Na dobre szkolenie nigdy nie jest za późno

Z Dominiką Dörre-Kolasą, członkinią Społecznego Zespołu Ekspertów przy PUODO rozmawiał Karol Witowski, p.o. Rzecznika Prasowego UODO

16.09.2024 r. w Gdańsku odbyła się konferencja „Wdrożenie ustawy o sygnalistach oraz ochrona danych osobowych w miejscu pracy”. Wraz z dr Arletą Nerką prowadziła Pani panel „Procedura zgłoszeń wewnętrznych i działań następczych – zgodne z RODO”. Na wstępie podkreśliła Pani, że procedura nie jest tylko dokumentem. Powinna odzwierciedlać procesy przetwarzania danych.

Procedura powinna odzwierciedlać to, co się dzieje. Z mojego doświadczenia – jestem czynnym radcą prawnym, praktykiem – obserwuję tendencję zupełnie odwrotną. Podmioty skupiają się na samym dokumencie, żeby go mieć na 25 września (wtedy zaczną obowiązywać nowe przepisy) lub, jak niektórzy wierzą, 1 stycznia (obowiązek wdrożenia procedury zgłoszeń wewnętrznych dotyczy podmiotów, na rzecz których według stanu na dzień 1 stycznia danego roku wykonuje pracę zarobkową co najmniej 50 osób). Procedury często tworzone są  według listy z ustawy, by ten dokument zawierał w sobie wszystkie elementy, a to nie jest wystarczające. Podobnie przekonsultowanie z przedstawicielami osób wykonujących pracę nie powinno być tylko odhaczoną formalnością. Jak jakakolwiek procedura ma działać, to trzeba ją dobrze wdrożyć, a pracownicy powinni ją rozumieć. Czasem takie spojrzenie z perspektywy ich przedstawicieli może dostarczyć informacji o tym, czy zapisy dokumentu są zrozumiałe. 

Niewiele organizacji patrzy na procedurę z perspektywy procesów przetwarzania danych. Chciałabym, żeby w okresie stosowania ustawy, bo teraz obawiam się, że już nie zdążymy, zmienić to myślenie. Zadbajmy, jak pan prezes Mirosław Wróblewski, podkreślił – o to, żeby od momentu przyjęcia zgłoszenia, analizy tego zgłoszenia, a później, działań następczych – te wszystkie czynności, które będą podejmowane, były podejmowane zgodnie z zasadami ochrony danych osobowych przez osoby, które rozumieją na czym polegają ryzyka ich naruszenia.

Apeluje Pani, by organizacje przeprowadziły szkolenia z ochrony danych dla osób, które będą się zajmowały przyjmowaniem zgłoszeń i ich analizą. Dlaczego to takie ważne, by zrobić je teraz? Większość firm robiła takie szkolenia jakiś czas temu.

Obawiam się, że większość firm przeprowadziła szkolenia dawno temu, a nawet jak są one cyklicznie ponawiane, to przeważnie cechuje je duży poziom ogólności. Pamiętajmy, że na dobre szkolenie nigdy nie jest za późno. Lepiej je przeprowadzić teraz, lub w nieodległym czasie od rozpoczęcia stosowania zapisów procedur – zanim dojdzie do sytuacji, że dane zawarte w zgłoszeniu zostaną ujawnione lub utracone. Szkolenia mogą też pomóc we wdrożeniu praktycznych rozwiązań, odpowiadających realiom danej firmy czy instytucji. Najlepiej byłoby, aby były „uszyte na miarę” i dedykowane konkretnej firmie, z uwzględnieniem tych ryzyk, które są powiązane z przyjętymi przez organizację sposobami przyjmowania zgłoszeń i prowadzenia działań następczych.

Czyje dane osobowe podmiot prawny ma chronić w związku ze stosowaniem ustawy o ochronie sygnalistów?

Choć ta ustawa rzeczywiście nazywa się ustawą o ochronie sygnalistów, to należy podkreślić, że sygnalista nie jest „lepszym” podmiotem danych, który zasługuje na ochronę niż np. osoba, której dane dotyczą, czy też świadkowie. Oczywiście zaakcentowanie w ustawie konieczności zachowania w poufności tożsamości sygnalisty ma uzasadnienie w tym, żeby go chronić przed działaniami odwetowymi. Ochrona jego danych nie jest zatem silniejsza, tylko nieco inna, gdyż nacisk położony jest na te dane, które pozwalają na ustalenie jego tożsamości. Byłoby dobrze, aby to zogniskowanie ochrony danych na osobie sygnalisty uległo zmianie, tak by osoby przyjmujące zgłoszenia i analizujące je, nie skupiały się szczególnie na sygnaliście, bo nie ma żadnej różnicy w zasadach ochrony danych osobowych sygnalisty i innych osób.

