25 września 2024 r. weszła w życie ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (dalej „ustawa o ochronie sygnalistów”), którą z dużym opóźnieniem implementowano do polskiego porządku prawnego przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: „Dyrektywa 2019/1937”). Należy przy tym pamiętać, że obowiązkiem każdej organizacji, do której znajdują zastosowanie przepisy ustawy o ochronie sygnalistów jest umożliwienie dokonywania zgłoszeń imiennych. Art. 7 ustawy o ochronie sygnalistów wprowadza także możliwość przyjmowania zgłoszeń anonimowych (tj. bez identyfikacji sygnalisty), jednak ustawa nie wprowadza takiego obowiązku. Decyzja w tym zakresie pozostaje więc po stronie podmiotu zobowiązanego do ustanowienia obsługi zgłoszeń wewnętrznych.
Przepisy dotyczące ochrony sygnalistów służą przede wszystkim wprowadzeniu odpowiednich ram prawnych dla ochrony osób zgłaszających naruszenia prawa, o których osoby te dowiedziały się w związku z wykonywaną działalnością zawodową. Przy okazji dostosowywania organizacji do nowych wymogów prawnych nie można przy tym zapomnieć o obowiązkach związanych z poszanowaniem przepisów o ochronie danych osobowych. Każda organizacja, która zobowiązana jest obsługiwać zgłoszenia sygnalistów powinna zatem zapewnić jasne zasady przetwarzania danych osobowych, które związane jest z tym procesem. Projektowanie odpowiednich rozwiązań powinno mieć miejsce już na etapie przygotowywania zasad postępowania z takimi zgłoszeniami, zgodnie z obowiązkiem zapewniania ochrony danych osobowych w fazie projektowania (privacy by design).
Dlaczego ochrona danych osobowych sygnalistów jest ważna?
Sygnalista to osoba fizyczna, która zgłasza informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą. Innymi słowy jest to osoba, która informuje o nieprawidłowościach, naruszeniach prawa lub innych nadużyciach, które mają miejsce w organizacji, w której taka osoba pracuje, lub z którą jest ona związana w jakiś sposób. Sygnaliści mogą zgłaszać różnego rodzaju nieprawidłowości (np. dotyczące korupcji, produktów lub usług finansowych, ochrony konsumentów, etc.). Szczegółowy katalog naruszeń prawa określa art. 3 ust. 1 ustawy o ochronie sygnalistów.
Zgodnie z art. 3 ust. 2 ustawy o ochronie sygnalistów możliwe jest także uwzględnienie w ramach procedury zgłoszeń wewnętrznych możliwości zgłaszania informacji o naruszeniach dotyczących obowiązujących w danym podmiocie regulacji wewnętrznych lub standardów etycznych, które zostały ustanowione przez taki podmiot na podstawie przepisów prawa powszechnie obowiązującego i pozostają z nimi zgodne.
Działania sygnalistów mają przede wszystkim na celu ochronę interesu publicznego i zapobieganie występowaniu dalszych naruszeń. Sygnaliści często chcą działać anonimowo, aby chronić siebie lub osoby najbliższe przed ewentualnymi negatywnymi konsekwencjami (np. represjami ze strony pracodawców lub innych osób zaangażowanych w zgłaszane nadużycia, w tym organizacji o charakterze przestępczym).
Czyje dane osobowe mogą być przetwarzane w związku ze zgłoszeniem?
