Na stronie dostępna jest już prawie cała seria artykułów o sygnalistach opisująca najnowszy projekt ustawy o sygnalistach:
1) z artykułu dostępnego tutaj dowiesz się jaki cel ma tzw. ustawa o sygnalistach, jakich podmiotów publicznych i prywatnych dotyczy oraz do kiedy podmioty te będą musiały wdrożyć obowiązki nałożone omawianą ustawą;
2) w tym artykule opisałam co reguluje ustawa o sygnalistach (możliwość zgłoszenia naruszenia określonego prawa gdy zgłaszający ma uzasadnione podstawy twierdzić, że informacja jest prawdziwa), jakie osoby fizyczne podlegają ochronie i w jakich sytuacjach;
3) tutaj opisałam procedurę zgłoszeń wewnętrznych, jej obowiązkową i fakultatywną treść, sposób wprowadzenia i termin wejścia w życie;
4) tutaj natomiast możesz zapoznać się z zasadami ochrony sygnalisty, czyli jakich działań w odpowiedzi na zgłoszenie sygnalisty podmiot prawny nie może podejmować, ale i także z odpowiedzialnością wobec sygnalisty jak i odpowiedzialnością sygnalisty.
Poniżej opisane są zasady ochrony danych osobowych w związku z dokonanym przez sygnalistę zgłoszeniem. Poniższe informacje opracowane zostały na podstawie projektu ustawy, który na stronach Rządowego Centrum Legislacji ukazał się 4 sierpnia 2022 r.
Dyrektywa 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii a ochrona danych osobowych
Motyw 76 dyrektywy 2019/1937 stanowi, że „Państwa członkowskie powinny zapewnić, aby właściwe organy dysponowały odpowiednimi procedurami ochrony w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w tych zgłoszeniach. Takie procedury powinny zapewniać ochronę tożsamości każdej osoby dokonującej zgłoszenia, osób, których dotyczy zgłoszenie, oraz osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników, na wszystkich etapach procedury”.
Czego zatem oczekuje UE od polskiego ustawodawcy?
Polska ustawa ma zatem nakładać na właściwe organy obowiązek posiadania odpowiednich procedur ochrony w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w tych zgłoszeniach. Czyli podmioty zobowiązane, o których pisałam we wcześniejszym artykule, muszą mieć odpowiednie procedury, zawierające postanowienia dot. ochrony danych osobowych.
Czyje dane osobowe podlegają ochronie w związku ze zgłoszenie dokonanym przez sygnalistę?
Podmiot prawny u którego obowiązuje procedura regulująca zgłoszenia ma obowiązek zapewnić ochronę:
-
-
- osób dokonujących zgłoszeń – sygnalistów;
- osób, których dotyczy zgłoszenie;
- osób trzecich, o których mowa w zgłoszeniu (np. świadków).
-
Podstawy prawne przetwarzania danych osobowych
W uzasadnieniu projektu ustawy z 22 lipca 2022 r. (s. 20) jako podstawy prawne przetwarzania danych osobowych wskazanych w zgłoszeniu sygnalisty wskazano art. 6 ust. 1 lit. e, art. 9 ust. 1 lit. g oraz art. 10 RODO.
Oznacza to, że dane zwykłe przetwarzane byłyby na podstawie art. 6 ust. 1 lit. e) RODO – w celu niezbędnym do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Ta podstawa prawna dowodzi, iż polski ustawodawca uważa iż podmioty prywatne prowadzące wewnętrzne postępowania wyjaśniające wykonują zadania w interesie publicznym związane z ochroną interesu publicznego.
Dane szczególnych kategorii (są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby) miałyby być przetwarzane na podstawie art. 9 ust. 1 lit. g) RODO – w celu niezbędnym ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą; prowadzenie postępowań wyjaśniających w związku z naruszeniami prawa ma na względzie niewątpliwie „ważne interesy publiczne”.
Dane osobowe będą mogły być przetwarzane również na podstawie art. 10 RODO, który zezwala na przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.
W zakresie, w jakim sygnalista godzi się na ujawnienie swojej tożsamości, podstawą przetwarzania jego danych osobowych będzie jego zgoda (art. 6 ust. 1 lit. a RODO), o czym stanowi art. 8 ust. 1 projektu ustawy.
