Sygnaliści a rodo

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii nakłada na organizacje obowiązek stworzenia systemu zgłoszeń sygnalistów. Zgodnie z art. 4 Dyrektywy sygnalistą jest osoba, która dowiedziała się o naruszeniu w kontekście związanym z pracą, czyli nie jest to wyłącznie pracownik, tak motyw 1 mówi o sygnaliście:

(1)Osoby pracujące dla organizacji publicznej lub prywatnej lub utrzymujące kontakt z taka organizacją w związku ze swoją działalnością zawodową niejednokrotnie jako pierwsze dowiadują się o zagrożeniach lub szkodach dla interesu publicznego, do jakich dochodzi w tym kontekście. Zgłaszając naruszenia prawa Unii, które są szkodliwe dla interesu publicznego, osoby takie działają jako „sygnaliści” i tym samym odgrywają kluczową rolę w ujawnianiu takich naruszeń i zapobieganiu im oraz w ochronie dobra społecznego. Potencjalni sygnaliści często jednak rezygnują ze zgłaszania swoich zastrzeżeń lub podejrzeń z obawy przed działaniami odwetowymi. W związku z tym w coraz większym stopniu uznaje się, zarówno na poziomie unijnym, jak i międzynarodowym, znaczenie zapewnienia zrównoważonej i skutecznej ochrony sygnalistów.

Kogo dotyczy

Obowiązek stworzenia systemu zgłoszeń dotyczy zarówno sektora publicznego, jeśli zatrudnia powyżej 50 osób (chyba że w gminie jest poniżej 10 tyś mieszkańców), jak i prywatnego – od 17 grudnia 2021 r. jeśli zatrudnia 250 osób i więcej, od 17 grudnia 2023 r. jeśli zatrudnia od 50 do 249 osób.

Zgodnie z art. 23 projektu ustawy:

Rozdział 3 Zgłoszenia wewnętrzne

Art. 23. 1. Przepisy rozdziału stosuje się do podmiotu prawnego, na rzecz którego wykonuje lub świadczy pracę co najmniej 50 osób.

2. Próg, o którym mowa w ust. 1, nie ma zastosowania do podmiotu prawnego wykonującego działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937.

3. W przypadku podmiotów prawnych będących jednostkami samorządu terytorialnego, obowiązki podmiotu prawnego określone w rozdziale wykonują jednostki organizacyjne jednostek samorządu terytorialnego, z zastrzeżeniem art. 28 ust. 5.

4. Przepisów rozdziału nie stosuje się do jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 000 mieszkańców.

Zgodnie z art. 26 dyrektywy:

Artykuł 26 Transpozycja i okres przejściowy

1.   Państwa członkowskie wprowadzają w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy do dnia 17 grudnia 2021 r.

2.   Na zasadzie odstępstwa od ust. 1, w przypadku podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników, państwa członkowskie wprowadzają w życie do dnia 17 grudnia 2023 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wypełnienia obowiązku ustanowienia wewnętrznych kanałów dokonywania zgłoszeń zgodnie z art. 8 ust. 3.

3.   Przyjęte przez państwa członkowskie przepisy, o których mowa w ust. 1 i 2, zawierają odniesienie do niniejszej dyrektywy lub odniesienie takie towarzyszy ich urzędowej publikacji. Sposób dokonywania takiego odniesienia określany jest przez państwa członkowskie. Państwa członkowskie niezwłocznie przekazują Komisji tekst tych przepisów.

Polski ustawodawca do dnia dzisiejszego (08.12.2023) nie uchwalił odpowiednich przepisów krajowych. Mamy jednak kolejne projekty, ostatni z dnia 12.07.2023 r., przebieg prac można obserwować na stronie rcl.

Istota regulacji – wewnętrzne kanały zgłoszeń – regulamin

Istotę regulacji stanowi art. 8 dyrektywy, mówiący o obowiązku ustanowienia wewnętrznych kanałów zgłoszeń. Natomiast art. 9 (odpowiednik art. 25 projektu ustawy) opisuje co powinna regulować procedura przyjęta w organizacji:

Artykuł 9 Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych

1.   Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych, o których mowa w art. 8, obejmują następujące elementy:

a) kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu;

b) potwierdzenie osobie dokonującej zgłoszenia przyjęcia zgłoszenia w terminie siedmiu dni od jego otrzymania;

c) wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do podejmowania działań następczych w związku ze zgłoszeniami, przy czym może to być ta sama osoba lub ten sam wydział, które przyjmują zgłoszenia, które będą komunikować się z osobą dokonującą zgłoszenia i w stosownych przypadkach zwracać się do osoby dokonującej zgłoszenia o dalsze informacje oraz przekazywać jej informacje zwrotne;

d) podejmowanie z zachowaniem należytej staranności działań następczych przez wyznaczoną osobę lub wyznaczony wydział, o których mowa w lit. c);

e) podejmowanie z zachowaniem należytej staranności działań następczych, jeżeli prawo krajowe przewiduje takie działania, w odniesieniu do zgłoszeń anonimowych;

f) rozsądny termin na przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia;

g) zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów zgodnie z art. 10 oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii.

