Informacja dla sygnalistów o zasadach ochrony danych osobowych (na podstawie art. 48 ust. 6 ustawy o ochronie sygnalistów)
1. Ochrona poufności
Administrator zapewnia, że dostęp do danych osobowych sygnalisty uzyskują tylko osoby upoważnione.
2. Zgoda na ujawnienie tożsamości
Sygnalista może wyrazić zgodę na ujawnienie danych osobowych umożliwiających ustalenie jego tożsamości. W przypadku wyrażenia zgody przez sygnalistę, administrator będzie informował osoby wskazane w zgłoszeniu o podaniu ich danych przez sygnalistę (w ramach realizacji obowiązku informacyjnego z art. 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) - dalej RODO. lub w ramach realizacji przez te osoby prawa dostępu do danych osobowych).
3. Wyjątek dotyczący zgody
Zgoda sygnalisty nie jest wymagana w sytuacji, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.
Przed takim ujawnieniem danych osobowych sygnalisty, właściwy organ publiczny lub właściwy sąd powiadamia o tym sygnalistę, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych, chyba że takie powiadomienie zagrozi postępowaniu wyjaśniającemu lub postępowaniu przygotowawczemu, lub sądowemu.
4. Niezbędność i minimalizacja
Podmiot publiczny przetwarza dane osobowe w minimalnym zakresie, tj. niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego.
5. Przechowywanie i usuwanie danych
Podmiot prawny przechowuje dane osobowe, które przetwarza w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Po tym czasie dane osobowe są usuwane, chyba że dokumenty związane ze zgłoszeniem stanowią część akt postępowań przygotowawczych lub spraw sądowych lub sądowoadministracyjnych.
Administrator zbiera tylko dane niezbędne. Dane niemające znaczenia dla zgłoszenia, nie są zbierane. Dane przypadkowo zebrane są niezwłocznie usuwane, nie później niż do upływu 14 dni od momentu ustalenia, że nie są niezbędne.
6. Informowanie osób wskazanych w zgłoszeniu
Administrator informuje osoby wskazane w zgłoszeniu lub osoby, których dotyczy zgłoszenie, na podstawie art. 14 RODO, o zasadach przetwarzania ich danych osobowych, z wyłączeniem informacji o źródle danych osobowych, chyba, że sygnalista nie spełnia warunków wskazanych w art. 6 ustawy albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości.
7. Ograniczenie w realizacji prawa dostępu do danych osobowych
Administrator realizuje prawo dostępu do danych osobowych osób wskazanych w zgłoszeniu lub osób, których dotyczy zgłoszenie, z wyłączeniem informacji o źródle danych osobowych, chyba, że e sygnalista nie spełnia warunków wskazanych w art. 6 ustawy albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości.
8. Przechowywanie danych osobowych w zakresie zgłoszeń zewnętrznych
Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia zewnętrznego oraz dokumenty związane z tym zgłoszeniem są przechowywane przez Rzecznika Praw Obywatelskich przez okres 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych. Po tym czasie dane osobowe są usuwane, chyba że dokumenty związane ze zgłoszeniem stanowią część akt postępowań przygotowawczych lub spraw sądowych lub sądowoadministracyjnych.
9. Zasady ochrony danych osobowych
Administrator zapewnia, że dane osobowe będą:
- przetwarzane zgodnie z prawem, rzetelnie i przejrzyście (zasada zgodności z prawem, rzetelności i przejrzystości z art. 5 ust. 1 lit. a) RODO,
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczenia celu z art. 5 ust. 1 lit. b) RODO),
- adekwatne, stosowne, ograniczone do tego co niezbędne (zasada minimalizacji z art. 5 ust. 1 lit. c) RODO),
- prawidłowe i w razie potrzeby uaktualniane (zasada prawidłowości z art. 5 ust. 1 lit. d) RODO),
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż niezbędny do celów przetwarzania (zasada prawidłowości z art. 5 ust. 1 lit. e) RODO),
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych (zasada integralności i poufności z art. 5 ust. 1 lit. f) RODO).