Zasady ochrony danych sygnalisty oraz innych osób których dane są przetwarzane w związku z rozpatrywaniem zgłoszenia i podejmowaniem działań następczych
Procedura stanowi integralną część Zarządzenia nr 39 MWKZ z dnia 20 września 2024 r., na podstawie ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. poz. 928).
I. Zasady ogólne
- Procedura zostaje ustanowiona w celu zapewnienia należytej ochrony sygnalistów, czyli osób zgłaszających lub publicznie ujawniających informacje o naruszeniach prawa, a także osób, które pomagają im dokonać zgłoszenia.
- Wojewódzki Urząd Ochrony Zabytków w Warszawie realizuje zadania związane z ochroną sygnalistów, zgodnie z przepisami ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. poz. 928).
- Wojewódzki Urząd Ochrony Zabytków w Warszawie jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L. Nr 119, s. 1 ze zm.) – dalej RODO, przetwarzanych w celu realizacji zadań związanych z obsługą zgłoszeń wewnętrznych.
- Wojewódzki Urząd Ochrony Zabytków w Warszawie, po uzyskaniu zgłoszenia, przetwarza je zgodnie z zasadami ochrony danych osobowych, o których mowa w art. 5 RODO, w szczególności zgodnie z zasadą zgodności z prawem, rzetelności i przejrzystości (art. 5 ust. 1 lit. a) RODO) oraz zasady minimalizacji (art. 5 ust. 1 lit. c) RODO), w zakresie niezbędnym do weryfikacji zgłoszenia i podjęcia ewentualnych działań następczych.
- Dane sygnalisty powinny pozostać poufne i nie mogą być ujawniane w toku postępowania stronom i uczestnikom tego postępowania, bez wyraźnego i jednoznacznego przyzwolenia ze strony sygnalisty.
- Dostęp do danych sygnalisty może mieć tylko i wyłącznie osoba, która otrzymała pisemne upoważnienie do przetwarzania danych osobowych w tym zakresie i została zobligowana do zachowania poufności danych oraz ochrony tożsamości sygnalisty.
- Jeżeli zgłoszenie dotyczy innych osób (np. świadków, osób trzecich), należy zapewnić ochronę poufności ich tożsamości, na takich samych zasadach jak ochrona danych sygnalisty.
- Wobec danych sygnalisty stosuje się pseudonimizację.
- Nie są przyjmowane zgłoszenia anonimowe. W przypadku wpłynięcia takiego zgłoszenia nie jest ono rozpatrywane.
- Pracownicy i osoby zatrudnione są zobligowane do stosowania Procedury.
- Na stronie internetowej Wojewódzkiego Urzędu Ochrony Zabytków w Warszawie zamieszcza się klauzulę informacyjną dla sygnalistów oraz innych osób których dane są przetwarzane przy rozpatrywaniu zgłoszenia naruszenia. Ponadto Klauzula informacyjna jest także przekazywana przy pierwszym kontakcie z sygnalistą.
- Osobom wyznaczonym do rozpatrywania zgłoszeń gwarantuje się niezależność w wykonywaniu swoich działań. Osoby te winny zachować bezstronność podczas rozpatrywania zgłoszenia i stosowania działań następczych.
- Wojewódzki Urząd Ochrony Zabytków w Warszawie stosuje odpowiednie środki organizacyjne i techniczne, o których mowa w art. 32 RODO, zapewniające ochronę danych sygnalisty, osoby, której dotyczy zgłoszenie, osoby trzeciej wskazanej w zgłoszeniu. Wojewódzki Urząd Ochrony Zabytków w Warszawie zapewnia ochronę poufności danych osobowych sygnalisty, osoby, której dotyczy zgłoszenie, osób wskazanych w zgłoszeniu.
- Wojewódzki Urząd Ochrony Zabytków w Warszawie zapewnia, że dostęp do danych osobowych zawartych w zgłoszeniu następuje wyłącznie w odniesieniu do osób upoważnionych przez niego, w formie pisemnej, do przetwarzania danych osobowych, a osoby upoważnione zobowiązały się do zachowania w tajemnicy informacji i danych osobowych uzyskanych w ramach powierzonych zadań związanych z obsługą sygnalistów, tj. przyjmowania, weryfikacji zgłoszeń, podejmowania działań następczych.
- Wojewódzki Urząd Ochrony Zabytków w Warszawie informuje wskazanego sygnalistę, osoby, których dotyczy zgłoszenie, osoby wskazane w zgłoszeniu, o zasadach ochrony ich danych osobowych.
II. Zasady ochrony danych podczas rozpatrywania zgłoszeń
- Dostęp do kanałów zgłaszania nieprawidłowości mają tylko i wyłącznie osoby uprawnione do rozpatrywania zgłoszeń naruszenia prawa na podstawie pisemnego upoważnienia udzielonego przez Mazowieckiego Wojewódzkiego Konserwatora Zabytków.
- W przypadku zgłoszeń ustnych lub przyjmowania ustnych wyjaśnień, należy zapewnić środki umożliwiające ochronę poufności tożsamości sygnalisty poprzez brak obecności osób postronnych podczas wizyty, wybór pomieszczenia, które nie jest objęte monitoringiem wizyjnym.
