Przepisy dotyczące ochrony sygnalistów, mimo że wdrożone po czasie, wciąż budzą liczne wątpliwości mogące utrudniać stosowanie ustawy. Chociaż w dotychczasowych pracach nad interpretacją ustawy uczestniczyli eksperci UODO i Społecznego Zespołu Ekspertów, to istotną rolę na tym polu mogą odegrać także radcowie prawni i adwokaci nienależący do tego grona.
Polski parlament 14 czerwca 2024 r. przyjął ustawę o ochronie sygnalistów, implementując tym samym dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Niestety, pomimo istotnego przekroczenia przez Polskę terminu do implementacji dyrektywy (zgodnie z założeniami miało to, w zasadniczej części, nastąpić do 17 grudnia 2021 r.), a tym samym możliwości prowadzenia prac w wydłużonym czasie, uchwalona ustawa nie pozostaje bez wad. Niedoskonałości regulacji są widoczne chociażby w obszarze ochrony danych osobowych.
Uwagi UODO bez uwzględnienia
O tym, że niektóre przepisy ustawy są niezgodne z przepisami ogólnego rozporządzenia o ochronie danych (rodo), a także o wewnętrznych sprzecznościach w samej ustawie, Prezes Urzędu Ochrony Danych Osobowych informował jeszcze na etapie prac nad kolejnymi wersjami projektu. Uwagi Prezesa UODO nie zostały uwzględnione, co potwierdza treść komunikatu opublikowanego na stronie organu 25 czerwca 2024 r.
O istotności kwestii poruszanych w tych pismach świadczy fakt, że w komunikacie Prezes UODO zapowiedział zorganizowanie, w pilnym trybie, spotkania mającego na celu „zidentyfikowanie i omówienie obszarów, które mogą generować największe wątpliwości interpretacyjne”, a tym samym wyprzedzenie trudności, jakie można napotkać przy stosowaniu ustawy.
Efektem inicjatywy było seminarium, które odbyło się na początku sierpnia w siedzibie Urzędu i w którym wzięło udział – stacjonarnie lub online – ponad tysiąc uczestników. Liczba ta byłaby zresztą jeszcze większa, gdyby nie techniczne ograniczenia dotyczące liczby osób uczestniczących w spotkaniu.
Poufność sygnalisty
Jedną z naczelnych zasad przyświecających przyjętej regulacji jest zasada ochrony tożsamości sygnalisty. I choć zasada ta nie wyklucza ochrony danych osobowych pozostałych osób (w tym osoby, której dotyczy zgłoszenie), to jednak – co zrozumiałe – to właśnie ochronie tożsamości sygnalisty poświęcono w ustawie najwięcej miejsca. Przepisem będącym podstawą tej ochrony jest art. 8 ust. 1 ustawy, zgodnie z którym dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty.
W kontekście przytoczonego przepisu warto mieć na uwadze dwie kwestie. Po pierwsze, dane osobowe sygnalisty to nie tylko jego imię i nazwisko. Może się bowiem okazać, że treść zgłoszenia będzie zawierała takie informacje, z których każda osobno niekoniecznie wiele powie nam o autorze zgłoszenia, ale które w połączeniu ze sobą będą już umożliwiały identyfikację sygnalisty – one także powinny podlegać ochronie. Po drugie, pojęcie „zgody” użyte w art. 8 ust. 1 ustawy o ochronie sygnalistów (dalej: uos) jest tożsame ze „zgodą” w rozumieniu art. 4 pkt 11 rodo. Oznacza to, że taka zgoda powinna stanowić dobrowolne, konkretne, świadome i jednoznaczne okazanie woli sygnalisty. Sam Prezes UODO postulował zresztą – niestety bezskutecznie – o zawarcie w przepisach wyraźnego odesłania do treści rozporządzenia i wskazanie, że wyrażenie zgody następuje zgodnie z warunkami z art. 7 rodo.
Cel ochrony tożsamości sygnalisty jest dość jasny. Chodzi mianowicie o zapobieganie sytuacjom, w których osoba postronna (w tym w szczególności wskazana w informacji o naruszeniu prawa) poznaje dane sygnalisty, który tę informację przekazał. Osiągnięcie tego celu wymaga jednak pewnych ograniczeń i zastosowania się do określonych w ustawie wymogów.
Przede wszystkim realizacja postulatu zachowania tożsamości sygnalisty w poufności powoduje konieczność ograniczenia treści obowiązku informacyjnego administratora realizowanego względem osoby, której dane dotyczą (w tym podmiotu, którego dotyczy zgłoszenie), i nieprzekazywania takiej osobie informacji o źródle pochodzenia danych osobowych, o której mowa w art. 14 ust. 2 lit. f rodo. Dostrzegając ten niuans, polski ustawodawca w art. 8 ust. 5 przewiduje, że art. 14 ust. 2 lit. f rodo nie stosuje się, chyba że sygnalista nie spełnia warunków wskazanych w art. 6 (tj. warunków objęcia ochroną) albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości.
Takie wyłączenie wywołało jednak wątpliwości Prezesa UODO. Dotyczyły one braku realizacji w ustawie o ochronie sygnalistów wymogów z art. 23 rodo, który – choć zezwala państwom członkowskim na ograniczenie zakresu pewnych obowiązków i praw (w tym obowiązku z art. 14 rodo) – to jednak nakazuje, by w samym akcie prawnym wprowadzającym takie ograniczenie zawarte były szczegółowe przepisy, m.in. o:
- celach przetwarzania lub kategorii przetwarzania;
- kategoriach danych osobowych;
- zakresie wprowadzonych ograniczeń.
Spełnienie wymogów legislacyjnych, jak wskazał Prezes UODO, powinno jednak nastąpić w treści tworzonych przepisów, a nie w ich wyjaśnieniu w uzasadnieniu projektowanej ustawy, jak miało to miejsce w omawianym przypadku. Niemniej jednak, niezależnie od wyłączenia wynikającego z ustawy, alternatywną furtkę umożliwiającą ograniczenie informacji przekazywanych osobie, której dane dotyczą, przewiduje art. 14 ust. 5 lit. b rodo. Zezwala się w nim na ograniczenie obowiązku informacyjnego, jeżeli jego wykonanie mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania (tj. przetwarzania danych zebranych w związku z procedurą zgłaszania naruszeń prawa). Korzystając z tego rozwiązania, warto byłoby udokumentować przyczyny ograniczenia obowiązku informacyjnego i potwierdzić, że udzielenie informacji rzeczywiście istotnie wiązałoby się z ryzykiem utrudnienia realizacji prawidłowego przebiegu procedury zgłaszania naruszeń. Dzięki tym działaniom będzie można wykazać zachowanie określonej w art. 5 ust. 2 rodo zasady rozliczalności.
Dążenie do zachowania anonimowości sygnalisty i zapewnienia odpowiedniej ochrony osób uczestniczących w postępowaniu wyjaśniającym (w tym przesłuchiwanych świadków) wiąże się także z koniecznością zaadresowania kwestii uprawnienia do otrzymania kopii danych, o którym mowa w art. 15 ust. 3 rodo. W takim przypadku możliwe będzie zastosowanie art. 15 ust. 4 rodo, zgodnie z którym prawo do uzyskania kopii danych nie może niekorzystnie wpływać na prawa i wolności innych. Tym samym dopuszczalne jest przekazanie kopii danych osobowych podlegających przetwarzaniu, jednak z pominięciem tych, które mogłyby w negatywny sposób oddziaływać na sytuację sygnalisty lub innej osoby.
O obowiązku poufności tożsamości podmiot prawny powinien pamiętać także przy okazji tworzenia przyjętej w podmiocie procedury zgłoszeń. Jednym z elementów, jakie ta procedura ma regulować, jest określenie wewnętrznej jednostki organizacyjnej lub osoby w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot zewnętrzny, upoważnionej przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych (art. 25 ust. 1 pkt 1). Polski ustawodawca zezwolił tym samym na outsourcing procesu przyjmowania zgłoszeń. Chcąc, by przebiegał on zgodnie z przepisami ustawy, należy pamiętać o:
- wyraźnym określeniu tego podmiotu zewnętrznego w treści procedury (art. 25 ust. 1 pkt 1);
- udzieleniu pisemnego upoważnienia (art. 27 ust. 2);
- zawarciu z takim podmiotem zewnętrznym umowy (art. 28 ust. 1).
Upoważnienie, jak przypomniano w trakcie sierpniowego spotkania w siedzibie UODO, powinno być szczegółowe i nie budzić wątpliwości dotyczących jego zakresu. Innymi słowy, ma ono precyzyjnie określać:
- tożsamość osoby upoważnionej;
- zakres danych osobowych;
- • czynności, których upoważnienie dotyczy.
Samo nadanie upoważnienia nie może być jednak jedyną przesłanką legalnego dostępu i przetwarzania wskazanych tam danych. Jest ono raczej formalnym potwierdzeniem uprawnienia do dostępu do danych, które wynika z ustalonej procedury.
Z kolei cel takiej umowy wprost wynika z treści art. 28 ust. 1 uos i jest nim powierzenie obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. Umowa powinna także określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych (art. 28 ust. 2 uos).
Zgłoszenie anonimowe nie do końca anonimowe?
Z kwestią zachowania tożsamości sygnalisty w poufności wiąże się poniekąd kolejne zagadnienie poruszone przez Prezesa UODO w kierowanych pismach i w trakcie seminarium, a będące również przedmiotem licznych pytań otrzymanych przez Społeczny Zespół Ekspertów. Chodzi mianowicie o anonimowe zgłoszenia naruszeń prawa.
