Sygnaliści w kontekście ochrony danych osobowych

17 grudnia 2021 r. minął termin transpozycji do porządku polskiego dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii[1], dalej: dyrektywa 2019/1937. W chwili publikowania niniejszego artykułu ten akt prawny nie doczekał się jeszcze implementacji do prawa krajowego w Polsce. 7 lipca 2022 r. na stronie Rządowego Centrum Legislacyjnego pojawiła się już trzecia wersja projektu polskiej ustawy o ochronie osób zgłaszających naruszenia, implementującej unijną dyrektywę; dalej: ustawa. Obecny projekt z 4 lipca 2021 r., podobnie jak jego dwie poprzednie wersje (z 14 października 2021 r., z 6 kwietnia 2022 r.), został opracowany przez Ministerstwo Rodziny i Polityki Społecznej[2].

W przeciwieństwie do rozporządzania unijnego, jakim jest np. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[3], zwane w skrócie „RODO”, dyrektywa jako rodzaj aktu pochodnego prawa unijnego wymaga implementacji do porządku prawa krajowego państw członkowskich. Co do zasady nie obowiązuje bezpośrednio. Dyrektywa wiąże co do celu, natomiast państwa członkowskie mają swobodę wyboru środków i metod jej realizacji. Dyrektywy służą harmonizacji regulacji w państwach Unii Europejskiej. Rozporządzenia służą zaś unifikacji tego prawa.

Dopóki dyrektywa nie zostanie implementowana do porządku krajowego odnosi ona jedynie bezpośredni skutek wertykalny, tj. w relacji obywatel-państwo. Co do zasady nie można mówić o bezpośrednim skutku horyzontalnym, tj. w relacjach między jednostkami. Wskazać należy jednak, iż w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej (TSUE) utrwaliło się szerokie rozumienie bezpośredniego  skutku wertykalnego dyrektyw. W literaturze słusznie zwraca się uwagę, iż „pojęcie państwa jest w prawie Unii rozumiane bardzo szeroko. Obejmuje ono również podmioty, które w świetle prawa wewnętrznego stanowią odrębny byt prawny, lecz z uwagi na swoje usytuowanie w systemie władzy państwowej lub samorządowej oraz z uwagi na sprawowane funkcje są traktowane jako ˂emanacja państwa> ”[4]. Dotyczy to zwłaszcza pracodawców publicznych. Wskazuje się, iż warunkiem bezpośredniej skuteczności dyrektyw w relacjach jednostki z państwem jest, by przepisy były wystarczająco precyzyjne i bezwarunkowe oraz ich stosowanie nie było uzależnione od dalszych działań ze strony organów unijnych lub organów państw członkowskich[5].

Dlatego też w przypadku niektórych podmiotów można mówić o tzw. bezpośrednim skutku dyrektywy. Dotyczy to grupy podmiotów ze sfery publicznej, które można postrzegać jako emanację państwa. W stosunku do takich podmiotów dyrektywa 2019/1937  po upływie terminu na implementację  może mieć zatem charakter wiążący. Podmiotami takimi będą np. spółki z udziałem Skarbu Państwa oraz spółki komunalne, państwowe osoby prawne, jednostki sektora finansów publicznych (np. szkoły, uczelnie, państwowe i samorządowe jednostki kultury). Skutek bezpośredni nie dotyczy natomiast podmiotów wyłącznie prywatnych.

Dlatego też pomimo tego iż sama dyrektywa nie wywołuje skutku bezpośredniego w relacjach horyzontalnych, to jednak rekomendowane jest już po 17 grudnia 2021 r. wdrożenie przewidzianych nią procedur sygnalizacyjnych w podmiotach publicznych. W ich przypadku dyrektywa może znaleźć bowiem bezpośrednie zastosowanie, zwłaszcza że znaczna część jej przepisów jest konkretna i precyzyjna, o czym świadczy także ich dosłowne powielanie w kolejnych wersjach projektu polskiej ustawy o sygnalistach.

