Das lang erwartete polnische Whistleblower-Schutzgesetz wird am 25. September 2024 in Kraft treten. Dies bedeutet, dass Arbeitgeber bereits jetzt mit den Vorbereitungen beginnen sollten, indem sie ihre Verfahren aktualisieren oder neue Verfahren einführen, die mit den künftigen Vorschriften in Einklang stehen.
Gemäß den Bestimmungen des Gesetzes stellt jede rechtswidrige Handlung oder Unterlassung, die unter anderem den Datenschutz betrifft, einen Gesetzesverstoß dar. Wir empfehlen daher, neben der Einführung neuer Verfahren für Whistleblower auch die Datenschutzverfahren und -dokumentationen zu überprüfen.
Verfahren müssen wirksam und aktuell sein
Gemäß Artikel 24 DSGVO ist der Administrator verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu gewährleisten und im Falle einer Kontrolle nachweisen zu können. Diese Maßnahmen sind regelmäßig zu überprüfen und zu aktualisieren. Das bedeutet, dass sie kontinuierlich an sich ändernde Bedingungen im Unternehmen sowie an neue Vorschriften und Rechtsauslegungen angepasst werden müssen.
Auch personenbezogene Daten müssen aktuell und korrekt sein
Nicht nur die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten müssen regelmäßig aktualisiert und gegebenenfalls angepasst werden, sondern auch die personenbezogenen Daten selbst, die im Unternehmen verarbeitet werden. Diese müssen korrekt sein und bei Bedarf aktualisiert werden. Dies bedeutet, dass der Administrator Maßnahmen ergreifen sollte, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Verantwortlichkeit des Administrators
Der Administrator (das Unternehmen) ist für die Einhaltung der Datenschutzgrundsätze und die ordnungsgemäße Durchführung der damit verbundenen Aufgaben verantwortlich. Dazu gehören die Überprüfung bestehender Verfahren, die Einführung neuer Verfahren sowie die Erstellung und Änderung der für die Umsetzung des Datenschutzes erforderlichen Dokumente, insbesondere des Verzeichnisses der Verarbeitungstätigkeiten, der Berechtigungen und gegebenenfalls der Datenschutz-Folgenabschätzung.
Diese Verfahren und Dokumente sollten regelmäßig überprüft werden, wobei organisatorischen Änderungen, die sich auf die internen Verfahren auswirken, besondere Aufmerksamkeit zu widmen ist.
Besondere Beachtung des Arbeitsrechts
Obwohl die Verarbeitung personenbezogener Daten grundsätzlich alle Abteilungen eines Unternehmens betrifft, werden besonders sensible personenbezogene Daten, wie z.B. Gesundheitsdaten von Arbeitnehmern, in Personalabteilungen verarbeitet.
In diesem Zusammenhang ist auf das Urteil des Obersten Gerichtshofs mit dem Aktenzeichen II PSKP 7/21 hinzuweisen, wonach ein Arbeitgeber, der ein Mobbingverfahren an einen Dritten vergibt, als für die Verarbeitung Verantwortlicher für die Verletzung der Persönlichkeitsrechte eines Arbeitnehmers haftet, dessen personenbezogene Daten unter Verstoß gegen die Datenschutzvorschriften weitergegeben wurden. In dem betreffenden Fall wurden Gesundheitsdaten der Arbeitnehmerin an den externen Dritten weitergegeben, obwohl die Weitergabe für die Untersuchung des Falls nicht erforderlich war und die Arbeitnehmerin zudem keine Einwilligung erteilt hatte.
Wir weisen auch auf die Empfehlungen der polnischen Datenschutzbehörde (UODO) zur Aufbewahrung von Arbeitnehmerunterlagen hin. Beispielsweise sollten Arbeitgeber die Notwendigkeit der Verarbeitung personenbezogener Daten im Zusammenhang mit Behindertenbescheinigungen mindestens alle fünf Jahre überprüfen. Dabei wird bewertet, ob die Daten für die Erreichung der festgelegten und gerechtfertigten Ziele erforderlich sind.
Zusammenfassung
Unabhängig von den bevorstehenden Gesetzesänderungen ist zu beachten, dass Datenschutz ein dynamischer Prozess ist, der sich grundsätzlich mit dem Unternehmen weiterentwickelt. Er bedarf daher einer regelmäßigen und kontinuierlichen Aktualisierung. Darüber hinaus darf der stetige technische und technologische Fortschritt nicht vergessen werden, der Einfluss auf die Datensicherheit und mögliche Schutzmaßnahmen hat.
Mögliche Datenschutzverletzungen können nicht nur zu Ansprüchen von Arbeitnehmern, sondern auch zu behördlichen Sanktionen und möglichen Imageschäden führen. Angesichts der negativen Folgen empfehlen wir, die implementierten Verfahren und die erstellte Dokumentation sowie die verarbeiteten personenbezogenen Daten im Hinblick auf ihre Richtigkeit, Aktualität und die Zwecke ihrer Verarbeitung zu überprüfen.
Bei Fragen oder Unklarheiten stehen wir Ihnen gerne zur Verfügung.
Autoren:
Maria Aleksiejak, Referendarin (PL)
Krzysztof Łakomski, LL.M., Rechtsanwalt (PL)