Ochrona sygnalistów- jak przygotować się do wdrożenia ustawy. Odpowiedzi na pytania uczestników webinaru

W ostatnim czasie zorganizowaliśmy webinar dotyczący prawnej ochrony sygnalistów oraz ustawy regulującej tę kwestię, która najprawdopodobniej w najbliższych kilku miesiącach będzie już obowiązywać. Serdecznie dziękujemy wszystkim, którzy wzięli w nim udział. Spotkanie cieszyło się dużym zainteresowaniem, czego dowodem były liczne pytania zadane przez uczestników. Poniżej publikujemy odpowiedzi na wybrane pytania.

Odpowiedzi zostały przygotowane na podstawie projektu ustawy, który 15 maja 2024 r. był procedowany w Sejmie. Mówimy więc wciąż o projekcie, a nie o przepisach, które weszły już w życie i powszechnie obowiązują. Choć jest to mało prawdopodobne, nie można wykluczyć, że treść poszczególnych przepisów może jeszcze ulec zmianie. To z kolei może wpłynąć na aktualność opublikowanych poniżej odpowiedzi.

 

1. Czy osoba, której dotyczy zgłoszenie naruszenia prawa może zrealizować swoje prawo dostępu do danych osobowych oraz otrzymania ich kopii? Czy można uznać, że z uwagi na działanie w interesie publicznym, prawo to jest wyłączone?

Przepisy ustawy o sygnalistach nie wyłączają prawa osoby fizycznej, której dotyczy zgłoszenie, dostępu do danych osobowych oraz otrzymania ich kopii (art. 15 RODO). Prawo może zostać jednak ograniczone w zakresie źródła pozyskania danych osobowych. Zgodnie bowiem z ustawą o sygnalistach (art. 8 ust. 6), przepisu art. 15 ust. 1 lit. g RODO nie stosuje się w zakresie przekazania informacji o źródle pozyskania danych osobowych, chyba że:

– sygnalista nie spełnia warunków do objęcia go ochroną przewidzianą w ustawie (art. 6); albo

– sygnalista udzielił wyraźnej zgody na przekazanie informacji w tym zakresie.

Jeżeli sygnalista został objęty ochroną przewidzianą w ustawie i nie wyraził on zgody na przekazanie informacji o źródle pozyskania danych osobowych, administrator – realizując prawo dostępu do danych osobowych – nie powinien przekazywać tych informacji. W pozostałym zakresie prawo dostępu powinno zostać zrealizowane, zgodnie z przepisami RODO.

2. Czy wszystkie zgłoszenia należy wpisywać do rejestru zgłoszeń wewnętrznych, czy też najpierw zgłoszenie powinno zostać zarejestrowane i zbadane (np. przez komisję) pod kątem zakwalifikowania go jako zgłoszenia naruszenia?

Wydaje się, że do rejestru zgłoszeń wewnętrznych powinny być wpisywane wszystkie zgłoszenia, które zostały przekazane w sposób przewidziany dla wewnętrznych zgłoszeń naruszeń prawa.

Zgodnie z art. 29 ust 4 ustawy o sygnalistach, rejestr zgłoszeń wewnętrznych zawiera m.in. numer zgłoszenia, przedmiot naruszenia, datę dokonania zgłoszenia, czy też informację o podjętych działaniach następczych. W myśl ust. 3 wskazanego przepisu, wpisu do rejestru zgłoszeń wewnętrznych dokonuje się na podstawie zgłoszenia wewnętrznego. Warto również zwrócić uwagę, że wdrożona procedura zgłoszeń wewnętrznych musi określać m.in. obowiązek potwierdzenia sygnaliście zgłoszenia wewnętrznego, jak również maksymalny termin na przekazanie sygnaliście informacji zwrotnej.

Ze wskazanych przepisów wynika, że podmiot, który otrzyma zgłoszenie wewnętrzne powinien w pierwszej kolejności nadać mu odpowiedni numer oraz poinformować sygnalistę o przyjęciu zgłoszenia wewnętrznego, a następnie na jego podstawie dokonać wpisu do rejestru zgłoszeń wewnętrznych i podjąć dalsze kroki w celu jego weryfikacji.

