Witamy w trzeciej części Analizy projektu Ustawy o Sygnalistach opracowanej przez prawników z Kancelarii Prawnej A. Oszczęda – Ł. Sowa, Radcowie prawni i Adwokaci. W poniższym poście omówimy tematykę Ochrony Danych Osobowych czyli jak obsługiwać Sygnalistów zgodnie z RODO, jak zadbać o bezpieczeństwo Sygnalistów oraz jak chronić dane Sygnalistów
Inne części naszego cyklu:
- Część 1:Omówienie ustawy i Zakresu Podmiotowego
- Część 2:Zakres przedmiotowy i wyłączenia
- Część 3:Ochrona Danych Osobowych
- Część 4: Zakaz działań odwetowych i środki ochrony
- Część 5: Zgłoszenia wewnętrzne
- Część 6: Zgłoszenie zewnętrzne i ujawnienie publiczne
- Część 7: Przepisy karne
Kluczowym elementem dyrektywy, której omawiana ustawa ma być jej implementacją, jest zagwarantowanie poufności osoby zgłaszającej naruszenie, czyli sygnalisty (w potocznym rozumieniu). Oznacza to, że dane osobowe osoby zgłaszającej jeżeli chodzi o określenie jej tożsamości są dostępne jedynie dla osób przyjmujących informacje o naruszeniu prawa.
Podmiot prawny, czyli zarówno podmiot prywatny jak i podmiot publiczny (art. 2 pkt 10 komentowanego projektu ustawy) ale również organ publiczny (art. 2 pkt 12 komentowanego projektu ustawy) mają obowiązek chronić dane osobowe zgłaszającego ale również osób z nim współpracujących
I tak zgodnie z art. 8 komentowanego projektu ustawy (poufność zgłaszającego wyrażona jest w art. 16 ust. 1 dyrektywy) dane osobowe zgłaszającego nie podlegają ujawnieniu nieupoważnionym osobom.
Sa jednak wyjątki, kiedy dane osobowe zgłaszającego mogą byc ujawnione. I tak:
– jeśli zgłaszający wyrazi na to zgodę,
– dane zgłaszającego mogą być ujawnione nawet bez zgody zgłaszającego w przypadku, w którym ujawnienie jest konieczne, gdyż wynika z przepisów prawa i związane jest z prowadzonymi przez organy publiczne lub sądy postępowań wyjaśniających lub postępowań przygotowawczych lub sądowych aby zapewnić prawo do obrony przysługujące osobie, której dotyczy zgłoszenie (art. 16 ust. 2 dyrektywy)
Jednak przed dokonaniem ujawnienia, danych, właściwy organ publiczny lub właściwy sąd powiadamia o tym zgłaszającego, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych, chyba że takie powiadomienie zagrozi postępowaniu wyjaśniającemu lub postępowaniu sądowemu.
Do przetwarzania danych osobowych objętych dyrektywą (art. 17 dyrektywy), stosuje się rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej „RODO”. W związku z tym, podmiot prawny lub organ publiczny, po otrzymaniu zgłoszenia, przetwarza dane osobowe, w zakresie niezbędnym do przyjęcia zgłoszenia oraz podjęcia ewentualnego działania następczego. Natomiast dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie będą zbierane, a w razie przypadkowego zebrania, będą niezwłocznie usuwane (stosownie do art. 17 akapit drugi 2 dyrektywy).
Usunięcie tych danych osobowych będzie następowało w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy. Projektowany przepis dotyczyć będzie wszystkich organów publicznych objętych regulacją ustawy, w tym także Państwowej Inspekcji Pracy, w przypadku realizacji przez nią zadań, o których mowa w komentowanym projekcie ustawy – art. 30 ust. 3 oraz art. 40 projektowanej ustawy.
Przepisu art. 14 ust. 2 lit. f RODO, który stanowi, że: jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą: źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych – nie stosuje się, tzn. nie można podać źródła pochodzenia danych zgłaszającego. Wyjątek stanowi sytuacja, kiedy zgłaszający:
- nie spełnia warunków wskazanych w art. 6 (miał uzasadnione podstawy sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja dotyczy interesu publicznego i jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa). albo
2) wyraził na ujawnienie swojej tożsamości wyraźną zgodę.
Przepisu art. 15 ust. 1 lit. g rozporządzenia 2016/679 RODO zgodnie z którym: osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle; a więc w zakresie przekazania informacji o źródle pozyskania danych osobowych, nie stosuje się, i ponownie wyjątek stanowi sytuacja jak wyżej, że zgłaszający:
- nie spełnia warunków wskazanych w art. 6 albo
- wyraził na takie przekazanie wyraźną zgodę.
Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Podmiot prawny i organ publiczny usuwają dane osobowe oraz niszczą dokumenty związane z tym zgłoszeniem po upływie okresu przechowywania.
Mając na względzie art. 35 RODO należy wskazać, iż podmiotami uprawnionymi do przetwarzania danych osobowych na mocy projektowanej ustawy będą podmioty prawne oraz organy publiczne, a także pracownicy upoważnieni przez te podmioty i organy. Przewiduje się, iż przedmiotem przetwarzania będą dane obejmujące: imię i nazwisko zgłaszającego oraz inne informacje zmierzające do ustalenia okoliczności naruszenia, w tym dane osoby, której dotyczy zgłoszenie. Wszystkie informacje przekazane w zgłoszeniu (tj. dane osobowe oraz informacje umożliwiające identyfikację zgłaszającego) będą przetwarzane wyłącznie w celu niezbędnym do realizacji celów ustawy, w szczególności przeprowadzenia postepowania wyjaśniającego, celem podjęcia ewentualnych działań następczych. Takie rozwiązania prawne są niezbędne dla celów wdrożenia przepisów dyrektywy(uzasadnienie do projektu ustawy str. 23).
Mając zatem za podstawę powyższe należy wskazać, że kwestia zagwarantowania poufności dla osoby zgłaszającej naruszenia prawa jest nadrzędną zasada dyrektywy i tym samym komentowanego projektu ustawy. Natomiast kwestia anonimowości sygnalistów została pozostawiona do decyzji państw członkowskich Unii. Państwa członkowskie w akcie wdrażającym niniejszą dyrektywę powinny określić, czy istnieje możliwość zgłoszenia anonimowego, czyli bez ujawnienia przez zgłszającego swojej tożsamości.
Art. 7 komentowanego projektu ustawy przewiduje możliwość dokonywania zgłoszeń anonimowych. Zgodnie z jego treścią: jeżeli informacja o naruszeniu prawa została anonimowo zgłoszona podmiotowi prawnemu lub organowi publicznemu lub ujawniona publicznie, a następnie doszło do ujawnienia tożsamości zgłaszającego i doświadczył on działań odwetowych, przepisy rozdziału 2 stosuje się, jeżeli spełnione zostały warunki określone w art. 6.
Należy wskazać, że zgłoszenie anonimowe w polskim systemie prawnym już funkcjonuje dzięki ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (potocznie zwaną jako ustawą AML). Ochronę takich osób zgłaszających gwarantuje norma wyrażona w art. 53 wskazanej ustawy. Zgodnie z jej treścią:
Instytucje obowiązane opracowują i wdrażają wewnętrzną procedurę anonimowego zgłaszania przez pracowników lub inne osoby wykonujące czynności na rzecz instytucji obowiązanej rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu
Procedura anonimowego zgłaszania naruszeń, o której mowa w ust. 1, określa w szczególności:
1) osobę odpowiedzialną za odbieranie zgłoszeń;
2) sposób odbierania zgłoszeń;
3) sposób ochrony pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym lub wpływającymi na pogorszenie ich sytuacji prawnej lub faktycznej, lub polegającymi na kierowaniu gróźb;
4) sposób ochrony danych osobowych pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
5) zasady zachowania poufności w przypadku ujawnienia tożsamości osób, o których mowa w pkt 4, lub gdy ich tożsamość jest możliwa do ustalenia
6) rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia;
7) termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.
Instytucje obowiązane zapewniają pracownikom oraz innym osobom wykonującym czynności na rzecz instytucji obowiązanej, o których mowa w ust. 1, ochronę przed podejmowaniem wobec nich działań o charakterze represyjnym lub wpływających na pogorszenie ich sytuacji prawnej lub faktycznej, lub polegających na kierowaniu gróźb.
4.Instytucje obowiązane, ich pracownicy oraz inne osoby wykonujące czynności na rzecz instytucji obowiązanej nie podejmują wobec pracowników oraz innych osób, o których mowa w ust. 1, działań o charakterze represyjnym lub wpływających na pogorszenie ich sytuacji prawnej lub faktycznej, lub polegających na kierowaniu wobec nich gróźb, w szczególności działań negatywnie wpływających na ich warunki pracy lub zatrudnienia.
Warto tu również wyjaśnić, że instytucjami zobowiązanymi do wprowadzenia takich procedur anonimowego zgłaszania naruszeń są instytucje określone w art. 2 ust. 1 ustawy AML.
Autorzy:
radca prawny Anna Oszczęda
radca prawny Anna Myślicka.