2.   Kanały przewidziane w ust. 1 lit. a) muszą umożliwiać dokonywanie zgłoszeń na piśmie lub ustnie. Zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej oraz, na wniosek osoby dokonującej zgłoszenia, za pomocą bezpośredniego spotkania zorganizowanego w rozsądnym terminie.

Stworzenie regulaminu zgłoszeń wewnętrznych jest więc głównym obowiązkiem pracodawcy. Choć przepis art. 9 dyrektywy (odpowiednik art. 25 projektu ustawy) o tym nie wspomina, regulamin powinien w szczególności również

  • określać zakaz działań odwetowych i środki ochrony,
  • przedmiotowy (fakultatywnie można dodać zagadnienia) i podmiotowy (kto może być sygnalistą) zakres regulacji regulaminu.

Przygotowanie regulaminu wymaga wnikliwej lektury ustawy i dyrektywy.

Czy również anonimowo?

Ważną kwestią jest przesądzenie przez organizację czy zamierza przyjmować zgłoszenia anonimowe.

W uzasadnieniu do projektu ustawy czytamy:

Projektodawca nie zdecydował się na wprowadzenie możliwości wdrożenia anonimowego trybu dokonywania zgłoszeń wewnętrznych, jak i zgłoszeń zewnętrznych. Oznacza to, iż dla skutecznego dokonania zgłoszenia, osoba zgłaszająca będzie musiała podać dane identyfikujące taką osobę i umożliwiające kontakt z taką osobą. Zgłoszenia anonimowe nie będą podlegały rygorom ustawy, co oznacza, iż mogą one być pozostawione bez rozpoznania. Niemniej w przypadku, w którym podmiot prawny lub organ publiczny zdecydują się rozpatrywać zgłoszenia anonimowe, należało będzie odpowiednie regulacje tej kwestii umieścić odpowiednio w procedurze zgłoszeń wewnętrznych podmiotu prawnego lub procedurze zgłoszeń zewnętrznych organu publicznego. (…)

Rezygnacja z możliwości dokonywania zgłoszeń anonimowo uzasadniona jest przesłankami o charakterze praktycznym, takimi jak ryzyko nadmiernego wpływu informacji przypadkowych i o niskiej wartości z perspektywy rzeczywistego przeciwdziałania naruszeniom czy trudności w uzyskaniu dodatkowych informacji od zgłaszającego, gdy już przekazane informacje są istotne, lecz niepełne. W przypadku zgłoszeń anonimowych problematyczne byłoby także niekiedy późniejsze udowodnienie, na potrzeby jakiegokolwiek postępowania, związku przekazanej informacji z osobą zgłaszającego. Należy mieć także na uwadze koszty i obciążenie organizacyjne związane z przetwarzaniem licznych informacji, potencjalnie bezwartościowych, w ramach ustanowionych mechanizmów zgłaszania.

Przyjmowanie zgłoszeń anonimowych może odbywać się na różne sposoby. Np. można stworzyć do tego specjalny adres mailowy, fizyczną skrzynkę nieobjętą monitoringiem, można też skorzystać dostępnych aplikacji, których dostawcy zapewniają anonimowość zgłoszenia. Z punku widzenia rodo dostawca taki, podobnie jak dostawca poczty e-mail ma status procesora.

Art. 5 dyrektywy podaje następujące definicje:

4) „zgłoszenie wewnętrzne” oznacza ustne lub pisemne przekazanie informacji na temat naruszeń w obrębie podmiotu prywatnego w sektorze prywatnym lub publicznym;

5) „zgłoszenie zewnętrzne” oznacza ustne lub pisemne przekazanie informacji na temat naruszeń właściwym organom;

6) „ujawnienie publiczne” lub „ujawniać publicznie” oznacza podanie do wiadomości publicznej informacji na temat naruszeń;

Jak widać z powyższego sygnalista nie musi korzystać z systemu zgłoszeń wewnętrznych w organizacji, ale może od razu skorzystać ze zgłoszenia zewnętrznego albo ujawnienia publicznego. Rezygnacja przez polskiego ustawodawcę z narzucania organizacjom obsługi zgłoszeń anonimowych, może skutkować szerszym korzystaniem przez sygnalistów z tych dwóch alternatyw, ponieważ jeśli organizacja dobrowolnie nie wprowadzi obsługi anonimowych zgłoszeń wewnętrznych, jakaś część sygnalistów w ogóle nie zgłosi naruszenia w organizacji, z obawy przed działaniami odwetowymi. Przy czym aby sygnalista podlegał ochronie wynikającej z ustawy po dokonaniu ujawnienia publicznego muszą być spełnione warunki z art. 52 in.

