Projektowana ustawa o ochronie sygnalistów - wyzwania i zgodność z RODO

Kim jest sygnalista i jaka jest jego rola

Określenie sygnalista wywodzi się z angielskiego słowa whistleblower i w potocznym tłumaczeniu oznacza informatora. Funkcja informatora, która początkowo narodziła się w krajach anglosaskich, wiązała się z powiadamianiem o nieprawidłowościach związanych przede wszystkim z działalnością instytucji finansowych czy wielkich korporacji. Z czasem, także na szczeblu unijnym, dostrzeżono konieczność uregulowania kwestii zgłaszania naruszeń i ochrony osób dokonujących tych zgłoszeń. Na podstawie Dyrektywy Parlamentu Europejskiego i Rady UE 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, Polska prowadzi prace nad projektem ustawy, która ma zadanie wdrożyć założenia dyrektywy do polskiego porządku prawnego.

Na gruncie unijnej dyrektywy sygnalista to mówiąc wprost osoba dokonująca zgłoszenia o nieprawidłowościach. Sygnalista może dokonać zgłoszenia wewnątrz organizacji, zgłoszenia zewnętrznego oraz pod pewnymi warunkami – ujawnienia publicznego.

Często jednak rola sygnalisty jest błędnie rozumiana jako osoby odpowiedzialnej za rozwiązanie problemu w organizacji. Należy jednak pamiętać, że rola sygnalisty polega tylko na zwróceniu uwagi na dany problem. Po stronie organizacji leży z kolei poprowadzenie postępowania, zebranie dowodów i w zależności od wagi otrzymanej informacji: zapobiegnięcie skutkom naruszeń lub wyciągnięcie wniosków na przyszłość.

Sygnalista jest osobą fizyczną, która dokonuje zgłoszenia lub ujawnia publicznie informacje uzyskane w kontekście związanym z pracą. Czy oznacza to, że sygnalistą może zostać jedynie pracownik? Absolutnie, nie. Do kręgu osób zgłaszających naruszenie zaliczyć możemy również: osoby świadczące pracę na innej podstawie niż stosunek pracy, np. zleceniobiorców, pracowników tymczasowych, przedsiębiorców (np. osoby współpracujące w ramach umowy B2B), akcjonariuszy i wspólników, osoby świadczące pracę pod nadzorem i kierownictwem wykonawcy, podwykonawców lub dostawców, w tym na podstawie umowy cywilnoprawnej, stażystów, wolontariuszy, praktykantów, a także funkcjonariuszy i żołnierzy.

Katalog osób mogących zostać sygnalistą jest bardzo szeroki. Jednak dla lepszego zrozumienia tematu możemy przyjąć, że sygnalistą może zostać każda osoba, która w związku z wykonywaniem jakiejś czynności dla organizacji dowiedziała się o nieprawidłowościach, które wymagają zgłoszenia.

Rodzaje zgłoszeń

Wewnętrzne zgłoszenia, czyli obsługiwane przez organizację samodzielnie, a w zasadzie przez osoby upoważnione przez pracodawcę do obsługi takich zgłoszeń, opierają się na wewnętrznie przyjętej procedurze zgłoszeń. W oparciu o nią pracodawca może wybrać, czy chce jako zaufany kanał zgłoszeń przyjąć np. tylko zgłoszenia telefonicznie, zgłoszenia mailowe; może też okazać się, że dostępnym kanałem zgłoszeń stanie się platforma internetowa lub aplikacja mobilna.

Obowiązkiem podmiotu, który wdrożył procedurę wewnętrznych zgłoszeń, jest również prowadzenie rejestru zgłoszeń. Z punktu widzenia ochrony danych osobowych ważne jest podkreślenie, że podmiot prawny, np. pracodawca, będzie w tym wypadku administratorem danych osobowych znajdujących się w rejestrze.

Zewnętrzne zgłoszenia mogą odbyć się nawet bez wcześniejszego dokonania zgłoszenia wewnętrznego. Przyjmowaniem zgłoszeń zewnętrznych zajmować się będzie Rzecznik Praw Obywatelskich albo organ publiczny. Zgłoszenia mogą być ustne lub pisemne, w tym w postaci elektronicznej. Rzecznik Praw Obywatelskich, ustalać będzie procedurę przyjmowania zgłoszeń zewnętrznych, która w szczególności określać będzie tryb postępowania z informacjami o naruszeniach prawa zgłaszanych anonimowo.

