Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Ochrona sygnalistów w sektorze publicznym i prywatnym

13-11-2020 Autor: Aneta Sieradzka

Już od 2021 r. zacznie obowiązywać europejska dyrektywa w sprawie osób zgłaszających naruszenia, czyli sygnalistów. Zostało niewiele czasu na implementację tych przepisów do polskiego porządku prawnego. Jak się przygotować? Jakie wyzwania stoją przed sektorem publicznym i prywatnym? W artykule przyjrzymy się tym kwestiom.

 

Transparency International w 2015 r. opracował raport, w którym ujawnił, że 7 z 27 krajów UE nie obejmowało sygnalistów żadną (lub bardzo ograniczoną) ochroną, a jedynie w 4 krajach ta ochrona została określona jako szeroka1. Z kolei 17 grudnia 2021 r. to termin, w którym polski ustawodawca ma obowiązek wprowadzenia przepisów ustawowych, wykonawczych i administracyjnych w celu implementacji do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: dyrektywa w sprawie osób zgłaszających naruszenia).


W przypadku podmiotów prywatnych, które zatrudniają od 50 do 249 pracowników, czas na implementację dyrektywy został wydłużony dwukrotnie – do 17 grudnia 2023 r.
 

Sygnalista


Pojęcie sygnalisty (whistleblower) zostało użyte jedynie w preambule dyrektywy w sprawie osób zgłaszających naruszenia. Jest tam utożsamione z osobą, która zgłasza szkodliwe dla interesu publicznego naruszenie prawa (motyw 1 preambuły). Normatywna część dyrektywy w sprawie osób zgłaszających naruszenia odwołuje się natomiast do „osoby dokonującej zgłoszenia” (reporting person) – art. 5 pkt 7. Bez względu jednak na tę terminologiczną rozbieżność na użytek niniejszego omówienia „sygnalistę” będziemy utożsamiać z „osobą dokonującą zgłoszenia”.
W kontekście odpowiedzialności sygnalisty nie bez znaczenia pozostanie ustalenie, czy w związku ze złożeniem anonimowego zgłoszenia możliwe jest lub będzie zidentyfikowanie osoby dokonującej zgłoszenie. Ponadto sygnalistę należy odróżnić od:

 

  1. osoby, która na podstawie udzielonej przez nią świadomej zgody została uznana za informatora lub zarejestrowana jako informator w bazach danych zarządzanych przez organy wyznaczone na poziomie krajowym, takie jak organy celne, i która zgłasza naruszenia organom ścigania, otrzymując w zamian nagrodę lub wynagrodzenie (motyw 30 preambuły dyrektywy w sprawie osób zgłaszających naruszenia). O ewentualnej odpowiedzialności takiej osoby rozstrzygać będą zatem właściwe przepisy prawa krajowego regulujące status takiego informatora,
  2. osoby pomagającej w dokonaniu zgłoszenia, tj. osoby fizycznej, która pomaga osobie dokonującej zgłoszenia w tej czynności w kontekście związanym z pracą i której pomoc nie powinna zostać ujawniona (art. 5 pkt 8 dyrektywy w sprawie osób zgłaszających naruszenia),
  3. osoby trzeciej powiązanej z osobą dokonującą zgłoszenia, w szczególności będącą współpracownikiem lub krewnym sygnalisty (art. 4 ust. 4 lit. b dyrektywy w sprawie osób zgłaszających naruszenia).

Dokonywanie zgłoszeń


Zgłoszenie naruszenia powinno zostać dokonane za pośrednictwem odpowiednich kanałów, w sposób odpowiedzialny, by można było wykryć naruszenie na czas, a nawet mu zapobiec. Zgodnie z założeniami dyrektywy w sprawie osób zgłaszających naruszenia promuje się korzystanie z kanałów wewnętrznych dokonywania zgłoszeń, czyli ustne lub pisemne przekazanie informacji o naruszeniu w obrębie danego podmiotu prawnego w sektorze prywatnym lub publicznym. Jak bowiem podkreśla się w pkt 47 w zw. z pkt 33 preambuły do dyrektywy w sprawie osób zgłaszających naruszenia, istotne jest, by odpowiednie informacje docierały szybko do osób znajdujących się najbliżej źródła problemu, które dysponują odpowiednimi uprawnieniami do jego rozwiązania, czyli wczesnego i skutecznego wyeliminowania zagrożeń dla interesu publicznego. Zachęca się więc osoby zgłaszające naruszenia do kierowania ich do swojego pracodawcy, w szczególności jeżeli mogą z takich kanałów korzystać i rozsądnie oczekiwać, że zgłoszenie odniesie skutek, czyli naruszeniu będzie można skutecznie zaradzić w ramach danej organizacji i nie zachodzi ryzyko działań odwetowych.


Niemniej to sygnalista ostatecznie decyduje, który kanał wykorzysta. Może więc dokonać uprzedniego zgłoszenia za pośrednictwem wewnętrznego kanału dokonywania zgłoszenia, a następnie zgłoszenia zewnętrznego albo od razu skorzystać z zewnętrznego kanału dokonywania zgłoszeń. Do przyjmowania zgłoszeń naruszeń w imieniu podmiotów prawnych czynnych zarówno w sektorze prywatnym, jak i w sektorze publicznym mogą zostać upoważnione osoby trzecie, np. dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związków zawodowych lub przedstawiciele pracowników. Korzystanie z usług osób trzecich zostało uzależnione od spełnienia gwarancji poszanowania niezależności, poufności, ochrony danych i zachowania tajemnicy.


Zgłoszenia zewnętrzne


Zgodnie z postanowieniami dyrektywy w sprawie osób zgłaszających naruszenia zgłoszenia zewnętrznego można dokonać na piśmie lub ustnie. Należy przyjąć, że zgłoszenie na piśmie, czyli utrwalone pisemnie, może odbyć się zarówno za pośrednictwem klasycznej poczty lub fizycznych skrzynek na skargi, jak i za pośrednictwem poczty elektronicznej oraz skrzynek na skargi na platformie online, intra- lub internetowej (zob. motyw 53 preambuły do dyrektywy w sprawie osób zgłaszających naruszenia).


Ustnego zgłoszenia można dokonać po pierwsze – telefonicznie, a po drugie – za pośrednictwem innych systemów komunikacji głosowej. Należy przyjąć, że systemy komunikacji głosowej, o których się stanowi, oznaczają np. Skype, Microsoft Teams, AQQ i inne. Należy mieć na uwadze, że choć ustne dokonanie zgłoszenia wydaje się łatwiejsze i szybsze w kontekście prowadzonej komunikacji, to jednak powstaje problem jego udokumentowania. Zgodnie z postanowieniami dyrektywy w sprawie osób zgłaszających naruszenia może to się odbyć na dwa sposoby w zależności od tego, czy zgłoszenie ustne jest dokonywane za pośrednictwem nagrywanej czy nienagrywanej linii telefonicznej lub innego systemu komunikacji głosowej.


Rodo


Zastosowanie rodo do przetwarzania danych osobowych dokonywanego w związku z działalnością sygnalistów nie powinno budzić wątpliwości. Zakres zastosowania rodo jest bowiem wyznaczany przez zakres kompetencji Unii Europejskiej – rodo nie znajduje zastosowania do działalności nieobjętej prawem Unii Europejskiej. Tymczasem mamy do czynienia z tematyką bez wątpienia objętą prawem Unii, czego emanację stanowi przyjęcie dyrektywy w sprawie osób zgłaszających naruszenia. Zastosowanie przepisów rodo należy więc oceniać na podstawie art. 2 i art. 3 rodo, które wyznaczają zakres przedmiotowy i podmiotowy stosowania europejskich przepisów o ochronie danych osobowych.


Przetwarzanie danych osobowych podlega przepisom rodo, jeżeli odbywa się w sposób całkowicie lub częściowo zautomatyzowany albo w sposób inny niż zautomatyzowany, jeżeli dane osobowe stanowią część zbioru danych lub mają stanowić część takiego zbioru. W aspekcie podmiotowym natomiast rodo znajduje zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

 

[...]

 

Autorka jest PhD, Founding Partnerem Sieradzka   & Partners, IOD, wykładowcą na UMCS, Politechnice Warszawskiej i w Krajowej Szkole Administracji Publicznej; specjalistką prawa medycznego i ochrony zdrowia, prawa nowych technologii oraz ochrony danych osobowych; autorka licznych publikacji naukowych.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.