Rządowe Centrum Legislacji opublikowało projekt ustawy o ochronie osób zgłaszających naruszenia prawa (tzw. sygnalistów), która ma na celu wdrożenie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Zgodnie z projektem ustawy, wszyscy pracodawcy zatrudniający co najmniej 50 pracowników będą zobowiązani do ustanowienia wewnętrznych procedur umożlwiających sygnalistom dokonywanie zgłoszeń wewnętrznych. Termin na implementację unijnych przepisów przez Polskę upływa 17 grudnia 2021 r. Dzisiaj, w kolejnej części cyklu prezentujemy analizę problematyki ochrony danych osobowych sygnalistów oraz innych uczestników procesu dokonywania zgłoszeń na gruncie opublikowanego projektu ustawy.

 

Ochrona danych osobowych sygnalisty

Projekt ustawy przewiduje, że dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że za wyraźną zgodą zgłaszającego (art. 8 ust. 1 projektu ustawy). Taka regulacja stanowi wyraz realizacji wytycznych dyrektywy, których podstawowym celem jest wymóg zachowania poufności - zapewnienie bezpieczeństwa sygnaliście, który odnosi się do jego tożsamości (danych osobowych)  Pod tym pojęciem należy rozumieć: imię, nazwisko, wszelkie informacje, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość sygnalisty.

Zachowanie poufności i bezpieczeństwa - podstawowy cel dyrektywy   

Pozyskując dane osobowe sygnalisty w trakcie postępowania wyjaśniającego, pamiętać należy, iż przepisy RODO, nie pozwalają na wyłączenie obowiązku informacyjnego, wobec osoby która przekazuje swoje dane osobowe (art. 13 RODO), co bezwzględnie obliguje do wykonania wobec sygnalisty obowiązku informacyjnego. 

 

Ochrona danych osobowych osoby, której zgłoszenie dotyczy

Projekt ustawy przewiduje, że pracodawca, organ publiczny lub organ centralny, po otrzymaniu zgłoszenia może w celu weryfikacji zgłoszenia oraz podjęcia działań następczych zbierać i przetwarzać dane osobowe osoby, której dotyczy zgłoszenie, nawet bez jej zgody (art. 8 ust. 2 projektu ustawy).  

W odniesieniu do tych „uczestników” wewnętrznego postępowania wyjaśniającego obowiązek informacyjny reguluje art. 14 RODO, który pozwala na niewykonywanie obowiązku informacyjnego, gdy jego wykonanie mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmie odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interes osoby, której dane dotyczą. 

Rozwiązanie to pozwala w pełni realizować cele wewnętrznego postępowania wyjaśniającego oraz skutecznie chronić sygnalistę przez działaniami o charakterze odwetowym. 

Dane sygnalisty nie mogą być ujawnione.

Podsumowując, ustawodawca zapewnia „sygnalistom” anonimowość. Dane osobowe sygnalisty, bez jego wyraźnej zgody, nie mogą być nikomu ujawnione, kto nie jest upoważnionym członkiem personelu właściwym do przyjmowanie zgłoszeń i podejmowania działań następczych. 

Wobec „sygnalisty” należy natomiast zrealizować obowiązek informacyjny, zgodnie z art. 13 RODO. Obowiązku informacyjnego, nie wykonuje się natomiast w stosunku do osób, których działań czy zaniechań dotyczy zgłoszenie sygnalisty. 

Wspomnieć wypada, że dane osobowe przetwarzane w związku z przyjęciem zgłoszenia są przechowywane przez pracodawcę, organ publiczny lub organ centralny, nie dłużej niż przez 5 lat od dnia przyjęcia zgłoszenia (art. 8 ust. 3 projektu ustawy). 

 

Czy IOD w jednostce może być osobą, która rozpatruje skargi sygnalistów?

Zarówno projekt ustawy, jak i dyrektywa nie regulują kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami.

Projekt ustawy w art. 29 ust. 1 pkt. 4 stanowi, że regulamin zgłoszeń wewnętrznych określa w szczególności: niezależnie organizacyjnie podmiot, upoważniony do podejmowania działań następczych, włączając w to weryfikację zgłoszenia i dalszą komunikację ze zgłaszającym, w tym wystąpienie o dodatkowe informacje i przekazywanie zgłaszającemu informacji zwrotnej; rolę te może pełnić podmiot wewnętrzny upoważniony przez pracodawcę do przyjmowania zgłoszeń. Takie rozwiązanie stanowi wyraz klauzuli generalnej wynikającej z motywu 74 dyrektywy gdzie wskazano, że „w celu rozpatrywania zgłoszeń oraz w celu zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem, członkowie personelu właściwych organów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, między innymi w kwestii mających zastosowanie przepisów o ochronie danych”

Natomiast w motywie 77 wskazano, że „konieczne jest, aby członkowie personelu właściwego organu, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, oraz członkowie personelu właściwego organu, którzy mają prawo dostępu do informacji przekazanych przez osobę dokonującą zgłoszenia, przestrzegali obowiązku zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych zarówno w ramach właściwego organu, jak i poza ten organ”.

Zgodnie z art. 38 ust. 6 RODO „Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”. Według stanowiska prezentowanego przez Prezesa UODO (…) „Konflikt interesów następuje, jeśli nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. Konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a tymi, którym nie podoła z powodu braku czasu koniecznego na ich wykonanie. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. W powołanych wyżej Wytycznych dotyczących IOD wskazane zostały przykłady takich stanowisk. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych”.

W takiej sytuacji administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań.  Ocena, czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.

Jak się wydaje co do zasady, taki konfliktu interesów nie zachodzi, ale trzeba na bieżąco weryfikować, czy możliwe jest pogodzenie prawidłowego wykonywania zadań IOD z realizacją zadań przypisanych osobie, która rozpatruje skargi sygnalistów.

Warto zwrócić uwagę, że przewidziana w RODO zasada rozliczalności wymaga w szczególności, aby administratorzy wykazywali logikę, na której oparli swoje decyzje, i potrafili uzasadnić, dlaczego przyjęli określone rozwiązania.

Piotr Ziółkowski

p.ziolkowski@jerzmanowski.pl

Ostatnie wpisy

Taryfy: co ze skróceniem taryf po okresie obowiązywania?

Analizy prawne

Mimo istotnej zmiany w polityce organów regulacyjnych na przestrzeni ostatnich miesięcy, cały...

14-03-2024

Czytaj więcej

Awaria instalacji wodociągowej - co z rozliczeniem za ścieki?

Orzecznictwo

Najczęściej spotykanymi w praktyce rozliczeń za wodę i ścieki są spory dotyczące ustalenia...

08-03-2024

Czytaj więcej

Ścieki przemysłowe - pozwolenie wodnoprawne warunkiem zawarcia umowy

Orzecznictwo

Przedsiębiorstwo wodociągowo–kanalizacyjne może uzależnić zawarcie umowy na odprowadzanie ścieków przemysłowych od uzyskania...

05-03-2024

Czytaj więcej