Wstęp
Po bardzo długich miesiącach, licznych zmianach, poprawkach, dyskusjach, głośna medialnie ustawa o ochronie sygnalistów w końcu została podpisana przez Prezydenta oraz opublikowana w Dzienniku Ustaw. Ustawa wejdzie w życie w ciągu 3 miesięcy od dnia jej ogłoszenia, tj. 25 września 2024. Organizacje mają zatem niecałe 3 miesiące na dostosowanie się do wymogów ustawy, a także na wprowadzenie niezbędnych zmian pod kątem przetwarzania danych osobowych związanych z wprowadzeniem procedury zgłaszania naruszeń. Co ciekawe, ustawa pierwotnie miała wejść w życie w 2021 roku. Co istotne, jeszcze niedawno Prezes Urzędu Ochrony Danych Osobowych zgłaszał swoje uwagi w zakresie przetwarzania danych osobowych do ustawy, natomiast sugestie te nie zostały w żaden sposób wzięte pod uwagę przez polskiego ustawodawcę.
Na samym początku warto wyjaśnić, kim w ogóle są sygnaliści. Sygnaliści to osoby, które zgłaszają informacje o nieprawidłowościach, naruszeniach prawa czy innych działaniach sprzecznych z interesem publicznym, które zaobserwowały w miejscu pracy lub w innych sytuacjach. Celem ochrony sygnalistów jest umożliwienie im bezpiecznego zgłaszania takich informacji, bez obawy o negatywne konsekwencje, takie jak zwolnienie z pracy, degradacja czy inne formy represji.
Obowiązek przygotowania procedury zgłoszeń wewnętrznych istnieje, jeżeli na dzień 1 lipca lub 1 stycznia danego roku, pracę zarobkową w organizacji wykonuje co najmniej 50 osób – nie ma tutaj ograniczenia wyłącznie do osób zatrudnionych na umowę o pracę, ale także dotyczy to osób, które wykonują pracę zarobkową na podstawie innej formy współpracy lub innej formy zatrudnienia. Ograniczenia te nie mają zastosowania do podmiotów wykonujących działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937.
Stanowisko PUODO
PUODO w swojej opinii z dnia 30.05.2024 r. skierowanej do Marszałka Senatu, wskazał, że należy pochylić się m.in. nad:
- Wskazania w ustawie poprzez jakie dane osobowe możliwa będzie identyfikacja sygnalisty – tak, aby organizacja miała jasne wytyczne w zakresie jakie dane osobowe sygnalisty może przetwarzać.
- Brak uzasadnienia dla 12-miesięcznego okresu retencji danych przetwarzanych przez Rzecznika Praw Obywatelskich.
Uwagi te nie zostały w żaden sposób rozpatrzone przez ustawodawcę, co PUODO podkreślił w swoim komunikacie z 25.06.2024 r. [1]
Obowiązki związane z przepisami RODO
Sama dyrektywa, która wprowadza przepisy ustawy o sygnalistach do porządku krajowego, wskazuje wyraźnie, że przetwarzanie danych osobowych związanych z realizacją celów i założeń dyrektywy odbywa się zgodnie z przepisami Rozporządzenia o ochronie danych osobowych. Przetwarzając więc dane osobowe związane z procesem obsługi sygnalistów, należy rozpatrzyć i przyporządkować właściwe podstawy prawne przetwarzania. Od momentu obowiązywania ustawy, dane osobowe zwykłe sygnalisty zgłaszające naruszenie będą przetwarzane na podstawie art. 6 ust. 1 lit. c RODO – tj. niezbędność do realizacji obowiązków prawnych nałożonych na administratora. Ten obowiązek wynika wprost z art. 8 ust. 4 ustawy o sygnalistach, który brzmi następująco: „Podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.”
Z kolei art. 8 ust. 1 tejże ustawy mówi nam: „Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty.” – wszelkie ujawnienie danych sygnalistów osobom, które nie mają prawa mieć dostępu do tych danych może odbyć się wyłącznie na podstawie wyraźnej zgody sygnalisty. Podczas zgłaszania naruszeń prawa może również dojść do przetwarzania danych szczególnej kategorii sygnalisty. Na jakiej podstawie podmiot otrzymujący zgłoszenie może przetwarzać tego rodzaju informacje? Zgodnie z motywem 83 dyrektywy 2019/1937[2]: przetwarzanie danych osobowych zgodnie z dyrektywą, w tym wymiana lub przekazywanie danych osobowych przez właściwe organy, powinno być dokonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679. Oznacza to, że wprowadzając procedurę obsługi naruszeń, powinniśmy uwzględnić w niej również przetwarzanie danych osobowych zgodnie z podstawowymi zasadami, tj. art. 5 RODO. Dodatkowo warto wskazać na art. 17 zd. 2 dyrektywy, który stwierdza, że dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki.