Zgodnie z przyjętą ustawą domyślnym sposobem przekazywania przez sygnalistę informacji o naruszeniu jest dokonanie zgłoszenia. W ślad za dyrektywą ustawa wyróżnia:
- zgłoszenie wewnętrzne – dokonywane w ramach organizacji, z którą związany jest sygnalista i mające na celu rozwiązanie problemu bez konieczności zewnętrznej interwencji;
- zgłoszenie zewnętrzne – na skutek którego podmiotem zaangażowanym w zbadanie informacji o naruszeniu prawa staje się organ publiczny lub Rzecznik Praw Obywatelskich.
Sposób zgłoszeń reguluje, odpowiednio, procedura zgłoszeń wewnętrznych, przyjęta przez pracodawcę, i procedura zgłoszeń zewnętrznych, ustalona przez organ lub RPO. Procedury te powinny określać m.in. tryb postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo, co wynika z art. 25 ust. 1 pkt 4 uos (w przypadku zgłoszeń wewnętrznych), art. 31 ust. 1 pkt 1 uos (w przypadku zgłoszeń przyjmowanych przez RPO) oraz art. 33 uos (w przypadku zgłoszeń kierowanych do organu publicznego). Równocześnie ani podmiot prawny, ani organ publiczny czy RPO nie mają obowiązku przyjmowania takich zgłoszeń anonimowych, ponieważ art. 7 ust. 1 uos przewiduje wyłącznie uprawnienie (a nie zobowiązanie) do ich przyjmowania. W takim wypadku w procedurze powinno się określić skutki związane z wpłynięciem anonimowego zgłoszenia (np. poprzez wskazanie, że w sprawie nie będą podejmowane żadne czynności, a zgłoszenie pozostanie bez rozpatrzenia).
Rzeczywista anonimowość takiego sygnalisty stoi jednak pod znakiem zapytania, a to z uwagi na opisany przez ustawodawcę zakres informacji, które powinien uwzględniać prowadzony przez podmiot prawny rejestr zgłoszeń wewnętrznych, a także rejestry prowadzone przez organ publiczny czy RPO. Jak wynika z art. 29 ust. 4 pkt 3 uos, rejestr zgłoszeń wewnętrznych ma obejmować dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób. Analogiczny wymóg dla rejestru zgłoszeń zewnętrznych przewiduje art. 45 ust. 3 pkt 3 uos w przypadku RPO oraz art. 46 ust. 3 pkt 3 uos – w przypadku organu publicznego. Rejestr zgłoszeń wewnętrznych ma uwzględniać dodatkowo adres do kontaktu sygnalisty (art. 29 ust. 4 pkt 4 uos).
W rezultacie katalog danych uwzględnionych w rejestrze zgłoszeń nie koresponduje z możliwością dokonania zgłoszenia naruszenia w sposób anonimowy. Konieczność należytego wypełnienia obowiązku nałożonego na pracodawcę, RPO lub organ publiczny zdaje się wymagać od podmiotu przyjmującego zgłoszenie umieszczenie w rejestrze danych osobowych sygnalisty. Próżno zatem szukać w ustawie przepisów umożliwiających rezygnację z tego wymogu w przypadku zgłoszenia anonimowego. Wątpliwości tej nie rozwiewa także fragment z uzasadnienia ustawy, zgodnie z którym projektodawca nie zdecydował się na wprowadzenie obligatoryjnego wdrożenia anonimowego trybu dokonywania zgłoszeń wewnętrznych, jak i zgłoszeń zewnętrznych. Oznacza to, że dla skutecznego dokonania zgłoszenia osoba zgłaszająca będzie musiała podać dane identyfikujące taką osobę i umożliwiające kontakt z taką osobą.
Jak poradzić sobie z tymi trudnościami?
Ominięciem problemu byłaby rezygnacja z anonimowego trybu dokonywania zgłoszeń, co z kolei może negatywnie wpływać na popularność samej procedury. Potwierdzają to chociażby wnioski z raportu z badania opinii publicznej, przeprowadzonego w 2019 r. przez Fundację Batorego („Gnębieni, podziwiani i… zasługujący na ochronę. Polacy o sygnalistach”), zgodnie z którymi najczęściej wymienianym powodem do tego, by nie informować swoich przełożonych o nadużyciach w pracy, jest właśnie obawa przed byciem uznanym za donosiciela, donosicielkę. Może zatem równocześnie dopuścić w procedurze przyjmowanie zgłoszeń anonimowych i uwzględniać w prowadzonym rejestrze także dane osobowe sygnalisty? To rozwiązanie nie jest doskonałe z dwóch względów. Po pierwsze może okazać się technicznie trudne do wykonania (sygnalista, nawet poproszony o podanie wymaganych danych, może ich zwyczajnie nie przekazać). Po drugie – i ważniejsze – prowadzi do pozorności anonimowości sygnalisty.
