Autor: M. W.

1) Czy po wejściu w życie ustawy o ochronie sygnalistów osoba, jakiej dotyczy zgłoszenie sygnalisty może korzystać z praw przysługujących osobie, której dane są przetwarzane, na podstawie art. 14 i art. 15 RODO? Pytanie dotyczy wszystkich obowiązków informacyjnych poza przekazaniem informacji o źródle danych, które to prawo zostało wprost wyłączone w art. 8 ust. 5 i 6 Ustawy o ochronie sygnalistów. W pozostałych przypadkach takiego wyłączenia nie zastosowano. Polski ustawodawca nie skorzystał tym samym z możliwości, którą dała Dyrektywa UE o ochronie osób zgłaszających naruszenia prawa Unii, dopuszczającą w motywie 84 szersze ograniczenie praw osób, których dotyczy zgłoszenia, w zakresie realizacji prawa do ochrony danych osobowych. Przykładowo art. 15 ust. 3 RODO nakłada na administratora danych obowiązek dostarczenia osobie, której danej dotyczą, kopii danych osobowych podlegających przetwarzaniu. Czy ten obowiązek musi być realizowany przez organizacje przyjmujące wewnętrzne zgłoszenia sygnalistów? W moim przekonaniu realizacja obowiązków informacyjnych wobec osoby, której dotyczy zgłoszenie, może pośrednio prowadzić do naruszenia poufności tożsamości sygnalisty, gwarantowanej m.in. na podstawie art. 27 ust. 1 Ustawy. Może tym samym narazić administratora danych, który będzie te obowiązki wypełniał, na sankcje karne wynikające z art. 56 Ustawy, nakładane za ujawnienie danych sygnalisty bez jego zgody. Proszę o odniesienie się do tej kwestii.

2) Jeżeli zgodnie z Ustawą obowiązków informacyjnych, o których mowa w punkcie 1 nie można wyłączyć, to czy można zgodnie z prawem zawiesić ich realizację do momentu zakończenia działań następczych prowadzonych przez podmiot prawny? Na jak długi czas obowiązek ten może zostać odroczony?

3) Na podstawie art. 8 ust. 5 i 6 Ustawy nie stosuje się obowiązku przekazywania osobie, której dane dotyczą, informacji o źródle danych, chyba, że sygnalista zgodził się na ujawnienie tożsamości lub nie spełnia warunków do zostania sygnalistą określonych w art. 6. Kto określa, czy osoba zgłaszająca spełniła kryteria bycia sygnalistą w ramach obsługi zgłoszeń wewnętrznych? Na kim będzie spoczywać odpowiedzialność karna za ujawnienie tożsamości sygnalisty potencjalnemu sprawcy naruszenia na podstawie własnej, błędnej oceny stanu faktycznego i przekonania, że osoba zgłaszająca nie jest sygnalistą w rozumieniu przepisów prawa?

4) Czy członek zarządu lub innego organu zarządzającego spółki, który podpisuje się pod upoważnieniem do przyjmowania i weryfikacji zgłoszeń wewnętrznych, sam jest upoważniony do dostępu do danych osobowych zawartych w zgłoszeniu przyjmowanym w reprezentowanym przez niego podmiocie prawnym?

5) Czy umowa powierzenia obsługi przyjmowania zgłoszeń wewnętrznych z podmiotem zewnętrznym na podstawie art. 28 ust. 1 Ustawy, w ramach której reguluje się kwestie powierzenia przetwarzania danych osobowych, może zostać zawarta między podmiotem zewnętrznym a grupą kapitałową, w której istnieje kilku administratorów danych? Czy umowy o powierzeniu przetwarzania danych osobowych muszą być podpisywane przez podmiot zewnętrzny z każdym podmiotem prawnym wchodzącym w skład grupy kapitałowej oddzielnie?

6) Czy przepis art. 28 ust. 6, w którym mowa o oddzielnych administratorach danych w ramach wspólnych zasad przyjmowania i weryfikacji zgłoszeń, ma też zastosowanie do podmiotów wchodzących w skład grupy kapitałowej? Czy w ramach grup kapitałowych, w trakcie przyjmowania i weryfikacji zgłoszenia prowadzonych na podstawie wspólnej procedury, dostęp do danych osobowych zawartych w zgłoszeniu dotyczącym jednego podmiotu mogą mieć też osoby z innych podmiotów w ramach tej samej grupy?

7) Czy w procedurze zgłoszeń wewnętrznych należy wskazać Ustawę o ochronie sygnalistów jako źródło obowiązku prawnego ciążącego na administratorze, który jest z kolei podstawą do przetwarzania danych osobowych w ramach procedury? Informacja o podstawie przetwarzania danych osobowych nie figuruje ani w obowiązkowych ani w fakultatywnych elementach procedury. Dodatkowo czy taka właśnie informacja powinna zostać umieszczona w polityce prywatności aplikacji, które służą do przyjmowania zgłoszeń sygnalistów?

8) Czy na zewnętrznym podmiocie prawnym, który obsługuje zgłoszenia w imieniu podmiotu prawnego, może ciążyć odpowiedzialność prawna za działania wykonywane na polecenie administratora danych, które są niezgodne z Ustawą o ochronie sygnalistów w zakresie danych osobowych? Co zewnętrzny podmiot prawny może zrobić, żeby zabezpieczyć się przed takim ryzykiem?