iSecure logo
Blog

Czy jest czego obawiać się odnośnie dyrektywy o Sygnalistach?

Wstęp

Na samym początku, by lepiej zrozumieć całą tematykę, należy przybliżyć podstawowe kwestie dotyczące dyrektywy Parlamentu Europejskiego i Rady (UE) z dnia 16 grudnia 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej.

Dyrektywa, którą przyjęło się nazywać dyrektywą o sygnalistach dopuszcza, by „sygnaliści” za pomocą różnych kanałów mogli dokonywać zgłoszeń. Przewiduje trójstopniowy podział kanałów zgłoszeniowych. Najważniejszym z nich jest kanał wewnętrzny. Jego konstrukcja powinna być tak zaprojektowana, by zachować tożsamość zgłaszającego w dyskrecji, a konkretnie, by nie ujawniać jej nieuprawnionym osobom, które zostały oddelegowane do zespołu zajmującego się merytorycznym rozpatrywaniem zgłoszeń.

Nie można pominąć kwestii, iż najważniejszy w tym procesie jest sygnalista, który dokonuje zgłoszenia. Co natomiast z jego danymi osobowymi? Pojawia się wątpliwość, czy w tej sytuacji dane osobowe sygnalistów powinny podlegać pod wymogi rozporządzenia, które potocznie nazywane jest RODO. Ponadto pojawiają się tutaj wątpliwości, jak zachować anonimowość dokonującego zgłoszenie, który wybierze do tego działania kanał elektroniczny?

Niniejszy artykuł ma pomóc znaleźć odpowiedź na te oraz inne pytania, a także przybliżyć tematykę sygnalistów.

 

Polska, a temat whistleblowingu

Jako ciekawostkę warto zaznaczyć, iż tematyka, która jest regulowana przez dyrektywę o sygnalistach, jest pierwszym kompleksowym dokumentem tego typu w Unii Europejskiej. Wcześniej tematyka ta wielokrotnie była poruszana raczej przez kraje, w których obowiązuje anglosaski system prawa. Doświadczenie historyczne państw znajdujących się w Europie powodowało przekonanie, iż anonimowe donosy są czymś negatywnym, nawet w przypadku zgłoszeń wielkich naruszeń prawnych czy też finansowych.

Polska przed pojawieniem się dyrektywy o sygnalistach nie posiadała jednego kompleksowego aktu prawnego, który regulowałby kwestię dotyczącą sygnalistów. Tematyka ta pojawia się natomiast w poszczególnych aktach prawnych, między innymi:

  • Kodeksie postępowania karnego;
  • Ustawie o ochronie i pomocy dla pokrzywdzonego i świadka;
  • Ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Należy pamiętać także o kwestii prawa pracy. W Kodeksie Pracy można znaleźć mechanizmy, które z założenia mają chronić pracowników, gdy ci zechcą zgłosić naruszenie. Mowa o zakazie dyskryminacji bądź przeciwdziałaniu mobbingowi. Pracownicy, którzy zgłoszą tego typu naruszenie, nie mogą mieć z tego faktu jakichkolwiek negatywnych konsekwencji. Pytanie brzmi, czy mechanizmy te działają, gdyż jak można ustalić z doniesień prasowych, zwolnienia z powodu zgłoszenia tego typu naruszeń mają miejsce.

Oczywiście nie można zapomnieć o fakcie, iż na podstawie Kodeksu Pracy wyłącznie pracownicy, których wiąże stosunek pracy, są chronieni. Nie dotyczy to osób zatrudnionych w oparciu o umowę zlecenia lub umowy o dzieło.

 

Możliwe kanały dokonywania zgłoszeń

Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii wymaga, by podmioty prawne w sektorach prywatnym i publicznym wdrożyli wewnętrzne kanały i procedury na potrzeby dokonywania zgłoszeń i podejmowania działań następczych w związku z tymi zgłoszeniami. Kanał ten powinien składać się z następujących elementów:

  • jasnego kanału do zgłaszania informacji (należy zaznaczyć, iż dotyczy to obszaru wewnątrz, jak i poza organizacją, przy zapewnieniu odpowiedniej poufności);
  • trzypoziomowego systemu zgłaszania nadużyć;
  • listy obowiązków w zakresie informacji zwrotnej nałożonych na władze i przedsiębiorstwa, które będą musiały odpowiedzieć na zgłoszenie i podjąć działania następcze w ciągu trzech miesięcy od momentu otrzymania informacji przekazanej kanałem wewnętrznym;
  • mechanizmu zapobiegania represjom skierowanym przeciwko sygnaliście oraz skuteczną ochronę przed nimi, kiedy już się pojawią.

