Dostosowanie instytucji lub firm do założeń dyrektywy UE, a wkrótce także polskiej ustawy o ochronie sygnalistów, wiąże się z określonymi działaniami po stronie organizacji. Powinny one stworzyć odpowiednie procedury wewnętrzne określające schemat postępowania w przypadku wpłynięcie i przetwarzania zgłoszenia, uruchomić kanał komunikacji dla sygnalistów czy wyznaczyć osoby do ich obsługi. Jednak, jak wynika z obserwacji naszych oraz Kancelarii Prawnej Osiej i Partnerzy, często organizacje bagatelizują jedną, szalenie istotną kwestię ściśle związaną z przepisami o sygnalistach – ochronę danych osobowych.
Dane osobowe są nierozerwalnie związane z procesem sygnalizowania naruszeń. Wynika to z tego, że zgłoszenia dokonuje konkretna osoba, która opisuje w nim działania lub zaniechania danego pracownika, sama przy tym się ujawniając. W procesie mamy także do czynienia ze świadkami czy osobami wspierającymi zgłaszającego. Na etapie przyjęcia i przetwarzania zgłoszenia osoba odpowiedzialna za ten proces musi dochować szczególnej staranności, by wszelkie informacje w nim zawarte pozostały poufne. Ujawnienie tożsamości sygnalisty czy niedochowanie poufności niweczy cały proces, bo ochrona sygnalisty jest wtedy nieskuteczna. Tworząc procedury, należy pamiętać, by przetwarzanie danych w zgłoszeniach było zgodne z RODO, bowiem ich obsługa będzie nowym procesem wymagającym ujęcia w procedurach ochrony danych osobowych.
Konsekwencją niezapewnienia ochrony danych osobowych na poziomie wynikającym z regulacji mogą być nie tylko konsekwencje prawne. Wyciek danych czy ujawnienie tożsamości sygnalisty może podważyć zaufanie pracowników do działania systemu whistleblowingowego i do pracodawcy. Stosując tradycyjne metody zbierania informacji o nieprawidłowościach, jak skrzynki na listy czy dedykowane adresy email, nie mamy żadnej gwarancji, że tożsamość osoby zgłaszającej nie wypłynie nawet przez przypadek. Dobrym rozwiązaniem jest tu nasza aplikacja whiblo, która zapewnia szereg mechanizmów skutecznie chroniących dane sygnalisty i gwarantująca jego anonimowość.
Nasze wcześniejsze artykuły na temat najczęstszych błędów popełnianych przez organizacje w związku z wdrożeniem założeń dyrektywy o ochronie sygnalistów można przeczytać tu:
