17 grudnia tego roku zacznie obowiązywać Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, zwana potocznie dyrektywą o ochronie sygnalistów. Należy pamiętać, że dyrektywy unijne wymagają implementacji do porządku prawnego krajów członkowskich. W Polsce wymagania dyrektywy zostaną wprowadzone ustawą, która jest przygotowywana. Nowa regulacja obejmie najpierw firmy zatrudniające więcej niż 250 osób, a dwa lata później ma być on rozszerzona na podmioty o liczbie pracowników od 50 do 249.
W myśl nowych przepisów sygnaliści otrzymają ochronę swoich pracodawców. Pracownik ujawniający nieprawidłowości, o których dowiedział się w trakcie wykonywania pracy w swojej organizacji nie może ponieść z tego tytułu żadnych negatywnych konsekwencji. W dyrektywie przyjęto, że osoba zgłaszająca nieprawidłowości nie będzie mogła mieć postawionych zarzutów z tego tytułu. W przypadku sporu, który trafi finalnie przed oblicze sądu, cały ciężar udowodnienia argumentów przeciw sygnaliście spadnie na podmiot podejrzany o naruszenie. Jedną z najważniejszych zasad nowej dyrektywy jest nieskuteczność zwolnienia sygnalisty, który zdecyduje się ujawnić swoją tożsamość.
OCHRONA SYGNALISTÓW A OCHRONA DANYCH OSOBOWYCH
Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (również oparta na dyrektywie unijnej) już obecnie zobowiązuje wiele podmiotów do zapewnienia możliwości anonimowego zgłaszania naruszeń. Przyjęte procedury wewnętrzne powinny określać sposób ochrony danych w myśl przepisów o ochronie danych osobowych i termin ich usunięcia.
Dyrektywa o ochronie sygnalistów również wyraźnie wskazuje konieczność stosowania RODO. Motyw (82) dyrektywy stanowi, że ochrona poufności tożsamości sygnalisty podczas trwania postępowania ma zapobiec potencjalnym działaniom odwetowym wobec tej osoby. Można ją zagwarantować między innymi właśnie przez umożliwienie anonimowego zgłaszania naruszeń.
Należy jednak pamiętać, że ochronie podlegają nie tylko dane osobowe sygnalistów, ale wszystkich interesariuszy zaangażowanych w postępowanie (także osób zadenuncjowanych oraz potencjalnych świadków). Podmiot przeprowadzający postępowanie wyjaśniające związane z informacjami przekazanymi przez sygnalistę staje się automatycznie administratorem w rozumieniu RODO, ze wszystkimi tego konsekwencjami. Zatem gdy nowe przepisy zaczną w Polsce obowiązywać, przełoży się to na konieczność wdrożenia przez każdego dużego pracodawcę nowego procesu przetwarzania danych osobowych zgodnie z zasadą „privacy by design”.
JAK ZAPEWNIĆ WŁAŚCIWĄ POUFNOŚĆ DANYCH OSOBOWYCH LUB ANONIMOWOŚĆ
Zmiany nakładane na pracodawców wymagają w szczególności utworzenia bezpiecznych kanałów raportowania o nieprawidłowościach. Takimi kanałami mogą być np. dedykowane aplikacje, osobna linia telefoniczna (hotline), skrzynka poczty elektronicznej czy fizyczny odpowiednio zabezpieczony pojemnik. Zastosowane środki częściej będą musiały zapewnić poufność danych osób, których dotyczy zgłoszenie niż samych zgłaszających naruszenia, którzy mogą pozostać anonimowi. Procedura wyjaśniania zgłoszenia nie powinna wymuszać od sygnalisty rezygnacji z anonimowości, nawet wówczas gdy konieczny jest ponowny kontakt z tą osobą.
Należy przy tym pamiętać, że wiele środków komunikacji pozostawia pewne ślady tożsamości ich użytkowników, które mogą spowodować, że anonimowość będzie iluzoryczna. To po stronie administratora będzie leżał wybór, czy system zgłaszania nieprawidłowości zapewni rzeczywistą anonimowość, czy będzie umożliwiał ich zgłaszanie tylko przez zidentyfikowanych sygnalistów.
Jak widać materia jest bardzo delikatna, zwłaszcza w kraju z tak szczególnym bagażem historycznym jak Polska. Organizacja i realizacja procedur z nią związanych wymaga więc ogromnego wyczucia. Prawodawca unijny nie ogranicza możliwości powierzenia tych obowiązków. Może być za nie odpowiedzialny wyznaczony przez pracodawcę pracownik, zespół lub osoby z zewnątrz organizacji, dające gwarancję poufności danych oraz rzetelności przy wyjaśnianiu zgłoszeń.