Z kolei ujawnienie publiczne to forma zgłoszenia najbardziej ingerująca w wizerunek organizacji. Dokonanie tej formy zgłoszenia podlega przewidzianym w projekcie ustawy zasadom. Oznacza to, że sygnalista będzie podlegać ochronie jedynie w sytuacji, gdy ujawnienie publiczne spełnia przesłanki
z art. 51 projektu ustawy.

Czego może dotyczyć zgłoszenie

Przyjmijmy, że jesteś pracownikiem, który dostrzega w firmie, w której pracuje, kilka nieprawidłowości. Zapewne zastanawiasz się, czy dokonać takiego zgłoszenia, a jeżeli tak, to jaki kanał zgłoszenia wybrać. Prześledźmy po kolei kroki, które powinno się podjąć, aby mieć pewność, że działania będą prawidłowe.

Na początek upewnij się, że sytuacja, którą chcesz zgłosić, kwalifikuje się jako tzw. naruszenie prawa, o którym mowa w art. 3 ust. 1 projektu ustawy o ochronie osób zgłaszających naruszenia prawa. Przez naruszenie prawa ustawodawca rozumie działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa. Pamiętajmy jednak, że organizacja może wprowadzić inne dopuszczalne rodzaje naruszeń, w oparciu o wewnętrzne regulacje lub przyjęte standardy etyczne.

Przed dokonaniem zgłoszenia upewnij się, jakie kanały zgłoszeń są dostępne w Twojej organizacji i wybierz najbardziej dogodny dla Ciebie. Może zdarzyć się, że u pracodawcy funkcjonuje tylko jeden kanał zgłoszeń; pamiętaj jednak, by w każdym przypadku zapoznać się z wewnętrzną procedurą zgłoszeń, aby poznać swoje prawa jako sygnalista.

Gdy dokonasz już zgłoszenia poprzez poufny kanał, pamiętaj o uzyskaniu potwierdzenia obioru zgłoszenia. Procedura zgłoszeń wewnętrznych powinna przewidywać obowiązek potwierdzenia zgłaszającemu przyjęcie zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że zgłaszający nie podał adresu do kontaktu, na który należy przekazać potwierdzenie. Jako sygnalista masz też prawo do otrzymania informacji zwrotnej; co do zasady termin ten nie przekracza 3 miesięcy.

Zarówno pracodawca, jak i Rzecznik Praw Obywatelskich albo organ władzy publicznej (w przypadku zgłoszenia zewnętrznego) mogą zwrócić się do Ciebie o udzielenie dodatkowych wyjaśnień dotyczących okoliczności naruszenia, wykorzystując wskazany przez Ciebie adres do kontaktu. W takiej sytuacji jako sygnalista będziesz mógł odstąpić od przekazania dalszych informacji, np. jeżeli będziesz się obawiać, że dalsze wyjaśnienia zagrożą naruszeniu ochrony twojej tożsamości.

Pamiętaj też, że naruszenie nie będzie mogło dotyczyć informacji objętych przepisami o ochronie informacji niejawnych, tajemnicą zawodową w związku z wykonywaniem zawodów medycznych i prawniczych, tajemnicą narady sędziowskiej, a także informacji objętych postępowaniem karnym (w zakresie tajemnicy postępowania przygotowawczego oraz tajemnicy rozprawy sądowej prowadzonej z wyłączeniem jawności).

Jaka organizacja będzie mieć obowiązek wprowadzenia wewnętrznego kanału zgłoszeń

Wewnętrzny kanał zgłoszeń będą musiały wprowadzić w swojej organizacji podmioty, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Zasada ta jednak nie będzie dotyczyć podmiotów wymienionych w art. 23 ust. 3-5 projektu ustawy.

Jak powinien wyglądać kanał zgłoszeń w Twojej organizacji

Podmiot, który wprowadza tzw. wewnętrzną procedurę zgłoszeń, powinien przede wszystkim zapoznać z nią całą organizację. Projekt ustawy przewiduje nawet wprowadzenie tzw. systemu zachęt, który świadomie buduje kulturę zaufania wobec przyjętej procedury. Taki system może też zminimalizować obawę przed ewentualnymi działaniami odwetowymi, czyli działaniami, które mogą wyrządzić szkodę osobie dokonującej zgłoszenia.

Warto zaznaczyć, że organizacja sama dokonuje wyboru dogodnego kanału zgłoszeń, z uwzględnieniem przepisów ujętych w projekcie ustawy. Kanałów zgłoszeń może być kilka: infolinia, dedykowana platforma internetowa, aplikacja dla sygnalistów. Dopuszczalne są również zgłoszenia za pomocą innych kanałów, jednak przed podjęciem ostatecznej decyzji organizacja powinna dokładnie przeanalizować, które z kanałów rodzić będą najmniejsze ryzyko naruszenia poufności tożsamości osoby zgłaszającej.

