Autor: Spółka PGE Polska Grupa Energetyczna S.A.

1.  Możliwości podejmowania przez podmiot zewnętrzny działań następczych na rzecz spółek (administratorów danych w rozumieniu ustawy), w związku z przepisem art. 28 tj.:

Art.  28.  [Umowa w sprawie upoważnienia podmiotu zewnętrznego do przyjmowania zgłoszeń wewnętrznych; ustalenie wspólnej procedury zgłoszeń wewnętrznych obejmującej kilka podmiotów]

1. Upoważnienie podmiotu zewnętrznego, o którym mowa w art. 25 ust. 1 pkt 1, wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą.

2. Umowa, o której mowa w ust. 1, określa szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 rozporządzenia 2016/679.

3. Podmioty prywatne, na rzecz których wykonuje pracę zarobkową co najmniej 50, lecz nie więcej niż 249 osób, mogą na podstawie umowy ustalić wspólne zasady dotyczące przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz prowadzenia postępowania wyjaśniającego, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą. Przepisy art. 23 ust. 1 i 2 stosuje się odpowiednio.

4. Zawarcie umowy, o której mowa w ust. 1 i 3, nie uchyla odpowiedzialności podmiotu prawnego za dochowanie obowiązków określonych w niniejszym rozdziale, w szczególności dotyczących zachowania poufności, udzielenia informacji zwrotnej oraz podjęcia działań następczych.

5. Jednostki samorządu terytorialnego mogą ustalić wspólną procedurę zgłoszeń wewnętrznych w ramach wspólnej obsługi, o której mowa w art. 10a ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2024 r. poz. 609 i 721), art. 6a ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2024 r. poz. 107) i art. 8c ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2024 r. poz. 566), pod warunkiem zapewnienia jej odrębności i niezależności od procedury przyjmowania zgłoszeń zewnętrznych i podejmowania działań następczych.

6. Podmioty, o których mowa w ust. 3, są odrębnymi administratorami danych osobowych pozyskanych w związku z przyjmowaniem i weryfikacją zgłoszeń. Administrator nie ma dostępu do danych osobowych pozyskanych przez innego administratora.

7. Przepis ust. 6 nie ma zastosowania w przypadku, gdy w toku postępowania wyjaśniającego ustalono, że właściwy do przyjęcia zgłoszenia wewnętrznego lub obowiązany do podjęcia działań następczych jest inny administrator niż ten, do którego wpłynęło zgłoszenie, lub właściwych jest co najmniej dwóch administratorów. Administratorowi udostępnia się tylko te dane osobowe, które są niezbędne do podjęcia działań następczych.

8. Podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt 14 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r. poz. 594) mogą ustalić wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą.

2. Możliwości prowadzenia przez podmiot zewnętrzny rejestru zgłoszeń wewnętrznych o którym mowa w art. 29 Ustawy tj:

Art.  29.  [Rejestr zgłoszeń wewnętrznych]

1. Podmiot prawny:

1) prowadzi rejestr zgłoszeń wewnętrznych;

2) jest administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych.

2. Podmiot prawny może upoważnić wewnętrzną jednostkę organizacyjną lub osobę, o których mowa w art. 25 ust. 1 pkt 1 lub 3, do prowadzenia rejestru zgłoszeń wewnętrznych.

3. Wpisu do rejestru zgłoszeń wewnętrznych dokonuje się na podstawie zgłoszenia wewnętrznego.

4. Rejestr zgłoszeń wewnętrznych obejmuje:

1) numer zgłoszenia;

2) przedmiot naruszenia prawa;

3) dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;

4) adres do kontaktu sygnalisty;

5) datę dokonania zgłoszenia;

6) informację o podjętych działaniach następczych;

7) datę zakończenia sprawy.

5. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

3. Sposobu ustalenia wspólnej procedury zgłoszeń wewnętrznych o której mowa w art. pkt. 8 art. 28 Ustawy w świetle pkt. 3 art. 28  - czy dla ustalenia wspólnej procedury w ramach grupy kapitałowej  konieczne jest również zawarcie umowy?
   
   
4. Możliwości powiadomienia podmiotu, którego dotyczy zgłoszenia naruszenia 30dni po zakończeniu prowadzeni działań następczych jeśli wcześniejsze powiadomienie o prowadzonych działaniach następczych mogłoby doprowadzić do działań odwetowych?
   
   
5. Możliwość rozpatrywania przez Spółkę Dominująca zgłoszenia wewnętrznego złożonego przez Pracownika Spółki Zależnej do Spółki Dominującej w myśl przepisów ustawy o ochronie sygnalistów.

Osoba dokonująca zgłoszenia posiadałaby wybór dotyczący Spółki do której chce dokonać zgłoszenia, czy do Spółki Dominującej, czy do Spółki Zależnej, która jest Pracodawcą.

Pytanie wynika z doświadczenia zespołu rozpatrującego nieprawidłowości w ramach grupy kapitałowej.

