Prawo w biznesie
Jeśli ustawy o sygnalistach nie będzie na czas, dyrektywa będzie ich chronić bezpośrednio

Jeśli ustawy o sygnalistach nie będzie na czas, dyrektywa będzie ich chronić bezpośrednio

Mirosław Gumularz

Rynek i konsument RODO

Opinie

Data dodania: 09.10.2021

Czy polska ustawa umożliwi dokonywanie zgłoszeń anonimowych? Dyrektywa wymaga ochrony tożsamości sygnalisty. To jeszcze nie przesądza czy możliwe będzie także zgłoszenie anonimowe. Do czasu przyjęcia przepisów krajowych należy ostrożnie przyjąć, że zgłoszenia mogą być anonimowe. Oznacza to w szczególności zakaz wymuszania podania danych, które mogą ujawnić tożsamość sygnalisty - twierdzi dr Mirosław Gumularz.

Rząd opublikował założenia ustawy implementującej dyrektywę UE 2019/1937. Planowany termin przyjęcia projektu przez RM ot IV kwartał 2021 r. Należy zwrócić uwagę, że termin implementacji zgodnie z dyrektywą mija 17 grudnia 2021 r. W związku z tym istnieje duże prawdopodobieństwo braku przyjęcia przepisów krajowych w tym terminie.

Czytaj też: Są założenia projektu ustawy o sygnalistach. Zgłoszenia będzie przyjmował RPO

Bezpośrednie stosowanie dyrektywy

Może to oznaczać konieczność bezpośredniego stosowania dyrektywy w tych wszystkich przypadkach relacji wertykalnych: obywatel – podmiot, którego działalność stanowi „emanacje funkcji państwa”. Wynika to z utrwalonego stanowiska TSUE. W orzecznictwie TSUE ugruntowało się stanowisko dopuszczające bezpośrednie stosowanie dyrektyw w relacjach wertykalnych (obywatel -> władza publiczna) m.in. w przypadku braku terminowej implementacji dyrektyw. W takiej sytuacji dyrektywa znajdzie bezpośrednie zastosowanie, o ile jej przepisy będą bezwarunkowe oraz wystarczająco jasne i precyzyjne (zob. wyrok z 4 grudnia 1974 r., Van Duyn). Chodzi o relacje jednostki względem podmiotu, który jest „emanacją państwa” m.in. któremu na podstawie aktu władzy publicznej i pod jej kontrolą powierzono wykonywanie usług użyteczności publicznej i który w tym celu dysponuje uprawnieniami wykraczającymi poza normy obowiązujące w stosunkach między jednostkami (tak TSUE w sprawie C-425/12). Niektóre jednostki samorządu terytorialnego już w tym momencie (co prawidłowe) wydało wytyczne co do konieczności bezpośredniego stosowania dyrektywy w przypadku braku implementacji w terminie.

Kanały dokonywania zgłoszeń

Dyrektywa zawiera szereg przepisów, które są bezwarunkowe, dostatecznie jasne i precyzyjne i w związku z tym konieczne do bezpośredniego stosowania. Dotyczy to m.in. tworzenia bezpiecznych kanałów przyjmowania zgłoszeń. Zresztą w tym zakresie przepisy dyrektywy 2019/1937 są na tyle jasne, że trudno sobie wyobrazić, że polskie regulacje będą odbiegać od treści dyrektywy. Kwestią otwartą są progi stosowania. Założenia polskiej ustawy wskazują, że przepisom ustawy, w zakresie obowiązku ustanowienia wewnętrznych kanałów zgłaszania naruszeń, podlegać będą podmioty sektora publicznego i prywatnego zatrudniające co najmniej 50 pracowników. Podmioty działające w sektorze finansowym (m.in. banki, fundusze inwestycyjne, zakłady ubezpieczeń, zakłady reasekuracji, fundusze powiernicze, towarzystwa emerytalne, fundusze emerytalne, domy maklerskie, towarzystwa funduszy inwestycyjnych) będą miały obowiązek ustanowienia wewnętrznych kanałów zgłaszania naruszeń niezależnie od tego, czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników. Dla pozostałych podmiotów utworzenie wewnętrznych kanałów dokonywania zgłoszeń nie będzie obligatoryjne, ale podmioty te, w zależności od potrzeb, będę mogły utworzyć je dobrowolnie, stosując zasady przewidziane w ustawie.