Projekt ustawy zakłada, że podmiot prawny, Rzecznik Praw Obywatelskich oraz organ publiczny mogą przyjmować zgłoszenia dokonane anonimowo. Dodatkowo, na podstawie wewnętrznych regulacji pracodawca będzie zobowiązany do określenia trybu postępowania z informacjami o naruszeniach prawa zgłoszonych anonimowo. Oznacza to, że wewnętrzne regulacje będą rozstrzygać o tym czy anonimowe zgłoszenia będą rozpatrywane, a jeżeli tak, to na jakich zasadach.

Ochrona sygnalisty

Ochrona sygnalisty powinna być kluczowym założeniem dla każdej organizacji wdrażającej procedurę zgłoszeń. Przyjęte regulacje muszą gwarantować możliwość dokonania poufnego zgłoszenia. Oznacza to, że przetwarzanie danych osobowych pozyskanych w związku ze zgłoszeniem musi gwarantować maksymalny poziom bezpieczeństwa poprzez uniemożliwienie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom oraz zapewnienie poufności tożsamości zarówno zgłaszającego, jak i osoby, której dotyczy zgłoszenie. Ochrona poufności jest rozszerzona, gdyż dotyczy wszelkich informacji, na podstawie których można bezpośrednio bądź pośrednio zidentyfikować tożsamość takich osób. Zachowanie poufności co do tożsamości sygnalisty zmniejsza znacząco ryzyko wystąpienia ewentualnych działań odwetowych.

Warto dodać, że sygnaliście, wobec którego dopuszczono się działań odwetowych, przysługiwać będzie prawo do odszkodowania w wysokości nie niższej niż dwunastokrotność przeciętnego miesięcznego wynagrodzenia w gospodarce narodowej. Z kolei osoba, która poniosła szkodę w skutek świadomego ujawnienia nieprawdziwych informacji przez sygnalistę, będzie mieć prawo dochodzenia odszkodowania i zadośćuczynienia od takiego zgłaszającego.

Projekt ustawy przewiduje, że ochrona sygnalisty rozpoczyna się od chwili dokonania zgłoszenia bądź ujawnienia publicznego, pod warunkiem, że sygnalista miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa.

Należy pamiętać, że dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości mogą zostać ujawnione, tylko po uzyskaniu wyraźnej zgody pochodzącej od sygnalisty. Co do zasady, tożsamość sygnalisty podlegać będzie całkowitej ochronie, za wyjątkiem sytuacji przewidzianych w projekcie ustawy, kiedy to ujawnienie będzie konieczne i prawnie dopuszczalne (art. 8 ust. 2 i 3 projektu ustawy).

Pracodawca zobowiązany jest do pisemnego upoważnienia osób z organizacji, które będą odpowiedzialne za przyjmowanie i weryfikację zgłoszeń, podejmowanie działań następczych oraz przetwarzanie danych osobowych uzyskanych w związku z dokonanym zgłoszeniem. Więcej informacji na ten temat można znaleźć w artykule: Jak chronić poufność i dane osobowe sygnalistów? Udostępniamy wzór DPIA.

Czy będzie możliwe połączenie funkcji IOD z obsługą zgłoszeń pochodzących od sygnalistów

Nad tym zagadnieniem pochylił się Urząd Ochrony Danych Osobowych, który podkreślił, że przepisy unijnej dyrektywy o sygnalistach nie regulują kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami. Urząd wskazał jednak, że w takiej sytuacji administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań.

Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243). Zgodnie bowiem z art. 38 ust. 6 RODO, IOD może wykonywać „inne zadania i obowiązki”. W dalszej części przepisu występuje jednak zastrzeżenie, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”. Konflikt interesów następuje, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, np.  gdy pomiędzy zadaniami występuje sprzeczność uniemożliwiająca odpowiednią ich realizację.

Podsumowując, wydaje się, że nie ma przeciwskazań by łączyć te dwie funkcje. Ważne jest jednak, aby administrator danych przed powierzeniem IOD funkcji związanej z obsługą wniosków sygnalistów dokonał analizy pod kątem tego, czy IOD będzie mógł prawidłowo wykonywać swoje obowiązki. Urząd Ochrony Danych Osobowych zwrócił uwagę, że brak dokonania takiej analizy może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.

