Rząd przedstawił projekt ustawy dotyczącej ochrony sygnalistów, czyli osób zgłaszających naruszenia prawa. Wywołuje on liczne wątpliwości. Z jakimi pułapkami trzeba się liczyć, np. w zakresie odpowiedzialności karnej za naruszenie nowych przepisów?
Jakub Bartoszewicz: Projekt przewiduje, że odpowiedzialności karnej podlega m.in. osoba, która „dokonała zgłoszenia nieprawdziwych informacji”. Taką odpowiedzialność poniesie więc zgłaszający, jeśli potwierdzony zostanie obiektywny fakt, że zgłoszona informacja była nieprawdziwa. Oczywiście przy założeniu, że nie znajdą zastosowania przewidziane w kodeksie karnym przesłanki wyłączające odpowiedzialność, np. brak winy, niepoczytalność. Samo brzmienie przepisu, który wiąże odpowiedzialność karną z faktem nieprawdziwości informacji, będzie mogło zniechęcać do dokonywania zgłoszeń. Większość zgłaszających może obawiać się bowiem, że ich wiedza nie jest kompletna, że mogą istnieć inne okoliczności, których nie są świadomi.
Jakub Bartoszewicz, radca prawny i partner w kancelarii Bogacz Bartoszewicz / nieznane
Jan Komosa: Dodatkowo trzeba jeszcze zwrócić uwagę na niespójność pojęciową w omawianym zakresie. Artykuł 4 ustawy definiuje pojęcie „zgłaszającego”, a przepis karny mówi o tym, „kto dokonał zgłoszenia”. To nie są tożsame pojęcia. „Zgłaszający” to ktoś, kto przekaże informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą, ale samego zgłoszenia w praktyce może dokonać też inna osoba, niekoniecznie związana z firmą, która możliwe, że nie będzie podlegać ochronie. Drugie z wymienionych pojęć ma więc szerszy zakres i pojawia się pytanie, czy ustawodawca specjalnie zastosował dwa rozbieżne pojęcia.
Przeanalizujmy też zakres podmiotowy w innym aspekcie. Czy słuszne są twierdzenia, że ochrona dla sygnalistów i obowiązki z tym związane dotyczą tylko dużych firm?
Jan Komosa, aplikant adwokacki, specjalista ds. ochrony danych osobowych i AML/CFT w DAPR sp. z o.o. / Materiały prasowe
JB: To jeden z większych mitów związanych z tymi regulacjami. Oczywiście w sektorze prywatnym tylko więksi pracodawcy, zatrudniający co najmniej 50 pracowników, będą zobowiązani do przygotowania i wdrożenia kanału zgłoszeń wewnętrznych, który ma umożliwić informowanie pracodawcy o naruszeniach prawa. Pozostałe wymogi stosuje się jednak do wszystkich podmiotów, bez względu na liczbę zatrudnianych osób. Wszystkich dotyczy więc najważniejszy obowiązek, czyli ochrona sygnalistów poprzez zakaz podejmowania działań odwetowych w stosunku do nich. Trzeba bowiem pamiętać, że zgłoszenia mogą być dokonywane także zewnętrznie lub w trybie ujawnienia publicznego. Zakaz działań odwetowych ma zatem charakter powszechny, tzn. nie obejmuje tylko np. pracodawcy, któremu dokonano zgłoszenia wewnętrznego, ale każdego podmiotu, który mógłby podjąć działania odwetowe wobec sygnalisty w związku ze zgłoszeniem dokonanym w jakikolwiek dopuszczalny sposób. Naruszenie powszechnego obowiązku ochrony sygnalisty jest też obwarowane sankcją karną.
Ale czy mniejsze firmy muszą się tym w ogóle przejmować, jeśli z założenia nie mają zamiaru negatywnie traktować sygnalistów?
JB: Muszą, bo unijna dyrektywa dotycząca sygnalistów przewiduje odwrócenie ciężaru dowodu w omawianych sprawach. Czyli to nie sygnalista musi udowodnić, że konkretne działanie, np. brak zatrudnienia, rozwiązanie współpracy, miało charakter odwetowy. To podejmujący takie działanie ma obowiązek wykazać, że nie miało to związku z dokonanym przez sygnalistę zgłoszeniem. Czyli np. pracodawca lub zleceniodawca będzie musiał udowadniać, że jego decyzja kadrowa lub biznesowa wynikała z przesłanek innych niż zgłoszenie naruszenia prawa. Powinni oni zatem starannie dokumentować procesy związane z nawiązywaniem, trwaniem i rozwiązywaniem współpracy, i to zarówno na gruncie HR, jak i relacji biznesowej. Jednocześnie trzeba podkreślić, że w projekcie ustawy dotyczącej sygnalistów moim zdaniem nieprawidłowo wdrożono omawiany wymóg. Dyrektywa wskazuje, że odwrócony ciężar dowodu obowiązuje we wszystkich relacjach z sygnalistą. A zgodnie z projektem ustawy dotyczy on tylko stosunku pracy lub zatrudnienia na umowach cywilnoprawnych. A w przypadku pozostałych relacji - w tym biznesowych - odpowiednich zapisów brak.
