Światło dzienne ujrzał na dniach kolejny projekt ustawy o sygnalistach [1]. W najnowszej odsłonie projektowanych przepisów nie zabrakło oczywiście kwestii dotyczących ochrony danych osobowych. W ramach tego artykułu, bierzemy pod lupę wybrane zagadnienia w tym temacie.

Ujawnienie danych zgłaszającego osobom nieupoważnionym tylko za jego wyraźną zgodą

W ramach najnowszego projektu ustawy powróciło przewidziane w pierwszej wersji projektu zastrzeżenie, iż dane zgłaszającego mogą ulec ujawnieniu wyłącznie za jego wyraźną zgodą. Podążając za dyrektywą unijną [2], najnowszy projekt dodał też ważny element w tym zakresie: zastrzega taką zgodę wyłącznie dla ujawnienia danych osobom nieupoważnionym.  Zmianę w tym zakresie odbieramy i pozytywnie i negatywnie, ponieważ:

1. dotychczas projektowane przepisy nie wskazywały, że taka możliwość ewentualnie powinna być zastrzeżona tylko dla osób nieupoważnionych – w stosunku do osób upoważnionych zgoda jest zbędna z uwagi na posiadanie innej podstawy dostępu do danych (tj. nadanego upoważnienia, zawartej umowy oraz przepisy prawa);

2. co prawda dyrektywa unijna zawiera podobny przepis, to jednak biorąc pod uwagę ideę i zasady ochrony danych nasz redakcyjny Zespól ma wątpliwości, czy możliwość wyrażenia zgody na ujawnienie danych osobom nieupoważnionym w ogóle powinna mieć miejsce;

3. w zakresie w jakim projekt powrócił do wymogu uzyskania wyraźnej zgody jest lepszym rozwiązaniem, wprost podążającym za treścią dyrektywy unijnej. Co prawda, sformułowanie z drugiego projektu sprowadzało się finalnie do podobnego efektu, to jednakże mogło ono pozostawiać wątpliwości. W drugiej wersji projektu zostało bowiem wskazane, iż dane nie podlegają ujawnieniu, „chyba że zgłaszający wskaże inaczej”. Na pierwszy rzut oka może się wydawać, że nie ma różnicy. W naszej ocenie jednak ona istnieje. Wymóg wyraźnej zgody na ujawnienie danych osobowych powoduje bowiem, iż pomiędzy ustawą o sygnalistach a RODO istnieje spójność – zgoda jest z jedną z przesłanek przetwarzania danych przewidzianych unijnym rozporządzeniem o ochronie danych osobowych, i oznacza to także iż zgoda przewidziana ustawą o sygnalistach musi spełniać warunki wyrażenia zgody przewidziane RODO. Sprowadza się to do tego, że administratorzy danych są zobowiązani wprowadzić takie rozwiązania w procesie zbierania zgody, aby spełniała ona wymogi wynikające z przepisów RODO, jak i również ciąży na nich obowiązek wykazania legalności zgody. Pozostawienie brzmienia z drugiego projektu ustawy, budziłoby wątpliwości czy konieczne jest uzyskanie wyraźnej zgody, w tym czy musi być ona uzyskana w warunkach wynikających z RODO.

Rodzaj danych

Najnowszy projekt usunął podział na „dane osobowe pozwalające na ustalenie tożsamości” oraz „inne informacje na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość zgłaszającego”. W najnowszej odsłonie projektu zachowano wyłącznie sformułowanie o „danych osobowych pozwalających ustalić tożsamość”. Zdecydowanie plusem jest usunięcie wyżej wskazanego podziału, niemniej w dalszym ciągu zastrzeżenie budzi najnowsze sformułowanie „danych osobowych pozwalających ustalić tożsamość”. Biorąc pod uwagę definicję danych osobowych wynikającą z unijnego rozporządzenia o ochronie danych, a brzmiącą następująco: „dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (>>osobie, której dane dotyczą<<); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”, zdaje się że wystarczającym byłoby posługiwanie się wyłącznie pojęciem danych osobowych, bowiem z samej swojej definicji, dane osobowe to informacje umożliwiające zidentyfikowanie danej osoby – ustalenie jej tożsamości.

Klauzula informacyjna

Najnowszy projekt nie zawiera znaczących zmian w zakresie klauzuli informacyjnej realizowanej na podstawie art. 14 RODO, a zatem de facto dotyczącej przetwarzania danych osób, które są wskazane w zgłoszeniu jako osoba która dopuściła się naruszenia prawa w rozumieniu ustawy. Od początku zespół naszej Redakcji wskazywał, iż ograniczenie wykonania klauzuli informacyjnej tylko w zakresie niewskazywania takim osobom, od kogo administrator otrzymał ich dane (a zatem ustawa miałaby wyłączyć obowiązek informowania jak określa to RODO o „źródle danych”), a tym samym pozostawienie wymogu realizacji informacji w pozostałym wymaganym RODO zakresie, może zaszkodzić przebiegowi postępowania. Istnieje także ryzyko niemożliwości wykonania klauzuli informacyjnej w terminie wymaganym RODO. Projekt ustawy nie wydłuża tego terminu, co oznacza iż pozostałe informacje wymagane prawem muszą być udzielone takiej osobie w rozsądnym terminie, nie później niż w ciągu miesiąca.