3. Co kryje się pod pojęciem przedsiębiorca, jako osoba zgłaszająca naruszenie prawa?

Pod pojęciem przedsiębiorcy, jako osoby zgłaszającej naruszenie prawa, należy rozumieć osobę fizyczną, która prowadzi we własnym imieniu działalność gospodarczą lub zawodową, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą.

Pojęcie przedsiębiorcy jest określone w Kodeksie cywilnym (art. 43¹). W myśl wskazanego przepisu, przedsiębiorcą jest osoba fizyczna, osoba prawna i jednostka organizacyjna, o której mowa w art. 33¹ § 1, prowadząca we własnym imieniu działalność gospodarczą lub zawodową. Zgodnie natomiast z ustawą o sygnalistach (art. 4 ust 1), sygnalistą jest osoba fizyczna, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą, w tym m.in. przedsiębiorca.

4. Czy jeżeli sygnalista wyśle zgłoszenia o naruszeniach prawa do Ministerstwa, które nadzoruje daną jednostkę podległą lub nadzorowaną to jest to zgłoszenie wewnętrzne czy zewnętrzne dla Ministerstwa?

Wydaje się, że zgłoszenie skierowane do danego Ministerstwa lub do jego jednostek podległych lub nadzorowanych będzie mogło zostać zakwalifikowane jako zgłoszenie wewnętrzne. Podmiotami uprawnionymi do przyjmowania zgłoszeń zewnętrznych są bowiem Rzecznik Praw Obywatelskich oraz organy uprawnione do podejmowania określonych działań w zakresie dziedzin prawa objętych zastosowaniem ustawy o sygnalistach.

Zgodnie z art. 2 pkt 16 ustawy o sygnalistach, zgłoszeniem wewnętrznym jest ustne lub pisemne przekazanie podmiotowi prawnemu informacji o naruszeniu prawa. Stosownie do pkt 17 tego przepisu, zgłoszeniem zewnętrznym jest natomiast ustne lub pisemne przekazanie informacji o naruszeniu prawa Rzecznikowi Praw Obywatelskich albo organowi publicznemu.

Organem publicznym w rozumieniu ustawy o sygnalistach (art. 2 pkt 6) jest – mówiąc w skrócie – organ państwowy lub podmiot wykonujący z mocy prawa zadania z zakresu administracji publicznej, który jest właściwy do podejmowania działań następczych w zakresie dziedzin prawa objętych zastosowaniem ustawy o sygnalistach. Organami uprawnionymi do przyjmowania i rozpatrywania zgłoszeń zewnętrznych będą zatem przykładowo Generalny Inspektor Informacji Finansowej (w zakresie naruszeń prawa dotyczących prania pieniędzy), Inspekcja pracy (w zakresie naruszeń prawa dotyczących prawa pracy), czy też Prezes Urzędu Ochrony Danych Osobowych (w zakresie naruszeń dotyczących ochrony danych osobowych).

5. Czy IOD może obsługiwać zgłoszenia sygnalistów?

Co do zasady, zarówno przepisy ustaw o sygnalistach (oraz Dyrektywy, która jest implementowan wskazaną ustawą w polskim systemie prawnym), jak i RODO nie zakazują łączenia funkcji IOD z zadaniami związanymi z obsługą wniosków sygnalistów. Warto jednak zwrócić uwagę, że zgodnie z RODO, IOD co do zasady może wykonywać inne zadania i obowiązki, o ile administrator lub podmiot przetwarzający zapewnią, że nie powodują one konfliktu interesów.

Urząd Ochrony Danych Osobowych (UODO) wskazał na swojej stronie internetowej (https://uodo.gov.pl/pl/495/2415), że przed powierzeniem IOD zadań związanych z przyjmowaniem zgłoszeń sygnalistów i prowadzeniem postępowań wyjaśniających w tym zakresie, administrator powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań. Taka ocena – jak wskazuje UODO – powinna być dokonana przy uwzględnieniu przepisów RODO oraz Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243).

6. Czy w procedurze zgłoszeń wewnętrznych można wskazać możliwość dokonywania zgłoszeń tylko pisemnie?

Zgodnie z ustawą o sygnalistach (art. 26 ust. 1), sposoby przekazywania zgłoszeń wewnętrznych obejmują co najmniej możliwość dokonywania zgłoszeń ustnie lub pisemnie. Podobnie kwestia ta uregulowana jest w Dyrektywie dot. sygnalistów.

