Ochrona danych osobowych sygnalistów

Określenie „sygnalista” może kojarzyć się w pejoratywny sposób z donosicielem, a stąd już niedaleka droga do niesławnego konfidenta. Tym niemniej, instytucja sygnalisty wprowadziła rewolucyjne zmiany w zakresie wykrywania wielu praktyk niezgodnych czy wręcz sprzecznych z prawem. Światowe skandale finansowe rządów i wielkich korporacji pokazały, że braki procedur umożliwiających wychwycenie nieprawidłowości zmusiły ustawodawców do rozwiązania tego problemu, a co za tym idzie wsparcia osób, które zgłaszają swoje (uzasadnione) podejrzenia o niezgodnych z przepisami działaniach w miejscu pracy.

Regulacja

Prekursorem były Stany Zjednoczone, które w 2002 roku wprowadziły ustawę Sarbanesa-Oxleya (SOX), nakazującą spółkom notowanym na giełdzie wprowadzenie zasad anonimowego raportowania i ochrony sygnalistów. Ustawodawcy europejscy długo nie dostrzegali potrzeby regulacji tego aspektu. W 2016 roku Parlament Francuski przyjął ustawę o transparentności, walce z korupcją i modernizacji gospodarki (SAPIN II), dotyczącą zwalczania korupcji i przejrzystości prowadzenia biznesu, wzorowanej na wspomnianej amerykańskiej ustawie.

Jej celem było nałożenie na firmy francuskie obowiązku zapobiegania zjawiska korupcji, zapewniając adekwatne środki i procedury, w tym min. wewnętrzny system informowania o nieprawidłowościach (tzw. system whistleblowing). Przykładem takiego działania jest wdrożenie wewnętrznej infolinii umożliwiającej pracownikom zgłaszanie działań, które mogą stanowić naruszenie. Ustawa SAPIN II zapewniła równolegle ochronę sygnalistów, wprowadzając sankcje za ujawnienie poufnych informacji o osobie sygnalisty w postaci kary dwóch lat pozbawienia wolności lub grzywny w wysokości 30.000 Euro.

Ustawodawca Unijny podjął kompleksowe działania dopiero w 2019 roku, nakazując zabezpieczenie pozycji osób zgłaszających naruszenia i udzielając im należytej ochrony przed ostracyzmem społecznym, co znalazło odzwierciedlenie w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej Dyrektywa).

Sygnalista w świetle Dyrektywy (UE) 2019/1937

Funkcja IOD.
To się dobrze przekazuje

Zewnętrzny zespół ekspertów to sprawdzony, szybki i ekonomiczny sposób na nowoczesną ochronę danych.
ZAMÓW OFERTĘ
Sygnalista (ang. whistleblower) zdefiniowany został w pkt. 1 Preambuły Dyrektywy jako osoba działająca dla organizacji (publicznej lub prywatnej) w kontekście związanym z pracą, zgłaszająca zagrożenia lub szkody dla interesu publicznego. Naruszenia te dotyczą następujących obszarów: zamówień publicznych, usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa produktów i ich zgodności z wymogami, bezpieczeństwa transportu, ochrony środowiska, ochrony radiologicznej i bezpieczeństwa jądrowego, bezpieczeństwa żywności i pasz, zdrowia i dobrostanu zwierząt, zdrowia publicznego, ochrony konsumentów, ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych.

Należy wskazać, że dokonywane przez sygnalistów zgłoszenia i ujawnianie dotyczące naruszeń stanowią jeden z elementów oddolnego egzekwowania prawa i polityk Unii. Dlatego też celem poprawy tych działań jest wypracowanie wspólnych minimalnych norm zapewniających wysoki poziom ochrony osób zgłaszających naruszenia prawa Unii.

Negatywna identyfikacja sygnalisty

Z punktu widzenia przeciętnego obywatela sygnalizacja nieprawidłowości kojarzy się negatywnie, a „uprzejmie donoszący” dość szybko spotyka się z wykluczeniem społecznym (nawet mimo słuszności swojego działania). Dlatego też potencjalni sygnaliści często rezygnują ze zgłaszania swoich zastrzeżeń lub podejrzeń z obawy przed działaniami odwetowymi zarówno ze strony pracodawcy, jak i współpracowników.  Z kolei zgłoszenia anonimowe nie zawsze przynoszą oczekiwany rezultat, co więcej „pozwalają” na przekazywanie często nieprawdziwych informacji o innych osobach, skutkujących szkodą.

W związku z tym,  w coraz większym stopniu uznaje się za konieczne, zarówno na poziomie unijnym, jak i międzynarodowym, zapewnienie zrównoważonej i skutecznej ochrony sygnalistów, przy równoczesnym wyznaczeniu granic, w jakich mogą dokonywać swoich zgłoszeń. Warunkiem jest, że  taka osoba miała uzasadnione podstawy na temat prawdziwości zgłaszanego naruszenia (objęte stosowaniem Dyrektywy) oraz dokonała zgłoszenia wewnętrznego (art. 7 Dyrektywy) albo zewnętrznego (art. 10 lub 15 Dyrektywy).

