Dane sygnalistów nie będą bezpieczne. Ustawy o ochronie sygnalistów oraz o ochronie danych osobowych nie są ze sobą spójne. O czym i rząd, i parlamentarzyści doskonale wiedzieli. W takcie prac nad ustawą swoje uwagi zgłosił m.in. prezes UODO. Politycy byli jednak na nie głusi. Obecnie prezes UODO przeprowadza konsultacje społeczne dotyczące stosowania ustawy w praktyce. Na tej podstawie chce przygotować praktyczny poradnik, jak poradzić sobie z tymi przepisami. Eksperci nie mają złudzeń, że nie ma co liczyć na nowelizację. Ostrzegają też, że za naruszenie zarówno jednej, jak i drugiej ustawy grożą sankcje finansowe, ale nie tylko. Naruszenie ustawy o sygnalistach może być potraktowane jako przestępstwo zagrożone karą więzienia.
Czytaj też: Trzeba poprawić projekt o sygnalistach, bo nie będą anonimowi
Zgaduj zgadula
Gdy chodzi o ochronę danych osobowych, po wejściu w życie ustawy 25 września 2024 r. mogą pojawić się następujące problemy:
- dotyczące informowania o przetwarzaniu danych osobowych w kontekście poufności danych sygnalisty,
- dotyczące okresu przechowywania danych pochodzących ze zgłoszeń,
- odnośnie podstaw przetwarzania danych.
- Przepisy o ochronie sygnalistów, pomimo pracy nad kolejnymi wersjami projektu, nie zostały poprawione. Nie wiadomo więc, czy wolno pozyskiwać dane kontaktowe przy zgłoszeniach anonimowych oraz czy firma może zlecić podejmowanie działań następczych na zewnątrz. Moim zdaniem przepisy dopuszczają outsourcing przyjęcia zgłoszenia, ale już nie prowadzenia sprawy. Przepisy co do zasady wyłączają outsourcing (np. w zakresie przesłuchiwania świadków), ale zostały tak napisane, że mogą budzić wątpliwości. Ponadto dużym problemem jest ustalenie zakresu dostępu do danych sygnalisty i innych osób. Dyrektywa o sygnalistach rozróżnia poziom ochrony sygnalisty i innych osób. Tymczasem polska ustawa poziom ten zrównuje, co może utrudnić np. podejmowanie decyzji względem osób, których dotyczy zgłoszenie, np. jak podjąć decyzję o zwolnieniu osoby, która zawiniła, skoro tożsamość osoby, której dotyczy zgłoszenie, jest tak samo chroniona jak samego sygnalisty. I wreszcie kwestia obsługi zgłoszeń w ramach grup podmiotów – przepisy dyrektywy wyraźnie mówią o możliwości łączenia „zasobów”, podczas gdy nasze krajowe odnoszą się do pojęcia „zasad” czy „procedur” - wylicza grzechy ustawy o sygnalistach dr Mirosław Gumularz, WSB Warszawa oraz Kancelaria NTL (NewTechLaw.eu).
Zobacz szkolenie online w LEX: Ochrona sygnalistów - nowe obowiązki pracodawców >
Cena promocyjna: 139 zł
|Cena regularna: 139 zł
|Najniższa cena w ostatnich 30 dniach: 97.3 zł
Niejasna podstawa zgłoszenia
Ale to nie jedyne problemy związany z ustawą o sygnalistach. W sposób wadliwy sformułowano również przepisy o podstawach przetwarzania danych osobowych. Zgodnie z nimi zgłoszenie może zawierać:
- dane osobowe zwykłe, np. „Jan Kowalski kradnie papier”,
- dane osobowe wrażliwe, np. „Jan Kowalski utrzymuje intymne relacje ze swoją szefową, przez co dostaje premie”,
- dane dotyczące skazań, np. „Jan Kowalski zataił informację o tym, że siedział”.
- O ile nie ma wątpliwości, że w celu przyjmowania zgłoszeń i prowadzenia postępowania można przetwarzać dane zwykłe, a możliwość przetwarzania danych wrażliwych można wyinterpretować, o tyle nie budzi wątpliwości, że danych dotyczących skazań przetwarzać nie można – bo zgodnie z RODO musi w prawie krajowym istnieć wyraźny przepis, który na to zezwala, a w ustawie go brak - zwraca uwagę Paweł Litwiński, adwokat, partner w kancelarii prawnej Barta Litwiński Kancelaria Radców Prawnych i Adwokatów.
Prawnicy nie mają więc złudzeń. - Stosowanie nieprecyzyjnych przepisów będzie drogą przez mękę. - Po wejściu w życie ustawy o sygnalistach trudno będzie prawidłowo zadbać o ochronę danych osobowych sygnalisty, a także innych osób, których dane będzie się przetwarzać w kontekście zgłaszanych naruszeń oraz w ramach działań następczych - twierdzi dr Marlena Sakowska-Baryła, radca prawny i partnerka w Sakowska-Baryła.
Czytaj też w LEX: Ochrona sygnalistów - procedura zgłoszeń wewnętrznych krok po kroku >
Więzienie za ujawnienie danych
W związku z problemami interpretacyjnymi prezes UODO razem z ekspertami oraz z powołanym przez siebie Społecznym Zespołem Ekspertów postanowił zorganizować spotkanie w tej sprawie, którego celem będzie zidentyfikowanie i omówienie obszarów, które mogą generować największe wątpliwości interpretacyjne. Spotkanie ma się odbyć na początku sierpnia. Obecnie natomiast można zgłaszać swoje wątpliwości interpretacyjne do UODO. Na tej podstawie zostanie opracowany poradnik.
- Oczywiście warto byłoby te przepisy poprawić. Nie mam jednak złudzeń, że politycy tego (przynajmniej na razie) nie zrobią. Dlatego myślę, że taki poradnik to dobre rozwiązanie - uważa dr Mirosław Gumularz.
Ekspert zaleca też, by do czasu rozwiązania wątpliwości interpretacyjnych stosować do ustawy o sygnalistach podejście restrykcyjne w oparciu o wykładnię prounijną – zgodną z dyrektywą o ochronie sygnalistów. Naruszenie tej ustawy grozi bowiem m.in. odpowiedzialnością karną. Zgodnie z art. 56 ustawy, kto wbrew przepisom ustawy ujawnia tożsamość sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Oczywiście naruszenie wymogów bezpieczeństwa informacji (na gruncie ustawy o ochronie sygnalistów) na ogół stanowić będzie jednocześnie naruszenie RODO i rodzić konsekwencje tam wskazane.
Sprawdź też w LEX: Czy na potrzeby regulacji dotyczących sygnalistów w liczbie osób zatrudnionych należy uwzględnić także zleceniobiorców? >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.