Ochrona danych osobowych sygnalistów

Prowadzenie postępowań w sprawach dotyczących zgłaszania przez sygnalistów naruszenia przepisów prawa, bez wątpienia będzie wiązać się z przetwarzaniem ich danych osobowych. Niezbędne jest więc przyjęcie rozwiązań, które umożliwią przede wszystkim ochronę tożsamości sygnalisty. Rozpatrując nowe obowiązki pracodawców dotyczące sygnalistów, nie można zapomnieć o RODO i przetwarzaniu danych osobowych w związku ze zgłoszeniem naruszenia, bowiem pracodawca jest administratorem zgromadzonych danych, a sygnalista – osobą, której dane dotyczą.

Podstawowym aktem prawnym regulującym kwestie dotyczące sygnalistów jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: „Dyrektywa”). W przeciwieństwie do rozporządzenia unijnego, jakim jest np. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. „RODO”), dyrektywa co do zasady nie obowiązuje bezpośrednio i wymaga implementacji do porządku prawa krajowego. Termin transpozycji ww. Dyrektywy do polskiego porządku prawnego minął 17 grudnia 2021 r., jednak implementująca ją polska ustawa o ochronie osób zgłaszających naruszenia (dalej: „Ustawa”) wciąż jest na etapie projektu. Mimo to, już teraz pracodawcy powinni zastanowić się nad przyjęciem rozwiązań wdrażających jej postanowienia. Od 17 grudnia 2021 r. do dyrektywy powinny dostosować się podmioty:

  1. zatrudniające co najmniej 50 osób w sektorze publicznym,
  2. zatrudniające co najmniej 250 osób w sektorze prywatnym,
  3. wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz zapobieganiu praniu pieniędzy i finansowaniu terroryzmu, a także bezpieczeństwa transportu i ochrony środowiska.

W przypadku podmiotów z sektora prywatnego, zatrudniających od 50 do 249 pracowników, regulacje będą obowiązywały od 17 grudnia 2023 roku.

Przed wejściem w życie Dyrektywy, sygnalistę mogły spotkać konsekwencje prawne i ekonomiczne płynące ze zgłoszonych naruszeń, najczęściej przyjmujące formy odwetowe, takie jak degradacja ze stanowiska pracy lub całkowita utrata zatrudnienia. Sygnaliści nie mieli odpowiednich kanałów zgłaszania nieprawidłowości i nierzadko ujawnianie takich informacji odbywało się za pomocą mediów, czego konsekwencję stanowiło otwarcie drogi sądowej, np. przed Europejskim Trybunałem Praw Człowieka.

Sygnalistą jest każda osoba komunikująca informacje na temat naruszeń, które pozyskała w związku z wykonywaną przez siebie pracą. Projekt Ustawy wylicza podmioty, które mogą być uznane za sygnalistów, czyli osoby właściwe do przekazywania zgłoszeń, wskazując:

  1. pracowników (w tym byłych pracowników) oraz osoby ubiegające się o zatrudnienie,
  2. osoby świadczące pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej,
  3. przedsiębiorców, akcjonariuszy lub wspólników oraz osoby będące członkami osoby prawnej,
  4. osoby świadczące pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej,
  5. wolontariuszy i stażystów,
  6. osoby pomagające w dokonaniu zgłoszenia.

Naruszenia te obejmują obszary:

  1. zamówień publicznych,
  2. usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu,
  3. bezpieczeństwa produktów i ich zgodności z wymogami,
  4. bezpieczeństwa transportu,
  5. ochrony środowiska,
  6. ochrony radiologicznej i bezpieczeństwa jądrowego,
  7. bezpieczeństwa żywności i pasz,
  8. zdrowia i dobrostanu zwierząt,
  9. zdrowia publicznego,
  10. ochrony konsumentów,
  11. ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych.