Czyli jeśli np. instytucja odmówi sygnaliście koncesji na prowadzenie danej działalności, to ten ostatni będzie musiał udowadniać, że ma to charakter odwetu?
JB: Dokładnie. Zgodnie z art. 20 projektu dokonanie zgłoszenia lub ujawnienia publicznego nie może stanowić podstawy nałożenia obowiązku bądź odmowy przyznania, ograniczenia lub odebrania uprawnienia, w szczególności koncesji, zezwolenia lub ulgi. Nie przewidziano tu zastrzeżenia, że takie działania są dopuszczalne, jeśli podmiot, który ich dokonuje, kierował się obiektywnymi powodami. Zatem to sygnalista powinien udowadniać, że np. odmówiono mu koncesji z powodu poinformowania o naruszeniu prawa. Bo to on wywodzi skutki prawne z tytułu dokonania danej czynności. Wspomniane zastrzeżenie jest zastosowane np. w art. 11 określającym zakazane działania odwetowe w relacjach pracodawca-pracownik. I w tych przypadkach działa odwrócony ciężar dowodu. A w relacjach biznesowych - nie. Jeśli przepisy projektu nie zmienią się w tym zakresie, to trzeba liczyć się z zarzutami nieprawidłowej implementacji.
Jakie znaczenie - w zakresie stosowania nowych przepisów - będzie miał fakt, że firma nie zatrudnia nikogo na umowie o pracę?
JB: Projekt odwołuje się do pojęcia pracodawcy z k.p. Za pracodawcę nie będzie można więc uznać podmiotów stosujących wyłącznie umowy cywilnoprawne lub samozatrudnienie. A to ma konsekwencje praktyczne. Obowiązek ustanowienia wewnętrznego kanału zgłoszeń dotyczy przecież pracodawców, a może się zdarzyć, że podmiot niebędący formalnie pracodawcą ustanowi kanał do zgłaszania naruszeń. Nie będzie to jednak kanał w rozumieniu ustawy, bo zgodnie z nim „zgłoszenie wewnętrzne” polega na przekazaniu informacji o naruszeniu do pracodawcy. Wywołuje to nieracjonalne skutki. Jeśli firma zatrudnia tylko jedną osobę i to jedynie np. na jedną szesnastą etatu, to może wdrożyć kanał, a korzystający z niego sygnalista zyskuje ochronę przed działaniami odwetowymi, np. zwolnieniem z pracy. Jeśli takie rozwiązanie wprowadzi przedsiębiorstwo niezatrudniające nikogo na etacie, ale aż 100 osób na zleceniu, to opracowana przez nie procedura nie będzie podlegać ustawie, a osoba, która zgłosi naruszenie takim kanałem, nie zyska statusu sygnalisty i ochrony. Co więcej, w takiej sytuacji nie będą obowiązywać też przepisy zobowiązujące do zapewnienia poufności.
JK: W tym miejscu dotykamy kwestii związanych z RODO. W przypadku firmy, która jest objęta rygorami ustawy, czyli jest pracodawcą i wdrożyła kanał zgłoszeń wewnętrznych, wyłączono art. 14 ust. 2 lit. f RODO. Czyli pracodawca, który otrzyma zgłoszenie naruszenia prawa, musi - zgodnie z art. 14 RODO - zrealizować obowiązek informacyjny, czyli powiadomić osobę, której dotyczy zgłoszenie, m.in. o celu przetwarzania jej danych i podstawie prawnej takiego działania. Ale nie musi podawać źródła danych, czyli informacji o tym, kto jest sygnalistą. Ma to chronić tego ostatniego, ale trzeba zwrócić w tym względzie uwagę na pułapki projektu. Przepisy wyłączają wskazanie źródła danych, ale tylko w zakresie art. 14 RODO, czyli gdy to administrator - z własnej inicjatywy - musi poinformować konkretną osobę o przetwarzaniu jej danych osobowych. Nie przewidziano takiego wyłączenia w zakresie art. 15 RODO, który określa obowiązek udzielenia informacji, w tym o źródle danych, gdy z własnej inicjatywy domaga się tego osoba, której dane są przetwarzane. Czyli - podsumowując - w oparciu na aktualnym projekcie ustawy pracodawca, realizując obowiązek z art. 14 RODO, nie będzie wskazywał źródła danych, ale jeśli osoba, której zgłoszenie dotyczy - czyli np. potencjalny sprawca naruszenia prawa - zapyta zatrudniającego o to w oparciu na art. 15 RODO, to pracodawca będzie musiał wskazać dane sygnalisty.
W praktyce oznacza to fikcję ochrony tożsamości zgłaszającego naruszenie.
JK: Niestety trochę tak. Pozostaje liczyć, że na dalszym etapie prac legislacyjnych przepisy te zostaną zmienione. Warto w tym kontekście pamiętać, że RODO określa też terminy informowania o przetwarzaniu danych. Obowiązek informacyjny przewidziany w art. 14 RODO należy zrealizować w rozsądnym terminie po pozyskaniu danych osobowych, najpóźniej w ciągu miesiąca, ale mając na uwadze konkretne okoliczności przetwarzania, a jeżeli dane mają być stosowane do komunikacji z osobą - to najpóźniej przy pierwszym kontakcie. Warto, projektując system, mieć to na uwadze i starannie przeanalizować. Z jednej strony bowiem chodzi o poszanowanie praw podmiotu danych, ale z drugiej system do zgłaszania naruszeń powinien być skuteczny. Pytanie, czy zbyt szybkie poinformowanie osoby, której dotyczy zgłoszenie, o tym, że trwa postępowanie wyjaśniające, nie utrudni tego postępowania. W związku z tym, że cała procedura przyjmowania i rozpatrywania zgłoszeń wiąże się m.in. z pozyskaniem wielu danych, koniecznością ich ochrony, zagwarantowaniem poufności, upoważnieniami do przetwarzania itp., to pracodawcy powinni brać pod uwagę ryzyko kontroli prezesa UODO oraz ewentualnych sankcji.
O czym trzeba pamiętać w związku z zapewnieniem poufności danych o sygnaliście?
JK: Projekt ustawy nie wymaga, aby osoba dokonująca zgłoszenia była anonimowa. Przepisy wymagają jednak, aby jej dane oraz jej tożsamość były chronione i pozostały poufne. Z punktu widzenia praktycznego istotna jest różnica między tymi dwoma pojęciami. W uproszczeniu: anonimowość oznacza, że ktoś nie jest znany, a poufność oznacza, że osoba jest znana, ale tylko odpowiedniemu kręgowi osób, oraz że dane są odpowiednio chronione. Z tym wiążą się liczne ograniczenia i obowiązki. Konieczne jest sprawdzenie, czy wewnętrzny kanał jest odporny na zagrożenia w tym względzie. Dla przykładu firma może po prostu stworzyć adres e-mailowy, na który będzie można wysłać informacje o ewentualnych naruszeniach prawa. Ale trzeba uwzględnić, że jeśli poczta znajduje się na zewnętrznym serwerze dostarczanym przez podmiot trzeci, to dostęp do informacji zawartych w zgłoszeniu zapewne będzie mieć ten podmiot. Z kolei dostęp do wewnętrznych serwerów ma m.in. dział IT, a zgłoszenia naruszeń mogą dotyczyć np. ochrony prywatności lub bezpieczeństwa systemów teleinformatycznych, czyli kwestii związanych z IT. Można też przewidzieć, że sygnaliści mają przekazywać informacje w formie korespondencji papierowej, ale wtedy trzeba brać pod uwagę cały system obiegu dokumentów w firmie i dostępu do nich, a proszę pamiętać, iż w niejednej firmie zaczyna się on od tego, że pracownik administracyjny otwiera korespondencję i ją skanuje lub wprowadza do odpowiedniego systemu. W każdym przypadku należy zatem przeanalizować zagrożenia, jakie może wywołać dana formuła zgłoszeń, w szczególności w zakresie RODO, w tym rozważyć, kto powinien mieć dostęp do danych. Istotne tutaj będzie przeprowadzenie analizy ryzyka RODO dla procedury dotyczącej sygnalistów.
JB: Trzeba pamiętać, że zgodnie z projektem sam pracodawca zdecyduje, czy w ramach kanału wewnętrznego będzie przyjmował zgłoszenia anonimowe. Sądzę, że niewielu będzie się na to decydować, bo wywołuje to istotne problemy. Nie znając tożsamości sygnalisty, nie można go chronić przed działaniami odwetowymi. W tym kontekście warto też zwrócić uwagę na jeszcze jedną wątpliwość. Na podstawie odrębnych przepisów niektóre instytucje już teraz muszą zapewniać anonimowe kanały zgłoszeń. Wymusza to np. ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Pojawia się pytanie, czy taki kanał może być wykorzystywany na potrzeby realizacji obowiązków przewidzianych w ustawie o sygnalistach. Projektowane przepisy tego nie rozstrzygają.
Rozmawiał Łukasz Guza