iSecure logo
Blog

Czy jest czego obawiać się odnośnie dyrektywy o Sygnalistach?

Wstęp

Na samym początku, by lepiej zrozumieć całą tematykę, należy przybliżyć podstawowe kwestie dotyczące dyrektywy Parlamentu Europejskiego i Rady (UE) z dnia 16 grudnia 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej.

Dyrektywa, którą przyjęło się nazywać dyrektywą o sygnalistach dopuszcza, by „sygnaliści” za pomocą różnych kanałów mogli dokonywać zgłoszeń. Przewiduje trójstopniowy podział kanałów zgłoszeniowych. Najważniejszym z nich jest kanał wewnętrzny. Jego konstrukcja powinna być tak zaprojektowana, by zachować tożsamość zgłaszającego w dyskrecji, a konkretnie, by nie ujawniać jej nieuprawnionym osobom, które zostały oddelegowane do zespołu zajmującego się merytorycznym rozpatrywaniem zgłoszeń.

Nie można pominąć kwestii, iż najważniejszy w tym procesie jest sygnalista, który dokonuje zgłoszenia. Co natomiast z jego danymi osobowymi? Pojawia się wątpliwość, czy w tej sytuacji dane osobowe sygnalistów powinny podlegać pod wymogi rozporządzenia, które potocznie nazywane jest RODO. Ponadto pojawiają się tutaj wątpliwości, jak zachować anonimowość dokonującego zgłoszenie, który wybierze do tego działania kanał elektroniczny?

Niniejszy artykuł ma pomóc znaleźć odpowiedź na te oraz inne pytania, a także przybliżyć tematykę sygnalistów.

 

Polska, a temat whistleblowingu

Jako ciekawostkę warto zaznaczyć, iż tematyka, która jest regulowana przez dyrektywę o sygnalistach, jest pierwszym kompleksowym dokumentem tego typu w Unii Europejskiej. Wcześniej tematyka ta wielokrotnie była poruszana raczej przez kraje, w których obowiązuje anglosaski system prawa. Doświadczenie historyczne państw znajdujących się w Europie powodowało przekonanie, iż anonimowe donosy są czymś negatywnym, nawet w przypadku zgłoszeń wielkich naruszeń prawnych czy też finansowych.

Polska przed pojawieniem się dyrektywy o sygnalistach nie posiadała jednego kompleksowego aktu prawnego, który regulowałby kwestię dotyczącą sygnalistów. Tematyka ta pojawia się natomiast w poszczególnych aktach prawnych, między innymi:

  • Kodeksie postępowania karnego;
  • Ustawie o ochronie i pomocy dla pokrzywdzonego i świadka;
  • Ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Należy pamiętać także o kwestii prawa pracy. W Kodeksie Pracy można znaleźć mechanizmy, które z założenia mają chronić pracowników, gdy ci zechcą zgłosić naruszenie. Mowa o zakazie dyskryminacji bądź przeciwdziałaniu mobbingowi. Pracownicy, którzy zgłoszą tego typu naruszenie, nie mogą mieć z tego faktu jakichkolwiek negatywnych konsekwencji. Pytanie brzmi, czy mechanizmy te działają, gdyż jak można ustalić z doniesień prasowych, zwolnienia z powodu zgłoszenia tego typu naruszeń mają miejsce.

Oczywiście nie można zapomnieć o fakcie, iż na podstawie Kodeksu Pracy wyłącznie pracownicy, których wiąże stosunek pracy, są chronieni. Nie dotyczy to osób zatrudnionych w oparciu o umowę zlecenia lub umowy o dzieło.

 

Możliwe kanały dokonywania zgłoszeń

Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii wymaga, by podmioty prawne w sektorach prywatnym i publicznym wdrożyli wewnętrzne kanały i procedury na potrzeby dokonywania zgłoszeń i podejmowania działań następczych w związku z tymi zgłoszeniami. Kanał ten powinien składać się z następujących elementów:

  • jasnego kanału do zgłaszania informacji (należy zaznaczyć, iż dotyczy to obszaru wewnątrz, jak i poza organizacją, przy zapewnieniu odpowiedniej poufności);
  • trzypoziomowego systemu zgłaszania nadużyć;
  • listy obowiązków w zakresie informacji zwrotnej nałożonych na władze i przedsiębiorstwa, które będą musiały odpowiedzieć na zgłoszenie i podjąć działania następcze w ciągu trzech miesięcy od momentu otrzymania informacji przekazanej kanałem wewnętrznym;
  • mechanizmu zapobiegania represjom skierowanym przeciwko sygnaliście oraz skuteczną ochronę przed nimi, kiedy już się pojawią.

