Ustawa o ochronie sygnalistów (dalej: USygn.) dość dokładnie określa zakazane działania odwetowe, które mogą być wyrazem zemsty na osobie zgłaszającej naruszenie prawa. Nie powinno, mimo to, umknąć uwadze inne ważne zadanie organizacji stosującej nową procedurę. Mianowicie ochrona dotyczy także wszystkich innych osób, które zostały wskazane w zgłoszeniu lub uczestniczą w postępowaniu wyjaśniającym, na przykład w charakterze świadków.
Czytaj również: Self-correction w ramach organizacji – czyli po co w firmie sygnaliści?>>
Ustawa bezpośrednio nie poświęca wiele uwagi ochronie innych osób niż sygnalista. Obowiązek ochrony tych osób wynika jednak z ogólnych przepisów o ochronie dóbr osobistych zarówno cywilnych, jak i karnych. Stosuje się również przepisy o ochronie danych osobowych, przede wszystkim RODO.
USygn. wprowadza kilka przepisów szczególnych do RODO, ale to RODO stanowi zasadniczą ramę ochrony prywatności wszystkich osób zaangażowanych w wyjaśnianie zgłoszeń w ramach procedury o ochronie sygnalistów.
________________________________________
Ustawa o ochronie sygnalistów wymaga wdrożenia procedur zgłaszania naruszeń prawa oraz ochrony tożsamości sygnalistów.
Sprawdź, czy Twoja organizacja jest gotowa na nowe obowiązki. Czytaj więcej >
----------------------------------------------------
Cena promocyjna: 179.1 zł
|Cena regularna: 199 zł
|Najniższa cena w ostatnich 30 dniach: 149.25 zł
Ochrona potencjalnego sprawcy
Żadne przepisy nie pozwalają różnicować stopnia ochrony osób, niezależnie od ich roli w zgłoszonym zdarzeniu. W praktyce doniosłe znaczenie ma ochrona nie tylko sygnalisty, ale także potencjalnego sprawcy naruszenia.
Na etapie zgłoszenia wina potencjalnego sprawcy nie jest przesądzona. Nawet w przypadku jej potwierdzenia, powinny zostać wyciągnięte konsekwencje zgodne z prawem. To organizacja wdrażająca procedurę ochrony sygnalistów jest odpowiedzialna także za ochronę sprawcy przed bezprawnym napiętnowaniem. Nie mniej istotna jest ochrona także innych osób zaangażowanych w wyjaśnianie okoliczności zdarzenia. Przecież także świadkowie zeznający na niekorzyść sprawcy lub sygnalisty mogą zostać napiętnowani przez grono pracowników.
Sprawdź również książkę: Ochrona sygnalistów. Komentarz >>
Jak chronić wszystkie osoby?
Jak wprowadzić zasadę ochrony wszystkich osób w równy sposób w praktyce zgłoszeń naruszeń przez sygnalistów? Ochrona taka odbywa się na trzech poziomach.
Po pierwsze, środki bezpieczeństwa wybierane do obsługi procedury zgłoszeń powinny uwzględniać nie tylko ochronę sygnalisty, ale i pozostałych osób. Wydaje się, że rozszerzenie perspektywy z sygnalisty na wszystkie osoby nie powinno wywrócić do góry nogami zastosowanych środków. Odpowiednie szyfrowanie komunikacji lub ograniczanie dostępu do dokumentów z reguły powinno przyjąć podobną postać.
Drugi poziom jest najważniejszy, ponieważ dotyczy miękkich aspektów ochrony poufności. Organizacja powinna uwrażliwić wszystkie osoby upoważnione do dostępu do informacji związanych ze zgłoszeniami, że ich obowiązkiem jest zachowanie poufności w każdym aspekcie. Nieważne jak bulwersujące lub fascynujące będą zgłoszenia, nie powinny się one dzielić informacjami o nich z kolegami, nawet próbując je anonimizować. Wiele szczegółów ujawnia pozornie anonimowy kontekst.
Ani wyrafinowane środki bezpieczeństwa, ani dopracowana dokumentacja nie wystarczą, jeśli zabraknie świadomości, do jak delikatnych informacji osoby upoważnione zostały dopuszczone.
Wreszcie trzeci poziom ochrony osoby, której dotyczy zgłoszenie (czyli potencjalnego sprawcy), ujawnia się wtedy, gdy po przeprowadzeniu postępowania wyjaśniającego okaże się, że osobie zgłaszającej nie przysługuje jednak status sygnalisty.
Art. 8 ust. 5 i 6 USygn. określają obowiązek informacyjny oraz prawo dostępu do danych osobowych wszystkich osób, których dane osobowe są przetwarzane w związku ze zgłoszeniem. Jeśli sygnalista nie wyraził zgody na ujawnienie swojej tożsamości, administrator nie podaje informacji o źródle danych, czyli o sygnaliście.
Organizacja może uznać, że sygnalista nie spełnia warunków objęcia ochroną, jeśli nie miał uzasadnionych podstaw uważać zgłoszonej informacji o naruszeniu prawa za prawdziwą.
W takim przypadku, od momentu stwierdzenia, że sygnaliście nie przysługuje ochrona, w razie spełniania obowiązku informacyjnego lub zapewniając prawo dostępu do danych, administrator powinien poinformować również o tożsamości sygnalisty jako źródle danych osobowych. Otwiera to drogę do dochodzenia odpowiedzialności cywilnej lub karnej przez osobę uważającą się za pokrzywdzoną przez nieprawdziwe zgłoszenie.
Ochrona osoby, której dotyczy zgłoszenie polega więc na zachowaniu poufności zgłoszenia niezależnie od zgody samego sygnalisty. W razie uznania, że sygnalista zgłosił naruszenie w złej wierze, osoba skrzywdzona takim zgłoszeniem uzyskuje narzędzia do ochrony prawnej.
dr Michał Starczewski, radca prawny w BWHS Wojciechowski Springer i Wspólnicy
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.