalistów (np. outsourcing IT);
• zapewnienie egzekwowania okresów retencji danych osobowych;
• odpowiednie zarządzanie incydentami bezpieczeństwa informacji;
• audyty i ciągłe doskonalenie.

Sprawdzonym i akceptowanym od lat sposobem zapewnienia realizacji tych środków jest wdrożenie w organizacji systemu zarządzania bezpieczeństwem informacji, np. opartego na PNEN ISO/IEC 27001 czy też metodyce NIST. Jeżeli organizacja już wdrożyła taki system, należy dopilnować, by jego zakres obejmował również system ochrony sygnalistów.[2]

[1] Artykuł 56 ustawy o ochronie sygnalistów – by uciąć w zarodku ewentualną obronę w oparciu o nieznajomość prawa.

[2] Znalezienie się ochrony sygnalistów poza nawisem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) może skutkować jego nieskutecznością.

Artykuł pochodzi z książki:
Sygnaliści. Ochrona danych osobowych (PDF)

Autorzy
Maciej Łukaszewicz
Daniel Taberski