- Tworzy się rejestr zgłoszeń wewnętrznych.
- Dostęp do danych w rejestrze ma tylko i wyłącznie osoba upoważniona do przetwarzania danych sygnalistów.
- Osoba wyznaczona do przyjmowania zgłoszeń, niezwłocznie po otrzymaniu dokonuje pseudonimizacji danych sygnalisty i nadaje mu identyfikator (np. numeryczny), który będzie wykorzystywany podczas postępowania wyjaśniającego.
- Pseudonimizacja obejmuje wszelkiego rodzaju informacje umożliwiające bezpośrednią lub pośrednią identyfikację sygnalisty, ze szczególnym uwzględnieniem tego, czy sama treść zgłoszenia nie wskazuje na tożsamość sygnalisty.
- Nie dokonuje się pseudonimizacji danych sygnalisty, jeżeli wyraźnie wyraził zgodę na upublicznienie jego danych.
- Zakazane jest stosowanie jakichkolwiek działań odwetowych wobec sygnalisty.
- Udział w procesie rozpatrywania mogą brać tylko bezstronne osoby, które zostały zobligowane do zachowania poufności, także po ustaniu stosunku pracy lub zakończeniu współpracy.
- Zapewnia się ochronę dokumentacji dotyczącej zgłoszeń oraz postępowań następczych:
- dane papierowe są przechowywane w szafie zamykanej na klucz, do której dostęp mają tylko osoby upoważnione do przetwarzania danych związanych z postępowaniami;
- dostęp do systemów, w których są przetwarzane dane, jest ograniczony do uprawnionych użytkowników, a każde działanie na danych (dostęp, edycja, usuwanie, itp.) jest rejestrowane;
- dane przekazywane drogą elektroniczną są wcześniej zaszyfrowane i/lub pseudonimizowane;
- dane po ustaniu przydatności są usuwane bezpowrotnie z systemów, a dane papierowe niszczone w niszczarce.
- Na wszystkich etapach postępowania wyjaśniającego zamiast danych sygnalisty jest stosowany przypisany identyfikator.
- W postępowaniu należy odwołać się do numeru sprawy, pod którą zostało zarejestrowane zgłoszenie od sygnalisty, a nie sprawy, której dotyczy zgłoszenie naruszenia.
- Danych sygnalisty nie ujawnia się na wniosek stron lub uczestników postępowania wyjaśniającego.
- Sygnalista jest informowany o okolicznościach, w których ujawnienie jego tożsamości stanie się konieczne. Obowiązek uzyskania zgody sygnalisty na ujawnienie jego tożsamości nie dotyczy przypadku, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.
- Danych sygnalisty nie zamieszcza się w rozdzielnikach dokumentów związanych z postępowaniem wyjaśniającym, ani w korespondencji mailowej.
- Jeżeli zgłoszenie wpłynie innym, niż zatwierdzony do przyjmowania zgłoszeń kanałem, osoba która je otrzyma jest zobligowana niezwłocznie przekazać je do osoby upoważnionej do rozpatrywania zgłoszeń i usunąć wszelkie jej kopie (np. z poczty e-mail).
- Dane sygnalisty mogą być ujawnione tylko we wskazanych okolicznościach:
- uprawnionym organom, w związku z prowadzonym postępowaniem;
- na wniosek i za zgodą sygnalisty;
- jeśli sygnalista nie spełnił wymogów określonych w art. 6 ustawy o ochronie sygnalistów.
- Dane osobowe będą udostępniane odrębnym administratorom, tj. właściwym organom, w przypadku podejmowania działań następczych i prowadzenia postępowań.
- Wojewódzki Urząd Ochrony Zabytków w Warszawie zapewnia realizację praw osób, których dane są przetwarzane w ramach obsługi zgłoszeń sygnalistów, wskazanych w treści klauzuli informacyjnej kierowanej do sygnalisty, osoby, której dotyczy zgłoszenie oraz osoby wskazanej w zgłoszeniu.
- Realizacja niektórych praw osób, których dane dotyczą, następuje z ograniczeniami, o których mowa w art. 8 ust. 5 i 6 ustawy o ochronie sygnalistów:
- Wojewódzki Urząd Ochrony Zabytków w Warszawie nie informuje osób, których dane są przetwarzane na postawie art. 14 RODO (osoby, której dotyczy zgłoszenie oraz osoby wskazanej w zgłoszeniu) o źródle danych osobowych, chyba, że sygnalista nie spełnia warunków wskazanych w art. 6 ustawy o ochronie sygnalistów albo wyraził wyraźną zgodę na takie przekazanie;
- w ramach realizacji prawa dostępu do danych osobowych Wojewódzki Urząd Ochrony Zabytków w Warszawie nie przekazuje informacji o źródle danych, chyba że sygnalista nie spełnia warunków wskazanych w art. 6 ustawy o ochronie sygnalistów albo wyraził wyraźną zgodę na takie przekazanie.
- Dane osobowe, przetwarzane w ramach systemu zgłoszeń wewnętrznych, będą przechowywane przez okres 3 lat od zakończenia roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
- Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.