Podobny problem obserwujemy w innych procedurach wewnątrzzakładowych.  Tak dzieje się często w procedurach antymobbingowych czy antydyskryminacyjnych, gdzie po zgłoszeniu działań noszących np. znamiona mobbingu, koncentrujemy się na ofierze. Tymczasem, jeżeli już, powinniśmy koncentrować się na domniemanym sprawcy, ale pamiętać, że reguły, zasady ochrony danych osobowych w tym zakresie są takie same, niezależnie od tego, o której osobie uczestniczącej w procedurze mówimy.

Ustawa o ochronie sygnalistów spotkała się z falą krytyki ze strony ekspertów ochrony danych osobowych. Co, Pani zdaniem, trzeba zmienić/ doprecyzować w tej ustawie, żeby uznać ją za dobrą?

Prawda jest taka, że czas pokaże, co jest dobrym, a co złym rozwiązaniem. Na tę chwilę w mojej ocenie największy problem będzie ze stosowaniem wspólnej procedury w grupach kapitałowych. Nie jest bowiem jasne, czy wspólna procedura daje możliwość korzystania ze wspólnych zasobów, nie tylko do przyjmowania zgłoszeń, ale również do podejmowania działań następczych. W bardzo wielu podmiotach od lat funkcjonują systemy zgłaszania nieprawidłowości – one są sprawdzone, wyspecjalizowane. Większość podmiotów nie ma możliwości zorganizować wewnątrz swoich zasobów osób, które będą merytorycznie przygotowane i na tyle bezstronne. Nie są w stanie znaleźć takich osób.

Praktyka jak widzę jest bardzo różna, od utrzymywania status quo, po tworzenie rozwiązań, które tylko z pozoru mają odzwierciedlać wymaganie ustawy, aby działania następcze były prowadzone przez jednostki czy podmioty funkcjonujące w strukturze wewnątrz podmiotu prawnego. Wolałabym jednak, aby nie ukrywać rzeczywistych działań w tym zakresie, gdyż to może osłabić ochronę danych osobowych przetwarzanych w ramach tych procesów. Nie bez znaczenia dla ich oceny z perspektywy zasad ochrony danych będzie oczywiście całkowity brak przejrzystości i transparentności.

Jak powinno wyglądać upoważnienie podmiotów zewnętrznych? Które elementy należy w bezwzględnie uwzględnić?

Zacznę od tego, że zgłoszenia nie muszą być przyjmowane wyłącznie przez wewnętrzną jednostkę organizacyjną bądź osobę w strukturze. Tu  jest możliwość powierzenia określonych czynności na zewnątrz. W art. 28 ustawy jest napisane, że upoważnienie podmiotu zewnętrznego, o którym mowa w art. 25 ust. 1 pkt 1, wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. Podpisując umowę, musimy zdecydować, co ten podmiot ma robić, jakie działania. Może np. tylko przyjmować zgłoszenia. Do tego, do czego ten podmiot upoważnimy, będzie wynikało to, co on może robić z danymi osobowymi – nie tylko zgłaszającego. Wraz z przyjęciem kwestionariusza zgłoszenia, podmiot dostaje masę informacji: nt. współpracowników sygnalisty, przełożonego, osoby której dotyczy zgłoszenie.

W ramach umowy należy określić procesy przetwarzania danych: czy ten podmiot ma wyłącznie umożliwić wpływ zgłoszeń, a następnie ma je przekazać, czy też będą one przechowywane z możliwością dostępu do nich uprawnionych osób, czy podmiot ten może się kontaktować z sygnalistą np. odpowiadać na jego pytania, informować go o przyjęciu zgłoszenia, przekazywania mu informacji zwrotnej itp. Jak to działa w praktyce? Podmioty upoważnione do działań następczych również otrzymują loginy i hasła do zgłoszenia i na platformie odbywa się cały proces komunikacji z sygnalistą. O ile z ustawy to nam wprost nie wynika, że tak można działać, to pod kątem umowy powierzenia przetwarzania danych, musimy te wszystkie elementy uwzględnić.

To, co jest warte podkreślenia, to jest to, iż zanim wybierzemy podmiot, sprawdzamy, czy on daje odpowiednie gwarancje zarówno techniczne, jak i organizacyjne, a więc wypisujemy nasze oczekiwania względem podmiotu, a on zapewnia, że jest je w stanie spełnić. Jeśli tak, to podpisujemy umowę. Praktyka niestety jest zupełnie inna. Wybór podmiotu, który będzie przetwarzał nasze dane osobowe podlega RODO. Dlatego wybierając ten podmiot, powinniśmy go oceniać z perspektywy wycieku danych. Zastanowić się, co zrobimy, gdy dane zostaną ujawnione, np. okaże się, że wiadomości mailowe zostały przekierowane na inną skrzynkę. Ważne, by sprawdzić, jak ten podmiot wtedy zareaguje. Spytać jakie ma zabezpieczenia. Warto rozmawiać z procesorami. Jeśli z uwagi na ograniczony budżet, wybieramy najtańszy podmiot, zdajmy sobie sprawę z ryzyka, jakie to za sobą niesie.