Dyrektywa 2019/1937 a RODO

Dyrektywa 2019/1937 nakłada obowiązek wprowadzenia wewnętrznych i zewnętrznych kanałów zgłoszeń naruszeń prawa. W procedurach dotyczących zgłoszeń przez sygnalistów będziemy mieć niewątpliwie do czynienia z przetwarzaniem danych osobowych. W przypadku postępowań wewnętrznych proces przetwarzania danych odbywa się na różnych etapach: rozpoczyna się od zgłoszenia naruszenia, poprzez wszczęcie i przebieg postępowania wyjaśniającego, wgląd do akt postępowania, a następnie przechowywanie dokumentacji po zakończeniu czy też udostępnianie jej organom zewnętrznym. Mogą to być dane osobowe zgłaszającego, ofiar, sprawców-naruszycieli oraz świadków. Z przetwarzaniem danych osobowych podobnych kategorii osób będziemy mieli do czynienia także na poziomie zewnętrznych kanałów zgłoszeń. Ze względu na objętość tekstu w niniejszej publikacji skoncentruję się przede wszystkim na wewnętrznych kanałach zgłoszeniowych.

W motywie 76 dyrektywy 2019/1937 wskazuje się, iż państwa członkowskie powinny zapewnić, aby właściwe organy dysponowały odpowiednimi procedurami ochrony w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w tych zgłoszeniach. Takie procedury powinny zapewniać ochronę tożsamości:

• każdej osoby dokonującej zgłoszenia,
• osób, których dotyczy zgłoszenie,
• osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników,
• na wszystkich etapach procedury.

Wątek ochrony danych osobowych sygnalistów i innych uczestników wewnętrznych postępowań wyjaśniających będzie zatem elementem nieodłącznym tej instytucji. Dyrektywa 2019/1937 w kilku miejscach, tj. zarówno w motywach, jak i w przepisach szczegółowych, wprost odnosi się do RODO i prawa do prywatności. Ponadto same zgłoszenia dotyczące naruszeń przepisów prawa mogą dotyczyć także materii ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych (zob. art. 2 ust. 1 lit. a (x) dyrektywy).

Kategorie podmiotów uczestniczących w wewnętrznych postępowaniach wyjaśniających

Podobnie jak dyrektywa 2019/1937, planowana polska ustawa o ochronie osób zgłaszających naruszenia przewiduje trzy tryby możliwego postępowania w charakterze reakcji na powziętą informację o naruszeniu prawa, tj.:

• skierowanie zgłoszenia do podmiotu prawnego,
• skierowanie zgłoszenia do organu publicznego (ponadto także do Rzecznika Praw Obywatelskich),
• ujawnienie publiczne[6].

Zakres podmiotowy dyrektywy 2019/1937 określa jej art. 4. Zgodnie z jego treścią znajduje ona zastosowanie do osób dokonujących zgłoszenia, pracujących w sektorze prywatnym lub publicznym, które uzyskały informacje na temat naruszeń w kontekście związanym z pracą, w tym co najmniej do:

1. osób posiadających status pracownika w rozumieniu 45 ust. 1 TFUE[7], w tym urzędników służby cywilnej; dotyczy to także byłych pracowników oraz osób ubiegających się o pracę;
2. osób posiadających status osób prowadzących działalność na własny rachunek w rozumieniu 49 TFUE;
3. akcjonariuszy lub wspólników oraz osób będących członkami organu administrującego, zarządzającego lub nadzorczego przedsiębiorstwa, w tym członków niewykonawczych, a także wolontariuszy i stażystów, bez względu na to czy otrzymują oni wynagrodzenie;
4. osób pracujących pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców.

W stosownych przypadkach ochrona sygnalisty może także w świetle dyrektywy 2019/1937 przysługiwać:

1. osobom pomagającym w dokonaniu zgłoszenia,
2. osobom trzecim powiązanym z osobami dokonującymi zgłoszenia, które mogą doświadczyć działań odwetowych w kontekście związanym z pracą, takich jak współpracownicy lub krewni osób dokonujących zgłoszenia;
3. podmiotom prawnym, które stanowią własność osoby dokonującej zgłoszenia, dla których taka osoba pracuje lub które są w inny sposób z nią powiązane w kontekście związanym z pracą[8].