Co ciekawe, najnowsza odsłona projektu usunęła zawarte we wcześniejszej wersji „odwleczenie” w czasie podania informacji o tym, kto dokonał zgłoszenia. W poprzedniej wersji w ramach realizacji prawa dostępu do danych (art. 15 RODO), osoba której dotyczy zgłoszenie miała mieć bowiem możliwość zwrócenia się do administratora o wskazanie od kogo otrzymał on dane. W tym przypadku ustawodawca przewidywał we wcześniejszym brzmieniu projektowanych przepisów wydłużenie terminu na podanie informacji o źródle danych – niemniej maksymalny termin miał wynosić okres 3 miesięcy licząc od dnia zakończenia działań następczych. W najnowszym projekcie, podobnie jak w przypadku klauzuli informacyjnej, prawo dostępu do danych jest ograniczone poprzez wyłączenie możliwości uzyskania informacji o źródle danych, chyba że za wyraźną zgodą zgłaszającego.

Cel, zakres i okres przechowywania danych

Pozytywnie natomiast należy ocenić, iż w ramach obecnej wersji projektu:

1.doprecyzowano cel i zakres przetwarzania danych osobowych po otrzymaniu zgłoszenia, w tym wskazano dokładny okres, w jakim dane zbędne mają być usunięte. Ale idąc po kolei. Pierwszy projekt milczał na ten temat. W drugim projekcie pojawiło się wskazanie, iż dane mogą być przetwarzane wyłącznie dla celów ustawy, a zbędne mają być usuwane niezwłocznie. Zarówno cel, jak i pojęcie „niezwłocznie” są dosyć ogólne, na co nasza Kancelaria niejednokrotnie wskazywała. W najnowszej wersji projektu, zostało wyraźnie wskazane, iż po otrzymaniu zgłoszenia dane osobowe są przetwarzane w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Natomiast dane zbędne są usuwane niezwłocznie w ciągu 14 dni od stwierdzenia, że nie mają one znaczenia dla sprawy;

2.wskazano precyzyjne terminy przechowywania danych oraz dokumentów związanych ze zgłoszeniem. W obu wcześniejszych projektach (niestety) tak nie było, co nasza Kancelaria podkreślała na etapie zgłaszania uwag. Pierwszy projekt wskazywał bowiem, iż dane osobowe przetwarzane w związku z przyjęciem zgłoszenia są przechowywane nie dłużej niż przez okres 5 lat od dnia przyjęcia zgłoszenia. Taka regulacja niewątpliwie nie stanowiłaby pewności prawa – w jakim bowiem czasie należałoby usunąć dane, skoro przepis wskazuje górną granicę. Zgłoszone uwagi przyniosły pewien efekt, albowiem już w drugiej odsłonie projektu, precyzyjny termin został przewidziany dla Rzecznika Praw Obywatelskich – w takim przypadku dane miałyby być przetwarzane przez RPO przez okres 12 miesięcy od dnia przekazania zgłoszenia do organu publicznego właściwego do podjęcia działań następczych. Wobec pozostałych podmiotów podtrzymano (niestety) niepewność co do prawa, dla których drugi projekt ustawy przewidział okres nie dłuższy niż 15 miesięcy od dnia zakończenia działań następczych. Co więcej, dwa pierwsze projekty milczały odnośnie dokumentacji. Na szczęście najnowszy projekt „naprawia” te niedoskonałości, zgodnie z jego treścią dane i dokumenty związane ze zgłoszeniem mają być przechowywane przez:

– 15 miesięcy po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub zakończono inne postępowania zainicjowane tymi działaniami – w przypadku podmiotu prawnego lub organu publicznego;

– 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do właściwego organu publicznego – w przypadku Rzecznika Praw Obywatelskich.

Po upływie ww. okresów dane i dokumenty muszą zostać zniszczone.

Termin upłynął, ustawy nadal brak

17 grudnia 2021 r. upłynął termin wyznaczony dla państw członkowskich UE na implementację do krajowych porządków prawnych dyrektywy o sygnalistach. Pojawiło się kilka wersji projektu ustawy, a najnowsza odsłona którą opisujemy w ramach niniejszego artykułu jest po uzgodnieniach międzyresortowych i została przekazana do Komitetu do Spraw Europejskich. Po przyjęciu projektu przez Komitet zostanie on rekomendowany do rozpatrzenia przez Stały Komitet Rady Ministrów, a następnie skierowany do Sejmu. W związku z przerwą wakacyjną najbliższe posiedzenie Sejmu planowane jest dopiero na 14 września br., nie wiemy jednak czy prace przyspieszą na tyle, aby projekt czytany był od razu na tym pierwszym posiedzeniu po przerwie. W związku z tym, na ostateczne przepisy jeszcze musimy poczekać, niemniej warto „trzymać rękę na pulsie” – nasz Redakcyjny Zespół z całą pewnością w dalszym ciągu będzie śledził dalsze losy regulacji 🙂

[1] proces legislacyjny można śledzić na rządowej stronie internetowej pod tym linkiem:

https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822867#12822867

[2] dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii