Zasady ochrony sygnalistów do poprawy

Posted on by

Okazuje się, iż projekt ustawy o sygnalistach wymaga wielu poprawek. Brakuje w nim chociażby zapisów o możliwości składania informacji anonimowych oraz podstaw do przetwarzania danych wrażliwych. Tymczasem ustawodawca umywa od tego ręce.

Co zatem wiadomo obecnie o projekcie ustawy o ochronie sygnalistów?

Generalnie projekt ustawy o ochronie sygnalistów, która ma wdrożyć unijną dyrektywę w tym temacie, co do zasady chroni tożsamość osób zgłaszających i dane, które będą pozyskiwane w trakcie weryfikowania zgłoszeń, lecz jednocześnie dopuszcza ich ujawnienie. Przepisy ponadto nie uwzględniają czy i w jakich przypadkach mają być brane pod uwagę skargi anonimowe, a to zatem oznacza, iż nie będą one rozpatrywane w trybie omawianej ustawy.

Poza tym w projekcie brakuje podstaw do przetwarzania informacji wrażliwych, które przecież na pewno pojawią się w zgłoszeniach. I na dodatek zapisy o terminach usunięcia pozyskanych danych są niespójne.

Jak zatem wskazuje doktor Dominika Dorre-Kolasa, radca prawny i partner w Kancelarii Raczkowski, projektowane przepisy wymagają znaczących modyfikacji, w tym chociażby innego ukształtowania roli pracodawcy.

Obecnie zaprezentowany przez resort rodziny projekt ustawy o ochronie sygnalistów swój kształt zawdzięcza uwzględnieniu części uwag zgłoszonych do niego w trakcie konsultacji publicznych i społecznych. Poprawiono zatem sporo, lecz nadal nie usunięto wielu wątpliwości, a w pewnych zakresach wręcz je pogłębiono.

Jakie zatem gorsze rozwiązania zawiera obecny projekt w porównaniu z jego pierwotną wersją?

Przykładowo pierwotna wersja przewidywała, iż to pracodawca (podmiot prawny według nowej wersji) ma decydować, czy w ramach wewnętrznego firmowego kanału zgłoszeń będą przyjmowane i rozpatrywane skargi anonimowe. Tymczasem w nowej wersji tego zapisu nie ma, a jest jedynie przepis wskazujący, iż jeżeli informacja o naruszeniu prawa została zgłoszona anonimowo, a następnie doszło do ujawnienia tożsamości zgłaszającego i doświadczył on z tego powodu działań odwetowych, przysługuje takiej osobie ochrona przewidziana dla sygnalistów.

I taki zapis, zdaniem doktor Dominiki Dorre-Kolasa, nie jest wystarczający do stwierdzenia, że istnieje obowiązek przyjmowania anonimowych zgłoszeń. Tymczasem z unijnej dyrektywy, która polska ustawa o ochronie sygnalistów ma implementować, wynika, iż państwa członkowskie powinny o tym rozstrzygnąć w przepisach krajowych. Jeżeli bowiem państwo członkowskie zdecyduje, że podmioty prawne mają przyjmować i rozpatrywać zgłoszenia anonimowe, wówczas zgłaszający naruszenia w takiej formie będą mogli być traktowani jako sygnaliści.

Tymczasem analizując obecny projekt polskiego ustawodawcy, jak zauważa doktor Paweł Litwiński, adwokat i partner w Kancelarii Barta Litwiński, dojść można do wniosku, iż projektowane przepisy nie przewidują rozpatrywania zgłoszeń anonimowych. Oczywiście podmiot prawny do którego takie zgłoszenie trafi może się nim zająć, lecz nie w trybie ustawy o ochronie sygnalistów. Jeżeli jednak następnie doszłoby do ujawienia tożsamości zgłaszającego i ewentualnych działań odwetowych, trzeba będzie wówczas przepisy tejże ustawy zastosować.

W praktyce zatem jeśli do pracodawcy trafi zgłoszenie anonimowe, to może on przeprowadzić postępowanie wyjaśniające, lecz w trybie już dotychczas realizowanym, przykładowo w sytuacji zgłoszenia mobbingu czy też wyjaśnianiu naruszeń obowiązków pracowniczych, ale bez stosowania terminów i obowiązku działań następczych wynikających z projektowanej ustawy o ochronie sygnalistów.

Potencjalnych problemów interpretacyjnych może być jednak więcej, gdyż nie jest jasne czy przykładowo ochronę zyska pracownik, który zgłosił naruszenie prawa anonimowo, a następnie sam ujawnił swoją tożsamość z obawy o działania odwetowe. Poza tym pojawia się pytanie o efektywność całego procesu sygnalizowania, jeżeli anonimowe skargi nie będą rozpatrywane w trybie ustawowym.

Co jeszcze budzi wątpliwości w najnowszej odsłonie projektu ustawy o ochronie sygnalistów?

Generalnie wątpliwości odnośnie skuteczności nowych rozwiązań budzi kwestia przepisów dotyczących poufności danych osoby zgłaszającej. Projekt ustawy o ochronie sygnalistów wyłącza bowiem stosowanie art. 14 ust. 2 lit. f ogólnego rozporządzenia o ochronie danych (RODO; Dz.Urz. UE z dnia 4 maja 2016 r. L 119), co oznacza, iż osobie, której dotyczy zgłoszenie (a więc potencjalnemu sprawcy naruszenia), nie trzeba będzie przekazywać informacji o źródle danych o nim (czyli o sygnaliście). Jednocześnie jednak nie wyłączono stosowania art. 15 ust. 1 lit. g ustawy o RODO, a tym samym osoba, której dotyczy zgłoszenie, będzie mogła sama domagać się informacji o źródle danych o nim.

Jak podkreśla doktor Paweł Litwiński, w tym aspekcie projekt przesuwa jedynie termin przekazania informacji – do 3 miesięcy od zakończenia działań następczych. Ostatecznie jednak osoba wskazana w zgłoszeniu i tak będzie mogła dowiedzieć się kto był źródłem danych o niej. Zatem nie ulga wątpliwości, iż należało wyłączyć również stosowanie przepisu art. 15, ust. 1 lit. g ustawy o RODO, wskazując jednocześnie, iż źródło informacji nie zostanie ujawnione.

Kolejne wątpliwości dotyczą niespójności terminów przechowywania pozyskiwanych informacji. I tak, jak zauważa doktor Dominika Dorre-Kolasa, art. 8 projektu stanowi, że dane osobowe przetwarzane w związku z przyjęciem zgłoszenia i podjęciem działań następczych są przechowywane przez podmiot prawny lub organ publiczny nie dłużej niż 15 miesięcy od zakończenia działań następczych. A z kolei art. 29. Ust. 5 projektu przewiduje, że dane w rejestrze zgłoszeń wewnętrznych są przechowywane przez 12 miesięcy od zakończenia działań następczych. Nie wiadomo zatem czy oznacza to, iż informacje w rejestrze należy przechowywać prze rok, a jakieś inne dane maksymalnie o 3 miesiące dłużej. A poza tym powstaje pytanie czy można przechowywać jakiekolwiek dane poza rejestrem zgłoszeń.

Czy zmodyfikowany projekt zawiera jeszcze jakieś nieścisłości?

Jak zauważa doktor Paweł Litwiński, w projekcie brakuje wyraźnej kompetencji do przetwarzania danych wrażliwych, która wynikać musi z przepisów ustawowych. Tymczasem takie informacje na pewno będą przedmiotem zgłoszeń sygnalistów, dotycząc chociażby takich sytuacji, jak kradzieże przez osoby powołujące się na znajomości pośród polityków bądź też sytuacji, gdy dwoje pracowników przedsiębiorstwa utrzymuje relacje intymne i chroni się nawzajem.

I jeśli takie dane trafią do danego podmiotu, to musi on mieć podstawę do ich przetwarzania. I tej podstawy nie było w pierwotnym projekcie ustawy o ochronie sygnalistów, jak i nie ma jej w najnowszej jego wersji. Zresztą na problemy te zwracał uwagę również Urząd Ochrony Danych Osobowych (UODO), wskazując, iż podejmowanie działań następczych w efekcie zgłoszenia naruszeń jest zrozumiałe, jednak wątpliwości budzi kwestia źródeł sprawdzania zasygnalizowanych informacji.

W tym kontekście na pewno wyjaśnienia i doprecyzowania wymaga ustalenie na jakiej podstawie, w jakim zakresie oraz w jakim trybie podmioty wymienione w projektowanym przepisie będą mogły pozyskiwać dane osobowe na potrzeby weryfikacji zgłoszenia o naruszeniu prawa.

Jakie zatem wnioski należy wyciągnąć w odniesieniu do najnowszej wersji projektu ustawy o ochronie sygnalistów?

Generalnie tak liczne i niekiedy zasadnicze mankamenty najnowszej wersji projektu ustawy o ochronie sygnalistów sugerują, iż konieczne są nie tylko poprawki owego dokumentu, lecz wręcz przemyślenie i modyfikacja samego sposobu implementowania przepisów.

Jak bowiem podkreśla doktor Dominika Dorre-Kolasa, pracodawca powinien utworzyć wewnętrzny kanał zgłoszeń, po konsultacji z załogą opracować i wdrożyć procedurę w tym względzie oraz prowadzić rejestr zgłoszeń. I to są jego obowiązki. Jeżeli jednak powoła on jednostkę organizacyjną bądź osobę odpowiedzialną za opisane powyżej działania, wówczas sam w tych procesach nie uczestniczy, dowiadując się jedynie o wynikach postępowania wyjaśniającego i podejmując stosowne decyzje. Tyle, że wówczas staje się on administratorem pozyskanych w ten sposób danych, niekoniecznie do tego uprawnionym.

Podsumowując, najnowszy projekt ustawy o ochronie sygnalistów zawiera niestety wiele niedopatrzeń i wątpliwości natury interpretacyjnej. Z jednej strony projekt chroni tożsamość osób dokonujących zgłoszeń, czyli sygnalistów, lecz jednocześnie dopuszcza jej ujawnienie. Przepisy ponadto nie przesądzają czy i w jakich przypadkach uwzględniane mają być skargi anonimowe, a poza tym brakuje podstaw do przetwarzania danych wrażliwych. I jeszcze problemy powoduje niespójność terminów usunięcia pozyskanych danych. Tym samym bez naprawy powyższego trudno wyobrażać sobie, by tak źle skonstruowane prawo mogło wejść w życie i być skutecznie egzekwowanym.