W dniu 17 lutego 2022 r. minęły dwa miesiące odkąd do polskiego systemu prawnego powinny zostać implementowane przepisy Dyrektywy o tzw. „sygnalistach”[1] (dalej: „Dyrektywa”), czyli osobach zgłaszających naruszenia przepisów prawa, w szczególności swoim pracodawcom. Na dzień sporządzania niniejszego artykułu realizowane są prace legislacyjne nad projektem ustawy implementującej[2] (dalej: „Projekt Ustawy”). Aktualnie prace są na stosunkowo wczesnym etapie, a projekt nie wpłynął jeszcze do Sejmu.
Niniejszy artykuł poświęcony jest paru wybranym zagadnieniom na styku Dyrektywy i Projektu Ustawy oraz przepisów o ochronie danych osobowych w świetle procedury zgłoszeń wewnętrznych, a więc zgłoszeń naruszeń w obrębie podmiotu prywatnego w sektorze prywatnym lub publicznym (z ograniczeniem do tego pierwszego sektora).
Czy osoba, której zgłoszenie dotyczy jest uprawniona do uzyskania informacji o tożsamości sygnalisty?
Projekt Ustawy przewiduje, iż sygnaliści mogą dokonywać zgłoszeń anonimowych wyłącznie, o ile przewiduje to regulamin zgłoszeń wewnętrznych, stosowany przez pracodawcę, określający wewnętrzną procedurę zgłaszania naruszeń prawa (art. 7 ust. 1 pkt 1 i 2 Projektu Ustawy).
W związku z powyższym pewna część zgłoszeń nie będzie zgłoszeniami anonimowymi.
Zgodnie z przepisem art. 14 ust. 2 lit. f RODO na administratorze danych spoczywa obowiązek poinformowania osoby, której dane osobowe dotyczą, o źródle ich pochodzenia. Obowiązek ten należy zrealizować w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca[3] – mając na uwadze konkretne okoliczności przetwarzania danych osobowych (art. 14 ust. 3 lit. a RODO).
W świetle powyższego zasadne jest pytanie, czy obowiązek administratora do podania informacji o źródle pochodzenia danych osobowych odnosi się też do osób, których dotyczy zgłoszenie?
Przepis art. 8 ust. 1 Projektu Ustawy przewiduje, iż dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba iż za wyraźną zgodą zgłaszającego. Przepis art. 8 ust. 2 Projektu Ustawy stanowi, iż 14 ust. 2 lit. f RODO nie stosuje się. Podkreślenia wymaga fakt, iż opisane w poprzednim zdaniu wyłączenie nie obowiązuje wówczas, gdy sygnalista nie miał uzasadnionych podstaw, by sądzić, iż będąca przedmiotem zgłoszenia informacja o naruszeniu prawa jest prawdziwa w momencie dokonywania zgłoszenia i iż informacja taka stanowi informację o naruszeniu prawa. Taka sytuacja może zajść w szczególności w razie działania w złej wierze ukierunkowanej na wyrządzenie szkody osobie, której zgłoszenie dotyczy.
Porównanie art. 8 ust. 1 i 2 Projektu Ustawy zdaje się sugerować, iż o ile sygnalista co prawda nie wyraził wyraźnej zgody na ujawnienie swoich danych, ale nie miał uzasadnionych podstaw, by sądzić, iż będąca przedmiotem zgłoszenia informacja o naruszeniu prawa jest prawdziwa w momencie dokonywania zgłoszenia i iż informacja taka stanowi informację o naruszeniu prawa, to administrator jest obowiązany do podania jego danych osobowych.
Niezależnie od powyższych rozważań należy mieć na względzie fakt, iż Projekt Ustawy nie wyłączył zastosowania art. 15 ust. 1 lit. g RODO, który przyznaje osobie, której dane dotyczą uprawnienie do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, do uzyskania w szczególności wszelkich informacji o ich źródle.
