Powoli zbliża się termin na wdrożenie przepisów tzw. dyrektywy o ochronie sygnalistów do polskiego systemu prawnego. Mowa tutaj oczywiście o głośnej w ostatnim czasie dyrektywie Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Polski ustawodawca ma na to czas do 17 grudnia 2021 r. Można mieć wątpliwości, czy polskie przepisy wejdą w życie do tej daty. Projekt ustawy „o ochronie osób zgłaszających naruszenia prawa” znajduje się bowiem dopiero na etapie opiniowania. Pikanterii całej sprawie dodaje fakt, że co do zasady przedsiębiorcy zatrudniający co najmniej 250 pracowników będą musieli wdrożyć nowe przepisy jeszcze w bieżącym roku, co w praktyce może okazać się trudne do wykonania. A ich niewdrożenie obarczone jest sankcją karną (sic!)
Cel – ochrona sygnalistów
Wskazuje się, że nadrzędnym celem wskazanych przepisów jest szeroko pojęta ochrona osób zgłaszających nieprawidłowości, czyli tzw. sygnalistów. Ustawa określać ma tryb zgłaszania naruszeń i podejmowania w związku z tym określonych działań następczych przez pracodawców i organy publiczne. Co do zasady, przepisy ukierunkowane są na efektywne wykrywanie określonych nieprawidłowości, wyjaśnianie ich i wyciąganie konsekwencji wobec winnych. Z drugiej strony, zapewnić one mają ochronę sygnalistów, w tym w szczególności w kontekście ochrony prywatności i danych osobowych.
W razie czego ochrona z RODO
Pojęcie sygnalisty rozumiane jest w przytaczanych przepisach bardzo szeroko. Obejmuje ono de facto każdą osobę silnie związaną z daną organizacją, niezależnie od tego czy może ona legitymować się obywatelstwem UE. Forma zatrudnienia nie ma tutaj znaczenia. Przepisy obejmują ochroną zarówno pracowników, samozatrudnionych, ale również wolontariuszy i stażystów. Co ciekawe, fakt pozostawania w relacji zawodowej z pracodawcą w momencie dokonania zgłoszenia, nie ma znaczenia. Ważne jest, aby istniała ona w momencie, w którym doszło do naruszenia.
W założeniu sygnaliści mogą liczyć na objęcie ich ochroną prawną w przypadku, gdy mieli uzasadnione podstawy, aby uznać, że informacje, które przekazują są prawdziwe. W praktyce może okazać się, że dana osoba – z powodu braku dostatecznej pewności co do określonych faktów – będzie bała się zgłosić nieprawidłowości w obawie o ochronę swojej prywatności i ewentualne negatywne konsekwencje. Podkreśla się jednak, że w razie nieobjęcia takiej osoby ochroną wynikającą z przepisów dotyczących sygnalistów, będzie mogła ona liczyć na ochronę wynikającą wprost z RODO. Motyw 83 dyrektywy wprost odwołuje się bowiem do obowiązku przestrzegania m.in. zasad ogólnych określonych w art. 5 RODO (m.in. poufności i integralności, minimalizacji czy też ograniczenia celu). Bezpośrednie odniesienie do RODO znajduje się również w samym tekście normatywnym dyrektywy (art. 17), gdzie wskazane jest, że przetwarzanie danych osobowych musi mieć oparcie w przepisach RODO.
Ochrona nie tylko dla sygnalistów
Warto zauważyć, że dyrektywa – a co za tym idzie przepisy krajowe – stosuje się również do innych osób wskazanych w dokonanym zgłoszeniu. Zasady dotyczące ochrony danych osobowych znajdą zatem zastosowanie także do np. osób wskazanych jako potencjalnie odpowiedzialne za naruszenie prawa, czy też tych, które w założeniu mogą doświadczyć negatywnych skutków w związku ze zgłoszonym naruszeniem.
Praktyka pokaże
Projekt ustawy wdrażającej ustawę do polskiego porządku prawnego przewiduje szereg instytucji mających na celu doprecyzowanie zasad ochrony danych osobowych w kontekście ochrony sygnalistów. Przykładowo nakłada on na administratorów zakaz ujawniania danych osobowych sygnalisty bez jego zgody, czy też zwolnienia ich z konieczności realizacji określonych obowiązków informacyjnych względem innych osób (art. 14 RODO). Warto również zauważyć, że projektowane przepisy przewidują precyzyjny okres retencji danych osobowych, który wynosi 5 lat liczonych od dnia dokonania zgłoszenia.
Dopiero po uchwaleniu i wejściu w życie przepisów procedowanej ustawy będzie możliwe dokonanie faktycznej oceny funkcjonowania przewidzianych w niej – a w pośrednio w dyrektywie – mechanizmów ochronnych. Czy okażą się one w pełni skuteczne, praktyka pokaże.
Bez wątpienia warto jednak już teraz wypracować w organizacji stosowne procedury związane z przetwarzaniem danych osobowych w związku z obsługą takich zgłoszeń. Po wejściu w życie ustawy może być na to za późno!
Projekt ustawy wdrażającej dyrektywę można znaleźć tutaj:
https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822845#12822845