Rejestr zgłoszeń

Art. 29 ust. 1 pkt 1 projektu ustawy (odpowiednik art. 18 dyrektywy) wymaga prowadzenia przez organizację rejestru zgłoszeń:

 Art. 29. 1. Podmiot prawny:

1) prowadzi rejestr zgłoszeń wewnętrznych;

2) jest administratorem zgromadzonych w tym rejestrze danych osobowych.

2. Podmiot prawny może upoważnić wewnętrzną jednostkę organizacyjną lub osobę, o których mowa w art. 25 ust. 1 pkt 1 lub 3, do prowadzenia rejestru zgłoszeń wewnętrznych.

3. Wpisu do rejestru zgłoszeń wewnętrznych dokonuje się na podstawie zgłoszenia wewnętrznego.

4. Rejestr zgłoszeń wewnętrznych zawiera:

1) numer zgłoszenia;

2) przedmiot naruszenia;

3) dane osobowe zgłaszającego oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;

4) adres do kontaktu zgłaszającego;

5) datę dokonania zgłoszenia wewnętrznego;

6) informację o podjętych działaniach następczych; 

7) datę zakończenia sprawy.

5. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. 

Ochrona danych

Z punktu widzenia rodo przyjmowanie i obsługa zgłoszeń stanowi kolejny proces w rejestrze czynności przetwarzania (rcpd). Musi być:

  • scharakteryzowany czyli ustalone muszą być jego parametry: podstawa, zakres danych, wykorzystywane aktywa, retencja itd.
  • należy przeprowadzić co do niego analizę ryzyka, uwzględniając specyficzne zagrożenia np.
    • żeby przy zgłoszeniu anonimowym sygnalista nie ujawnił tożsamości przez metadane,
    • żeby zgłoszenie papierowe nie zostało objęte monitoringiem wizyjnym,
    • żeby prawidłowo zarządzać dostępem innych pracowników do zgłoszenia itd.
  • nie należy zapomnieć również o obowiązku informacyjnym wobec zgłaszającego.

Projekt ustawy wspomina o danych osobowych w wielu miejscach, jednak szczególną uwagę poświęca temu zagadnieniu art. 8 projektu:

Art. 8. 1. Dane osobowe zgłaszającego pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą zgłaszającego.

2. Przepisu ust. 1 nie stosuje się w przypadku, w którym ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w kontekście prowadzonych przez organy publiczne lub sądy odpowiednio postępowań wyjaśniających lub postępowań przygotowawczych lub sądowych, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.

3. Przed dokonaniem ujawnienia, o którym mowa w ust. 2, właściwy organ publiczny lub właściwy sąd powiadamia o tym zgłaszającego, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych, chyba że takie powiadomienie zagrozi postępowaniu wyjaśniającemu lub postępowaniu sądowemu.

4. Podmiot prawny lub organ publiczny, po otrzymaniu zgłoszenia, przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia nie są zbierane, a w razie przypadkowego zebrania, są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.

5. Przepisu art. 14 ust. 2 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm. )), zwanego dalej „rozporządzeniem 2016/679”, nie stosuje się, chyba że zgłaszający nie spełnia warunków wskazanych w art. 6 albo wyraził na ujawnienie swojej tożsamości wyraźną zgodę.

6. Przepisu art. 15 ust. 1 lit. g rozporządzenia 2016/679 w zakresie przekazania informacji o źródle pozyskania danych osobowych, nie stosuje się, chyba że zgłaszający nie spełnia warunków wskazanych w art. 6 albo wyraził na takie przekazanie wyraźną zgodę.

7. Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. 

8. W przypadku, o którym mowa w ust. 7, podmiot prawny i organ publiczny usuwają dane osobowe oraz niszczą dokumenty związane z tym zgłoszeniem po upływie okresu przechowywania. Przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164) nie stosuje się.

9. Przepisu ust. 8 nie stosuje się w przypadku, gdy dokumenty związane ze zgłoszeniem stanowią część akt spraw sądowych lub sądowoadministracyjnych.

Ponadto w art. 27 i 28 mowa jest o pisemnym upoważnieniu pracownika i umowie powierzenia w przypadku przekazania obsługi przyjmowania zgłoszeń do podmiotu zewnętrznego.

Aktualizacja 11.01.24

Na stronie rcl pojawił się nowy projekt ustawy. Projekt zawiera kilka zmian w stosunku do poprzedniego, m.in.:

  • dla zgłoszeń zewnętrznych właściwy będzie RPO zamiast Państwowej Inspekcji Pracy
  • zmieniono przepis o zaświadczeniu o podleganiu ochronie, przy zgłoszeniu zewnętrznym
  • dodano przepis o 12 miesięcznym okresie retencji dla zgłoszenia zewnętrznego
  • skrócono termin wejścia w życie ustawy z dwóch miesięcy do jednego