Podkreśliła Pani podczas seminarium, że podmiot prawny nie ma kompetencji śledczych i nie może przesłuchiwać świadków w trybie KPK. Tymczasem na podstawie procedur niektórych podmiotów można wywnioskować, że jest inaczej.

Bo nie ma. Ustawa nie daje mu takich kompetencji, co więcej w wielu przypadkach osoby prowadzące postepowania wyjaśniające nie znają przepisów postepowania karnego na tyle, aby się nimi sprawnie posługiwać. Nikt chyba nie myślałby o np. przymusowym doprowadzeniu świadka przed oblicze takiej wewnątrz firmowej komisji. Można oczywiście zapisać, że jak ktoś ma wiedzę o okolicznościach, o które będzie pytany, to jest obowiązany do ich ujawnienia, podobnie jak w przypadku dowodów, ale ciągle nie będzie to się odbywało na takich samych zasadach jak procedują podmioty publiczne.

Prowadziła Pani również panel podczas seminarium UODO „Praktyczne problemy w stosowaniu przepisów ustawy o ochronie sygnalistów z perspektywy RODO. Przyczynek do dyskusji nad wątpliwościami zgłoszonymi w trakcie konsultacji społecznych.” Czy Pani zdaniem to seminarium pozwoliło wyjaśnić pewne kwestie czy raczej zrodziły się nowe wątpliwości? W czasie spotkania panowała prawdziwa burza mózgów.

Wiele wątpliwości udało się wyjaśnić, ale liczny udział słuchaczy podczas kolejnych wydarzeń poświęconych tej problematyce pokazuje, iż jest niesłabnąca potrzeba organizowania takich wydarzeń. Jest też oczywistym, że pojawią się najprawdopodobniej nowe pytania jak zaczniemy stosować ustawę.

Jest Pani członkiem Społecznego Zespołu Ekspertów przy PUODO. Prowadzi Pani projekt naukowo-badawczy, realizowany w Katedrze Prawa Pracy i Polityki Społecznej, który zainaugurował spotkanie w siedzibie Urzędu – 31 lipca 2024 r. odbyło się w UODO seminarium „Przetwarzanie danych osobowych przez związki zawodowe. Od teorii do praktyki w kierunku poradnika”. Uczestniczy też Pani w pracach podgrupy roboczej poświęconym poradnikowi ds. zatrudnienia. Chodzi o aktualizację poradnika dotyczącego przetwarzania danych przy zatrudnianiu, który pod nazwą „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” ukazał się w 2018 r. Na jakim etapie są prace?

Jeżeli chodzi o poradnik dla związków zawodowych, to w najbliższym czasie rozpocznie się badanie ankietowe, którego zwieńczeniem będzie przedstawienie raportu z badania podczas konferencji, najprawdopodobniej w pierwszym tygodniu grudnia. Co do poradnika dla pracodawców, tam jest nieco łatwiej, gdyż jest punkt odniesienia w postaci poradnika, którego zapisy są przez nas analizowane wspólnie z pracownikami Urzędu i w miarę potrzeby poddawane zmianom. Zdarza się, ze mamy różne punkty widzenia, ale staramy się wówczas w drodze dyskusji i przedstawiania argumentów wypracowywać rozwiązania, które pozwolą na to, aby poradnik był jak najbardziej użyteczny i odpowiadał na aktualne bolączki pracodawców.

Na co dzień kieruje Pani zespołem ochrony danych osobowych w kancelarii oraz wykłada Pani w Katedrze Prawa Pracy i Polityki Społecznej Uniwersytetu Jagiellońskiego. Jednocześnie jest Pani bardzo zaangażowana w prace SZE przy PUODO. Jest Pani bardzo zapracowana. Czy w Pani życiu jest miejsce na pasje inne niż prawo, czy pracy i nauce oddaje się Pani całkowicie?

Nie jest łatwo godzić te wszystkie aktywności, to fakt. Czasu wolnego faktycznie nie mam za wiele, a jak już się pojawi, szybko udaje się go wypełnić np. pracą nad publikacjami. Nie jestem w tym zakresie asertywna, zwłaszcza że propozycje przychodzą od osób, które lubię i cenię. Ale dla moich dwóch berneńskich psów pasterskich czas znajdę zawsze.