Warto zwrócić uwagę także na uzasadnienie do projektu ustawy o ochronie osób zgłaszających naruszenia prawa z dnia 5 stycznia 2023 r. W uzasadnieniu wskazuje się na podstawą przetwarzania danych szczególnej kategorii, tj.: „(…) W związku z tym, mając na względzie art. 6 ust. 1 lit. e, art. 9 ust. 1 lit g oraz art. 10 RODO, proponuje się wskazać, iż podmiot prawny lub organ publiczny, po otrzymaniu zgłoszenia, przetwarza dane osobowe, w zakresie niezbędnym do przyjęcia zgłoszenia oraz podjęcia ewentualnego działania następczego. Natomiast dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie będą zbierane, a w razie przypadkowego zebrania, będą niezwłocznie usuwane.”[3] Podstawą prawną przetwarzania danych szczególnej kategorii będzie art. 9 ust. 2 lit. g RODO.
Jednocześnie powyższe fragmenty potwierdzają, że podmiot odbierający zgłoszenie powinien przetwarzać wyłącznie dane osobowe niezbędne do prawidłowego rozpatrzenia zgłoszenia. Niestety w ustawie nie mamy wpisanego minimalnego katalogu danych, który można przetwarzać, o co postulował nasz organ nadzorczy. Administrator samemu musi dokonywać oceny, które dane osobowe będzie przetwarzać w związku z otrzymanym zgłoszeniem – jedna zasada – przetwarzamy dane tylko te, które są niezbędne do rozpatrzenia zgłoszenia. Warto zwrócić uwagę również na okres retencji danych osobowych. Podmiot przyjmujący zgłoszenia ma obowiązek prowadzić rejestr zgłoszeń wewnętrznych. Dane w rejestrze przechowywane są przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Należy wyjaśnić czym są działania następcze. Są to działania podjęte przez podmiot, który otrzyma zgłoszenie o naruszeniu praw. Działania te mają na celu zweryfikowanie okoliczności naruszenia oraz podjęcie stosownych kroków prawnych, jeżeli takie będą potrzebne.
Warto także zwrócić uwagę, że nie wszystkie prawa z art. 12-22 RODO mogą być realizowane tj. art. 14 ust. 1 lit. f oraz art. 15 ust. 1 lit. g RODO – to znaczy – spółka, która otrzymała zgłoszenie, nie ma prawa informować osoby, której dane dotyczą o źródle pozyskania danych osobowych tj. o sygnaliście – pamiętajmy o art. 8 ust. 1 ustawy o sygnalistach. Ujawnienie osobie nieuprawnionej danych sygnalisty może odbyć się wyłącznie na podstawie uprzedniej, wyraźnej zgody samego zainteresowanego. Jednocześnie na sam koniec należy wziąć pod uwagę wyjątek w zakresie tego obowiązku, o którym mowa w następnym ustępie: „Przepisu ust. 1 nie stosuje się w przypadku, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.” Ujawnienie danych sygnalisty w teorii jest możliwe, ale gdy wprost wynika to z przepisów albo gdy prowadzone jest właściwe postępowanie na bazie przepisów prawa związanych z wyjaśnianiem okoliczności naruszenia.
Zmian w zakresie zapewniania zgodności z przetwarzaniem danych sygnalistów jest naprawdę sporo. Na koniec warto wspomnieć o bardzo ciekawej inicjatywie Prezesa Urzędu Ochrony Danych Osobowych. 1 lipca 2024 UODO poinformowało o rozpoczęciu konsultacji społecznych dotyczących stosowania ustawy o ochronie sygnalistów – https://uodo.gov.pl/pl/138/3162. Jak wskazuje komunikat – po przesłanych uwagach, pytaniach – w sierpniu odbędzie się seminarium, podczas którego eksperci UODO postarają się rozjaśnić wszelkie wątpliwości związane z wdrożeniem ustawy o ochronie sygnalistów pod kątem zgodności z przepisami RODO. Warto temat obserwować!
[1] https://uodo.gov.pl/pl/138/3136
[2] https://legislacja.rcl.gov.pl/docs//2/12352401/12822867/12822871/dokument599334.pdf,
[3] https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822845