Otóż od 25 września br., kiedy w Polsce zaczną obowiązywać przepisy o ochronie sygnalistów, pracodawcy będą zobowiązani do utworzenia kanałów zgłoszeń naruszeń prawa oraz prowadzenia w tym celu tzw. działań następczych, w tym przede wszystkim postępowania wyjaśniającego. Te nowe obowiązki wiążą się z przetwarzaniem wielu danych osobowych, w tym zarówno samych sygnalistów, jak i innych osób, m.in. potencjalnych sprawców naruszeń, świadków czy osób pomagających sygnalistom. Niestety, akurat pod kątem ochrony danych osobowych nowe przepisy budzą liczne wątpliwości.
Kluczową kwestią jest tutaj ochrona tożsamości osób uczestniczących w całym procesie. W pierwszej kolejności dotyczy to oczywiście samych sygnalistów. Wprawdzie przepisy wskazują, że tożsamość osoby zgłaszającej naruszenia nie jest ujawniana – i w tym zakresie wyłączone jest prawo do uzyskania informacji o źródle danych. Aby jednak tak było, musi być spełniony jeden istotny warunek. Tożsamość takiej osoby jest chroniona jedynie wtedy, gdy miała uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa. Kto ma natomiast decydować, że istniały takie „uzasadnione podstawy”, już nie sprecyzowano, pozostawiając tu luz decyzyjny.
W ich przypadku sytuacja wygląda jeszcze gorzej. Ich tożsamości przepisy już nie chronią na takim poziomie, chociaż w mojej ocenie powinny analogicznie jak samych sygnalistów. Ustawa o ochronie sygnalistów (Dz.U. z 2024 r. poz. 928) w art. 27 ust. 1 mówi, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych powinny uniemożliwiać nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniać ochronę poufności tożsamości zarówno sygnalisty, jak i osoby, której dotyczy zgłoszenie, oraz osoby trzeciej w nim wskazanej. Brakuje jednak analogicznego przepisu wyłączającego pewne przepisy RODO. A to właśnie na podstawie regulacji RODO osoba, której dane dotyczą – czyli w tym wypadku np. potencjalny sprawca naruszenia – może żądać informacji o źródle jego danych. Wprawdzie uważam, że realizacja tego obowiązku nie oznacza podania konkretnej osoby jako źródła danych, ale mając na uwadze wątpliwości, należałoby również w stosunku do tych osób wyłączyć stosowanie art. 14 ust. 2 lit. f) oraz art. 15 ust. 1 lit. g) RODO – podobnie jak w przypadku danych sygnalisty.
Tak, to kolejna kwestia, która nie została uregulowana wprost. W szczególności wątpliwości budzi, czy konieczne jest przekazywanie klauzuli potencjalnemu sprawcy naruszenia. Zgodnie z przepisami RODO należy tego dokonać niezwłocznie, przy czym nie później niż w terminie miesiąca od uzyskania danych. W konsekwencji może to jednak uniemożliwić lub utrudnić przeprowadzenie postępowania i zastosowanie skutecznych działań następczych. Wprawdzie samo RODO pozwala w takiej sytuacji na odstąpienie od tego obowiązku. Warto jednak byłoby, aby przepisy ustawy wprost na to wskazywały. ©℗
Polecamy: „Sygnaliści w biurze rachunkowym”
Nowe obowiązki wiążą się z przetwarzaniem danych sygnalistów, potencjalnych sprawców naruszeń, świadków czy osób pomagających sygnalistom