Przy okazji procedowania zgłoszeń dokonywanych przez sygnalistów przetwarzane mogą być dane dotyczące różnych kategorii osób, w zależności od treści danego zgłoszenia oraz procesu obsługi zgłoszeń działającego w danej organizacji. Poza sygnalistą (osobą dokonującą zgłoszenia) mogą być przetwarzane dane osób takich jak:
- osoby których dotyczy zgłoszenie (osoby podejrzewane o działania niezgodne z prawem i/lub wewnętrznymi regulacjami);
- świadkowie bądź inne osoby zaangażowane bezpośrednio w daną sprawę takie jak osoby pomagające w dokonaniu zgłoszenia (wskazani przez sygnalistę jako osoby posiadające wiedzę na temat istniejących nieprawidłowości);
- osoby powiązane z sygnalistą (tj. osoby inne niż sygnalista, których mogą potencjalnie dotyczyć działania odwetowe);
- osoby trzecie (inne osoby zaangażowane pośrednio w daną sprawę (np. współpracownicy, kontrahenci czy klienci, których dane wskazane są z różnych przyczyn w treści zgłoszenia);
- osoby odpowiedzialne za weryfikację zgłoszeń w ramach organizacji (tj. pracownicy lub współpracownicy, którzy zaangażowani są w obsługę zgłoszeń w danej organizacji).
Pamiętając o obowiązku zapewnienia właściwej ochrony danych osobowych dotyczących sygnalistów nie można w związku z tym zapominać, że poza sygnalistami konieczne jest zapewnienie ochrony także w odniesieniu do danych osobowych innych osób, których dane mogą być przetwarzane w związku ze zgłoszeniami nieprawidłowości.
Dane osobowe sygnalisty
Pojęcie danych osobowych sygnalisty należy rozumieć szeroko, ponieważ danymi osobowymi zgodnie z art. 4 pkt 1 rozporządzenia 2016/679 (dalej „RODO”) są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Danymi osobowymi sygnalisty będą więc nie tylko dane takie jak imię, nazwisko, czy stanowisko służbowe, ale również powiązane z nimi informacje dotyczące dokonanego zgłoszenia, ponieważ mogą one pozwalać na pośrednią lub bezpośrednią identyfikację sygnalisty. Dane znajdujące się w zgłoszeniu mogą także oczywiście pozwalać na identyfikację innych osób.
Polski ustawodawca w art. 8 ust. 1 ustawy o ochronie sygnalistów odwołuje się przy tym do pojęcia danych pozwalających na ustalenie tożsamości sygnalisty. Pojęcie to nie jest osobno zdefiniowane w ustawie, wydaje się zatem, że naturalnym rozwiązaniem jest przyjęcie odpowiedniego stosowania definicji danych osobowych znajdującej się w RODO. Nie powinno ulegać wątpliwości, że danymi pozwalającymi na ustalenie tożsamości sygnalisty zawsze będą te dane osobowe, które pozwalają na bezpośrednią identyfikację sygnalisty. Z ostrożności wypada przyjąć jednak również, że danymi pozwalającymi na ustalenie tożsamości sygnalisty mogą być także dane umożliwiające identyfikację pośrednią. Zapewnienie poufności tożsamości sygnalisty jest bowiem konieczne, aby możliwa była skuteczna ochrona przysługujących mu praw. W ustawie nie wskazano przy tym, jakie dane należy uznać za „pozwalające na ustalenie tożsamości” sygnalisty. Oceny w tym zakresie należy zatem dokonywać zawsze z uwzględnieniem konkretnych okoliczności. Przykładowo sama informacja o stanowisku służbowym osoby dokonującej zgłoszenia nie musi w każdym przypadku stanowić danych osobowych (np. jeśli na tym stanowisku w zakładzie pracy pracuje kilkanaście czy kilkadziesiąt osób). Jeśli na danym stanowisku pracuje jednak tylko kilka osób możliwość identyfikacji (przynajmniej pośredniej) będzie już zazwyczaj istniała, a jeśli na danym stanowisku pracuje tylko jedna osoba, to informacja taka sama w sobie będzie już stanowić dane osobowe pozwalające na identyfikację bezpośrednią.
Dane osobowe sygnalistów a RODO
Artykuł 17 Dyrektywy 2019/1937, który dotyczy przetwarzania danych osobowych związanego z tą dyrektywą odsyła do przepisów RODO oraz do dyrektywy 2016/680 (tzw. dyrektywa policyjna) a w zakresie wymiany i przekazywania informacji przez instytucje, organy lub jednostki organizacyjne UE do rozporządzenia 2018/1725. Przepis ten wskazuje ponadto, że dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia nie powinny być zbierane, a w razie przypadkowego zebrania powinny zostać usunięte bez zbędnej zwłoki.
W ustawie o ochronie sygnalistów doprecyzowano, ze takie usunięcie powinno nastąpić w terminie 14 dni od ustalenia, że nie mają one znaczenia dla sprawy.
Przetwarzanie danych osobowych sygnalistów musi odbywać się w związku z tym zgodnie z przepisami RODO, w zakresie w jakim RODO znajduje zastosowanie. Oznacza to, że administrator danych zobowiązany do stosowania przepisów RODO, który przyjmuje zgłoszenia wewnętrzne od sygnalistów zobowiązany jest w szczególności:
- zapewnić przestrzeganie wszystkich podstawowych zasad przetwarzania danych osobowych (art. 5 RODO), w tym zapewnić retencję danych osobowych,
- respektować uprawnienia podmiotów danych przewidziane w RODO (np. prawo dostępu do danych oraz uzyskania kopii danych);
- zapewnić realizację obowiązków informacyjnych, przy czym należy odróżnić pierwotny obowiązek informacyjny, który należy spełnić wobec sygnalisty zgłaszającego daną nieprawidłowość (art. 13 RODO), od wtórnego obowiązku informacyjnego, który należy spełnić wobec osób, których dane przekazał sygnalista (art. 14 RODO). Przy wtórnym obowiązku informacyjnym możliwe jest w niektórych przypadkach rozważenie skorzystania z wyłączeń wskazanych w art. 14 ust. 5 RODO. Ponadto w ustawie o ochronie sygnalistów przewidziano w niektórych okolicznościach częściowe wyłączenie wtórnego obowiązku informacyjnego w odniesieniu do przekazywania informacji o źródle danych w celu zapewnienia poufności tożsamości sygnalisty);
- zapewnić bezpieczeństwo przetwarzania danych osobowych z uwzględnieniem ryzyk związanych z tym przetwarzaniem;
- zaprojektować procesy związane z przetwarzaniem danych osobowych sygnalistów z uwzględnieniem domyślnej ochrony danych (privacy by default) oraz ochrony danych osobowych w fazie projektowania (privacy by design);
- zapewnić legalność przekazywania danych innym podmiotom, w tym legalność transferu danych poza EOG (jeśli występuje);
- uwzględnić operacje przetwarzania danych związane z przetwarzaniem danych osobowych pozyskiwanych od sygnalistów w prowadzonym rejestrze czynności przetwarzania.
Ochrona danych osobowych sygnalistów przewidziana w ustawie
Szczegółowe regulacje dotyczące ochrony danych osobowych sygnalisty przewidziane zostały ponadto w art. 8 ustawy o ochronie sygnalistów. Przewidziano w nim m. in. obowiązek zapewniania poufności danych osobowych sygnalisty, które nie mogą podlegać ujawnieniu nieupoważnionym osobom bez wyraźnej zgody sygnalisty (art. 8 ust. 1 ustawy o ochronie sygnalistów). Wydaje się, że wymóg wyraźnej zgody należy interpretować w ten sposób, że powinna być ona wyrażona w sposób nie budzący wątpliwości, tj. poprzez jasne oświadczenie woli (najlepiej w formie pisemnej lub dokumentowej). Ujawnienie danych osobowych sygnalisty zgodnie z art. 8 ust. 2 ustawy o ochronie sygnalistów jest poza tym dopuszczalne w przypadku, gdy okaże się to koniecznym i proporcjonalnym obowiązkiem, wynikającym z przepisów prawa. Może mieć to miejsce np. w kontekście prowadzonych postępowań sądowych i potrzeby zagwarantowania prawa do obrony osobie, której dotyczy zgłoszenie. W takim przypadku właściwy organ lub sąd przed dokonaniem ujawnienia powinien jednak powiadomić o tym sygnalistę, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych, chyba że takie powiadomienie zagrozi postępowaniu (np. przygotowawczemu lub sądowemu).
Obsługa zgłoszeń przez podmiot zewnętrzny
Przepisy ustawy o ochronie sygnalistów dopuszczają możliwość obsługi kanałów dokonywania zgłoszeń przez podmiot zewnętrzny, tym samym podmioty takie mogą przetwarzać dane osobowe sygnalistów. Taka możliwość została przewidziana wprost w art. 28 ustawy o ochronie sygnalistów. W takim przypadku konieczne jest jednak odpowiednie uregulowanie zasad powierzenia przetwarzania danych osobowych, zgodnie z wymogami wynikającymi z art. 28 RODO.
Umowa zawierana z podwykonawcą w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych powinna określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 RODO.
Konieczne jest w tym kontekście także uwzględnienie obowiązku wynikającego z art. 28 ust. 1 RODO. Oznacza to, że wybór podmiotu z którym zawierana jest umowa dotycząca obsługi zgłoszeń powinien uwzględniać potrzebę zapewnienia przez taki podmiot wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Przetwarzanie danych osobowych sygnalistów a ocena skutków dla ochrony danych
W kontekście wdrażania systemów whistleblowing nie należy zapominać o obowiązku zweryfikowania przez administratora danych, czy taki proces nie wymaga przeprowadzenia uprzedniej oceny skutków dla ochrony danych (art. 35 RODO). Nie w każdym przypadku taki obowiązek będzie wprawdzie występował, niemniej jednak każdy administrator danych powinien to zweryfikować uwzględniając przy tym przesłanki wymienione w art. 35 ust. 1 i 3 RODO, a także kryteria wskazane w:
- Wytycznych Grupy Roboczej art. 29 dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 (WP 248 rev. 01), oraz
- Komunikacie Prezesa UODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
Warto zwrócić przy tym uwagę na to, że Prezes UODO wymieniając przykłady operacji przetwarzania wymagających potencjalnie oceny skutków dla ochrony danych wskazał na przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi. W tym kontekście jako przykład podał m. in. systemy służące do zgłaszania nieprawidłowości (whistleblowing), w tym systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności gdy przetwarzane są w nim dane pracowników.
Podsumowanie
Dane osobowe sygnalistów podlegają ochronie prawnej przewidzianej w przepisach RODO. Naruszenie przepisów RODO może skutkować odpowiedzialnością administracyjnoprawną, w tym nałożeniem administracyjnej kary pieniężnej przez Prezesa UODO.
Poza tym sygnalista, który w związku z naruszeniem przepisów RODO doznał szkody majątkowej lub niemajątkowej może także potencjalnie dochodzić roszczeń cywilnoprawnych w trybie przewidzianym w art. 82 RODO.
Niezależnie od powyższego należy także pamiętać o przepisach karnych, znajdujących się zarówno w ustawie o ochronie danych osobowych (w art. 107 tej ustawy przewidziano odpowiedzialność karną za bezprawne przetwarzanie danych osobowych), jak i w ustawie o ochronie sygnalistów (w art. 56 tej ustawy wskazano, że ujawnienie tożsamości sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą wbrew przepisom ustawy zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku).
W zakresie wsparcia w przygotowaniu dla Państwa systemu obsługi zgłoszeń sygnalistów lub też pomocy w rozpatrywaniu takich zgłoszeń zachęcamy do kontaktu z naszą kancelarią. Więcej o usługach, które w tym obszarze możemy zaoferować dostępne jest na stronie w zakładce
opracowanie: adw. Henryk Hoser