Przepisy o sygnalistach jako podstawa przetwarzania danych osobowych

Zgodnie z art.  17 dyrektywy 2019/1937 przetwarzania danych osobowych, w tym wymiany lub przekazywania danych osobowych przez właściwe organy, dokonuje się zgodnie z RODO. Oznacza to w szczególności stosowanie obowiązujących na mocy RODO zasad przetwarzania danych osobowych (art. 5 RODO) oraz podstaw przetwarzania danych osobowych (art. 6 i 9 RODO).

Na gruncie dyrektywy 2019/1937 dodatkowo akcentuje się przy przeprowadzaniu postępowań wyjaśniających zasadę proporcjonalności. W art. 17 zd. 2 stwierdza się wprost, iż dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki. Pomimo iż zasada ta i tak obowiązuje w oparciu o art. 5 ust. 1 lit. c) RODO i jej powtórzenie może wydawać się zbędne, to jednak podkreśla jej znaczenie w tych postępowaniach. Przepis ten został powielony w projekcie polskiej ustawy (art. 8 ust. 4 zd. 2).

W postępowaniach w sprawach naruszeń przepisów prawa możemy mieć do czynienia zarówno  z danymi zwykłymi, jak i danymi wrażliwymi. Jako potencjalne podstawy przetwarzania danych osobowych zwykłych w tych postępowaniach można rozpatrywać:

• 6 ust. 1 lit. a) RODO, tj. zgodę sygnalisty na ujawnienie jego tożsamości[9],
• 6 ust. 1 lit. c) RODO, tj. niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze, jeżeli w wyniku implementacji przepisów dyrektywy państwa członkowskie nałożą obowiązek ustanowienia określonych kanałów zgłoszeń i związany z nim obowiązek przetwarzania danych osobowych[10],
• 6 ust. 1 lit. e) RODO, tj. niezbędność do wykonania zadania realizowanego w interesie publicznym, albowiem przeciwdziałanie naruszeniom prawa przy pomocy zgłaszania naruszeń może być uznane za zadanie realizowane w interesie publicznym[11],
• 6 ust. 1 lit. f) RODO, tj. niezbędność do wykonania celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, związanych z wdrożeniem i funkcjonowaniem systemów zgłaszania naruszeń, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych[12].

W uzasadnieniu projektu ustawy z 4 lipca 2022 r. (s. 20) wskazuje się jako podstawy prawne przetwarzania danych osobowych:

• w przypadku danych zwykłych – art. 6 ust. 1 lit. e) RODO, tj. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; oznacza to zarazem przesądzenie, że podmioty prywatne prowadzące wewnętrzne postępowania wyjaśniające w istocie wykonują zadania publiczne związane z ochroną interesu publicznego[13], zwalczaniem i wykrywaniem przypadków naruszenia przepisów prawa, co wydaje się zresztą kwestią oczywistą ze względu na publiczny charakter tych postępowań;
• w przypadku danych wrażliwych – art. 9 ust. 1 lit. g) (który należy odczytywać w zw. z art. 6 ust. 1 lit. e) RODO), tj. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; prowadzenie postępowań wyjaśniających w związku z naruszeniami prawa ma na względzie niewątpliwie „ważne interesy publiczne”[14];
• 10 RODO, który zezwala na przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. W tym zakresie zasadne byłoby jednak doprecyzowanie projektu ustawy w zakresie możliwości przetwarzania danych o niekaralności na potrzeby postępowań wewnętrznych.

