iSecure logo
  • pl
  • en
    • Blog

    Czy jest czego obawiać się odnośnie dyrektywy o Sygnalistach?

    Mateusz Jakubik
    Kategorie

    Wstęp

    Na samym początku, by lepiej zrozumieć całą tematykę, należy przybliżyć podstawowe kwestie dotyczące dyrektywy Parlamentu Europejskiego i Rady (UE) z dnia 16 grudnia 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej.

    Dyrektywa, którą przyjęło się nazywać dyrektywą o sygnalistach dopuszcza, by „sygnaliści” za pomocą różnych kanałów mogli dokonywać zgłoszeń. Przewiduje trójstopniowy podział kanałów zgłoszeniowych. Najważniejszym z nich jest kanał wewnętrzny. Jego konstrukcja powinna być tak zaprojektowana, by zachować tożsamość zgłaszającego w dyskrecji, a konkretnie, by nie ujawniać jej nieuprawnionym osobom, które zostały oddelegowane do zespołu zajmującego się merytorycznym rozpatrywaniem zgłoszeń.

    Nie można pominąć kwestii, iż najważniejszy w tym procesie jest sygnalista, który dokonuje zgłoszenia. Co natomiast z jego danymi osobowymi? Pojawia się wątpliwość, czy w tej sytuacji dane osobowe sygnalistów powinny podlegać pod wymogi rozporządzenia, które potocznie nazywane jest RODO. Ponadto pojawiają się tutaj wątpliwości, jak zachować anonimowość dokonującego zgłoszenie, który wybierze do tego działania kanał elektroniczny?

    Niniejszy artykuł ma pomóc znaleźć odpowiedź na te oraz inne pytania, a także przybliżyć tematykę sygnalistów.

     

    Polska, a temat whistleblowingu

    Jako ciekawostkę warto zaznaczyć, iż tematyka, która jest regulowana przez dyrektywę o sygnalistach, jest pierwszym kompleksowym dokumentem tego typu w Unii Europejskiej. Wcześniej tematyka ta wielokrotnie była poruszana raczej przez kraje, w których obowiązuje anglosaski system prawa. Doświadczenie historyczne państw znajdujących się w Europie powodowało przekonanie, iż anonimowe donosy są czymś negatywnym, nawet w przypadku zgłoszeń wielkich naruszeń prawnych czy też finansowych.

    Polska przed pojawieniem się dyrektywy o sygnalistach nie posiadała jednego kompleksowego aktu prawnego, który regulowałby kwestię dotyczącą sygnalistów. Tematyka ta pojawia się natomiast w poszczególnych aktach prawnych, między innymi:

    • Kodeksie postępowania karnego;
    • Ustawie o ochronie i pomocy dla pokrzywdzonego i świadka;
    • Ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

    Należy pamiętać także o kwestii prawa pracy. W Kodeksie Pracy można znaleźć mechanizmy, które z założenia mają chronić pracowników, gdy ci zechcą zgłosić naruszenie. Mowa o zakazie dyskryminacji bądź przeciwdziałaniu mobbingowi. Pracownicy, którzy zgłoszą tego typu naruszenie, nie mogą mieć z tego faktu jakichkolwiek negatywnych konsekwencji. Pytanie brzmi, czy mechanizmy te działają, gdyż jak można ustalić z doniesień prasowych, zwolnienia z powodu zgłoszenia tego typu naruszeń mają miejsce.

    Oczywiście nie można zapomnieć o fakcie, iż na podstawie Kodeksu Pracy wyłącznie pracownicy, których wiąże stosunek pracy, są chronieni. Nie dotyczy to osób zatrudnionych w oparciu o umowę zlecenia lub umowy o dzieło.

     

    Możliwe kanały dokonywania zgłoszeń

    Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii wymaga, by podmioty prawne w sektorach prywatnym i publicznym wdrożyli wewnętrzne kanały i procedury na potrzeby dokonywania zgłoszeń i podejmowania działań następczych w związku z tymi zgłoszeniami. Kanał ten powinien składać się z następujących elementów:

    • jasnego kanału do zgłaszania informacji (należy zaznaczyć, iż dotyczy to obszaru wewnątrz, jak i poza organizacją, przy zapewnieniu odpowiedniej poufności);
    • trzypoziomowego systemu zgłaszania nadużyć;
    • listy obowiązków w zakresie informacji zwrotnej nałożonych na władze i przedsiębiorstwa, które będą musiały odpowiedzieć na zgłoszenie i podjąć działania następcze w ciągu trzech miesięcy od momentu otrzymania informacji przekazanej kanałem wewnętrznym;
    • mechanizmu zapobiegania represjom skierowanym przeciwko sygnaliście oraz skuteczną ochronę przed nimi, kiedy już się pojawią.