Wyjściem intuicyjnym byłoby przewidzenie w tworzonych procedurach, że rejestr uwzględnia dane sygnalisty, chyba że dane zgłoszenie miało charakter anonimowy. Taka propozycja, jak już wiemy, niekoniecznie będzie zgodna z przepisami ustawy. Co jednak ciekawe, właśnie taką ścieżkę obrano w projekcie przykładowej procedury wewnętrznej, opublikowanym 10 września na stronie samego Ministerstwa Rodziny, Pracy i Polityki Społecznej.
Dane osobowe sygnalisty – ale jakie?
W kontekście prowadzonych rejestrów zgłoszeń wewnętrznych bądź zewnętrznych warto także odnotować, że przepisy ustawy o ochronie sygnalistów w ogóle nie odnoszą się do zakresu danych, które sygnalista powinien podać przy dokonywaniu zgłoszenia. Bazując na treści uzasadnienia ustawy, w trakcie prac nad nią przewidywano, że przedmiotem przetwarzania będą dane osobowe obejmujące: „imię i nazwisko zgłaszającego oraz inne informacje zmierzające do ustalenia okoliczności naruszenia, w tym dane osoby, której dotyczy zgłoszenie”, niemniej intencja ta nie wybrzmiała w samej ustawie. W efekcie to podmiotom wdrażającym procedury – wewnętrzne czy zewnętrzne – pozostawiono wybór danych, jakie sygnalista będzie musiał podać w ramach zgłoszenia.
Wybór taki, o czym należy pamiętać, nie powinien prowadzić do naruszenia wskazanej w art. 5 ust. 1 lit. c rodo zasady minimalizacji danych. Oznacza to, że dane te powinny być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”, a przyjmowane procedury nie mogą wymagać podawania danych, które nie są konieczne do procedowania samego zgłoszenia. Zasada minimalizacji danych została wyrażona zresztą w samej ustawie, która w art. 8 ust. 4 zobowiązuje podmiot prawny albo organ publiczny, po otrzymaniu zgłoszenia, do przetwarzania danych osobowych w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Przepis nakazuje, by dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie były zbierane, a w razie przypadkowego zebrania były niezwłocznie usuwane. Do usunięcia danych ma dojść w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.
W świetle powyższego trafny jest postulat Prezesa UODO, by to w treści ustawy określić, poprzez jakie dane osobowe ma być możliwa identyfikacja sygnalistów.Wyraźne określenie katalogu danych osobowych przetwarzanych w związku z przyjmowaniem zgłoszeń w treści ustawy, a nie dopiero tworzonych procedur, pozwoliłoby na wprowadzenie spójnych wymogów dla wszystkich podmiotów, które takie zgłoszenia będą przyjmować. Ułatwiłoby przy tym zachowanie zgodności nie tylko z zasadą minimalizacji danych, ale także z zasadą legalizmu (art. 5 ust. 1 lit. a rodo) czy ograniczenia celu (art. 5 ust. 1 lit. b rodo).
Retencja danych
Należyta ochrona danych osobowych wiąże się także z nieprzechowywaniem ich dłużej, niż wynika to z celów, dla których są przetwarzane. W tym kontekście art. 8 ust. 8 uos nakazuje, by dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem były przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Z kolei stosownie do art. 8 ust. 7 uos takie dane osobowe i dokumenty są przechowywane przez Rzecznika Praw Obywatelskich przez okres 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.
Powyższe przepisy dotyczące retencji danych osobowych przetwarzanych w związku z przyjęciem zgłoszenia zewnętrznego to kolejny obszar, w którym ujawniły się wątpliwości interpretacyjne Prezesa UODO. Jeżeli bowiem przyjrzeć się bliżej redakcji art. 8 ust. 7 uos, to można odnieść wrażenie, że określa on sytuację, w której zgłoszenie zewnętrzne zostało przekazane bezpośrednio do organu publicznego właściwego do podjęcia działań następczych w sposób bezpośredni, tj. gdy zgłoszenie to jest dokonywane przez samego sygnalistę. Jak jednak wskazuje Prezes UODO, bardziej prawdopodobne jest, że w omawianym przepisie chodzi o sytuację, w której to RPO – w wykonaniu obowiązku z art. 31 ust. 1 pkt 2 uos – przekazuje zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.
Autor
Hanna Groborz
Autorka jest radczynią prawną przy Okręgowej Izbie Radców Prawnych w Krakowie ora prawniczką w kancelarii Barta & Partners sp. k. W codziennej pracy zajmuje się wsparciem podmiotów z branży IT, problematyką danych osobowych oraz zagadnieniami z zakresu ochrony własności intelektualnej.