Drugą istotną kwestią jest to czy polska ustawa umożliwi dokonywanie zgłoszeń anonimowych. Dyrektywa wymaga ochrony tożsamości sygnalisty. To jeszcze nie przesądza czy możliwe (i prawnie skuteczne to m.in. wymagające podjęcia określonych działań) będzie także zgłoszenie anonimowe. Do czasu przyjęcia przepisów krajowych należy ostrożnie (ze względu na zasadę minimalizacji wynikającą bezpośrednio z RODO) przyjąć, że zgłoszenia mogą być anonimowe. Oznacza to w szczególności zakaz wymuszania podania danych, które mogą ujawnić tożsamość sygnalisty.

Dyrektywa wymaga aby kanały przyjmowania zgłoszeń były zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu. Oprócz kwestii bezpieczeństwa dyrektywa stawia dodatkowe wymogi, które w zasadzie dotyczą procesu dokonywania i przyjmowania zgłoszeń, ale w praktyce często będą realizowane poprzez wskazane kanały dokonywania zgłoszeń. Chodzi m.in. potwierdzenie przyjęcia zgłoszenia, czy przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia.

Wskazane kanały mogą być obsługiwane (dostarczane) także przez zewnętrzne podmioty. Wyraźnie wskazuje na to motyw 54 dyrektywy. Do przyjmowania zgłoszeń naruszeń w imieniu podmiotów prawnych w sektorze prywatnym i publicznym mogą również zostać upoważnione osoby trzecie, pod warunkiem że zapewniają należyte gwarancje poszanowania niezależności, poufności, ochrony danych i zachowania tajemnicy. Takimi osobami trzecimi mogą być m.in. dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związków zawodowych lub przedstawiciele pracowników. Jak się zdaje – i to widać w całej UE – standardem będzie korzystanie z zewnętrznych kanałów przyjmowania zgłoszeń, które są niezależne od wewnętrznych struktur IT.

Te kanały będą musiały spełnić wymogi dyrektywy oraz RODO, tzn. będą musiałby zapewniać bezpieczeństwo oraz realizację pozostałych wymogów RODO jak minimalizacja, czy ograniczenie czasowe przechowywania oraz domyślna ochrona. Dlatego organizacje będą musiały rozstrzygnąć m.in.:

w jaki sposób zgłoszenia będą dokonywane;
jakie dane (czy w ogóle) będą zbierane – czy zgłoszenie będzie mogłoby realizowane w sposób anonimowy;
gdzie zgłoszenie będzie przechowywane;
kto z organizacji będzie miał dostęp do treści zgłoszenia i pozostałych materiałów;
czy sygnalista będzie mógł zamieścić określone materiały;
kto będzie uprawniony do prowadzenia korespondencji z sygnalistą (np. pozyskiwania dodatkowych danych);
w jaki sposób zostanie spełniony obowiązek informacyjny wynikający z RODO (jeżeli dochodzić będzie do przetwarzania danych osobowych);
jak będzie przekazywane potwierdzenie zgłoszenia i informacja o podjętych krokach;
kto będzie decydował o zamknięciu sprawy i archiwizacji (usunięciu) materiałów;
w jaki sposób dostęp osób z organizacji zostanie zabezpieczony (np. dwuskładnikowa autoryzacja).

Autor: dr Mirosław Gumularz, adiunkt WSB Warszawa, radca prawny w Kancelarii Prawnej GKK Gumularz Kozik