Podkreślić należy, iż podstawy te znajdą zastosowanie zarówno w postępowaniach wyjaśniających zewnętrznych, jak i wewnętrznych. Zgodnie bowiem z projektowanym art. 2 pkt 10 ustawy definicja podmiotu prawnego obejmuje zarówno podmiot prywatny, jak i podmiot publiczny. Proponowane przyjęcie przez polskiego ustawodawcę jako podstawy prawnej art. 6 ust. 1 lit. e) RODO pozwala na ograniczenie obowiązków informacyjnych oraz brak konieczności ważenia nadrzędności uzasadnionego interesu administratora nad prawami i wolnościami osób, których dane są przetwarzane.

W zakresie, w jakim sygnalista godzi się na ujawnienie swojej tożsamości, podstawą przetwarzania jego danych osobowych będzie jego zgoda (art. 6 ust. 1 lit. a RODO).

Obowiązek informacyjny – czy może być wyłączony wobec osób podejrzanych o nadużycia?

Dla skutecznego i efektywnego przeprowadzenia postępowania wyjaśniającego niezwykle ważną kwestią jest odstąpienie od ogólnie obowiązujących reguł w zakresie udostępniania klauzul informacyjnych osobom, których dane osobowe w trakcie postępowań wyjaśniających są przetwarzane. Zbyt wczesne ujawnienie danych zgłaszających czy świadków wobec osób podejrzanych o nadużycia może doprowadzić do zniweczenia celów prowadzonych postępowań wyjaśniających. Zwrócono na to uwagę w motywie 84 dyrektywy 2019/1937, wskazując, iż określone w niej procedury dotyczące działań następczych związanych ze zgłoszeniami naruszeń prawa Unii w dziedzinach objętych zakresem jej stosowania służą osiągnięciu ważnego celu leżącego w ogólnym interesie Unii i państw członkowskich w rozumieniu art. 23 ust. 1 lit. e) RODO, gdyż ich celem jest poprawa egzekwowania prawa i polityk Unii w określonych dziedzinach, w których naruszenia mogą wyrządzić poważną szkodę dla interesu publicznego. Państwa członkowskie powinny zapewnić skuteczność dyrektywy, w tym w stosownych przypadkach poprzez ograniczenie – w drodze aktów prawnych – wykonywania niektórych praw do ochrony danych osobowych osób, których dotyczy zgłoszenie, zgodnie z art. 23 ust. 1 lit. e) i i) oraz art. 23 ust. 2 RODO, w zakresie, w jakim i o ile jest to konieczne, by zapobiec i zaradzić próbom utrudniania dokonywania zgłoszeń, utrudniania, udaremniania lub spowalniania działań następczych, w szczególności postępowań wyjaśniających, lub próbom ustalenia tożsamości osób dokonujących zgłoszenia.

Jak wskazuje się w uzasadnieniu projektu ustawy z 4 lipca 2022 r. (s. 21) w związku z brzmieniem przepisu art. 23 ust. 1 lit. e) i i) RODO[15], wyłączony zostanie ciążący na administratorze obowiązek przekazania informacji dotyczących źródła pozyskania danych osobie, której dane dotyczą, o którym jest mowa w art. 14 ust. 2 lit. f) RODO. Takie wyłączenie będzie jednak uwarunkowane obowiązkiem spełnienia przez zgłaszającego warunków zawartych w projektowanym art. 6 ustawy, tj. że zgłaszający miał uzasadnione podstawy sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa (inaczej: zgłoszenie będzie dokonane w dobrej wierze).

Z drugiej strony, projekt polskiej ustawy przewiduje (art. 8 ust. 6) jedynie odroczenie  na okres do trzech miesięcy od dnia zakończenia działań następczych, obowiązku realizacji wniosku osoby, której dane dotyczą, określonego w art. 15 RODO, w zakresie udzielenia informacji o źródle pozyskania danych, zgodnie z art. 15 ust. 1 lit. g) RODO (por. art. 16 dyrektywy 2019/1937). Z uzasadnienie projektu ustawy wynika, iż dotyczyć to będzie jednak jedynie sytuacji, gdy sygnalista zgodził się na ujawnienie jego danych (zob. s. 21 uzasadnienia).

Powstaje przy okazji pytanie, czy jest sens wprowadzania regulacji szczególnej, albowiem podobne i to znacznie szersze pod względem podmiotowym i przedmiotowym wyłączenia w zakresie realizacji standardowych obowiązków informacyjnych (art. 14 ust. 5 RODO), prawa dostępu do danych (art. 15 ust. 1-3 RODO) czy też prawa do informacji o zmianie celów przetwarzania danych osobowych (art. 13 ust. 3 RODO) przewidują już aktualne przepisy art. 3-5 polskiej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych[16], jeżeli służy to realizacji zadania publicznego i niewykonanie tychże obowiązków jest niezbędne dla realizacji celów, o których mowa w art. 23 ust. 1 RODO  oraz przekazanie tych informacji uniemożliwi lub znacząco utrudni prawidłowe wykonanie zadania publicznego, a interes lub podstawowe prawa lub wolności osoby, której dane dotyczą, nie są nadrzędne w stosunku do interesu wynikającego z realizacji tego zadania publicznego. Jak wskazuje P. Fajgielski, z „ograniczenia obowiązku mogą skorzystać jedynie podmioty realizujące zadania publiczne (zarówno podmioty publiczne, jak i podmioty prywatne)”, co jak zakłada ustawodawca unijny i krajowy w przypadku opisanych postępowań ma miejsce[17].

Poufność danych a anonimowość

Jednym z kluczowych elementów, na jakim opiera się dyrektywa 2019/1937, jest ochrona tożsamości sygnalisty. Ochrona ta może być realizowana poprzez zapewnienie mu anonimowości, rozumianej w dwojaki sposób. Po pierwsze, dane osobowe sygnalisty muszą pozostać poufne i mogą być ujawniane co do zasady tylko za jego zgodą. Po drugie, dyrektywa 2019/1937 daje także możliwość dokonywania zgłoszeń zupełnie anonimowych. W projektowanej polskiej ustawie zdecydowano się jedynie na to pierwsze rozwiązanie, ustawa co do zasady nie wprowadza możliwości zgłoszeń anonimowych, a dokładniej – nie gwarantuje ich rozpatrzenia.

Podstawową gwarancją poufności danych sygnalisty jest więc ujawnianie jego danych jedynie za jego zgodą. Wskazuje na to art.  16 dyrektywy 2019/1937, zgodnie z którym państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez jej wyraźnej zgody – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych. Ma to również zastosowanie do wszelkich innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia. Ujawnienie może odbyć się jedynie dla zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie, przy zastosowaniu odpowiednich zabezpieczeń i po powiadomieniu osoby dokonującej zgłoszenia wraz z pisemnym wyjaśnieniem powodów ujawnienia[18].

Ponadto, zgodnie z motywem 100 dyrektywy 2019/1937 prawa osoby, której dotyczy zgłoszenie, powinny być chronione w celu uniknięcia nadszarpnięcia reputacji lub innych negatywnych konsekwencji. Państwa członkowskie powinny chronić poufność tożsamości osoby, której dotyczy zgłoszenie. Dyrektywa 2019/1937 podkreśla potrzebę zapewnienia ochrony poufności na poziomie kanałów przyjmowania zgłoszeń (zob. art. 9 ust. 1 lit. a). Wskazuje się także na obowiązek zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych przez członków personelu właściwego organu, którzy są odpowiedzialni za rozpatrywanie zgłoszeń (motyw 77 dyrektywy 2019/1937). W przypadku korzystania z zewnętrznych podmiotów do obsługi zgłoszeń (outsourcingu) konieczne będzie zawarcie umowy powierzenia przetwarzania danych osobowych (motyw 54 dyrektywy 2019/1937).  

Zasady te dotyczą także zgłoszeń anonimowych. Projektowana polska ustawa przyjmuje jako zasadę zgłoszenia imienne, z zachowaniem poufności danych zgłaszającego[19]. Zgłoszenia mają być rejestrowane w rejestrze zgłoszeń, a w przypadku zgłoszeń telefonicznych lub ustnych ma być sporządzane nagranie lub notatka.

Dużą rolę w zakresie ochrony tożsamości sygnalisty będą więc w praktyce odgrywać oprócz rozwiązań organizacyjno-personalnych (procedury, upoważnienia, szkolenia personelu przyjmującego zgłoszenia itp.), także zabezpieczenia techniczne, w tym rozwiązania informatyczne.

Zgłoszenie anonimowe a ochrona danych

W dyrektywie 2019/1937 dopuszcza się możliwość przyjmowania zgłoszeń anonimowych. Decyzja co do takiej możliwości zależy jednak od państw członkowskich. Zgodnie z motywem 34 dyrektywy 2019/1937 bez uszczerbku dla istniejących na mocy prawa Unii obowiązków w zakresie anonimowego zgłaszania naruszeń, państwa członkowskie powinny mieć możliwość zdecydowania o tym, czy podmioty prawne w sektorze prywatnym i publicznym oraz właściwe organy mają obowiązek przyjmowania anonimowych zgłoszeń naruszeń objętych zakresem stosowania dyrektywy i podejmowania w związku z nimi działań następczych. Jednakże osoby, które dokonały anonimowego zgłoszenia lub anonimowego ujawnienia publicznego wchodzącego w zakres stosowania dyrektywy i które spełniają warunki dyrektywy, powinny być objęte ochroną na mocy dyrektywy, jeżeli po dokonaniu zgłoszenia lub ujawnienia publicznego zostaną zidentyfikowane i doświadczą działań odwetowych.

W projekcie z 4 lipca 2022 r. nie zdecydowano się na wprowadzenie możliwości zgłoszeń anonimowych. Z jego uzasadnienia wynika, iż takie zgłoszenia nie będą objęte jej rygorem. W poprzedniej wersji projektu ustawy taka możliwość była uzależniona od wprowadzenia tego typu alternatywy w regulaminie zgłoszeń wewnętrznych. Jednocześnie jednak proponuje się implementować drugie z rozwiązań dyrektywy 2019/1937, a mianowicie zgodnie z projektowanym art. 7 ustawy, jeżeli informacja o naruszeniu prawa została anonimowo zgłoszona podmiotowi prawnemu, Rzecznikowi Praw Obywatelskich lub organowi publicznemu lub została ujawniona publicznie, a następnie doszło do ujawnienia tożsamości zgłaszającego i doświadczył on działań odwetowych, przepisy o ochronie stosuje się, jeśli zgłoszenie zostało dokonane w dobrej wierze.

Ze względu  na wyłączenie z projektu polskiej ustawy zgłoszeń anonimowych, będą one rozpatrywane w innym trybie, bez stosowania jej regulacji w zakresie terminów itp. W przypadku danych anonimowych nie ma zachodzi konieczność dopełnienia obowiązku informacyjnego wobec anonimowego zgłaszającego[20].

Konstrukcja taka ma swoje wady i zalety. Możliwość zgłoszeń anonimowych stanowi niewątpliwie zachętę do ich dokonywania. Ujawnienie swej tożsamości dla sygnalisty może być okolicznością zniechęcającą już na wstępie do zgłoszeń z obawy przed potencjalnymi represjami. Z drugiej strony anonimowe zgłoszenia mogą też generować nadmiar zgłoszeń niezasadnych. Zachowanie anonimowości może być dosyć trudne z punktu widzenia właściwych zabezpieczeń. W uzasadnieniu projektu ustawy rezygnację ze zgłoszeń anonimowych uzasadnia się przesłankami o charakterze praktycznym, takimi jak ryzyko nadmiernego wpływu informacji przypadkowych i o niskiej wartości z perspektywy rzeczywistego przeciwdziałania naruszeniom czy trudności w uzyskaniu dodatkowych informacji od zgłaszającego, gdy już przekazane informacje są istotne, lecz niepełne[21].

Podsumowanie

Prowadzenie postępowań w sprawie naruszeń przepisów prawa będzie niewątpliwie wiązać się z przetwarzaniem danych osobowych sygnalistów i innych uczestników. Konieczne jest więc przyjęcie satysfakcjonujących rozwiązań, które umożliwią osiągnięcie publicznego celu tych postępowań. Szczególnie istotna pozostaje ochrona tożsamości sygnalisty. W przypadku omawianych postępowań mamy do czynienia niewątpliwie z ochroną ważnych interesów publicznych, co pozwala na wniosek, iż każdy podmiot prawny objęty zakresem dyrektywy/implementującej ją ustawy w zakresie obowiązku wprowadzenia odpowiednich kanałów zgłoszeń naruszeń prawa realizuje zadania publiczne. Uzasadnia to także ograniczenie obowiązków informacyjnych do uczestników tych postępowań w celu skutecznego przeprowadzania tych postępowań.

Pomimo, iż projekt ustawy polskiej wdrażającej dyrektywę, jest w dalszym ciągu na etapie opracowywania, to istnieją dosyć mocne argumenty na poziomie orzecznictwa unijnego, że w podmiotach publicznych dyrektywa już po upływie terminu jej implementacji powinna być stosowana.

dr Małgorzata Mędrala

radca prawny, Małgorzata Mędrala Kancelaria Radcy Prawnego

Bibliografia

Akty prawne i projekty aktów prawnych:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L nr 119, str. 1.)
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. z 2019 r. poz. 1781.
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. L Nr 305 z 26.11.2019 r.
• Projekt ustawy o ochronie osób zgłaszających naruszenia z dnia 4 lipca 2022 r., https://www.legislacja.gov.pl/projekt/12352401/katalog/12822845#12822845, dostęp: 13.07.2022 r.

Literatura:

• Baran M. [w:]  Podstawy i źródła prawa Unii Europejskiej, System prawa Unii Europejskiej, t. 1, red. S. Biernat, Warszawa 2020.
• Fajgielski P. [w:] Komentarz do ustawy o ochronie danych osobowych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, Lex/el.
• Litwiński P., Ochrona danych osobowych sygnalistów. Implementacja dyrektywy o sygnalistach, Monitor Prawniczy 2021, nr 8.
• Małecka-Łyszczek M., Whistleblowing w samorządzie terytorialnym z perspektywy wybranych standardów kontroli zarządczej, Samorząd Terytorialny 2021, nr 1-2.
• Mitrus L. [w:] Traktat o funkcjonowaniu Unii Europejskiej. Komentarz. Tom I (art. 1-89), red. D. Miąsik, N. Półtorak, A. Wróbel, Warszawa 2012, art. 45, Lex/el.
• Szpunar M., Wybrane problemy stosowania prawa Unii Europejskiej przed sądami państw członkowskich, Palestra 5/2020.
• Więckowska M. [w:] Ochrona sygnalistów. Praktyczny poradnik z wzorami dla sektora publicznego i prywatnego, red. A. Sieradzka, M. Wieczorek, Warszawa 2021.

---

[1] Dz. Urz. L Nr 305 z 26.11.2019 r., s. 17. Zgodnie z art. 26 ust. 2 dyrektywy 2019/1937 w przypadku podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników, państwa członkowskie wprowadzają w życie do dnia 17 grudnia 2023 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wypełnienia obowiązku ustanowienia wewnętrznych kanałów dokonywania zgłoszeń.

[2] Link do dokumentu, dostęp: 13.07.2022 r.

[3] Dz.Urz.UE.L nr 119, str. 1.

[4] M. Szpunar, Wybrane problemy stosowania prawa Unii Europejskiej przed sądami państw członkowskich, Palestra 5/2020, s. 68

[5] M. Baran [w:]  Podstawy i źródła prawa Unii Europejskiej, System prawa Unii Europejskiej, t. 1, red. S. Biernat, Warszawa 2020, s. 1050 wraz z przywoływanymi tam przez Autora wyrokami TS: wyrok TS z 5.2.1963 r., 26/62, Van Gend & Loos, ECLI:EU:C:1963:1 oraz wyrok TS z 5.10.2004 r., sprawy połączone C-397/01 do C-403/01, Pfeiffer i in., ECLI:EU: C:2004:584.

