Lekkie podejście do ochrony danych sygnalistów może być kosztowne

Wyciek danych osoby zgłaszającej naruszenie trzeba zgłosić do prezesa UODO w ciągu 72 godzin. Na wysokość ewentualnej kary kluczowy wpływ ma poziom stosowanych zabezpieczeń prawnych i organizacyjnych.

Jednym z ważniejszych obowiązków organizacji, wynikających z unijnej dyrektywy o ochronie osób zgłaszających naruszenia prawa, jest ścisła ochrona danych osobowych sygnalistów. I choć te przepisy jeszcze w Polsce nie obowiązują, bo krajowa ustawa nadal nie weszła w życie, to każda firma czy instytucja zbierająca dane osobowe, np. w wyniku zgłoszeń sygnalistów, musi przetwarzać je i zabezpieczyć zgodnie z RODO.

Sytuacja z Odrą

Na początek warto przytoczyć sytuację obrazującą omawiany problem. Kilka miesięcy temu całą Polskę zelektryzowały informacje o katastrofie ekologicznej na Odrze. Wkrótce obywatele przekazywali do różnych instytucji informacje o możliwych źródłach zatrucia rzeki oraz winnych tego stanu rzeczy. Niestety, dane sygnalistów kontaktujących się z Głównym Inspektoratem Ochrony Środowiska wpadły w ręce osób trzecich.

Niezależnie, czy do wycieku doszło w wyniku celowego działania, błędu ludzkiego czy luki w systemie zgłoszeń, każda organizacja musi podjąć odpowiednie działania wynikające z procedur RODO w firmie i zgodne z literą prawa. Konsekwencje tego rodzaju sytuacji mogą być bardzo poważne – zarówno prawne i finansowe, jak też czysto wizerunkowe – utrata reputacji firmy i spadek zaufania do praktyk whistleblowingowych.

Jak reagować na wyciek

Jednym z podstawowych...