Dyrektywa zobowiązuje do wprowadzenia wewnętrznych i zewnętrznych kanałów zgłoszeń naruszeń prawa. Proces przetwarzania danych toczy się na różnych etapach, mając swój początek w zgłoszeniu naruszenia, poprzez otwarcie i przebieg postępowania wyjaśniającego, dostęp do akt postępowania, a później przechowywanie dokumentacji po jego zakończeniu czy też udostępnianie jej organom zewnętrznym. Analogicznie do Dyrektywy, projektowana polska Ustawa przewiduje trzy tryby możliwego postępowania w charakterze reakcji na powziętą informację o naruszeniu prawa, tj.:

  • skierowanie zgłoszenia do podmiotu prawnego,
  • skierowanie zgłoszenia do organu publicznego (ponadto także do Rzecznika Praw Obywatelskich),
  • ujawnienie publiczne.

W motywie 76 Dyrektywy podkreśla się, że państwa członkowskie powinny zapewnić, aby stosowne organy dysponowały odpowiednimi procedurami ochrony w zakresie przetwarzania zgłoszeń i danych osobowych osób, o których w nich mowa. Takie procedury powinny zapewniać ochronę tożsamości każdej osoby dokonującej zgłoszenia, osób, których ono dotyczy oraz osób trzecich, o których w nich mowa (świadków, pokrzywdzonych) na wszystkich etapach. Pracodawcy są więc zobowiązani do:

  1. wdrożenia regulaminu zgłoszeń wewnętrznych, który wejdzie w życie po upływie 2 tygodni od dnia podania go do wiadomości pracowników w sposób przyjęty u danego pracodawcy;
  2. zaznajomienia nowych pracowników z treścią regulaminu zgłoszeń wewnętrznych przed dopuszczeniem ich do pracy;
  3. stworzenia i prowadzenia kanałów umożliwiających dokonywanie zgłoszeń:
  • na piśmie oraz przekazywanie ich drogą pocztową, za pośrednictwem fizycznych skrzynek na skargi, na platformie online lub w Intranecie,
  • dokonywanie zgłoszeń ustnie, za pośrednictwem dedykowanej infolinii lub innego systemu komunikacji głosowej;
  1. prowadzenia rejestru zgłoszeń wewnętrznych, w ramach którego pracodawca będzie zbierał dane przez okres 5 lat od dnia przyjęcia zgłoszenia.

Każdy, kto wbrew regulacjom polskiej ustawy nie ustanowi wewnętrznej procedury zgłaszania naruszeń prawa i nie podejmie działań następczych albo ustanowi procedurę naruszającą przepisy, będzie podlegał karze grzywny, karze ograniczenia wolności albo karze pozbawienia wolności do lat 3.

Dyrektywa w kilku miejscach bezpośrednio odnosi się do RODO i prawa do prywatności, m. in. wskazując wprost w art. 17, iż przetwarzania danych osobowych, w tym ich wymiany lub przekazywania przez właściwe organy, dokonuje się zgodnie z RODO. Oznacza to zwłaszcza stosowanie obowiązujących zasad przetwarzania danych osobowych oraz podstaw ich przetwarzania. Dodatkowo same zgłoszenia dotyczące naruszeń przepisów prawa mogą dotyczyć ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych. Dyrektywa wyróżnia też zasadę proporcjonalności przy przeprowadzaniu postępowań wyjaśniających, stwierdzając, że dane osobowe, które nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są gromadzone, a w razie ich zebrania, są usuwane bez zbędnej zwłoki. Zasada ta obowiązuje w oparciu o art. 5 ust. 1 lit. c RODO.

W postępowaniach w przedmiocie naruszeń przepisów prawa możemy mieć do czynienia z danymi zwykłymi, a także wrażliwymi. W uzasadnieniu projektu Ustawy jako podstawy prawne ich przetwarzania wskazuje się:

  • w przypadku danych zwykłych – art. 6 ust. 1 lit. e RODO, tj. konieczność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • w przypadku danych wrażliwych – art. 9 ust. 1 lit. g RODO, tj. potrzeba przetwarzania ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
  • art. 10 RODO, który pozwala na przetwarzanie danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. 

Dodatkowo, w zakresie, w jakim sygnalista zgadza się na ujawnienie swojej tożsamości, przesłanką przetwarzania danych osobowych będzie jego zgoda (art. 6 ust. 1 lit. a RODO).

Dla efektywnego przeprowadzenia postępowania wyjaśniającego, istotną kwestią jest odstąpienie od ogólnie obowiązujących reguł w zakresie udostępniania klauzul informacyjnych osobom, których dane osobowe są przetwarzane. Zbyt wczesne ujawnienie danych zgłaszających czy świadków wobec osób podejrzanych o nadużycia może doprowadzić do udaremnienia celu postępowania, jakim jest polepszenie egzekwowania prawa w określonych dziedzinach. Z uzasadnienia projektu Ustawy wynika, że ciążący na administratorze obowiązek przekazania informacji dotyczących źródła pozyskania danych, o którym mowa w art. 14 RODO, zostanie wyłączony. Warunkiem wyłączenia będzie jednak posiadanie przez zgłaszającego uzasadnionych podstaw, aby sądzić, że będąca przedmiotem zawiadomienia informacja jest prawdziwa w momencie jego dokonywania i że stanowi ona informację o naruszeniu prawa, a więc, że zgłoszenie będzie dokonane w dobrej wierze. W zakresie realizacji wniosku osoby, której dane dotyczą, zdefiniowanego w art. 15 RODO i dotyczącego udzielenia informacji o źródle pozyskania danych, projekt Ustawy zakłada jedynie odroczenie jego wykonania na okres do trzech miesięcy od dnia zakończenia działań następczych. Odnosić się to będzie jednak jedynie do sytuacji, gdy sygnalista pozwolił ujawnić jego dane. Podobne, a nawet szersze pod względem podmiotowym i przedmiotowym wyłączenia w zakresie wykonania standardowych obowiązków informacyjnych, prawa dostępu do danych czy też prawa do informacji o zmianie celów przetwarzania danych osobowych, zakładają także przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, jeśli służy to realizacji zadania publicznego i przekazanie tych informacji uniemożliwi lub znacząco utrudni jego prawidłowe wykonanie.

Na koniec należy przypomnieć, iż kluczowym elementem, na jakim opiera się Dyrektywa, jest ochrona tożsamości sygnalisty. Jego dane osobowe muszą zostać poufne i mogą być ujawniane tylko za jego zgodą. Dodatkowo, Dyrektywa dopuszcza dokonywanie zgłoszeń anonimowych, jednakże co do zasady, nie zezwala na nie projektowana polska Ustawa, a dokładniej – nie daje gwarancji ich rozpatrzenia. Podstawą poufności danych sygnalisty jest więc ich ujawnianie jedynie za jego zgodą. Ujawnienie może mieć miejsce wyłącznie dla zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie, przy wykorzystaniu odpowiednich zabezpieczeń i po powiadomieniu osoby dokonującej zgłoszenia wraz z pisemnym wyjaśnieniem powodów ujawnienia. W uzasadnieniu projektu Ustawy, odstąpienie od zgłoszeń anonimowych uzasadnia się przesłankami o charakterze praktycznym, takimi jak ryzyko nadmiernego wpływu zawiadomień przypadkowych i o niskiej wartości z perspektywy rzeczywistego przeciwdziałania naruszeniom czy trudności w uzyskaniu dodatkowych informacji od zgłaszającego, gdy już dostarczone informacje są istotne, ale niepełne.

Ponadto, zgodnie z motywem 100 Dyrektywy, prawa osoby, której dotyczy zgłoszenie, powinny być strzeżone w celu uniknięcia nadszarpnięcia dobrego imienia czy też innych negatywnych skutków. Dyrektywa zaznacza potrzebę zapewnienia ochrony poufności na poziomie kanałów przyjmowania zgłoszeń. Zwraca także uwagę na obowiązek zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych przez członków personelu, którzy są odpowiedzialni za ich analizowanie. Do przyjmowania i badania zgłoszeń oraz przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie pracodawcy, zobowiązane do zachowania ich w tajemnicy. W sytuacji korzystania z zewnętrznych podmiotów do obsługi zgłoszeń, wymagane będzie zawarcie umowy powierzenia przetwarzania danych osobowych.

Podsumowując, należy podkreślić, że mimo braku uchwalenia polskiej ustawy wdrażającej Dyrektywę, administratorzy już teraz powinni wszcząć kroki w celu opracowania kanałów zgłaszania naruszeń przez sygnalistów. Konieczne jest także dokonanie przeglądu istniejących polityk i procedur w tym zakresie, a także wdrożenie niezbędnych narzędzi technicznych.