Dość częstym zjawiskiem jest sytuacja, w której Pracownicy Spółek Zależnych mają obawy przed zgłaszaniem do swojego Pracodawcy zgłoszeń wewnętrznych i chcieliby mieć możliwość dokonywania zgłoszeń do Spółki Dominującej.

W świetle przepisów ustawy z dnia 14 czerwca 2024 o ochronie sygnalistów (dalej Ustawa) rodzi się pytanie o możliwość rozpatrywania zgłoszenia złożonego do Spółki Dominującej przez Pracownika Spółki Zależnej.

Czy Spółka dominująca będzie miała prawo do przetwarzania danych osobowych na zasadach określonych w ustawie zarówno osoby zgłaszającej oraz osoby, której zgłoszenie dotyczy oraz czy będzie miała możliwość podjęcia działań następczych?

Czy można odrzucić zgłoszenie bez względu na intencję osoby zgłaszającej, który świadomie skierował zgłoszenie do spółki dominującej w swojej grupie kapitałowej?

Ustawa nie wskazuje bezpośrednio na możliwość dokonywania powyżej opisanego procesu. Art. 25 ust. 1 Ustawy wskazuje, że „Podmiot prawny ustala wewnętrzną procedurę dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych, zwaną dalej „procedurą zgłoszeń wewnętrznych”. W związku z czym, pod pojęciem procedury zgłoszeń wewnętrznych mieszczą się dwie przesłanki, które musza mieć zastosowanie łączne, aby mówić o procedurze zgłoszeń wewnętrznych, tj.:

1. dokonywanie zgłoszeń oraz
2. podejmowanie działań następczych.

Art. 28 ust. 8 Ustawy wskazuje, że: „Podmioty prywatne należące do grupy kapitałowej […] mogą ustalić wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą”.

Biorąc pod uwagę zapisy tylko tych dwóch artykułów, czyli art. 25 ust. 1 praz 28 ust. 8 Ustawy można przyjąć założenie, że jeżeli Spółki wchodzące w skład Grupy Kapitałowej w procedurze zgłoszeń wewnętrznych ustalą i dopuszczą możliwość dokonywania zgłoszeń wewnętrznych przez Pracownika Spółki Zależnej również do Spółki Dominującej, to Spółka Dominująca będzie miała prawo do podjęcia działań następczych, a co za tym idzie do przetwarzania danych osobowych zawartych w zgłoszeniu.

Podobne stanowisko wyraziła Komisja Europejska w piśmie JUST/C2/MM/rp/(2021)3939215 – pełna odpowiedź Komisji Europejskiej znajduje się w załączeniu. Poniżej przytaczamy główną tezę do poparcia swojego pytania:

„Należy przypomnieć, że – jak wskazano w motywie 55 – „procedury zgłaszania wewnętrznego powinny umożliwiać podmiotom prawnym sektora prywatnego odbieranie i badanie w pełnej poufności zgłoszeń dokonywanych przez pracowników podmiotu oraz jego spółek zależnych lub stowarzyszonych (‚grupa’)”. Dotyczy to przypadków, gdy osoby pracujące w spółce zależnej zdecydują się zgłosić do spółki matki grupy (na przykład dlatego, że czują się bezpieczniej lub ponieważ uważają, że naruszenie może zostać najskuteczniej rozwiązane przez spółkę matkę – np. nie jest jasne, gdzie została podjęta decyzja o naruszeniu/gdzie doszło do naruszenia itp.). W takich przypadkach spółka matka powinna przyjąć i rozpatrzyć zgłoszenie.

Ta dodatkowa możliwość dana pracownikom spółek zależnych nie może być przekształcona w obowiązek zgłaszania do spółki matki. Jednakże spółki matki mogą zdecydować się na pełne i systematyczne otwarcie swoich kanałów zgłaszania dla pracowników swoich spółek zależnych. Skuteczna kampania informacyjna w ramach grupy może faktycznie skutkować tym, że pracownicy naturalnie będą zwracać się do kanałów zgłaszania w centrali, chyba że mają konkretne powody, aby ich zgłoszenia były rozpatrywane wyłącznie przez spółkę zależną (na przykład z powodu obawy przed reperkusjami ze strony spółki matki z uwagi na przeszłe przypadki odwetu, podczas gdy nie odczuwają tego samego ryzyka na poziomie spółki zależnej).”

6. Czy w kontekście art. 25 ust. 1. pkt 3) ustawy o ochronie sygnalistów należy przyjąć, że „struktura organizacyjna podmiotu prawnego” wskazuje na ograniczenie możliwości wyboru jednostki organizacyjnej  lub osoby prowadzącej działania następcze jedynie do tego podmiotu prawnego czy należy ten zapis traktować rozszerzająco (w powiązaniu z Art. 28. ust. 8) i do struktury organizacyjnej można również włączyć beneficjentów rzeczywistych w ramach struktury właścicielskiej podmiotu.