[6] Zob. art. 1 projektu ustawy oraz uzasadnienie ustawy do tego artykułu.

[7] W świetle orzecznictwa ETS chodzi tutaj o szerokie rozumienie pracownika. Zakres podmiotowy pracownika uwzględnia nie tylko pracę w ramach klasycznego stosunku pracy, ale także inne formy zatrudnienia nietypowego – por. L. Mitrus [w:] Traktat o funkcjonowaniu Unii Europejskiej. Komentarz. Tom I (art. 1-89), red. D. Miąsik, N. Półtorak, A. Wróbel, Warszawa 2012, art. 45, Lex/el. Oznacza to, że procedurą mogą również zostać objęci w systemie polskim zleceniobiorcy czy wykonawcy umów o dzieło i tak zakłada zresztą projekt ustawy z 4 lipca 2022 r.

[8] Na mocy art. 21 ust. 2 polskiego projektu ustawy o ochronie osób zgłaszających naruszenia przepisy ochronne stosuje się odpowiednio do osoby prawnej lub innej jednostki organizacyjnej pomagającej lub powiązanej ze zgłaszającym, w szczególności stanowiącej własność lub zatrudniającej zgłaszającego.

[9] M. Więckowska [w:]  Ochrona sygnalistów. Praktyczny poradnik z wzorami dla sektora publicznego i prywatnego, red. A. Sieradzka, M. Wieczorek, Warszawa 2021, s. 136.

[10] P. Litwiński, Ochrona danych osobowych sygnalistów. Implementacja dyrektywy o sygnalistach, Monitor Prawniczy 2021, nr 8, s. 404, por. M. Więckowska [w:]  Ochrona sygnalistów. Praktyczny poradnik z wzorami dla sektora publicznego i prywatnego, red. A. Sieradzka, M. Wieczorek, Warszawa 2021, s.136.

[11] P. Litwiński, Ochrona danych osobowych sygnalistów. Implementacja dyrektywy o sygnalistach, Monitor Prawniczy 2021, nr 8, s. 404.

[12] P. Litwiński, Ochrona danych osobowych sygnalistów. Implementacja dyrektywy o sygnalistach, Monitor Prawniczy 2021, nr 8, s. 404; por. M. Więckowska [w:]  Ochrona sygnalistów. Praktyczny poradnik z wzorami dla sektora publicznego i prywatnego, red. A. Sieradzka, M. Wieczorek, Warszawa 2021, s.136.

[13] Por. M. Małecka-Łyszczek, Whistleblowing w samorządzie terytorialnym z perspektywy wybranych standardów kontroli zarządczej, Samorząd Terytorialny 2021, nr 1-2, s. 54.

[14] Podobnie także: M. Więckowska [w:]  Ochrona sygnalistów. Praktyczny poradnik z wzorami dla sektora publicznego i prywatnego, red. A. Sieradzka, M. Wieczorek, Warszawa 2021, s. 137.

[15] Zgodnie z art. 23 ust. 1 lit. e) i i) RODO prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

1. innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;
2. ochronie osoby, której dane dotyczą, lub praw i wolności innych osób.

[16] Dz.U. z 2019 r. poz. 1781.

[17] P. Fajgielski [w:] Komentarz do ustawy o ochronie danych osobowych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 3, teza 3, Lex/el. Podobnie: P. Litwiński, Ochrona danych osobowych sygnalistów. Implementacja dyrektywy o sygnalistach, Monitor Prawniczy 2021, nr 8, s. 404.

[18] Por. także podobne rozwiązania w projektowanym art. 8 ust. 1-3 polskiej ustawy.

[19] Zob. uzasadnienie projektu polskiej ustawy, s. 19.

[20] Zgodnie z motywem 26 RODO zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. 

[21] s. 18 uzasadnienia projektu polskiej ustawy.