Jesteś już użytkownikiem programów LEX?

Ochrona danych osobowych sygnalistów

12 lipca 2021

Polska ma czas do 17.12.2021 r. na wdrożenie tzw. dyrektywy o ochronie sygnalistów. Jednak już pojawiają się pytania jak ma przebiegać ochrona osób zgłaszających naruszenie prawa i w jakim stopniu dyrektywa jest powiązana z RODO w zakresie ochrony danych osobowych sygnalistów. W LEX Ochrona Danych Osobowych dowiesz się więcej na ten temat.

Przed pojawieniem się dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (potocznie nazywanej dyrektywą o ochronie sygnalistów), sygnalistę mogły spotkać dolegliwości prawne i ekonomiczne płynące ze zgłoszonych naruszeń. Przybierały one formy odwetowe, które najczęściej polegały na degradacji ze stanowiska pracy lub nawet na całkowitej utracie zatrudnienia. Sygnaliści nie posiadali odpowiednich, bezpiecznych dla nich kanałów komunikacji o nieprawidłowościach i nierzadko ujawnianie takich informacji odbywało się za pomocą mediów. To z kolei często kończyło się otwarciem drogi sądowej, czego przykładem są głośne sprawy przed Europejskim Trybunałem Praw Człowieka w Strasbourgu takie jak Sosinowska przeciwko Polsce czy Frankowicz przeciwko Polsce. Dyrektywa o ochronie sygnalistów wprowadza jednolity i kompleksowy system ochrony przed tego typu dolegliwościami.

Kogo chronią nowe przepisy?

Tarczą ochronną zostały objęte osoby dokonujące zgłoszenia, pracujące w sektorze prywatnym i publicznym, które uzyskały informację o naruszeniu. Definicja z art. 4 dyrektywy o ochronie sygnalistów przewiduje minimalny katalog osób, którym należy się ochrona. Należą do nich m.in.:

  • osoby posiadające status pracownika w rozumieniu art. 45 ust. 1 TFUE, w tym urzędnicy służby cywilnej;
  • osoby posiadające status osób prowadzących działalność na własny rachunek w rozumieniu art. 49 TFUE;
  • akcjonariusze lub wspólnicy oraz osoby będące członkami organu administrującego, zarządzającego lub nadzorczego przedsiębiorstwa, w tym członków niewykonawczych, a także wolontariuszy i stażystów, bez względu na to czy otrzymują oni wynagrodzenie;
  • osoby pracujące pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców.

Powyższe wyliczenie może zostać poszerzone przez polskiego ustawodawcę, bo dyrektywa przewiduje minimalny standard ochrony.

Kto może być sygnalistą?

Przy ocenie, kto należy do grona sygnalistów, warto pamiętać, o tym że:

  • obywatelstwo UE (lub jego brak) sygnalisty nie ma znaczenia;
  • definicja zakłada silny związek z organizacją (nie tylko w formie zatrudnienia);
  • sygnalistą może być osoba, która już nie pracuje w określonej organizacji;
  • informacją o naruszeniu może być uzasadnione podejrzenie, a naruszenie nie musiało zaistnieć, wystarczy jego potencjalny charakter lub ukrywanie naruszenia;
  • naruszenie nie musi być w miejscu pracy sygnalisty, może zaistnieć także w innej organizacji, z którą osoba dokonując zgłoszenia utrzymuje lub utrzymywała kontakt.

Oznacza to, że sygnalistą jest każdy, również osoba niebędąca obywatelem UE, ale posiadająca silny związek z organizacją. Chodzi tutaj o relację nie tylko pracodawca-pracownik, ale również organizacja - samozatrudniony. Stosunek pracy nie ma znaczenia. Podobnie w przypadku pozyskiwania wynagrodzenia. Sygnalistą może być także wolontariusz czy stażysta. Problemu nie stanowi również zanik relacji z organizacją - istotne jest to by występowała ona wcześniej, kiedy doszło do naruszenia.

Czy tylko sygnalista jest objęty ochroną?

Nie. Ochrona dotyczyć może także innych osób bezpośrednio lub pośrednio powiązanych ze zgłoszonym naruszeniem. Będą to m.in.

  • osoby, o których mowa w zgłoszeniu, np. potencjalne osoby odpowiedzialne za udostępnianie danych nieuprawnionym podmiotom;
  • osoby, które pomagały w dokonaniu zgłoszenia, np. współpracownik udzielający informacji jak dokonać zgłoszenia;
  • osoby, które mogą doświadczyć działań odwetowych, czyli każda odczuwająca negatywne skutki płynące ze zgłoszenia.

Jaka jest relacja między dyrektywą o ochronie sygnalistów a RODO?

Zgodnie z art. 17 dyrektywy o ochronie sygnalistów, przetwarzania danych osobowych (w tym wymianę lub przekazywanie danych osobowych przez właściwe organy), dokonuje się zgodnie z RODO i dyrektywą DODO. Wymiany i przekazywania informacji przez instytucje, organy lub jednostki organizacyjne Unii dokonuje się zgodnie z rozporządzeniem (UE) 2018/1725. Dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki.

Warto dodać, że dopiero wdrożenie dyrektywy do przepisów krajowych pozwoli na ostateczną ocenę czy zawarte w nich mechanizmy ochrony sygnalistów okażą się skuteczne i odpowiednio będą chronić dane osobowe tych osób.

Jeżeli chcesz dowiedzieć się, jakie istnieją ścieżki zgłaszania naruszeń oraz jakie mechanizmy ochrony danych osobowych powinny zostać wdrożone u administratora danych, zapoznaj się z komentarzem praktycznym autorstwa radcy prawnego Mirosława Gumularza pt. "W jakim zakresie RODO i krajowe przepisy o ochronie danych osobowych mają zastosowanie wobec sygnalistów?".

W LEX Ochrona Danych Osobowych znajdziesz także gotowy do wykorzystania wzór procedury ochrony danych sygnalisty w ramach rozpatrywania skarg i wniosków, a także wiele innych dokumentów, które pozwolą na sprawne wdrożenie nowych regulacji w Twojej organizacji.

 

Polecamy,

Redakcja Publikacji Elektronicznych

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.