Zasady poufności i zasady przetwarzania danych osobowych
I. Informacje ogólne:
1. Dane osobowe dot. zgłoszeń naruszenia prawa, o których mowa w art. 3 ustawy z dnia 14 czerwca 2024 r. ustawy o ochronie sygnalistów przetwarzane są w zakresie niezbędnym do weryfikacji zgłoszenia i podjęcia działań następczych, zgodnie z zasadami o których mowa w art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.)
2. Przetwarzane dane, o których mowa powyżej mogą dotyczyć:
1) sygnalistów,
2) osób, których dotyczy zgłoszenie,
3) osób trzecich, wskazanych w zgłoszeniu.
3. Przetwarzaniu podlegają tylko te dane, które są niezbędne do realizacji celu.
II. Obowiązki administratora, osób przetwarzających dane oraz zasady udostępniania:
1. W KGSG zostały wdrożone środki organizacyjne i techniczne zapewniające bezpieczeństwo przetwarzanych danych osobowych, w zakresie wymaganym przepisami prawa, w tym ochronę poufności tożsamości sygnalisty oraz innych osób, których dane są przetwarzane w związku z przyjętym zgłoszeniem i podjętymi działaniami następczymi.
2. Dane sygnalisty podlegają ochronie zgodnie z przepisami ustawy. Mogą być ujawnione wyłącznie podmiotom uprawnionym do ich przetwarzania na podstawie przepisów prawa, np. podejmowania działań następczych i prowadzenia postępowań.
3. Dane sygnalisty mogą zostać ujawnione osobom, których dotyczy zgłoszenie lub osobom trzecim wskazanym w zgłoszeniu, jeżeli sygnalista wyrazi zgodę na ujawnienie tożsamości lub jeśli sygnalista nie spełnił wymogów określonych w art. 6 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. poz. 928). Ujawnienie będzie się wiązać przede wszystkim z obowiązkiem spełnienia w stosunku do tych osób obowiązku informacyjnego wynikającego z art. 14 RODO, w ramach którego podaje się źródło pochodzenia danych.
4. Dostęp do danych osobowych, o ile zostaną ujawnione mają wyłącznie osoby pisemnie upoważnione do przyjmowania, weryfikacji zgłoszeń, podejmowania działań następczych. Osoby te są zobowiązane do zachowania w tajemnicy informacji i danych osobowych uzyskanych w ramach powierzonych zadań związanych z obsługą zgłoszeń.
III. Realizacja praw osób, których dane dotyczą
1. Zapewnia się realizację praw osób, których dane są przetwarzane w ramach obsługi zgłoszeń, wskazanych w treści klauzuli informacyjnej kierowanej do:
- sygnalisty,
- osoby(osób), których dotyczy zgłoszenie oraz
- osób trzecich wskazanych w zgłoszeniu,
z zastrzeżeniem ust. 2.
2. Realizacja niektórych praw osób, których dane dotyczą, następuje z ograniczeniami, o których mowa w art. 8 ust. 5 i 6 ustawy o ochronie sygnalistów:
1) administrator nie informuje osób, których dane są przetwarzane na postawie art. 14 RODO (osoby, której dotyczy zgłoszenie oraz osoby trzeciej wskazanej w zgłoszeniu) o źródle danych osobowych, chyba, że sygnalista nie spełnia warunków wskazanych w art. 6 ustawy o ochronie sygnalistów albo wyraził wyraźną zgodę na takie przekazanie,
2) w ramach realizacji prawa dostępu do danych osobowych administrator nie przekazuje informacji o źródle danych, chyba że sygnalista nie spełnia warunków wskazanych w art. 6 ustawy o ochronie sygnalistów albo wyraził zgodę na takie przekazanie.
3) Klauzule informacyjne dla sygnalisty, dla osoby, której dotyczy zgłoszenie oraz dla osoby trzeciej wskazanej w zgłoszeniu, wynikające z rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE są dostępne pod adresem ………………….………………………….
4) Klauzule informacyjne dla sygnalisty przekazywane są na etapie przesyłania informacji potwierdzającej przyjęcie zgłoszenia, natomiast klauzule informacyjne dla innych osób przekazywane będą w momencie podjęcia pierwszego kontaktu organu z osobą.
IV. Czas przechowywania i usuwanie danych osobowych
1) Dane osobowe, przetwarzane w ramach systemu zgłoszeń, będą przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
2) Po upływie okresu przechowywania dane osobowe będą usuwane, a dokumenty związane ze zgłoszeniem będą niszczone. Ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164) nie stosuje się. Wyjątek stanowi przypadek, gdy dokumenty związane ze zgłoszeniem stanowią część akt postępowań przygotowawczych lub spraw sądowych lub sądowo-administracyjnych.