Autor: J. P.

Uwagi do ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. poz. 928), zwanej dalej „ustawą”

1. Zgłoszenia anonimowe
Zgodnie z art. 7 ust. 1 ustawy: „Podmiot prawny, Rzecznik Praw Obywatelskich oraz organ publiczny mogą przyjmować zgłoszenia dokonane anonimowo.”

Ustawa nie precyzuje jednak co należy rozumieć przez „zgłoszenie dokonane anonimowo”.

W związku z powyższym powstają następujące pytania:

1) Czy anonimowość zgłoszenia należy oceniać każdorazowo w oparciu o całokształt danych zawartych w zgłoszeniu oraz kontekst towarzyszący zgłoszeniu? Przykładowo, jeżeli sygnalista nie wskaże w zgłoszeniu swojego imienia i nazwiska, jednak dokona zgłoszenia przy użyciu adresu elektronicznego pozwalającego na ustalenie z dużym stopniem prawdopodobieństwa jego tożsamości, to czy takie zgłoszenie należy uznać za dokonane anonimowo?

2) Czy przyjęcie zgłoszenia anonimowego podmiot prawny powinien warunkować podaniem przez sygnalistę okoliczności potwierdzających dokonanie zgłoszenia w kontekście związanym z pracą? 

2. Podstawy prawne przetwarzania danych osobowych
Chociaż ustawa odnosi się do przetwarzania danych osobowych, w tym w szczególności w art. 8 i art. 27, to nie precyzuje podstaw prawnych przetwarzania danych osobowych tak sygnalisty, jak i osób, których dotyczy zgłoszenie, osób pomagających w dokonaniu zgłoszenia, osób powiązanych z sygnalistą, ale także świadków i innych osób. Należy zwrócić uwagę, że brak podstaw prawnych odnosi się tak do przetwarzania danych osobowych zwykłych, danych szczególnej kategorii oraz danych dotyczących skazań.

Na szczególną uwagę zasługuje kwestia danych dotyczących wyroków skazujących oraz czynów zabronionych, bowiem aktualny stan prawny, w mojej ocenie, nie zawiera jakichkolwiek podstaw prawnych do przetwarzania takich danych.

W związku z powyższym powstają następujące pytania:

1) Czy w przypadku przetwarzania danych osobowych zwykłych, niezależnie od kategorii osób, właściwą podstawą prawną przetwarzania będzie art. 6 ust. 1 lit. c) RODO w zw. z przepisami ustawy?
2) Czy w przypadku przetwarzania danych osobowych szczególnej kategorii, niezależnie od kategorii osób, właściwą podstawą prawną przetwarzania będzie art. 9 ust. 2 lit. a) RODO (tj. wyraźna zgoda)? Jeżeli w ocenie Organu zgoda nie jest właściwą podstawą, to czy taką podstawą może być art. 9 ust. 2 lit. g) RODO (tj. ważny interes publiczny) w zw. z przepisami ustawy?
3) Jak należy postępować z danymi dotyczącymi wyroków skazujących oraz czynów zabronionych? Czy dane takie należy każdorazowo anonimizować, jeżeli zostaną zawarte w zgłoszeniu?

3. Realizacja obowiązku informacyjnego wobec osoby, której dotyczy zgłoszenie
Zgodnie z art. 8 ust. 5 ustawy: „Przepisu art. 14 ust. 2 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm. 2 ), zwanego dalej "rozporządzeniem 2016/679", nie stosuje się, chyba że sygnalista nie spełnia warunków wskazanych w art. 6 albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości.”

Wydaje się, że w niektórych przypadkach przekazania osobie, której dotyczy zgłoszenie informacji o przetwarzaniu jej danych osobowych, na którymkolwiek etapie rozpatrywania zgłoszenia, może utrudnić lub nawet uniemożliwić rozpatrzenie zgłoszenia, a w skrajnych przypadkach może zagrażać sygnaliście. Obawy o efektywność postępowania wyjaśniającego mogą wystąpić w przypadku, gdy osobą, które dotyczy zgłoszenie jest osoba publiczna lub osoba pełniąca funkcje  publiczne.

