iSecure logo
  • pl
  • en
    • Blog

    Czy jest czego obawiać się odnośnie dyrektywy o Sygnalistach?

    Mateusz Jakubik
    Kategorie

    Wstęp

    Na samym początku, by lepiej zrozumieć całą tematykę, należy przybliżyć podstawowe kwestie dotyczące dyrektywy Parlamentu Europejskiego i Rady (UE) z dnia 16 grudnia 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej.

    Dyrektywa, którą przyjęło się nazywać dyrektywą o sygnalistach dopuszcza, by „sygnaliści” za pomocą różnych kanałów mogli dokonywać zgłoszeń. Przewiduje trójstopniowy podział kanałów zgłoszeniowych. Najważniejszym z nich jest kanał wewnętrzny. Jego konstrukcja powinna być tak zaprojektowana, by zachować tożsamość zgłaszającego w dyskrecji, a konkretnie, by nie ujawniać jej nieuprawnionym osobom, które zostały oddelegowane do zespołu zajmującego się merytorycznym rozpatrywaniem zgłoszeń.

    Nie można pominąć kwestii, iż najważniejszy w tym procesie jest sygnalista, który dokonuje zgłoszenia. Co natomiast z jego danymi osobowymi? Pojawia się wątpliwość, czy w tej sytuacji dane osobowe sygnalistów powinny podlegać pod wymogi rozporządzenia, które potocznie nazywane jest RODO. Ponadto pojawiają się tutaj wątpliwości, jak zachować anonimowość dokonującego zgłoszenie, który wybierze do tego działania kanał elektroniczny?

    Niniejszy artykuł ma pomóc znaleźć odpowiedź na te oraz inne pytania, a także przybliżyć tematykę sygnalistów.

     

    Polska, a temat whistleblowingu

    Jako ciekawostkę warto zaznaczyć, iż tematyka, która jest regulowana przez dyrektywę o sygnalistach, jest pierwszym kompleksowym dokumentem tego typu w Unii Europejskiej. Wcześniej tematyka ta wielokrotnie była poruszana raczej przez kraje, w których obowiązuje anglosaski system prawa. Doświadczenie historyczne państw znajdujących się w Europie powodowało przekonanie, iż anonimowe donosy są czymś negatywnym, nawet w przypadku zgłoszeń wielkich naruszeń prawnych czy też finansowych.

    Polska przed pojawieniem się dyrektywy o sygnalistach nie posiadała jednego kompleksowego aktu prawnego, który regulowałby kwestię dotyczącą sygnalistów. Tematyka ta pojawia się natomiast w poszczególnych aktach prawnych, między innymi:

    • Kodeksie postępowania karnego;
    • Ustawie o ochronie i pomocy dla pokrzywdzonego i świadka;
    • Ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

    Należy pamiętać także o kwestii prawa pracy. W Kodeksie Pracy można znaleźć mechanizmy, które z założenia mają chronić pracowników, gdy ci zechcą zgłosić naruszenie. Mowa o zakazie dyskryminacji bądź przeciwdziałaniu mobbingowi. Pracownicy, którzy zgłoszą tego typu naruszenie, nie mogą mieć z tego faktu jakichkolwiek negatywnych konsekwencji. Pytanie brzmi, czy mechanizmy te działają, gdyż jak można ustalić z doniesień prasowych, zwolnienia z powodu zgłoszenia tego typu naruszeń mają miejsce.

    Oczywiście nie można zapomnieć o fakcie, iż na podstawie Kodeksu Pracy wyłącznie pracownicy, których wiąże stosunek pracy, są chronieni. Nie dotyczy to osób zatrudnionych w oparciu o umowę zlecenia lub umowy o dzieło.

     

    Możliwe kanały dokonywania zgłoszeń

    Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii wymaga, by podmioty prawne w sektorach prywatnym i publicznym wdrożyli wewnętrzne kanały i procedury na potrzeby dokonywania zgłoszeń i podejmowania działań następczych w związku z tymi zgłoszeniami. Kanał ten powinien składać się z następujących elementów:

    • jasnego kanału do zgłaszania informacji (należy zaznaczyć, iż dotyczy to obszaru wewnątrz, jak i poza organizacją, przy zapewnieniu odpowiedniej poufności);
    • trzypoziomowego systemu zgłaszania nadużyć;
    • listy obowiązków w zakresie informacji zwrotnej nałożonych na władze i przedsiębiorstwa, które będą musiały odpowiedzieć na zgłoszenie i podjąć działania następcze w ciągu trzech miesięcy od momentu otrzymania informacji przekazanej kanałem wewnętrznym;
    • mechanizmu zapobiegania represjom skierowanym przeciwko sygnaliście oraz skuteczną ochronę przed nimi, kiedy już się pojawią.

    Kanały zgłaszania informacji są elementem kluczowym dla realizacji działań sygnalisty. Dyrektywa przewiduje kanały wewnętrzne oraz zewnętrzne. Kanały zewnętrzne to takie, za pomocą których można dokonać zgłoszenia do właściwych organów, tylko w przypadku, gdy kanały wewnętrzne nie spełniają swojej roli.

    Trzeci stopień, który może być bardzo dotkliwy, to informowanie opinii publicznej lub mediów, jeśli po zgłoszeniu za pomocą innych kanałów nie podjęto odpowiednich działań lub w przypadku ewidentnego zagrożenia interesu publicznego lub ryzyka jego wystąpienia, bądź w przypadku nieodwracalnej szkody.

     

    Ochrona danych osobowych a sygnaliści

    Ochrona danych osobowych uregulowana jest szczegółowo w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które zaczęło obowiązywać 25 maja 2018 r. i powszechnie nazywane jest RODO. Na wstępie pojawia się pytanie, czy będziemy przetwarzać tylko dane osobowe sygnalisty, czy również innych osób, które mogą znaleźć się w treści zgłoszenia.

    Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii samoistnie reguluje kwestię przetwarzania tych danych i zezwala na ich przetwarzanie nawet bez posiadania zgody tych osób. Mowa tutaj o przesłance prawnej przetwarzania tych danych.

    Kolejną ważną kwestią, na którą należy zwrócić uwagę, to minimalizacja danych osobowych, które zbierane są podczas zgłoszenia.  Należy pamiętać nie tylko o zasadzie minimalizmu wynikającej z RODO, ale również o fakcie, iż należy zachować anonimowość przy zachowaniu możliwości podjęcia kontaktu ze zgłaszającym. Administrator powinien w związku z tym przetwarzaniem nie tylko przeprowadzić ocenę ryzyka, na podstawie której powinien określić zakres niezbędnych zbieranych danych, ale również ocenę skutków dla ochrony danych osobowych (DPIA). Obowiązek przeprowadzenia oceny skutków dla ochrony danych jest tutaj obowiązkowy z uwagi na fakt, iż przetwarzanie danych w celu zgłoszenia może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

     

     

    17 grudnia 2021 r. – czas start

    Dyrektywa zacznie obowiązywać od 17 grudnia 2021 roku. Należy pamiętać, iż przepisy te muszą zostać wdrożone w organizacjach prywatnych jak i państwowych, które spełnią jedno z kryteriów:

    • zatrudniają powyżej 50 osób;
    • generują co najmniej 10 mln euro obrotu rocznie.

    Przesłanki nie muszą być spełnione kumulatywnie. Wystarczy spełnienie jednej, by podmiot był zobligowany do ich wdrożenia.

    Należy też dodać, iż ochrona wynikająca z dyrektywy o sygnalistach została rozszerzona i obejmie swoją ochroną nie tylko pracowników, ale także te osoby, które mimo braku zatrudnienia u konkretnego pracodawcy i nieotrzymywania wynagrodzenia, mogą doświadczyć działań odwetowych za zgłoszenie naruszeń. Dotyczy to między innymi stażystów i wolontariuszy.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Agnieszka Rapcewicz

    Czy zgodnie z RODO można wysyłać kartki świąteczne do klientów lub potencjalnych klientów?

    Zbliżają się Święta Bożego Narodzenia, a firmy rozpoczynają wysyłkę kartek świątecznych do aktualnych, byłych lub potencjalnych klientów. Niekiedy do kartek dołączają oferty dotyczące świadczonych usług lub sprzedawanych produktów (zwłaszcza teraz, w czasie pandemii, chcąc pozyskać nowych klientów). Otrzymujemy w związku z tym pytania, czy takie działania są zgodne z RODO. W niniejszym wpisie wyjaśniamy, co […]

    Czytaj więcej
    Michał Sztąberek

    Pliki cookies vs. dane osobowe – uzasadnienie do wyroku WSA

    Jak zapewne niektórzy z Czytelników naszego bloga pamiętają, w dniu 11 lipca br. Wojewódzki Sąd Administracyjny w Warszawie (WSA) uchylił decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Informowaliśmy o tym w ramach naszych profili w mediach społecznościowych np. LinkedIn, gdzie przytoczyliśmy kilka najważniejszych tez, które padły ze strony WSA. Wskazaliśmy tam również, że czekamy na […]

    Czytaj więcej
    Michał Sztąberek

    Ocena naruszenia przy błędnie wysłanym PIT – case study

    Czas wysyłania PIT-11 do pracowników to szczególnie gorący okres dla inspektorów ochrony danych. Przesyłek jest mnóstwo, nic zatem dziwnego, że niektóre z nich trafiają do niewłaściwych osób. A to potencjalnie oznacza naruszenie ochrony danych osobowych, które należy przeanalizować pod kątem naruszenia praw i wolności osoby, która została takim incydentem objęta. Z pomocą przychodzi nam na […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki