W projekcie ustawy dotyczącej zgłaszania naruszeń prawa brakuje możliwości składania informacji anonimowych. Nie ma też podstaw do przetwarzania danych wrażliwych.

W sprawie danych osobowych sygnalistów polski ustawodawca umywa ręce. Projekt ustawy, która ma wdrożyć unijną dyrektywę, co do zasady chroni tożsamość zgłaszających i dane, które będą pozyskiwane w trakcie weryfikowania zgłoszeń, ale jednocześnie dopuszcza ich ujawnienie. Przepisy nie przesądzają, czy i w jakich przypadkach mają być uwzględniane skargi anonimowe, więc wszystko wskazuje na to, że nie będą one rozpatrywane w trybie omawianej ustawy. Brakuje też podstaw do przetwarzania informacji wrażliwych, które na pewno pojawią się w zgłoszeniach (np. o osobistych koneksjach, poglądach, zdrowiu osób, które naruszyły prawo). Na dodatek terminy usunięcia pozyskanych danych są niespójne.
- Przepisy te wymagają znaczących modyfikacji, w tym innego ukształtowania roli pracodawcy - wskazuje dr Dominika Dörre -Kolasa, radca prawny i partner w kancelarii Raczkowski.

Bez nazwiska?

Przypomnijmy, że po konsultacjach publicznych i społecznych resort rodziny przedstawił zmieniony projekt ustawy o ochronie osób zgłaszających naruszenia prawa (z 6 kwietnia 2022 r.). Poprawiono jego pierwotną wersję (z 14 października ub.r.), ale w kwestii ochrony danych w całym procesie sygnalizowania naruszeń wciąż nie usunięto wielu wątpliwości, a w pewnym zakresie wręcz je pogłębiono.
Dla przykładu pierwotna wersja projektu przewidywała, że to pracodawca (podmiot prawny w nowej wersji) ma decydować, czy w ramach wewnętrznego firmowego kanału zgłoszeń będą przyjmowane i rozpatrywane skargi anonimowe. W nowej wersji nie ma takiej regulacji. Jest jedynie przepis, który wskazuje, że jeżeli informacja o naruszeniu prawa została zgłoszona anonimowo, a następnie doszło do ujawnienia tożsamości zgłaszającego i doświadczył on z tego powodu działań odwetowych (np. obniżono mu pensję, wstrzymano awans, zwolniono), przysługuje mu ochrona przewidziana dla sygnalistów.
- Ta regulacja nie wystarcza do stwierdzenia, że istnieje obowiązek przyjmowania anonimowych zgłoszeń. A z dyrektywy wynika, że państwa członkowskie powinny o tym rozstrzygnąć w przepisach krajowych. Jeśli państwo zdecyduje, że podmioty prawne mają przyjmować i rozpatrywać zgłoszenia anonimowe, to zgłaszający naruszenia w takiej formie również będą mogli być traktowani jako sygnaliści - wskazuje mec. Dörre-Kolasa.

Ma to oczywiście istotne konsekwencje.

- Wszystko wskazuje na to, że projektowane przepisy nie przewidują rozpatrywania zgłoszeń anonimowych. Oczywiście podmiot prawny, do którego trafi taka informacja, może się nim zająć, ale nie w trybie ustawy dotyczącej sygnalistów. Co nie zmienia faktu, że jeśli następnie doszłoby do ujawnienia tożsamości zgłaszającego anonimowo i doszłoby do działań odwetowych, trzeba będzie zastosować ustawę - podkreśla dr Paweł Litwiński, adwokat i partner w kancelarii Barta Litwiński.
Czyli w praktyce, jeśli do pracodawcy trafiłoby zgłoszenie anonimowe, to mógłby przeprowadzić postępowanie wyjaśniające, ale w trybie już dotychczas realizowanym, np. w razie zgłoszenia mobbingu lub przy wyjaśnianiu naruszeń obowiązków pracowniczych, które mogą uzasadniać zastosowanie dyscyplinarki, czyli bez m.in. terminów i obowiązku działań następczych z przyszłej ustawy o sygnalistach.
Problemów może być jednak więcej, bo nie jest też jasne np., czy ochronę zyska pracownik, który zgłosił naruszenie prawa anonimowo, a następnie sam ujawnił swoją tożsamość z obawy o działania odwetowe (czy „ujawnienie” nie zakłada działania osób trzecich, jakiegoś przecieku?). Pojawia się też pytanie o efektywność całego procesu sygnalizowania, jeśli z góry byłoby jasne, że anonimowe skargi nie będą rozpatrywane w trybie ustawy.

Bez poufności?

Praktyczna skuteczność nowych rozwiązań może być też wątpliwa z uwagi na przepisy dotyczące poufności danych osoby zgłaszającej. Projekt wyłącza stosowanie art. 14 ust. 2 lit. f ogólnego rozporządzenia o ochronie danych (RODO; Dz.Urz. UE z 4 maja 2016 r. L 119), co oznacza, że osobie, której dotyczy zgłoszenie (a więc potencjalnemu sprawcy naruszeń prawa), nie trzeba będzie przekazywać informacji o źródle danych o nim, czyli o sygnaliście. Ale jednocześnie nie wyłączono stosowania art. 15 ust. 1 lit. g RODO. Osoba, której dotyczy zgłoszenie, będzie więc mogła sama się domagać informacji o źródle danych o nim.
- W tym względzie projekt przesuwa jedynie termin przekazania informacji - do trzech miesięcy od zakończenia działań następczych. Ostatecznie jednak osoba wskazana w zgłoszeniu i tak będzie mogła dowiedzieć się, kto był źródłem danych o niej. Należało wyłączyć ten przepis i jednoznacznie wskazać, że źródło informacji nie zostanie ujawnione - podkreśla mec. Litwiński.
Wątpliwości będą też budzić niespójne przepisy dotyczące terminów przechowywania pozyskiwanych informacji.
MRiPS proponuje podwyżkę diety za dzień podróży służbowej
MRiPS proponuje podwyżkę diety za dzień podróży służbowej

Zobacz również
- Artykuł 8 projektu stanowi, że dane osobowe przetwarzane w związku z przyjęciem zgłoszenia i podjęciem działań następczych są przechowywane przez podmiot prawny lub organ publiczny nie dłużej niż 15 miesięcy od zakończenia działań następczych. A art. 29 ust. 5 przewiduje, że dane w rejestrze zgłoszeń wewnętrznych są przechowywane przez 12 miesięcy od zakończenia działań następczych. Czy to oznacza, że informacje w rejestrze należy przechowywać przez rok, a jakieś inne dane - poza rejestrem - maksymalnie o trzy miesiące dłużej? Prowokuje to pytanie, czy można w ogóle przechowywać informacje poza rejestrem - zauważa mec. Dörre-Kolasa.

Bez podstawy?

Zmodyfikowany projekt ma też wiele innych istotnych mankamentów.
- Brakuje wyraźnej kompetencji do przetwarzania danych wrażliwych, która musi wynikać z przepisów ustawowych. A takie informacje na pewno będą przedmiotem zgłoszeń sygnalistów. Mogą one przecież dotyczyć przypadków np. kradzieży przez osoby powołujące się na znajomości wśród polityków albo sytuacji, gdy dwoje pracowników firmy utrzymuje relacje intymne i chroni się nawzajem. Jeśli takie dane trafią do danego podmiotu, musi mieć on podstawę, aby je przetwarzać. Nie było jej w pierwotnej wersji projektu i nie ma w tej z kwietnia 2022 r. - zauważa mec. Litwiński.
Na tego typu problemy zwracał uwagę też m.in. Urząd Ochrony Danych Osobowych. W swojej opinii do pierwotnej wersji projektu wskazywał, że podejmowanie działań następczych w efekcie zgłoszenia naruszeń jest oczywiście zrozumiałe, ale wątpliwości budzi kwestia źródeł sprawdzania zasygnalizowanych informacji.
- Wyjaśnienia i doprecyzowania zatem wymaga, na jakiej podstawie, z jakich źródeł, w jakim zakresie oraz w jakim trybie podmioty wymienione w projektowanym przepisie (art. 8 ust. 2 - red.) będą mogły pozyskiwać dane osobowe na potrzeby weryfikacji zgłoszenia o naruszeniu prawa - dodał UODO.

Bez refleksji?

Tak liczne mankamenty omawianych regulacji sugerują, że konieczne są nie tylko poprawki projektu, ale przemyślenie i modyfikacja samego sposobu implementowania przepisów (kto i za co jest odpowiedzialny w procesie zgłaszania naruszeń).
- Pracodawca powinien utworzyć wewnętrzny kanał zgłoszeń, opracować i wdrożyć procedurę w tym względzie po konsultacji z reprezentacją pracowników oraz prowadzić rejestr zgłoszeń. To są jego obowiązki. Gdy powoła już jednostkę organizacyjną lub osobę odpowiedzialną za przyjmowanie zgłoszeń, weryfikację i działania następcze, to sam nie uczestniczy w tych procesach, w postępowaniu wyjaśniającym. Dowiaduje się jedynie o wynikach tego ostatniego i wtedy podejmuje decyzje, stosuje konsekwencje itp. Wtedy stanie się administratorem pozyskanych w ten sposób danych - podsumowuje mec. Dörre-Kolasa. ©℗
Zasady zgłoszeń dokonywanych przez sygnalistów / Dziennik Gazeta Prawna - wydanie cyfrowe