Kanały zgłaszania informacji są elementem kluczowym dla realizacji działań sygnalisty. Dyrektywa przewiduje kanały wewnętrzne oraz zewnętrzne. Kanały zewnętrzne to takie, za pomocą których można dokonać zgłoszenia do właściwych organów, tylko w przypadku, gdy kanały wewnętrzne nie spełniają swojej roli.

Trzeci stopień, który może być bardzo dotkliwy, to informowanie opinii publicznej lub mediów, jeśli po zgłoszeniu za pomocą innych kanałów nie podjęto odpowiednich działań lub w przypadku ewidentnego zagrożenia interesu publicznego lub ryzyka jego wystąpienia, bądź w przypadku nieodwracalnej szkody.

 

Ochrona danych osobowych a sygnaliści

Ochrona danych osobowych uregulowana jest szczegółowo w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które zaczęło obowiązywać 25 maja 2018 r. i powszechnie nazywane jest RODO. Na wstępie pojawia się pytanie, czy będziemy przetwarzać tylko dane osobowe sygnalisty, czy również innych osób, które mogą znaleźć się w treści zgłoszenia.

Dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii samoistnie reguluje kwestię przetwarzania tych danych i zezwala na ich przetwarzanie nawet bez posiadania zgody tych osób. Mowa tutaj o przesłance prawnej przetwarzania tych danych.

Kolejną ważną kwestią, na którą należy zwrócić uwagę, to minimalizacja danych osobowych, które zbierane są podczas zgłoszenia.  Należy pamiętać nie tylko o zasadzie minimalizmu wynikającej z RODO, ale również o fakcie, iż należy zachować anonimowość przy zachowaniu możliwości podjęcia kontaktu ze zgłaszającym. Administrator powinien w związku z tym przetwarzaniem nie tylko przeprowadzić ocenę ryzyka, na podstawie której powinien określić zakres niezbędnych zbieranych danych, ale również ocenę skutków dla ochrony danych osobowych (DPIA). Obowiązek przeprowadzenia oceny skutków dla ochrony danych jest tutaj obowiązkowy z uwagi na fakt, iż przetwarzanie danych w celu zgłoszenia może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

 

 

17 grudnia 2021 r. – czas start

Dyrektywa zacznie obowiązywać od 17 grudnia 2021 roku. Należy pamiętać, iż przepisy te muszą zostać wdrożone w organizacjach prywatnych jak i państwowych, które spełnią jedno z kryteriów:

  • zatrudniają powyżej 50 osób;
  • generują co najmniej 10 mln euro obrotu rocznie.

Przesłanki nie muszą być spełnione kumulatywnie. Wystarczy spełnienie jednej, by podmiot był zobligowany do ich wdrożenia.

Należy też dodać, iż ochrona wynikająca z dyrektywy o sygnalistach została rozszerzona i obejmie swoją ochroną nie tylko pracowników, ale także te osoby, które mimo braku zatrudnienia u konkretnego pracodawcy i nieotrzymywania wynagrodzenia, mogą doświadczyć działań odwetowych za zgłoszenie naruszeń. Dotyczy to między innymi stażystów i wolontariuszy.

Pobierz wpis w wersji pdf

Podobne wpisy:

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych

Niebezpieczeństwa usług internetowych

Internet zrewolucjonizował nasze życie, pozwolił nam na wyrażanie naszego zdania oraz szybkie pozyskiwanie informacji na interesujące nas tematy. Jednym z dobrodziejstw Internetu jest rozszerzenie zakresu i ilości usług świadczonych drogą elektroniczną oraz łatwiejszy dostęp do internetowych aplikacji.  W Internecie na użytkownika czyha wiele ryzyk, które mogą naruszyć jego prywatność lub spowodować straty materialne, dlatego bardzo […]

Wysyłanie PIT-a drogą mailową

Wstęp Niniejszy artykuł ma na celu rozwiać wątpliwości dotyczące kwestii wysyłania PIT-a drogą elektroniczną. Należy tutaj zaznaczyć, iż nie dotyczy to tylko kwestii poczty elektronicznej ale również ogólnodostępnych narzędzi, które między innymi służą do udostępniania konkretnych plików / dokumentów konkretnemu gronu odbiorców. Nie można tutaj oczywiście mówić tylko o kwestii konkretnego dokumentu jakim jest PIT, […]

W jaki sposób prawidłowo zawiadomić o naruszeniu podmiot danych?

Zarządzanie incydentami ochrony danych osobowych w organizacji to jedno z większych wyzwań z jakimi mierzą się administratorzy i Inspektorzy Ochrony Danych od momentu funkcjonowania RODO. Obsługa incydentów wymaga podjęciu wielu działań ze strony administratora. W pierwszej kolejności musi być duża świadomość w organizacji takich sytuacji, aby móc szybko i skutecznie zidentyfikować potencjalne naruszenie. Z drugiej […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki