iSecure logo
Blog

Czy jest czego obawiać się odnośnie dyrektywy o Sygnalistach?

Wstęp

Na samym początku, by lepiej zrozumieć całą tematykę, należy przybliżyć podstawowe kwestie dotyczące dyrektywy Parlamentu Europejskiego i Rady (UE) z dnia 16 grudnia 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej.

Dyrektywa, którą przyjęło się nazywać dyrektywą o sygnalistach dopuszcza, by „sygnaliści” za pomocą różnych kanałów mogli dokonywać zgłoszeń. Przewiduje trójstopniowy podział kanałów zgłoszeniowych. Najważniejszym z nich jest kanał wewnętrzny. Jego konstrukcja powinna być tak zaprojektowana, by zachować tożsamość zgłaszającego w dyskrecji, a konkretnie, by nie ujawniać jej nieuprawnionym osobom, które zostały oddelegowane do zespołu zajmującego się merytorycznym rozpatrywaniem zgłoszeń.

Nie można pominąć kwestii, iż najważniejszy w tym procesie jest sygnalista, który dokonuje zgłoszenia. Co natomiast z jego danymi osobowymi? Pojawia się wątpliwość, czy w tej sytuacji dane osobowe sygnalistów powinny podlegać pod wymogi rozporządzenia, które potocznie nazywane jest RODO. Ponadto pojawiają się tutaj wątpliwości, jak zachować anonimowość dokonującego zgłoszenie, który wybierze do tego działania kanał elektroniczny?

Niniejszy artykuł ma pomóc znaleźć odpowiedź na te oraz inne pytania, a także przybliżyć tematykę sygnalistów.

 

Polska, a temat whistleblowingu

Jako ciekawostkę warto zaznaczyć, iż tematyka, która jest regulowana przez dyrektywę o sygnalistach, jest pierwszym kompleksowym dokumentem tego typu w Unii Europejskiej. Wcześniej tematyka ta wielokrotnie była poruszana raczej przez kraje, w których obowiązuje anglosaski system prawa. Doświadczenie historyczne państw znajdujących się w Europie powodowało przekonanie, iż anonimowe donosy są czymś negatywnym, nawet w przypadku zgłoszeń wielkich naruszeń prawnych czy też finansowych.

Polska przed pojawieniem się dyrektywy o sygnalistach nie posiadała jednego kompleksowego aktu prawnego, który regulowałby kwestię dotyczącą sygnalistów. Tematyka ta pojawia się natomiast w poszczególnych aktach prawnych, między innymi:

  • Kodeksie postępowania karnego;
  • Ustawie o ochronie i pomocy dla pokrzywdzonego i świadka;
  • Ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Należy pamiętać także o kwestii prawa pracy. W Kodeksie Pracy można znaleźć mechanizmy, które z założenia mają chronić pracowników, gdy ci zechcą zgłosić naruszenie. Mowa o zakazie dyskryminacji bądź przeciwdziałaniu mobbingowi. Pracownicy, którzy zgłoszą tego typu naruszenie, nie mogą mieć z tego faktu jakichkolwiek negatywnych konsekwencji. Pytanie brzmi, czy mechanizmy te działają, gdyż jak można ustalić z doniesień prasowych, zwolnienia z powodu zgłoszenia tego typu naruszeń mają miejsce.

Oczywiście nie można zapomnieć o fakcie, iż na podstawie Kodeksu Pracy wyłącznie pracownicy, których wiąże stosunek pracy, są chronieni. Nie dotyczy to osób zatrudnionych w oparciu o umowę zlecenia lub umowy o dzieło.

 

Możliwe kanały dokonywania zgłoszeń

Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii wymaga, by podmioty prawne w sektorach prywatnym i publicznym wdrożyli wewnętrzne kanały i procedury na potrzeby dokonywania zgłoszeń i podejmowania działań następczych w związku z tymi zgłoszeniami. Kanał ten powinien składać się z następujących elementów:

  • jasnego kanału do zgłaszania informacji (należy zaznaczyć, iż dotyczy to obszaru wewnątrz, jak i poza organizacją, przy zapewnieniu odpowiedniej poufności);
  • trzypoziomowego systemu zgłaszania nadużyć;
  • listy obowiązków w zakresie informacji zwrotnej nałożonych na władze i przedsiębiorstwa, które będą musiały odpowiedzieć na zgłoszenie i podjąć działania następcze w ciągu trzech miesięcy od momentu otrzymania informacji przekazanej kanałem wewnętrznym;
  • mechanizmu zapobiegania represjom skierowanym przeciwko sygnaliście oraz skuteczną ochronę przed nimi, kiedy już się pojawią.