Szansa dla organizacji

Pamiętajmy, że dzięki sygnałowi pochodzącemu od osoby zgłaszającej organizacja będzie mogła przede wszystkim ustrzec się przed negatywnymi konsekwencjami związanymi z naruszeniem. Odpowiednio podjęte działania będą mogły też zapobiec skutkom takim jak narażenie wizerunku firmy czy utrata zaufania wśród kontrahentów. Od samego pracodawcy zależy, czy procedura naruszeń kojarzyć się będzie w sposób negatywny z „donosicielstwem”. Dlatego, poprzez odpowiednio wykorzystane narzędzia oraz uświadomienie organizacji na temat korzyści płynących z prawidłowo działającego systemu zgłoszeń, organizacja może wykorzystać sygnał jako szansę na poprawę tych elementów, które od dawna wymagały weryfikacji czy udoskonalenia.

Audyt, dokumentacja, DPIA, a może szkolenie pracowników

Ważne jest, aby Twoja organizacja była gotowa na wdrożenie niezbędnych procedur i podjęcie działań wraz z wejściem ustawy w życie. Warto już teraz pamiętać o niezbędnych działaniach, takich jak dokonanie audytu oraz analizy potrzeb. Pamiętajmy, że prawidłowo wykonana analiza pozwoli zdefiniować potrzeby oraz wskazać kluczowe priorytety. Ważne jest również wprowadzenie odpowiednich procedur, które zapewnią poufny kanał dokonywania zgłoszeń. Dla operacji zgłaszania naruszeń przez sygnalistów powinno również zostać przeprowadzone DPIA, czyli ocena skutków dla ochrony danych osobowych.  Administratorzy danych osobowych powinni być świadomi, że procesy przetwarzania w tym obszarze mogą wiązać się z dużym prawdopodobieństwem naruszenia praw i wolności osób fizycznych, zarówno w odniesieniu do sygnalisty, jak i osoby, której dotyczy zgłoszenie. Wiąże się to również z istnieniem ryzyka co do podjęcia działań odwetowych względem osoby zgłaszającej lub jej bliskich.

Aby Twoja organizacja była w pełni przygotowana bardzo ważne jest przeszkolenie pracowników z podstaw zgłaszania naruszeń i ochrony sygnalistów.

Aplikacja dla sygnalistów, czyli przydatne narzędzie ochrony poufności tożsamości 

Przydatnym narzędziem w Twojej organizacji może stać się skorzystanie z aplikacji dla sygnalistów. Narzędzie to różni się od innych bardziej tradycyjnych kanałów zgłoszeń. We wcześniejszej części artykułu wspomniano, że ochrona poufności sygnalisty jest kluczowa, dlatego wydaje się, że aplikacja do ochrony sygnalistów jest narzędziem konkurencyjnym w stosunku do pozostałych kanałów zgłoszeń.

Jakie są jej zalety? Aplikacja nie generuje tak wielu ryzyk, chociażby związanych z możliwością zapoznania się z treścią zgłoszenia przez osobę nieuprawnioną, jak przy wyborze zgłoszeń w formie pisemnej/ listownej. Nie wiąże się też z ryzykiem braku odpowiednich zabezpieczeń systemów teleinformatycznych, jak w przypadku zgłaszania naruszeń drogą mailową. Ten poufny kanał zgłoszeń gwarantuje bezpieczeństwo i sprawną obsługę zgłoszenia. ODO 24 przygotowało ranking 10 najlepszych aplikacji dla sygnalistów.

Podsumowanie

Krajowe prace nad projektem ustawy o ochronie sygnalistów są na zaawansowanym etapie, dlatego możemy już wyciągnąć kilka wniosków ważnych dla organizacji, które będą zobowiązane wdrożyć przepisy ustawy w życie.

Ochrona sygnalistów to z pewnością duże wyzwanie dla większości z nas. Oprócz wprowadzenia wewnętrznej procedury zgłoszeń, Twoja organizacja będzie musiała się pochylić także nad innymi zagadnieniami, takimi jak: dobór odpowiedniego kanału zgłoszeń, zapewnienie bezpieczeństwa ochrony danych czy przeszkolenie organizacji w związku z przyjęciem nowych procedur tzw. obsługi naruszeń. Jednak mamy nadzieję, że dzięki temu artykułowi oraz wskazanym przez nas narzędziom cały proces wdrażania procedury zgłoszeń i ochrony osób zgłaszających naruszenia będzie znacznie prostszy.