Kanały zgłaszania informacji są elementem kluczowym dla realizacji działań sygnalisty. Dyrektywa przewiduje kanały wewnętrzne oraz zewnętrzne. Kanały zewnętrzne to takie, za pomocą których można dokonać zgłoszenia do właściwych organów, tylko w przypadku, gdy kanały wewnętrzne nie spełniają swojej roli.

Trzeci stopień, który może być bardzo dotkliwy, to informowanie opinii publicznej lub mediów, jeśli po zgłoszeniu za pomocą innych kanałów nie podjęto odpowiednich działań lub w przypadku ewidentnego zagrożenia interesu publicznego lub ryzyka jego wystąpienia, bądź w przypadku nieodwracalnej szkody.

 

Ochrona danych osobowych a sygnaliści

Ochrona danych osobowych uregulowana jest szczegółowo w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które zaczęło obowiązywać 25 maja 2018 r. i powszechnie nazywane jest RODO. Na wstępie pojawia się pytanie, czy będziemy przetwarzać tylko dane osobowe sygnalisty, czy również innych osób, które mogą znaleźć się w treści zgłoszenia.

Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii samoistnie reguluje kwestię przetwarzania tych danych i zezwala na ich przetwarzanie nawet bez posiadania zgody tych osób. Mowa tutaj o przesłance prawnej przetwarzania tych danych.

Kolejną ważną kwestią, na którą należy zwrócić uwagę, to minimalizacja danych osobowych, które zbierane są podczas zgłoszenia.  Należy pamiętać nie tylko o zasadzie minimalizmu wynikającej z RODO, ale również o fakcie, iż należy zachować anonimowość przy zachowaniu możliwości podjęcia kontaktu ze zgłaszającym. Administrator powinien w związku z tym przetwarzaniem nie tylko przeprowadzić ocenę ryzyka, na podstawie której powinien określić zakres niezbędnych zbieranych danych, ale również ocenę skutków dla ochrony danych osobowych (DPIA). Obowiązek przeprowadzenia oceny skutków dla ochrony danych jest tutaj obowiązkowy z uwagi na fakt, iż przetwarzanie danych w celu zgłoszenia może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

 

 

17 grudnia 2021 r. – czas start

Dyrektywa zacznie obowiązywać od 17 grudnia 2021 roku. Należy pamiętać, iż przepisy te muszą zostać wdrożone w organizacjach prywatnych jak i państwowych, które spełnią jedno z kryteriów:

  • zatrudniają powyżej 50 osób;
  • generują co najmniej 10 mln euro obrotu rocznie.

Przesłanki nie muszą być spełnione kumulatywnie. Wystarczy spełnienie jednej, by podmiot był zobligowany do ich wdrożenia.

Należy też dodać, iż ochrona wynikająca z dyrektywy o sygnalistach została rozszerzona i obejmie swoją ochroną nie tylko pracowników, ale także te osoby, które mimo braku zatrudnienia u konkretnego pracodawcy i nieotrzymywania wynagrodzenia, mogą doświadczyć działań odwetowych za zgłoszenie naruszeń. Dotyczy to między innymi stażystów i wolontariuszy.

Pobierz wpis w wersji pdf

Podobne wpisy:

Księgi akcyjne

Kopiowanie dokumentów publicznych w świetle nowych regulacji

Na parę dni przed 12-tym lipca, czyli wejściem w życieustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, w Internecie zawrzało od komentarzy określających rozpoczęcie obowiązywania jej zapisów jako początku całkowitego zakazu kserowania wskazanych ustawowo dokumentów, w tym dowodu osobistego, czy dokumentu prawa jazdy. Informacje, które początkowo zostały przez media podane, po zapoznaniu się […]

Wytyczne organów – przypadkowe ujawnienie danych

Komunikacja elektroniczna jest dziś podstawowym sposobem przesyłania informacji. Wiążą się z nią jednak pewne ryzyka, zwłaszcza jeśli przekazywane komunikaty i dokumenty załączane do wiadomości elektronicznych zawierają dane osobowe. Dane osobowe mogą być również przesyłane pocztą tradycyjną i również ta forma komunikacji nie jest pozbawiona zagrożeń.  Główne ryzyko polega na przypadkowym przesłaniu danych osobowych przez administratora […]

Przetwarzanie danych służbowych

Administrator czy podmiot przetwarzający? Jaką rolę pełnisz?

Określenie roli, jaką dany podmiot pełni w procesie przetwarzania danych osobowych, może stanowić dla przedsiębiorców nie lada wyzwanie. Jest to jednak niezbędne do prawidłowego ustalenia obowiązków, jakie ciążą na danym podmiocie w związku z przetwarzaniem danych osobowych. Administrator ponosi największą odpowiedzialność za powyższe operacje. Określa on – samodzielnie lub wspólnie z innym podmiotem – cele […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki