Jedną z form ochrony sygnalistów jest obszar zapewnienia poufności i bezpieczeństwa ich danych osobowych. Na tle powyższego zagadnienia warto odnieść się do nie tak dawnego wycieku danych osób, które poinformowały Generalny Inspektorat Ochrony Środowiska o nieprawidłowościach, które mogły doprowadzić do zanieczyszczenia Odry. O tym, jakie uprawnienia przysługują sygnalistom oraz w jaki sposób ochroną są objęte ich dane osobowe, opowiemy w ramach poniższego artykułu.

Kim jest sygnalista?

Zgodnie z projektowaną ustawą o sygnalistach[1], przepisy mają objąć ochroną osoby dokonujące zgłoszenia lub ujawniające informacje o naruszeniu prawa lub uzasadnionym podejrzeniu takiego naruszenia, jakie mają mieć miejsce w organizacji pracodawcy. Projekt ustawy wylicza również katalog podmiotów, które będą uznawane za sygnalistów. Mają należeć do niego wszystkie osoby zatrudnione niezależnie od podstawy nawiązanej współpracy, tj. m.in.: pracownicy, osoby świadczące pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, przedsiębiorcy, akcjonariusze lub wspólnicy, stażyści, wolontariusze, czy też praktykanci.

Sygnaliści a ochrona danych osobowych

W ramach zgłoszeń dokonywanych przez sygnalistów, mogą być zawarte ich dane osobowe, takie jak: imię i nazwisko, adres zamieszkania, numer telefonu lub adres e-mail. Tym samym przed podmiotami otrzymującymi zgłoszenie stoi wyzwanie odpowiedniego zabezpieczenia danych osobowych. Mimo, że nadal nie wprowadzono przepisów krajowych dotyczących sygnalistów, nie oznacza to, że są oni pozbawieni ochrony prawnej.

W orzecznictwie podkreśla się bowiem, że skutkiem braku implementacji dyrektywy unijnej w wyznaczonym terminie jest możliwość powoływania się przez obywateli na  przepisy z niej wynikające w stosunku do państwa. Oznacza to, iż organy administracji publicznej (które działają „na rachunek” państwa) są zobowiązane do stosowania dyrektywy o sygnalistach [1] (dalej także: „dyrektywa”) pomimo braku przyjęcia przepisów krajowych w tym zakresie. Zatem osoba dokonująca zgłoszenia w sektorze administracji publicznej po przewidzianej dacie implementacji dyrektywy powinna uzyskać status sygnalisty i związane z tym uprawnienia.

Co więcej, zakładając nawet że nie byłoby możliwości egzekwowania przepisów dyrektywy wobec organów krajowych, obowiązują przepisy RODO, z których wynika m.in. zasada minimalizacji czy ograniczenia czasowego przetwarzania danych, a przede wszystkim obowiązek zapewnienia ich bezpieczeństwa ustanawiając zakaz udostępniania danych osobom nieupoważnionym oraz obowiązek wdrożenia odpowiednich procedur mających za celu realizację tych zasad i obowiązków. Istotność regulacji RODO w kontekście sygnalistów podkreśla także motyw 83 dyrektywy w którym wskazano, że przetwarzanie danych osobowych zgodnie z dyrektywą, w tym wymiana lub przekazywanie danych osobowych przez właściwe organy, musi spełniać wymogi RODO.

Niemniej, z całą pewnością światło dzienne możliwie najszybciej powinna ujrzeć ustawa o sygnalistach, która ustanowi pewny fundament do przyjęcia w organizacji procedur wewnętrznych, regulujących zasady notyfikowania naruszeń oraz podjęcia innych działań mających na celu zapewnianie ochrony otrzymywanych informacji, takie jak bezpieczne kanały dokonywania zgłoszeń czy rejestry zgłoszeń, w ramach których będą przechowywane dane oraz dokumenty.

Sytuacja związana z Odrą

W dyrektywie unijnej o sygnalistach ochrona środowiska została wskazana jako jedna z gałęzi objętych obowiązkiem zgłaszania naruszeń prawa. Tym samym, w świetle regulacji unijnej, w sytuacji gdy sygnalista ma uzasadnione podejrzenie o łamaniu prawa w zakresie środowiska, powinien niezwłocznie dokonać zgłoszenia. Nie ulega wątpliwości, że zatrucie Odry to jedna z większych katastrof ekologicznych w Polsce minionych lat. Jej przyczyny nadal są badane. Na tę chwilę wskazuje się na kilka czynników, które mogły spowodować zatrucie rzeki. Co ciekawe, z ujawnionych publicznie informacji wynika, że prawdopodobnie przynajmniej w części można było uniknąć tragedii, ponieważ jeszcze przed zatruciem Odry, ustalone obecnie przyczyny skażenia były zgłaszane do Głównego Inspektora Ochrony Środowiska (dalej jako: „GIOŚ”). Przechodząc do sedna tematu artykułu, przy okazji działań organów administracyjnych doszło do ujawnienia danych sygnalistów, którzy przekazali swoje podejrzenia oraz dokonali zgłoszenia przez specjalny formularz. Na dzień dzisiejszy z ogólnodostępnych źródeł nie wiadomo, kim byli wspomniani sygnaliści – czy byli to pracownicy urzędu, czy też inne osoby. Dane sygnalistów, które zostały ujawnione to m.in. imiona i nazwiska oraz adresy zamieszkania i numery kontaktowe. Sam wyciek danych polegał na tym, że jedna ze struktur organizacyjnych GIOŚ, tj. Departament Zwalczania Przestępczości Środowiskowej, uznając się za organ niewłaściwy w sprawie przesłał otrzymane zgłoszenia drogą mailową do Wojewódzkiego Inspektoratu Ochrony Środowiska we Wrocławiu oraz przypadkowo do każdego zgłaszającego – tym samym osoby te otrzymały dane innych zgłaszających, do których w żaden sposób nie były uprawnione. Zatem każdy, kto otrzymał takiego maila, z łatwością mógł dowiedzieć się kto dokonał zgłoszenia, gdzie zamieszkuje oraz jakimi danymi kontaktowymi się posługuje. W sprawę zaangażował się Rzecznik Praw Obywatelskich, który poprosił GIOŚ o wyjaśnienia dotyczące wycieku danych sygnalistów, a Prezesa Urzędu Ochrony Danych Osobowych o zbadanie sprawy. Na dzień publikacji artykułu niestety nie wiadomo, jakie czynności w sprawie podjął Prezes Urzędu Ochrony Danych Osobowych. Natomiast sam Rzecznik Praw Obywatelskich podkreśla, że potwierdzenie wycieku danych osobowych oznaczać będzie naruszenie konstytucyjnej ochrony prywatności oraz godzić będzie w bezpieczeństwo sygnalistów.

Podsumowanie

Wyciek danych osobowych z GIOŚ potwierdza niejako dostrzeżony w naszej praktyce dylemat  sektora administracji publicznej w zakresie tego, czy podmioty publiczne mają obowiązek bezpośredniego stosowania dyrektywy unijnej w sprawie sygnalistów w sytuacji braku ustawy krajowej w tej materii. Kwestia ta przedkłada się na problem podmiotów publicznych w ocenie tego, czy są one zobowiązane do wdrożenia już na podstawie samej dyrektywy procedur których zadaniem jest m.in. ochrona danych sygnalistów. Nadto, zdaje się, że sektor administracji publicznej czasem zapomina, że mimo iż, ustawa o sygnalistach nadal nie weszła w życie, to nadal obowiązują przepisy RODO, które przewidują obowiązek wdrożenia odpowiednich polityk ochrony danych, a także stosowania zasad bezpieczeństwa i poufności danych. Tym samym, ujawnienie danych osobowych obywateli zgłaszających nieprawidłowości na Odrze osobom nieupoważnionym to sytuacja, której – przy odpowiednim zastosowaniu zasad wynikających z RODO – z dużym prawdopodobieństwem można było uniknąć. Przedstawione wydarzenia w niniejszym artykule oraz skutki działań organów pokazują także, że ustawodawca powinien zdecydowanie szybciej przyjąć ustawę o sygnalistach, która będzie wyraźną podstawą obowiązku przyjęcia stosownych działań w celu zabezpieczenia danych sygnalistów, a równocześnie ustanowi (z założenia 😊) jasne wskazówki w tym zakresie.

[1] Zgodnie z Dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. U. UE. L. z 2019 r. Nr 305, str. 17 z późn. zm.) państwa członkowskie, w tym Polska, zostały zobowiązane do implementacji do systemu krajowego  przepisów dot. sygnalistów do dnia 17 grudnia 2021 r. Do dnia dzisiejszego publikowano jedynie projekty ustawy o ochronie osób zgłaszających naruszenia prawa