Ochrona sygnalistów – Dyrektywa vs. RODO

Pierwotne rozważania na temat ochrony sygnalistów znalazły się w wytycznych Grupy Roboczej Art. 29. W podobnym kierunku poszedł Europejski Inspektor Ochrony Danych (EIOD) w swoich rekomendacjach. Dlatego tak ważne jest wskazanie  na kogo/jaki organ są nakładane obowiązki oraz kogo mają chronić przepisy.

Regulacje zawarte w Dyrektywie

Sama Dyrektywa przyznaje sygnalistom szerokie spektrum ochrony: zakaz ujawniania tożsamości (bez wyraźniej zgody zainteresowanego) innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość zgłaszającego, środki ochrony przed odwetem w stosunkach pracy (np. zakaz zwolnienia z pracy) i w innych stosunkach prawnych (np. zakaz wcześniejszego rozwiązania umowy), aż po naprawienie szkody związanej z utratą dochodu w efekcie dokonania zgłoszenia.  Istotne jest, że ochroną mają być objęci nie tylko sygnaliści, ale też osoby im pomagające (współpracownicy czy członkowie rodziny). Dyrektywa wymaga również od państw członkowskich podjęcia niezbędnych środków zakazujących wszelkich działań odwetowych, jak i wprowadzenia skutecznych, proporcjonalnych i odstraszających sankcji wobec osób fizycznych lub prawnych utrudniających dokonywanie zgłoszeń lub dokonujących działań odwetowych wobec sygnalistów.

Nie ma głupich pytań RODO - są darmowe odpowiedzi

Omawiana Dyrektywa w europejskim porządku prawnym funkcjonuje od końca 2019 roku, natomiast nie została jeszcze zaimplementowana do naszego ustawodawstwa. Państwa członkowskie, w tym Polska, mają wprowadzić ww. przepisy do 17 grudnia 2021 roku, zaś w przypadku podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników – do 17 grudnia 2023 roku. Mimo pozornie długiego czasu na dostosowanie się do wymagań Dyrektywy administratorzy już teraz powinni podejmować pierwsze kroki w celu dokonania przeglądu istniejących polityk i procedur, wdrażania niezbędnych narzędzi technicznych oraz kształtowania kultury organizacyjnej związanej z instytucją sygnalisty.

Przetwarzanie danych sygnalistów zgodnie z RODO

Praktycznym problemem dla firm, które decydują się wprowadzić systemy raportowania nieprawidłowości, jest brak wyszczególnionych zasad  przetwarzania danych osobowych na kanwie Dyrektywy, przy równoczesnej konieczności poszanowania zasad określonych przepisami RODO tj. zasad przejrzystości, ograniczenia celu przetwarzania oraz minimalizacji danych (art. 5 ust. 1 lit. a–c RODO). Podstawowym wyzwaniem jest zagwarantowanie osobie zgłaszającej ochrony przed odwetem przy jednoczesnym poszanowaniu praw osób, których dotyczy składany raport.

Przepisy RODO wymagają wskazania podstawy prawnej do zgodności przetwarzania z prawem. Po analizie przesłanek z art. 6 ust. 1  RODO można dojść do wniosku, że najbardziej zbliżoną podstawą przetwarzania danych sygnalisty będzie realizacja prawnie uzasadnionych celów przedsiębiorcy, który jest administratorem (art. 6 ust. 1 lit. f RODO). Wobec czego, wdrażając system raportowania należy brać pod uwagę konieczność przeanalizowania uzasadnionych interesów administratora, potwierdzających zasadność wprowadzenia systemu. EIOD stoi na stanowisku, że systemy whistleblowing powinny służyć do raportowania wyłącznie korupcji, nadużyć finansowych lub innych poważnych nieprawidłowości. Zmiana podstawy przetwarzania na tę, która jest zawarta w Dyrektywie nastąpi dopiero po jej implementacji do naszego porządku krajowego. Zgodnie bowiem z art. 8 Dyrektywy, kraje członkowskie będą musiały zobowiązać podmioty prawne w sektorze prywatnym i publicznym do ustanowienia kanałów i procedur na potrzeby dokonywania zgłoszeń wewnętrznych. Do tego czasu, jak już powyżej wspomniano, przedsiębiorcy muszą zastosować się do podstaw przetwarzania  wskazanych w art. 6 ust. 1 RODO.

Podsumowanie

Dopiero wprowadzenie do polskiego systemu prawnego przepisów Dyrektywy pokaże,  czy mechanizmy ochrony sygnalistów będą w praktyce wystarczające i spełnią swoją rolę. Należy pamiętać, że system informowania o nieprawidłowościach powinien przede wszystkim opierać się na otwartej komunikacji z przełożonym, zaufaniu i świadomości ochrony danych osobowych. Bowiem to na administratorze spoczywa obowiązek ochrony i wsparcia osoby zgłaszającej poprzez zastosowanie odpowiednich środków i zasad. Równocześnie wyznacznikiem skutecznego działania systemu jest działanie sygnalisty w dobrej wierze, w oparciu o fakty i obiektywne przesłanki, w przeciwieństwie do względów osobistych, tak aby nie został utożsamiony z przysłowiowym „donosicielem”.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".