Logiczna wykładnia wskazanego przepisu, w tym użycie kwantyfikatora „lub” sugeruje, że dopuszczalne może być określenie jedynie pisemnego kanału zgłaszania naruszeń. Całościowa ocena przepisów ustawy wydaje się jednak wskazywać, że intencją prawodawcy może być nakazanie podmiotowi prawnemu zapewnienia sygnaliście co najmniej możliwości zgłoszenia – według jego wyboru – ustnie lub pisemnie.

7. Czy w ustawie o sygnalistach określony jest dokładny termin przechowywania danych osobowych?

Przepisy ustawy o sygnalistach określają terminy retencji (usunięcia) danych osobowych. Terminy te są różne dla podmiotów prawnych i organów publicznych oraz dla Rzecznika Praw Obywatelskich.

Podmiot prawny oraz organ publiczny mogą przechowywać dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem, przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

Rzecznik Praw Obywatelskich może natomiast przechowywać dane osobowe przetwarzane w związku z przyjęciem zgłoszenia zewnętrznego oraz dokumenty związane z tym zgłoszeniem, przez okres 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.

Analogiczne terminy zostały przewidziane dla danych osobowych zgromadzonych w rejestrach prowadzonych na podstawie ustawy o sygnalistach.

8. Czy ustawa o sygnalistach przewiduje konkretny katalog danych osobowych, które można przetwarzać w związku ze zgłoszeniem sygnalisty?

Przepisy ustawy o sygnalistach nie zawierają wyraźnego katalogu danych osobowych, które administrator może przetwarzać w związku z przyjęciem i rozpatrywaniem zgłoszenia sygnalisty. Ustawa zawiera jednak wskazówki w tym zakresie. Zgodnie bowiem z art. 8 ust. 4 ustawy, podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.

Podmiot przyjmujący zgłoszenie zobowiązany zatem będzie do samodzielnej oceny niezbędności danych (zasada minimalizacji danych), które będą przetwarzane w związku ze zgłoszeniem sygnalisty.

9. Jaki jest wpływ ustaw o sygnalistach na inne podobne uregulowania? Przykładowo, ustawa AML przewiduje możliwość dokonywania anonimowych zgłoszeń?

Przepisy ustawy o sygnalistach wydają się nie wyłączać ani nie ograniczać zastosowania innych aktów prawnych, regulujących zgłaszanie nieprawidłowości, w tym np. przepisów ustawy AML. Ustawodawca wskazał w uzasadnieniu do ustawy, że: „rozwiązania ustawy nie będą modyfikowały obowiązujących przepisów ogólnie mogących służyć ochronie osób zgłaszających naruszenia prawa (…). Istotą projektowanych rozwiązań będzie uzupełnienie istniejących przepisów o środki ochrony związane ze zgłaszaniem lub ujawnianiem naruszeń w trybie przewidzianym w ustawie. Ustanowione zostaną ponadto kanały dokonywania zgłoszeń wewnętrznych i zewnętrznych o naruszeniach, wraz z określeniem zasad ich funkcjonowania, oraz określone zostaną zasady dokonywania ujawnienia publicznego”.

10. Czy procedura zgłoszeń wewnętrznych powinna być dostępna na stronie BIP?

Wydaje się, że podmiot prawny nie ma obowiązku publikowania procedury zgłoszeń wewnętrznych na swojej stronie BIP. Zgodnie z art. 24 ust 5 ustawy o sygnalistach, procedura zgłoszeń wewnętrznych wchodzi w życie po upływie 7 dni od dnia podania jej do wiadomości osób wykonujących pracę w sposób przyjęty w podmiocie prawnym. Zgodnie z ust. 6 wskazanego przepisu, podmiot prawny zobowiązany jest dodatkowo poinformować kandydata do pracy o procedurze zgłoszeń wewnętrznych. Warto również zwrócić uwagę, że ustawodawca wskazał w uzasadnieniu do ustawy, że przedmiotowa procedura ma charakter wewnątrzorganizacyjnego aktu prawnego.

Ze wskazanych przepisów, jak i uzasadnienia do ustawy wynika, że procedurę zgłoszeń wewnętrznych należy traktować jako wewnętrzny akt podmiotu prawnego, którego treść powinna zostać udostępniona jedynie – szeroko pojętym – osobom zatrudnionym w danym podmiocie oraz kandydatom do pracy, biorących udział w rekrutacji.