Odpowiadając na zadane pytania, w obecnym brzmieniu Projekt Ustawy nie chroni zatem w sposób pełny poufności danych sygnalistów, więc odpowiadając na zadane w podtytule pytanie wskazać należy, iż są sytuacje, kiedy osoba, której zgłoszenie dotyczy jest uprawniona do uzyskania informacji o tożsamości sygnalisty, a na administratorze spoczywa obowiązek podania informacji o źródle pochodzenia danych osobowych.
Czy osoba, której zgłoszenie dotyczy może uzyskać informację o tożsamości innych osób, powiązanych z osobą zgłaszająca lub ze zgłoszeniem?
Mając na uwadze, iż osoba, której dotyczy zgłoszenie może być zdeterminowana, żeby nie tylko ustalić tożsamość osoby zgłaszającej, ale także innych powiązanych ze zgłoszeniem czy osobą zgłaszającą osób takich jak:
- osób pomagających w dokonaniu zgłoszenia,
- świadków naruszenia,
– zasadnym jest pytanie, czy ich dane lub dane pozwalające na ich identyfikację podlegają ujawnieniu?
Powołane wyżej przepisy mogłyby stanowić podstawę do ograniczenia obowiązku informacyjnego administratora jedynie w takim zakresie, w jakim administrator byłby w stanie wykazać, iż ich ujawnienie pozwoliłoby na ustalenie tożsamości sygnalisty. Oznacza to, iż dane osób np. pomagających w dokonaniu zgłoszenia lub świadków będą dla osoby dokonującej naruszenia łatwo dostępne. Taki stan rzeczy może utrudnić realizację celów Dyrektywy.
Mając na uwadze, iż 76 motyw Dyrektywy zakłada, że: „Państwa członkowskie powinny zapewnić, aby adekwatne organy dysponowały odpowiednimi procedurami ochrony w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w tych zgłoszeniach. Takie procedury powinny zapewniać ochronę tożsamości każdej osoby dokonującej zgłoszenia, osób, których dotyczy zgłoszenie, oraz osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników, na wszystkich etapach procedury” Projektu Ustawy należy ocenić jako wymagający rozbudowania w omawianym zakresie.
Odpowiadając na zadane pytanie, osoba, której dotyczy zgłoszenie może uzyskać w pewnym zakresie informację o tożsamości innych osób, powiązanych z sygnalistą lub ze zgłoszeniem.
Podsumowując, poruszone w niniejszym artykule problemy dot. ochrony danych osobowych sygnalistów oraz innych osób powiązanych z osobą zgłaszająca lub ze zgłoszeniem wskazują, iż Projekt Ustawy wymaga odpowiednich zmian, które zapewnią ochronę tych kategorii osób. W innym przypadku cel Dyrektywy, jakim jest zapewnienie ochrony sygnalistów i stworzenie ram prawnych sprzyjających poszerzeniu w społeczeństwie pozytywnie rozumianej odpowiedzialności za dobro wspólne może nie zostać osiągnięty. Dalsze prace legislacyjne nad Projektem Ustawy pokażą, na ile ustawodawca jest świadom istniejących w obecnym brzmieniu tego projektu zagrożeń. Tymczasem zachęcamy Państwa do kontaktu z naszymi prawnikami w celu wdrożenia ochrony sygnalistów w Państwa przedsiębiorstwach.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii – https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02019L1937-20211110 (tekst jednolity).
[2] https://legislacja.gov.pl/projekt/12352401/katalog/12822857#12822857
[3] Na marginesie wspomnieć należy, iż problem stanowi także dysproporcja między maksymalnym czasem, na wypełnienie obowiązku informacyjnego, a terminem, w jakim – zgodnie z Projektem Ustawy – sygnalista powinien otrzymać informację zwrotną o tym, czy stwierdzono naruszenie prawa, wynoszącym aż trzy miesiące przy jednoczesnym braku określenia terminu na ocenę zasadności zgłoszenia naruszenia prawa. Taki stan rzeczy sprawia, iż osoba, której dotyczy zgłoszenie po otrzymaniu informacji o tym, iż w stosunku do niej dokonano zgłoszenia naruszenia może podjąć działania ukierunkowane na uniemożliwienie lub utrudnienie pozyskania dalszych dowodów dokonania naruszenia.