    Kanały zgłaszania informacji są elementem kluczowym dla realizacji działań sygnalisty. Dyrektywa przewiduje kanały wewnętrzne oraz zewnętrzne. Kanały zewnętrzne to takie, za pomocą których można dokonać zgłoszenia do właściwych organów, tylko w przypadku, gdy kanały wewnętrzne nie spełniają swojej roli.

    Trzeci stopień, który może być bardzo dotkliwy, to informowanie opinii publicznej lub mediów, jeśli po zgłoszeniu za pomocą innych kanałów nie podjęto odpowiednich działań lub w przypadku ewidentnego zagrożenia interesu publicznego lub ryzyka jego wystąpienia, bądź w przypadku nieodwracalnej szkody.

     

    Ochrona danych osobowych a sygnaliści

    Ochrona danych osobowych uregulowana jest szczegółowo w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które zaczęło obowiązywać 25 maja 2018 r. i powszechnie nazywane jest RODO. Na wstępie pojawia się pytanie, czy będziemy przetwarzać tylko dane osobowe sygnalisty, czy również innych osób, które mogą znaleźć się w treści zgłoszenia.

    Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii samoistnie reguluje kwestię przetwarzania tych danych i zezwala na ich przetwarzanie nawet bez posiadania zgody tych osób. Mowa tutaj o przesłance prawnej przetwarzania tych danych.

    Kolejną ważną kwestią, na którą należy zwrócić uwagę, to minimalizacja danych osobowych, które zbierane są podczas zgłoszenia.  Należy pamiętać nie tylko o zasadzie minimalizmu wynikającej z RODO, ale również o fakcie, iż należy zachować anonimowość przy zachowaniu możliwości podjęcia kontaktu ze zgłaszającym. Administrator powinien w związku z tym przetwarzaniem nie tylko przeprowadzić ocenę ryzyka, na podstawie której powinien określić zakres niezbędnych zbieranych danych, ale również ocenę skutków dla ochrony danych osobowych (DPIA). Obowiązek przeprowadzenia oceny skutków dla ochrony danych jest tutaj obowiązkowy z uwagi na fakt, iż przetwarzanie danych w celu zgłoszenia może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

     

     

    17 grudnia 2021 r. – czas start

    Dyrektywa zacznie obowiązywać od 17 grudnia 2021 roku. Należy pamiętać, iż przepisy te muszą zostać wdrożone w organizacjach prywatnych jak i państwowych, które spełnią jedno z kryteriów:

    • zatrudniają powyżej 50 osób;
    • generują co najmniej 10 mln euro obrotu rocznie.

    Przesłanki nie muszą być spełnione kumulatywnie. Wystarczy spełnienie jednej, by podmiot był zobligowany do ich wdrożenia.

    Należy też dodać, iż ochrona wynikająca z dyrektywy o sygnalistach została rozszerzona i obejmie swoją ochroną nie tylko pracowników, ale także te osoby, które mimo braku zatrudnienia u konkretnego pracodawcy i nieotrzymywania wynagrodzenia, mogą doświadczyć działań odwetowych za zgłoszenie naruszeń. Dotyczy to między innymi stażystów i wolontariuszy.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.
    Przemysław Siarka

    Czy musimy mieć zgodę na ciasteczka? Wskazówek irlandzkiego organu ciąg dalszy

    Kontynuujemy wpis z ubiegłego miesiąca. Opisałem w nim wnioski z dokonanego przez Irlandzki Organ Ochrony Danych Osobowych (IDPC – Irish Data Protection Commision) audytu stron internetowych 38 administratorów danych. Teraz nadszedł czas na przedstawienie wskazówek, jakie zaprezentował wspomniany organ. Wstępne rozważania organu o plikach śledzących Na wstępie IDPC zaznacza, że nie tylko ciasteczkami człowiek żyje. […]

    Czytaj więcej
    Zgoda na przetwarzanie danych osobowych
    Katarzyna Ułasiuk-Delamare

    Zarządzanie danymi przetwarzanymi w oparciu o zgodę

    W Działach Marketingu bardzo często podstawą prawną przetwarzania danych osobowych jest właśnie zgoda. Oczywistym jest, że zbierana zgoda musi być udowodniona (w szczególności – kto, kiedy, jaką zgodę wyrażał). Czasami też potrzebujesz kilku zgód marketingowych (np. na własny marketing elektroniczny lub na udostępnienie danych partnerowi, aby mógł samodzielnie realizować kampanie e-mailowe). Trzeba liczyć się z […]

    Czytaj więcej
    Michał Sztąberek

    Co powinna zawierać procedura wykonywania kopii zapasowych?

    Procedura wykonywania kopii zapasowych (backupów) jest jednym z istotniejszych elementów budowania systemu ochrony danych osobowych, ale też zapewnienia ciągłości działania w kontekście szerszym, bo dotyczącym wszystkich istotnych dla organizacji informacji. Kiedy taka procedura może się przydać (przy założeniu, że została wdrożona i jest stosowana)? Na pewno w przypadku awarii systemu informatycznego, ale też w sytuacji […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki