Wielu przedsiębiorców przygotowuje firmowe programy ochrony sygnalistów, tworząc procedury wewnętrznych zgłoszeń. Pamiętajmy jednak, że obowiązki, jakie nakładają przepisy ustawy z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. poz. 928; dalej: ustawa), nie sprowadzają się tylko do opracowania procedury zgłoszeń i ustalenia, jakimi kanałami i komu sygnaliści będą mogli zgłaszać naruszenia.
Nie mniej istotną kwestią – i to obostrzoną większymi niż brak procedury konsekwencjami finansowymi – będzie realizacja obowiązku informacyjnego dotyczącego przetwarzania danych osobowych zarówno samego sygnalisty, potencjalnego naruszyciela, jak i osób trzecich ujętych w zgłoszeniu lub zebranych w toku postępowania wyjaśniającego.
Z wyjątkami
Na wstępie zaznaczmy, że ustawa nie wyłącza realizacji obowiązku informacyjnego wobec żadnej z osób, których dane będziemy przetwarzać, przyjmując i rozpatrując zgłoszenie. Dotyczy to zarówno osoby zgłaszającej naruszenie w organizacji, jak i innych osób, których dane zbierzemy w toku rozpatrywania sprawy – nie wyłączając osoby, która potencjalnie dopuściła się naruszenia. Wobec wszystkich, ww. osób należy spełnić go zgodnie z przepisami zarówno ustawy, jak i RODO (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); Dz.U. UE L z 2016 r. nr 119, s. 1).
I tak kolejno – realizacja obowiązku informacyjnego wobec sygnalisty zgodnie z art. 13 ust. 1 RODO powinna nastąpić podczas pozyskiwania jego danych osobowych, a więc najpóźniej bezpośrednio przed dokonaniem zgłoszenia. Z praktycznego punktu widzenia rozsądnym rozwiązaniem wydaje się umieszczenie klauzuli informacyjnej już w samej procedurze zgłoszeń, by potencjalny sygnalista miał możliwość uzyskania informacji, kto i na jakich zasadach będzie miał dostęp do jego danych osobowych. Może to wpłynąć na jego decyzję, czy dokonać zgłoszenia wewnętrznego w ogóle bądź też – jeśli przewiduje to procedura – skorzystać z możliwości anonimowego zawiadomienia.
Jeśli zaś chodzi o pozostałe osoby, których dane będziemy przetwarzać w toku rozpoznawania sprawy – czas, w jakim należy je poinformować o tym, w jaki sposób to przetwarzanie się odbywa, określa art. 14 ust. 3 RODO. Powinno nastąpić to w rozsądnym terminie po pozyskaniu tych danych, najpóźniej w ciągu miesiąca, uwzględniając okoliczności konkretnego przypadku. Jeśli jednak dane mają być wykorzystane do komunikacji z osobą, której dotyczą, należy umożliwić jej zapoznanie się z klauzulą informacyjną najpóźniej przy pierwszej takiej komunikacji z nią. Natomiast w sytuacji, kiedy będziemy planować ujawnić dane osobowych pozyskane w toku postępowania innemu odbiorcy, obowiązek informacyjny wobec świadków lub potencjalnych sprawców naruszenia należy zrealizować najpóźniej przy ich pierwszym ujawnieniu.
Kluczowe jest to, że klauzula informacyjna skierowana do osób, których dane pozyskamy w toku rozpoznawania zgłoszenia, powinna być odpowiednio dostosowana do okoliczności danej sprawy. Jej treść będzie zależeć przede wszystkich od tego, jakie dane ww. osób zgromadzi zespół/osoba prowadzący postępowanie wyjaśniające, i tego, czy sygnalista zgodził się na ujawnienie swojej tożsamości.
Pamiętajmy również o wyjątkach dotyczących informowania o przetwarzaniu danych osobowych, jakie przewiduje zarówno ustawa o ochronie sygnalistów, jak i przepisy RODO.
Jeśli chodzi o tę pierwszą regulację, to zgodnie z jej art. 8 ust. 5 osób, których dane osobowe pozyskujemy w toku rozpoznawania zgłoszenia niebezpośrednio od nich (a więc w szczególności od sygnalisty), co do zasady nie informuje się o źródle, z którego one pochodzą. W praktyce oznacza to, że osób tych nie informujemy o tym, że ich dane otrzymaliśmy od sygnalisty i nie wskazujemy go z imienia ani nazwiska jako tegoż właśnie źródła. Informację taką możemy przekazać wyłącznie, jeśli sygnalista zgodził się na ujawnienie jego tożsamości lub dokonał zgłoszenia w złej wierze (a więc mając świadomość, że informacja o naruszeniu nie jest prawdziwa lub nie dotyczy naruszenia prawa, które może być przedmiotem zgłoszenia zgodnie z ustawą).
Jak już zostało wspomniane, ustawa nie przewiduje możliwości rezygnacji z realizacji obowiązku informacyjnego wobec żadnej z osób, których dane przetwarzamy w związku z dokonanym zgłoszeniem. Wyjątków takich można natomiast poszukiwać w przepisach RODO. W tym zakresie jednak musimy pamiętać o tym, że zgodnie z zasadami wykładni prawa wyjątków nie należy interpretować rozszerzająco. Oznacza to, że stosować możemy je wyłącznie w warunkach wprost w nich opisanych.
I tak, art. 15 ust. 5 RODO przewiduje wyjątki od obowiązku przekazania informacji o zasadach przetwarzania danych osobowych, pozyskanych niebezpośrednio od niej. Dotyczy to sytuacji i wyłącznie zakresu, w jakim:
- osoba ta dysponuje już tymi informacjami;
- realizacja obowiązku informacyjnego jest niemożliwa lub wymagałaby niewspółmiernie dużego wysiłku lub o ile może ona uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach jednak administrator musi podjąć odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
- pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub krajowym, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; lub
- dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej, w tym ustawowym obowiązkiem zachowania tajemnicy.
W odniesieniu do zgłoszeń sygnalistów wydaje się, że w wyjątkowych przypadkach zastosowanie może znaleźć druga z wymienionych przesłanek. W szczególności uzasadniać może ona odstąpienie od obowiązku informacyjnego wobec potencjalnego naruszyciela lub osoby z nim powiązanej. Tego typu okoliczności rozpatrywać jednak z pewnością będzie trzeba bardzo restrykcyjnie.
Zgłoszenia anonimowe
Organizacje, które zdecydują się na wprowadzenie możliwości zgłoszeń anonimowych, powinny uwzględnić również ten aspekt w realizacji obowiązku informacyjnego. Oczywiste wydaje się, że zgłoszenie anonimowe nie będzie się wiązało z przetwarzaniem danych osobowych samego sygnalisty. Tym samym nie zajdą wówczas warunki dla realizacji obowiązku informacyjnego. Istotą anonimowości jest bowiem brak przetwarzania informacji, które mogą stanowić dane osobowe. Jeśli jednak w toku rozpatrywania zgłoszenia osoby prowadzące postępowanie uzyskają informacje pozwalające na zidentyfikowanie konkretnej osoby lub sygnalista sam ujawni swoją tożsamość, to w takiej sytuacji dojdzie do przetwarzania danych osobowych. Tym samym aktualny stanie się obowiązek przekazania takiej osobie klauzuli informacyjnej na temat zasad przetwarzania jej danych.
W tym kontekście ważne jest również, że ustawa przewiduje możliwość ujawnienia danych sygnalisty, jeśli dokonał on zgłoszenia w złej wierze. Poza jego zgodą na ujawnienie tożsamości i koniecznością jej ujawnienia w związku z prowadzonym postępowaniem przez organ publiczny lub sąd, jest to jedyna sytuacja, gdy zachodzi wyjątek od obowiązku poufności informacji pozwalających na jego identyfikację.
Skutki takiego ujawnienia będą dwojakie. Z jednej strony konieczne będzie wtedy poinformowanie m.in. potencjalnego sprawcy naruszenia o źródle, z którego pozyskaliśmy jego dane osobowe. Z drugiej – przekazanie sygnaliście informacji o odbiorcach jego danych. W obydwu tych sytuacjach wiązać się to będzie z odpowiednim uzupełnieniem przekazanej wcześniej klauzuli informacyjnej.
Brak klauzuli informacyjnej bardziej kosztowny
Brak procedury zgłoszeń wewnętrznych jako takiej co prawda nie wiąże się z istotnie dotkliwymi konsekwencjami finansowymi dla organizacji. Ustawa traktuje go jako wykroczenie zagrożone grzywną (w maksymalnej wysokości 5 tys. zł).
Bardziej bolesny może się okazać natomiast brak realizacji obowiązku informacyjnego zarówno wobec samego sygnalisty, jak i pozostałych osób, których dane osobowe będziemy przetwarzać w toku procedowania zgłoszenia. Zgodnie z przepisami RODO tego typu uchybienie jest zagrożone administracyjną karą pieniężną w wysokości do równowartości 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Oczywiście każdy tego rodzaju przypadek jest rozpatrywany indywidualnie, a ostateczna decyzja inspektora Urzędu Ochrony Danych Osobowych jest uzależniona od wielu czynników. Na początkowym etapie stosowania przepisów o sygnalistach możemy przede wszystkim się spodziewać zaleceń i pouczeń ze strony organu nadzoru. Należy jednak pamiętać, że realizacja obowiązków informacyjnych w sektorze prywatnym to jeden z obszarów, który prezes UODO wskazał w swoim planie kontroli na 2024 r. ©℗
Polecamy: „Sygnaliści w biurze rachunkowym”
Polecamy: „Sygnaliści w firmie. Przewodnik dla pracodawcy”
Polecamy: „Sygnaliści w administracji publicznej. Procedura dla pracodawcy”
!Ustawa o ochronie sygnalistów nie przewiduje możliwości rezygnacji z realizacji obowiązku informacyjnego wobec żadnej z osób, których dane przetwarzamy w związku z dokonanym zgłoszeniem. Takich wyjątków można natomiast poszukiwać w przepisach RODO.