W związku z powyższym powstają następujące pytania:

1) Czy dopuszczalne jest zastosowanie art. 14 ust. 5 lit. b) RODO i uznanie, że z uwagi na dobro lub efektywność działań następczych, w tym w szczególności postępowania wyjaśniającego, ewentualnie z uwagi na obowiązek ochrony sygnalisty udzielenie informacji o przetwarzaniu danych osobowych może uniemożliwić lub poważnie utrudnić realizację celów przetwarzania związanego z rozpatrzeniem zgłoszenia?
2) Czy z podobnych względów art. 14 ust. 5 lit. b) RODO może znaleźć zastosowanie w przypadku, gdy osobą, które dotyczy zgłoszenie jest osoba publiczna lub osoba pełniąca funkcje  publiczne?

4. Realizacja obowiązku informacyjnego wobec osób niebędących osobą, której dotyczy zgłoszenie
Ustawa nie zawiera przepisów szczególnych regulujących spełnienie obowiązku informacyjnego z art. 14 RODO wobec osoby pomagającej w dokonaniu zgłoszenia, osoby powiązanej z sygnalistą, jak również innych kategorii osób niezdefiniowanych wprost w ustawie (np. świadków czy osób pokrzywdzonych).

W związku z powyższym powstają następujące pytania:

1) Czy w stosunku do osoby pomagającej w dokonaniu zgłoszenia, osoby powiązanej z sygnalistą, jak również innych kategorii osób niezdefiniowanych wprost w ustawie (np. świadków czy osób pokrzywdzonych) może znaleźć zastosowanie któryś z wyjątków, o których mowa w art. 14 ust. 5 RODO?

5. Ocena wagi naruszenia ochrony danych
Zgodnie z art. 27 ust. 1 ustawy: „Podmiot prawny gwarantuje, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.”

Ww. przepis, może być interpretowany w ten sposób, że zobowiązanie do zagwarantowania poufności jest zobowiązaniem rezultatu, co będzie skutkowało zaostrzeniem odpowiedzialności administratora.  

W związku z powyższym powstają następujące pytania:

1) Czy w przypadku naruszenia ochrony danych osobowych, polegającego na utracie poufności danych osobowych sygnalisty, osoby, której dotyczy zgłoszenie lub osoby trzeciej wskazanej w zgłoszeniu, należy domyślnie przyjmować, że zachodzi wysokie ryzyko naruszenia praw lub wolności osoby fizycznej?
2) Czy w podobny sposób należy kwalifikować naruszenie integralności lub dostępności danych osobowych?

6. Procedury zgłoszeń wewnętrznych w oddziałach spółek kapitałowych
Zgodnie z art. 2 pkt 11 ustawy: „Ilekroć w niniejszej ustawie jest mowa o: podmiocie prywatnym - należy przez to rozumieć osobę fizyczną prowadzącą działalność gospodarczą, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną, lub pracodawcę, jeżeli nie są podmiotami publicznymi;”

W świetle art. 2 pkt 11 ustawy, podmiotem prawnym zobowiązanym do przyjęcia procedury zgłoszeń wewnętrznych może być oddział spółki kapitałowej, o ile spełnia przesłanki uznania go za pracodawcę w rozumieniu przepisów Kodeksu pracy.

W związku z powyższym powstają następujące pytania:

1) W jaki sposób uregulować kwestię odrębnych pracodawców, będących oddziałami w ramach spółki kapitałowej? Czy spółka („centrala”), która utworzyła oddział może być zaangażowana w rozpatrywanie lub nadzór na rozpatrywaniem zgłoszeń przez oddział? Jeżeli tak, to czy w takim wypadku spółka („centrala”), która utworzyła oddział oraz oddział powinny zawrzeć umowę, o której mowa art. 28 ust. 3 ustawy?
2) Czy spółka („centrala”), która utworzyła oddział może pełnić rolę wewnętrznej jednostki organizacyjnej, o której mowa art. 25 ust. 1 pkt 1 ustawy?
3) Czy spółka („centrala”), która utworzyła oddział może pełnić rolę podmiotu zewnętrznego, o którym mowa art. 25 ust. 1 pkt 1 ustawy?

7. Procedury zgłoszeń wewnętrznych w grupach kapitałowych
Zgodnie z art. 28 ust. 8 ustawy: „Podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt 14 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r. poz. 594) mogą ustalić wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą.”

W związku z powyższym przepisem powstają następujące pytania:

1) Czy do podmiotów prywatnych należących do grupy kapitałowej, które ustanowią wspólną procedurę zgłoszeń wewnętrznych znajdzie zastosowanie art. 28 ust. 6 ustawy, tj. czy podmioty te będą odrębnymi administratorami i nie powinny mieć dostępu do danych osobowych pozyskanych przez innego administratora?
2) Czy i w jakim zakresie podmioty prywatne należące do grupy kapitałowej, które ustanowią wspólną procedurę zgłoszeń wewnętrznych mogą lub powinny zawrzeć umowę o współadministrowaniu danymi osobowymi?
3) Czy dopuszczalne jest stosowanie w grupie kapitałowej wyłącznie jednego, centralnego kanału zgłoszeń, do którego dostęp będą miały spółki wchodzące w skład grupy kapitałowej?

8. Zakres informacji zwrotnej
Zgodnie z art. 2 pkt 4 ustawy: „Ilekroć w niniejszej ustawie jest mowa o: informacji zwrotnej - należy przez to rozumieć przekazaną sygnaliście informację na temat planowanych lub podjętych działań następczych i powodów takich działań”.

Działania następcze, zdefiniowane w art. 2 pkt. 1, mogą dotyczyć osoby, której dotyczy zgłoszenia.

W związku z powyższym powstają następujące pytania:

1) Czy informacja zwrotna przekazywana sygnaliście może zawierać dane osobowe osoby, której dotyczy zgłoszenie?

2) Czy informacja zwrotna przekazywana sygnaliście może zawierać dane osobowe innej osoby, np. osoby powiązanej z sygnalistą? 

9. Upoważnienie do przetwarzania danych osobowych
Zgodnie z art. 27 ustawy: „1. Podmiot prawny gwarantuje, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.
2. Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę."

W związku z powyższymi przepisami powstają następujące pytania:

1) Czy zdaniem Organu, upoważnienie dokonane w formie dokumentowej, w tym w sposób elektroniczny spełniać będzie wymogi art. 27 sut. 2 zd. 1 ustawy?

2) Czy wymogiem posiadania pisemnego upoważnienia objęci są również członkowie zarządu podmiotu prawnego? Jeżeli tak, to kto powinien udzielić upoważnienia członkowi zarządu?

10. Retencja
Zgodnie z art. 8 ust. 8 ustawy: „Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.”

Zgodnie z art. 29 ust. 5 ustawy: „Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.”

W związku z przytoczonymi przepisami powstają następujące pytania:

1) Czy, jeżeli w ramach jednego zgłoszenia zostaną zidentyfikowane nieprawidłowości z różnych obszarów wymagające podjęcia odrębnych działań następczych, 3-letnie okresy retencji, o których mowa w art. 8 ust. 8 i art. 29 ust. 5 ustawy należy liczyć odrębnie dla każdego z działań następczych, czy też należy te okresy stosować w stosunku do zgłoszenia, którego skutkiem są podjęte działania następcze?

2) Czy, jeżeli zgłoszenie z jakichkolwiek względów nie spełnia przesłanek wynikających z ustawy (np. informacja będąca przedmiotem zgłoszenia nie stanowi informacji o naruszeniu prawa), administrator powinien zastosować okresy retencji, o których mowa w art. 8 ust. 8 i art. 29 ust. 5 ustawy, czy też powinien zastosować inne, w szczególności krótsze okresy retencji?

3) Czy okresy retencji, o których mowa w art. 8 ust. 8 i art. 29 ust. 5 ustawy należy również stosować do zgłaszania informacji o naruszeniach dotyczących obowiązujących w podmiocie prawnym regulacji wewnętrznych lub standardów etycznych (vide art. 3 ust. 2 ustawy)? Jeżeli nie, to czy istnieje możliwość odrębnego określenia tych okresów retencji?