Kanały zgłaszania informacji są elementem kluczowym dla realizacji działań sygnalisty. Dyrektywa przewiduje kanały wewnętrzne oraz zewnętrzne. Kanały zewnętrzne to takie, za pomocą których można dokonać zgłoszenia do właściwych organów, tylko w przypadku, gdy kanały wewnętrzne nie spełniają swojej roli.

Trzeci stopień, który może być bardzo dotkliwy, to informowanie opinii publicznej lub mediów, jeśli po zgłoszeniu za pomocą innych kanałów nie podjęto odpowiednich działań lub w przypadku ewidentnego zagrożenia interesu publicznego lub ryzyka jego wystąpienia, bądź w przypadku nieodwracalnej szkody.

 

Ochrona danych osobowych a sygnaliści

Ochrona danych osobowych uregulowana jest szczegółowo w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które zaczęło obowiązywać 25 maja 2018 r. i powszechnie nazywane jest RODO. Na wstępie pojawia się pytanie, czy będziemy przetwarzać tylko dane osobowe sygnalisty, czy również innych osób, które mogą znaleźć się w treści zgłoszenia.

Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii samoistnie reguluje kwestię przetwarzania tych danych i zezwala na ich przetwarzanie nawet bez posiadania zgody tych osób. Mowa tutaj o przesłance prawnej przetwarzania tych danych.

Kolejną ważną kwestią, na którą należy zwrócić uwagę, to minimalizacja danych osobowych, które zbierane są podczas zgłoszenia.  Należy pamiętać nie tylko o zasadzie minimalizmu wynikającej z RODO, ale również o fakcie, iż należy zachować anonimowość przy zachowaniu możliwości podjęcia kontaktu ze zgłaszającym. Administrator powinien w związku z tym przetwarzaniem nie tylko przeprowadzić ocenę ryzyka, na podstawie której powinien określić zakres niezbędnych zbieranych danych, ale również ocenę skutków dla ochrony danych osobowych (DPIA). Obowiązek przeprowadzenia oceny skutków dla ochrony danych jest tutaj obowiązkowy z uwagi na fakt, iż przetwarzanie danych w celu zgłoszenia może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

 

 

17 grudnia 2021 r. – czas start

Dyrektywa zacznie obowiązywać od 17 grudnia 2021 roku. Należy pamiętać, iż przepisy te muszą zostać wdrożone w organizacjach prywatnych jak i państwowych, które spełnią jedno z kryteriów:

  • zatrudniają powyżej 50 osób;
  • generują co najmniej 10 mln euro obrotu rocznie.

Przesłanki nie muszą być spełnione kumulatywnie. Wystarczy spełnienie jednej, by podmiot był zobligowany do ich wdrożenia.

Należy też dodać, iż ochrona wynikająca z dyrektywy o sygnalistach została rozszerzona i obejmie swoją ochroną nie tylko pracowników, ale także te osoby, które mimo braku zatrudnienia u konkretnego pracodawcy i nieotrzymywania wynagrodzenia, mogą doświadczyć działań odwetowych za zgłoszenie naruszeń. Dotyczy to między innymi stażystów i wolontariuszy.

Pobierz wpis w wersji pdf

Podobne wpisy:

Dane osobowe dzieci w internecie

“ICO z tym internetem dzieci?” – Część III. Standardy 4 – 6

Pierwsze dwie publikacje dotyczące wytycznych Information Commissioner’s Office (ICO) w zakresie projektowania produktów i usług (Age Appriopriate Design Code) skupiały się na zarysowaniu idei dokumentu wydanego przez ICO (Część I dostępna tutaj) oraz na pierwszych trzech standardach (Część II dostępna tutaj). Niniejszy tekst stanowi kontynuację tego omówienia.    Standard nr 4 – Przejrzystość Każda osoba, […]

Standardowe klauzule umowne – czy wiemy kiedy, które klauzule należy stosować?

W czerwcu 2021 r. Komisja Europejska opublikowała dwa bardzo ważne dokumenty. Jeden z nich przedstawia wzorcową umowę powierzenia, a drugi stanowi podstawę legalizującą transfer do podmiotów mających swoją siedzibę poza Unią Europejską: – w stosunku do których Komisja Europejska nie wydała decyzji stwierdzającej odpowiedni stopień ochrony na mocy art. 45 RODO (czyli kolokwialnie mówiąc – […]

Jak powinno wyglądać upoważnienie do przetwarzania danych osobowych?

Upoważnienia do przetwarzania danych osobowych to standardowy temat pojawiający się podczas działań podejmowanych w ramach wdrażania przepisów prawa ochrony danych osobowych w organizacji.  Mimo dość ustrukturyzowanej formuły upoważnienia, pojawia się szereg wątpliwości w kontekście obowiązku wydania samego dokumentu czy jego ostatecznej formy. W artykule postaramy się przybliżyć najważniejsze kwestie związane z upoważnieniami i jednocześnie odpowiedzieć […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki