Czy członkom komisji należy wydać oddzielne upoważnienia do przetwarzania danych osobowych w celu dotyczącym procedowania spraw/działalności komisji oraz czy realizujemy obowiązek informacyjny (art. 13 i 14 RODO)?

ODPOWIEDŹ

Na tę chwilę z żadnych przepisów nie wynika obowiązek nadawania członkom komisji odrębnego upoważnienia do przetwarzania danych, możliwe jednak, że pojawi się on w ustawie implementującej dyrektywę (takie specjalne upoważnienia są przewidziane np. w Kodeksie pracy czy ustawie o zakładowym funduszu świadczeń socjalnych). Jeżeli chodzi o realizację obowiązku informacyjnego wobec:

• członków komisji: to mogą być nasi pracownicy/współpracownicy B2B/osoby z zewnątrz (np. gdy zatrudniamy do obsługi zgłoszeń wyspecjalizowany podmiot) – spełniamy obowiązek informacyjny wobec tych osób na zasadach ogólnych, jesteśmy administratorami ich danych osobowych (nawet gdy są to formalnie pracownicy wspomnianego podmiotu wyspecjalizowanego, w mojej ocenie w zakresie wykonują dla nas usługi związane z obsługą zgłoszeń jesteśmy odrębnym administratorem ich danych, przetwarzany ich dane we własnych celach);
• osoby dokonującej zgłoszenia: oczywiście spełniamy obowiązek informacyjny przy pozyskaniu danych (o ile nie jest to zgłoszenie anonimowe i wtedy nie mamy takiej możliwości);
• osoby, której dotyczy zgłoszenie: spełniamy obowiązek informacyjny, ale uwaga: zgodnie z motywem (84) dyrektywy „Państwa członkowskie powinny zapewnić skuteczność niniejszej dyrektywy, w tym w stosownych przypadkach poprzez ograniczenie – w drodze aktów prawnych – wykonywania niektórych praw do ochrony danych osobowych osób, których dotyczy zgłoszenie, zgodnie z art. 23 ust. 1 lit. e) i i) oraz art. 23 ust. 2 rozporządzenia (UE) 2016/679, w zakresie, w jakim i o ile jest to konieczne, by zapobiec i zaradzić próbom utrudniania dokonywania zgłoszeń, utrudniania, udaremniania lub spowalniania działań następczych, w szczególności postępowań wyjaśniających, lub próbom ustalenia tożsamości osób dokonujących zgłoszenia”. Myślę, że możemy założyć, że polska ustawa będzie przewidywała sytuacje, w których nie powinniśmy spełniać obowiązku informacyjnego względem osoby, której dotyczy naruszenie, tak aby nie utrudniała ona postępowania wyjaśniającego.

Zgodnie z art. 14 ust. 5 lit. b) RODO, pośredniego obowiązku informacyjnego nie trzeba realizować, gdy może on uniemożliwić lub poważnie utrudnić realizację celów przetwarzania. Może to mieć miejsce na przykład wtedy, gdy ujawnienie takich informacji osobie objętej dochodzeniem poważnie zagroziłoby potrzebom dochodzenia, na przykład, gdy istnieje ryzyko zniszczenia dowodów. CNIL (francuski organ nadzorczy) zaleca, aby w takich przypadkach informacje były dostarczone niezwłocznie po uniknięciu ryzyka.

W tym kontekście EIOD rekomenduje, aby dokumentować powody wszelkich ograniczeń związanych z realizacją obowiązku informacyjnego (na potrzeby ewentualnych działań organu nadzorczego). Powody te powinny potwierdzać, iż istniało wysokie ryzyko, że udzielenie informacji, o których mowa w art. 14 RODO, utrudniłoby procedurę lub naruszyłoby prawa i wolność innych osób. Istotne jest również, że informowanie o źródłach pochodzenia danych osobowych, w ramach obowiązku z art. 14 RODO, nie powinno ujawniać danych osobowych sygnalisty lub osób trzecich. CNIL wskazuje w tym zakresie, że po dokonaniu zgłoszenia, jeżeli zostanie wszczęte postępowanie dyscyplinarne lub sądowe w odniesieniu do danej osoby, może ona uzyskać wskazaną informację zgodnie z przepisami prawa powszechnego (w szczególności prawa do obrony).