Wyłączenie niektórych obowiązków przewidzianych przez RODO – źródło pozyskania danych
W projekcie ustawy wyłączono stosowanie art. 14 ust. 2 lit. f RODO, chyba że zgłaszający nie spełnia warunków wskazanych w art. 6 (zgłaszający miał uzasadnione podstawy sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa) albo wyraził na ujawnienie swojej tożsamości wyraźną zgodę. Co to oznacza? Wyłączony zostanie ciążący na administratorze obowiązek przekazania informacji dotyczących źródła pozyskania danych (chodzi o sygnalistę) osobie, której dane dotyczą. Czyli dane osobowe sygnalisty pozostaną poufne.
Wyłączony zostanie także, obowiązek realizacji wniosku osoby, której dane dotyczą, określonego w art. 15 RODO, w zakresie udzielenia informacji o źródle pozyskania danych, zgodnie z art. 15 ust 1 lit. g RODO. Taki wniosek osoby, której dane dotyczą będzie mógł być zrealizowany wyłącznie w sytuacji, w której zgłaszający nie spełnia warunków wskazanych w projektowanym art. 6 albo wyraził na takie przekazanie wyraźną zgodę.
Usunięcie danych nie mających znaczenia – przetwarza się tylko dane niezbędne
Zgodnie z art. 8 ust. 4 „Podmiot prawny, Rzecznik Praw Obywatelskich lub organ publiczny, po otrzymaniu zgłoszenia, przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia nie są zbierane, a w razie przypadkowego zebrania, są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.”
Okres przechowywania danych osobowych
Zgodnie z projektowanym art. 8 ust. 8 „Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia zewnętrznego oraz podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 15 miesięcy po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub zakończeniu postępowań zainicjowanych tymi działaniami”.
Po upływie tego okresu podmioty prawne usuwają lub niszczą dokumenty związane z tym zgłoszeniem.
Anonimowe zgłoszenie
Nie wprowadzono możliwości wdrożenia anonimowego trybu dokonywania zgłoszeń wewnętrznych, jak i zgłoszeń zewnętrznych. Dla skutecznego dokonania zgłoszenia, osoba zgłaszająca będzie musiała podać dane identyfikujące taką osobę i umożliwiające kontakt z taką osobą. Gdyby jednak zgłoszenie anonimowe wpłynęło to zgodnie z projektowanym art. 7 „Jeżeli informacja o naruszeniu prawa została anonimowo zgłoszona podmiotowi prawnemu, Rzecznikowi Praw Obywatelskich lub organowi publicznemu lub ujawniona publicznie, a następnie doszło do ujawnienia tożsamości zgłaszającego i doświadczył on działań odwetowych, przepisy rozdziału 2 stosuje się, jeżeli spełnione zostały warunki określone w art. 6”.
Jak stanowi projekt uzasadnienia do ustawy: „Zgłoszenia anonimowe nie będą podlegały rygorom ustawy, co oznacza, iż mogą one być pozostawione bez rozpoznania, również w przypadku zgłoszeń dokonanych do Rzecznika Praw Obywatelskich. Niemniej w przypadku, w którym podmiot prawny lub organ publiczny zdecydują się rozpatrywać zgłoszenia anonimowe, należało będzie odpowiednie regulacje tej kwestii umieścić odpowiednio w procedurze zgłoszeń wewnętrznych podmiotu prawnego lub procedurze zgłoszeń zewnętrznych organu publicznego. Przepisy projektowanej ustawy nie będą przewidywały, obowiązku przyjmowania zgłoszeń anonimowych. W celu skutecznego podjęcia działań następczych oraz przekazania informacji zwrotnej zgłaszający będzie musiał podać adres korespondencyjny lub adres poczty elektronicznej, zaś w przypadku, w którym w zgłoszeniu nie zostanie wskazany adresu do kontaktu i nie będzie możliwe ustalenie tego adresu, Rzecznik Praw Obywatelskich oraz organ publiczny zostaną zwolnieni z obowiązków informacyjnych, przewidzianych w ustawie wobec zgłaszającego (projektowany art. 35)”.
Obowiązki wobec osób, których dotyczy zgłoszenie oraz wskazanych w zgłoszeniu
Wobec osób, wskazanych w zgłoszeniu (np. osób którym zarzuca się naruszenie prawa) oraz osób wskazanych w zgłoszeniu (np. świadków) nie wyłączono obowiązków administratora, o których stanowi art. 14 oraz art. 15 za wyjątkiem wyłączenia obowiązku przekazania tym osobom informacji o tożsamości sygnalisty. Zatem wobec tych osób należy spełnić obowiązek informacyjny.