Rząd pracuje nad  projektem wdrażającym unijną dyrektywę dotyczącą sygnalistów. Chodzi konkretnie o projekt ustawy o ochronie osób zgłaszających naruszenia prawa. Obecnie jest on na etapie konsultacji społecznych. Propozycja jest jednak dziurawa i wypacza sens dyrektywy. Prawnicy oraz Stowarzyszenia Praktyków Ochrony Danych nie mają wątpliwości, że trzeba  ją poprawić. W przeciwnym razie nikt nie będzie chciał  zostać sygnalistą. 

 Czytaj też: Compliance w Polsce 2021 - polskie firmy uczą się działać zgodnie z prawem>>
 

Rząd zapomniał o obowiązku informacyjnym z RODO 

Okazuje się bowiem, że autorzy projektu częściowo zapomnieli o przepisach RODO. Krytycznie w tym kontekście o proponowanych rozwiązaniach wypowiada się m.in. Stowarzyszenie Praktyków Ochrony Danych, które uwagi do projektu zgłosiło w ramach konsultacji społecznych. W swojej opinii tłumaczy, że redakcja art. 8 ust 2 zd. 2 projektu budzi istotne wątpliwości co do tego, czyich danych osobowych ten przepis dotyczy: osoby, której dotyczy zgłoszenie, na co wskazuje wykładnia systematyczna, czy wszystkich osób, którym na podstawie przepisów RODO mogłaby zostać ujawniona tożsamość sygnalisty, na co wskazuje wykładnia celowościowa. Tą kwestię należy bezwzględnie doprecyzować w projekcie.

Zobacz pytanie i odpowiedź eksperta w LEX: Czy PUP zatrudniający mniej niż 50 pracowników musi wdrożyć procedury w sprawie ochrony sygnalistów? >

 

- Podstawową zasadą RODO jest prawo do informacji – w zasadzie zawsze, gdy gromadzi się dane osobowe, trzeba poinformować  o tym fakcie osobę, której te dane dotyczą. Od tej  reguły są oczywiście wyjątki, ale muszą przewidywać je odrębne przepisy. Tymczasem projekt zakłada gromadzenie bardzo wielu danych osobowych,  a mianowicie: zgłaszającego, osoby, której dotyczy zgłoszenie, osoby powiązanej  sygnalistą, osoby pomagającej sygnaliście, a także innych osób, w szczególności świadków . Natomiast obowiązek informacyjny wyłącza tylko w jednym przypadku i tylko w odniesieniu do jednej kategorii informacji, które trzeba podać. Pracodawca nie będzie musiał  informować osoby, której dotyczy zgłoszenie o tożsamości sygnalisty, czyli o źródle danych. Ale jednocześnie ta osoba będzie otrzymywać informację o tym, że dokonano zgłoszenia, co może doprowadzić do tego, że np. zniszczy dowody istotne dla sprawy albo będzie wpływać na potencjalnych świadków - tłumaczy Paweł Litwiński, adwokat, partner w kancelarii prawnej Barta Litwiński Kancelaria Radców Prawnych i Adwokatów; wykładowca Uniwersytetu SWPS.

Czytaj też: Sygnalista to nie donosiciel - coraz więcej Polaków to rozumie>>
 

Według niego taki zakres wyłączeń obowiązku informacyjnego to zdecydowanie za mało. - Oczywiście można próbować ten obowiązek wyłączać lub ograniczać na podstawie samego RODO, ale dla bezpieczeństwa sygnalistów lepiej byłoby, żeby te wyłączenia znalazły się w samej ustawie - uważa mec. Paweł Litwiński. 

Zobacz procedurę w LEX: Fajgielski Paweł - Ocena skutków dla ochrony danych >

Podobnego zdania jest dr Mirosław Gumularz, adiunkt Wyższej Szkoły Bankowej w Warszawie, radca prawny w Kancelarii Prawnej GKK Gumularz Kozik. - RODO kładzie duży nacisk na transparentność przetwarzania. Wyrazem tego są obowiązki informacyjne i prawo dostępu do danych, w tym uzyskania kopii danych. Realizacja obowiązku informacyjnego względem osoby, której dane podał sygnalista może prowadzić do ujawnienia tożsamości sygnalisty - podkreśla.

Czytaj też: Firmy nie są gotowe na wdrożenie dyrektywy UE o ochronie sygnalistów>>

 

 

Co trzeba poprawić w ustawie, by dobrze chronić sygnalistę 

W jaki sposób można rozwiązać problem? Prawnicy nie mają wątpliwości. 

Mec. Pawła Litwińskiego uważa, że  trzeba dokonać dwóch zmian w projekcie. Po pierwsze, powinno pojawić się w nim wyłączenie obowiązku podawania informacji o źródle danych w stosunku do wszystkich osób, których dane są przetwarzane w związku ze zgłoszeniem. Po drugie, trzeba odsunąć w czasie chwilę podawania informacji wymaganych przez RODO aż do zakończenia wszelkich czynności podejmowanych w związku ze zgłoszeniem. Wynika to z tego, że RODO daje miesiąc na spełnienie obowiązku informacyjnego, podczas gdy projekt daje aż 3 miesiące na zajęcie się zgłoszeniem.