Realizacja założeń dyrektywy 2019/1937 wymaga ustanowienia przez poszczególne organizacje mechanizmów oraz procedur chroniących sygnalistów przed różnymi formami odwetu. Poufność, w tym ochrona tożsamości, jawi się zatem jako niezbędny warunek zaufania do podmiotu informowanego o nieprawidłowościach.

Państwa członkowskie UE mają czas do 17 grudnia 2021 r. na implementację postanowień dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii (dalej: dyrektywa 2019/1937). W zakresie przepisów dotyczących podmiotów prawnych sektora prywatnego zatrudniających od 50 do 249 pracowników czas transpozycji został wydłużony do 17 grudnia 2023 r. Mimo pozornie długiego czasu na dostosowanie administratorzy już teraz powinni podejmować pierwsze kroki w celu dokonania przeglądu istniejących polityk i procedur, wdrażania niezbędnych narzędzi technicznych oraz kształtowania kultury organizacyjnej związanej z instytucją sygnalisty.

Bezpieczne kanały zgłaszania nieprawidłowości

Najskuteczniejszym sposobem zachęcania sygnalistów do zgłaszania nadużyć jest zapewnienie ochrony ich tożsamości. Jest to o tyle ważne, że zarówno CNIL, jak i EIOD stoją na stanowisku, że, co do zasady, informowanie o nieprawidłowościach nie powinno być anonimowe. Osoby zgłaszające przypadki naruszenia powinny podać informacje o sobie nie tylko w związku z potencjalnym nadużyciem procedur zgłaszania nieprawidłowości, ale również w celu umożliwienia ich skutecznej ochrony przed odwetem.

CNIL wskazuje, że anonimowe zgłoszenie może być procesowane, gdy:

• opis naruszenia jest wystarczająco szczegółowy;
• zostały podjęte szczególne środki ostrożności, takie jak uprzednia analiza przez pierwszego odbiorcę zgłoszenia zasadności jego rozpowszechniania w ramach systemu zarządzania powiadomieniami o nieprawidłowościach.

Z tego powodu administratorzy powinni wdrożyć określone kanały (wewnętrzne i zewnętrzne) dokonywania zgłoszeń oraz ochronę otrzymanych informacji. Tożsamość sygnalisty, który zgłasza naruszenie, powinna być traktowana jako poufna, tak aby chronić go przed jakąkolwiek formą odwetu. Tożsamość sygnalisty nie powinna być nigdy ujawniana, z wyjątkiem sytuacji przewidywanych przez samą dyrektywę 2019/1937, czyli gdy:

• udzielił on wyraźnej zgody;
• takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa UE lub prawa krajowego w kontekście prowadzonych przez organy krajowe postępowań wyjaśniających lub postępowań sądowych, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie;
• osoba dokonująca zgłoszenia celowo ujawniła swoją tożsamość w kontekście ujawnienia publicznego.

EIOD wskazuje równocześnie, że osoba, przeciwko której wysunięto zarzuty, powinna być chroniona w taki sam sposób jak sygnalista, ponieważ istnieje ryzyko jej stygmatyzacji i wiktymizacji w organizacji, zanim ona sama dowie się, że została oskarżona, a fakty dotyczące sprawy nie zostały należycie zweryfikowane. Zgłoszenia informujące o nieprawidłowościach mogą również zawierać dane osobowe osób trzecich, takich jak świadkowie, inne osoby poszkodowane lub osoby mogące potwierdzić pewne fakty. Ich dane osobowe również powinny być chronione na wszystkich etapach procedury zarządzania zgłoszeniem. Dostęp do zgłoszeń sygnalistów powinien zatem odbywać się z zachowaniem wskazanych zasad:

• wiedzy koniecznej – osoby analizujące zgłoszenia powinny mieć zapewniony dostęp tylko do informacji, które są im potrzebne do wykonywania swoich zadań (różne zadania lub role oznaczają różną wiedzę konieczną do ich wykonania, a tym samym inny poziom dostępu);
• potrzeby koniecznej – osoby analizujące zgłoszenia powinny mieć zapewniony dostęp tylko do tych środków przetwarzania informacji (urządzenia, aplikacje, pomieszczenia), które są im potrzebne do wykonywania swoich zadań.

EIOD zaleca, aby personel mający dostęp do danych osobowych zawartych w zgłoszeniach sygnalistów, podlegał wzmocnionemu obowiązkowi zachowania tajemnicy. Ponadto dostęp do zgłoszeń o nieprawidłowościach (zarówno tych przetwarzanych tradycyjnie, jak i elektronicznie) powinien być stale monitorowany.

Zachowanie poufności danych osobowych ujawnionych przez sygnalistę nie wyklucza możliwości skorzystania przez administratora z usług podmiotu przetwarzającego (np. jako dostawcy systemu informatycznego). CNIL wskazuje jedynie, że administrator powinien korzystać wyłącznie z usług podmiotu, który zapewnia wystarczające gwarancje wdrożenia odpowiednich technicznych i organizacyjnych środków ochrony danych osobowych oraz zawarł z nim umowę powierzenia regulującą wszystkie kwestie, o których mowa w art. 28 rodo.

Cel przetwarzania danych osobowych

Zakres przedmiotowy dyrektywy 2019/1937 (art. 2 ust. 1) obejmuje ochronę osób zgłaszających naruszenia objęte zakresem stosowania prawa UE dotyczącego takich dziedzin jak zamówienia publiczne, ochrona środowiska, bezpieczeństwo żywności, zdrowie publiczne czy ochrona konsumentów. Równocześnie unijny ustawodawca pozostawił do decyzji poszczególnych państw członkowskich kwestię rozszerzenia zakresu przedmiotowego na naruszenia prawa krajowego.

W tym kontekście EIOD wskazuje, że w ramach procedury zgłaszania nieprawidłowości powinny być procesowane jedynie te sprawy, które zawierają się w zakresie przedmiotowym dyrektywy 2019/1937. Przykładowo sprawy dotyczące mobbingu lub molestowania powinny być zgłaszane pracodawcy lub uprawnionym organom innymi kanałami, niż te dedykowane sygnalistom.

CNIL zwraca uwagę, że proces zarządzania zgłoszeniami naruszeń może realizować kilka celów przetwarzania równocześnie. W takiej sytuacji każda z operacji przetwarzania musi legitymować się odrębną podstawą prawną. Zdaniem CNIL w omawianej sytuacji będą miały zastosowanie następujące podstawy prawne:

• art. 6 ust. 1 lit. c rodo – gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, a związanego z realizacją postanowień dyrektywy 2019/1937;
• art. 6 ust. 1 lit. f rodo – gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, a dotyczących naruszenia wewnętrznych kodeksów etycznych administratora.

Wszelkie dane osobowe związane z informowaniem o nieprawidłowościach przechowywane do celów statystycznych powinny być anonimizowane. Administratorzy powinni zachować szczególną ostrożność w przypadku wszelkich informacji mogących doprowadzić do pośredniej identyfikacji (np. narodowość sygnalisty).

Adekwatność przetwarzanych danych

W trakcie zarządzania naruszeniami administrator może wejść w posiadanie danych osobowych, które nie mają związku oraz nie przyczyniają się do rozstrzygnięcia naruszenia. Wszelkie takie informacje nie powinny być dalej przetwarzane. Jest to istotne w przypadku szczególnych kategorii danych osobowych. EIOD zaleca, aby wszystkie osoby upoważnione do przetwarzania danych osobowych w ramach procesu zarządzania naruszeniami były poinformowane o tej zasadzie.

CNIL rekomenduje, aby administrator przypominał sygnalistom, że przekazywane przez nich informacje muszą być oparte na faktach i mieć bezpośredni związek z przedmiotem zgłoszenia. Zdaniem CNIL zakres informacji przetwarzanych w ramach procesu zarządzania zgłoszeniami nieprawidłowości powinien obejmować:

• tożsamość, piastowane stanowisko i dane kontaktowe sygnalisty;
• tożsamość, piastowane stanowisko i dane kontaktowe osób, które są przedmiotem zgłoszenia;•tożsamość, piastowane stanowisko i dane kontaktowe osób uczestniczących w gromadzeniu lub przetwarzaniu danych dotyczących zgłoszenia;
• treść zgłoszenia;
• zebrane dowody;
• sprawozdanie z działań kontrolnych;
• działania następcze podjęte w związku ze zgłoszeniem.

Sposoby realizacji obowiązku informacyjnego

EIOD zaleca, aby informacje na temat procedur informowania o nieprawidłowościach były ogólnie dostępne w ramach organizacji, np. w ramach polityki prywatności na stronie internetowej administratora lub w wewnętrznym intranecie.

Niezależnie od tego poszczególne kategorie osób, których dane dotyczą, powinny otrzymywać wymagane informacje w trybie art. 12–14 rodo. EIOD zaleca równocześnie, aby w zawiadomieniu o ochronie danych była mowa o konsekwencjach nadużycia procedury informowania o nieprawidłowościach (jeżeli np. sygnalista złośliwie składa fałszywe oświadczenie), takich jak środki dyscyplinarne lub karne. CNIL wskazuje, że dokonanie zgłoszenia w dobrej wierze nie powinno narazić jego autora na jakiekolwiek działania dyscyplinarne, nawet jeśli później okaże się, że podane przez niego informacje nie będą stanowiły podstawy do podjęcia jakichkolwiek działań.

[...]

Autor pracuje w ODO 24 sp. z o.o. jako kierownik zespołu merytorycznego.