Problem – potencjalny sygnalista związany z podmiotami działającymi w ramach tej samej grupy kapitałowej (w szczególności Podatkowej Grupy Kapitałowej) jest narażony na działania odwetowe, których sprawcą może być inny podmiot prawny (wchodzący w skład grupy) niż ten który otrzymał zgłoszenie oraz podjął środki ochrony wobec sygnalisty. Grupy Kapitałowe działające na określonym rynku, w krótkim czasie stają się jedynym źródłem zarobku dla wielu podmiotów z lokalnego rynku, cedowanie prowadzenia czynności następczych na niższy poziom właścicielski z jednej strony godzi w interesy sygnalisty, a z drugiej ogranicza możliwość skutecznego zarządzania podmiotami podległymi. Z doświadczeń Grupy Kapitałowej, w której jesteśmy podmiotem dominującym, wynika, że najwyższą skuteczność, zarówno w kontekście ochrony tożsamości sygnalisty, jak i skuteczności działań następczych wykazują postępowania wyjaśniające, audytowe i kontrolne prowadzone przez pracowników podmiotu dominującego. Brak bezpośrednich powiązań między pracownikami centrum korporacyjnego, a pracownikami spółek podległych jest gwarantem bezstronności oraz poufności prowadzonych czynności.

7. W kontekście realizacji obowiązków informacyjnych na podstawie art. 13 i 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”):

W jaki sposób spełniać obowiązki informacyjne wobec sygnalisty, osoby, której dotyczy zgłoszenie, osoby powiązanej z sygnalistą lub osoby, która ułatwia zgłoszenie, aby nie naruszać przepisów Ustawy o ochronie sygnalistów, a jednocześnie być zgodnym z art. 13 i 14 RODO?

8. Czy możliwa jest realizacja obowiązku informacyjnego,  w sposób podzielony na dwa etapy, tj. w taki sposób, że PGE SA jako Podmiot przetwarzający działający na rzecz spółek GK PGE w kontekście przekazywania zgłoszeń do konkretnych spółek grupy kapitałowej, jako właściwych  administratorów, zgodnie z art. 28 ust. 6 Ustawy o ochronie sygnalistów, będzie przyjmować zgłoszenia, przekazując jednocześnie informację zwrotną do sygnalisty, informując przy tym,  że przekazano zgłoszenie do właściwej spółki, która jest ADO i to ta spółka przekaże dalsze informacje i uzupełni obowiązek informacyjny. Czy taki sposób realizacji obowiązku informacyjnego będzie możliwy?
   
   
9. W kontekście art. 3 ust. 2 Ustawy o ochronie sygnalistów (przedmiot zgłoszenia podzielony na obligatoryjny, wynikający z art. 3 i inne obszary, nie ujęte w ustawie o ochronie sygnalistów):

„Podmiot prawny może dodatkowo w ramach procedury zgłoszeń wewnętrznych przewidzieć możliwość zgłaszania informacji o naruszeniach dotyczących obowiązujących w tym podmiocie prawnym regulacji wewnętrznych lub standardów etycznych, które zostały ustanowione przez podmiot prawny na podstawie przepisów prawa powszechnie obowiązującego i pozostają z nimi zgodne. W takim przypadku nie stosuje się przepisów rozdziałów 4 i 5.”

Czy na podstawie powyższego przepisu, możliwe jest utrzymanie kanału zgłoszeń nieprawidłowości innych niż wymienione w katalogu art. 3 przedmiotowej ustawy w sposób niezależny od pozostałych przepisów tej ustawy? Czy nie naruszy to dyspozycji art. 28 ust. 6 Ustawy o ochronie sygnalistów, w taki sposób, że zgłoszenia dotyczące innych obszarów niż wskazane w art. 3, nie będą przekazywane bezpośrednio do spółki, której dotyczą, a będą rozpatrywane na zasadach określonych w innych regulacjach wewnętrznych w grupie kapitałowej, np. dotyczących kontroli czy audytu. Innymi słowy, w takich przypadkach przepisy ustawy o ochronie sygnalistów nie będą miały zastosowania, w tym nie będzie stosowany obowiązek wynikający z art. 28 ust. 6 przedmiotowej ustawy?

10. Upoważnienie w formie pisemnej:

Art. 27 ust 2. Ustawy o ochronie sygnalistów:

Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego.

Czy w kontekście powyższego, upoważnienie do przetwarzania danych osobowych powinno mieć wyłącznie formę pisemną czy możliwe jest zastosowanie formy elektronicznej z wykorzystaniem systemu do obsługi zgłoszeń ochrony danych osobowych, poprzez który upoważnienia są nadawane w organizacji? System zapewnia pełną rozliczalność w zakresie zgłoszenia potrzeby nadania upoważnienia dla konkretnej osoby, do wskazanej czynności przetwarzania danych, daty obowiązywania upoważnienia, osoby nadającej upoważnienie, a następnie upoważniony otrzymuje treść upoważnienia w formie wiadomości elektronicznej.