W ostatnim czasie w wykazie prac legislacyjnych pojawił się nowy (kolejny) projekt ustawy o ochronie osób zgłaszających naruszenia prawa z terminem jego przyjęcia w pierwszym kwartale tego roku. O zakresie proponowanych zmian informowaliśmy w alercie prawnym dot. sygnalistów opublikowanym na łamach bloga Labor-atorium Prawa Pracy <LINK>. W niniejszym artykule przyjrzymy się kwestii bezpieczeństwa przetwarzania danych osobowych w przypadku dokonania zgłoszenia.

Zgłoszenia wewnętrzne

Zgłoszenia naruszenia prawa będzie można dokonać za pomocą wewnętrznych kanałów zgłoszeń utworzonych przez podmioty prywatne oraz publiczne. Zgodnie z motywem 33 Dyrektywy[1]: „osobom dokonującym zgłoszenia zwykle przychodzi łatwiej dokonywanie zgłoszeń wewnętrznych, chyba że istnieją powody, dla których wolą dokonać zgłoszenia zewnętrznego. Badania empiryczne wykazują, że większość sygnalistów dokonuje zgłoszeń wewnętrznych w ramach organizacji, w której pracują. Zgłoszenia wewnętrzne są również najlepszym sposobem na przekazanie informacji osobom, które mogą przyczynić się do wczesnego i skutecznego wyeliminowania zagrożeń dla interesu publicznego. Jednocześnie osoba dokonująca zgłoszenia powinna mieć możliwość wyboru najwłaściwszego kanału do tego celu w zależności od indywidualnych okoliczności danej sprawy (…)”. Można zatem domniemywać, iż na gruncie Dyrektywy preferowanym sposobem dokonywania zgłoszeń są zgłoszenia wewnętrzne. Najistotniejsze jest natomiast, aby organizacja zapewniła bezpieczny kanał zgłoszenia, a więc taki, który w sposób kompleksowy zapewni ochronę danych osobowych zarówno sygnalisty, jak i osoby, której zgłoszenie dotyczy.

W projektowanej ustawie zostały określone wymagania dotyczące utworzenia oraz organizacji wewnętrznych kanałów (procedur i rozwiązań organizacyjnych) zgłaszania naruszeń. Podmiot prawny (tak zbiorczo ustawodawca określa w projekcie ustawy podmioty, które będą zobowiązane do stosowania ustawy) będzie zobowiązany ustalić zatem wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych. Powyższe dotyczyć będzie obligatoryjnie podmiotów w sektorze prywatnym, zatrudniających co najmniej 50 pracowników, organizacje wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska objętych określonymi przepisami unijnymi – bez względu na liczbę zatrudnionych oraz podmioty sektora publicznego, z wyłączeniem jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 000 mieszkańców.

Osoby upoważnione do przyjmowania zgłoszeń

W myśl motywu 77 Dyrektywy konieczne jest, aby członkowie personelu właściwego organu, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, oraz członkowie personelu właściwego organu, którzy mają prawo dostępu do informacji przekazanych przez osobę dokonującą zgłoszenia, przestrzegali obowiązku zachowania tajemnicy zawodowej i poufności przy przekazywaniu danych zarówno w ramach właściwego organu, jak i poza ten organ, w tym w przypadku gdy właściwy organ wszczyna postępowanie wyjaśniające lub wewnętrzne dochodzenie lub podejmuje czynności związane z egzekwowaniem przepisów w związku ze zgłoszeniem.  Ustawodawca tym samym nie precyzuje, kim ma być ten podmiot. Procedura zgłaszania naruszeń prawa i podejmowania działań następczych powinna natomiast określać wewnętrzną jednostkę organizacyjną lub osobę/zespół osób, będących częścią struktury organizacyjnej podmiotu prawnego, upoważniony przez podmiot prawny do przyjmowania zgłoszeń (np. dział HR, dział prawny, kierownika HR, czy konkretnych specjalistów). W tym miejscu należy nadmienić, iż dla osób będących częścią struktury danej organizacji, które będą dokonywały przyjmowania zgłoszeń, a także ich rozpatrywania, konieczne jest przygotowanie odpowiedniego pisemnego upoważnienia dającego podstawę tym osobom do przetwarzania danych osobowych w tym zakresie.

Ustawodawca w projektowych przepisach przewiduje, iż w przypadku zgłoszeń wewnętrznych czynności związane z kompleksową obsługą zgłaszania naruszeń dokonywanych przez sygnalistów, tj. ich przyjmowania, podejmowania działań następczych, włączając w to weryfikację zgłoszenia i dalszą komunikację ze zgłaszającym, w tym występowanie o dodatkowe informacje i przekazywanie zgłaszającemu informacji zwrotnej, mogą być powierzone wewnętrznej jednostce organizacyjnej lub osobie w ramach struktury organizacyjnej podmiotu prawnego. Niemniej przyjmowanie zgłoszeń może zostać powierzone podmiotowi zewnętrznemu  w ramach outsourcingu. Tytułem przykładu, taką obsługą mogą zajmować się kancelarie prawne, zewnętrzne przedsiębiorstwa HR, czy podmioty profesjonalnie zajmujące się stricte przyjmowaniem i dalszą obsługą zgłoszeń. W takim przypadku, podmiot który zleca taką usługę „na zewnątrz” musi pamiętać o zawarciu pisemnej umowy powierzenia przetwarzania danych osobowych, która – mając na uwadze jednocześnie doniosłość konsekwencji w razie wycieku danych – powinna kompleksowo zabezpieczać jego interesy. Jednocześnie, usługodawca zewnętrzny powinien być starannie zweryfikowany także w zakresie stosowanych rozwiązań technicznych i organizacyjnych zapewniających zgodność z ustawą.

Zgłoszenia zewnętrzne

Zgodnie z art. 30 projektu ustawy o sygnalistach możliwe ma być dokonanie także zgłoszenia zewnętrznego bez uprzedniego dokonania zgłoszenia wewnętrznego. Zgłoszenie takie jest przyjmowane przez Rzecznika Praw Obywatelskich albo inny organ publiczny. Rzecznik Praw Obywatelskich oraz organ publiczny są odrębnymi administratorami w zakresie danych osobowych podanych w zgłoszeniu zewnętrznym, które zostało przyjęte przez ten organ. Wstępna weryfikacja zgłoszenia leży wówczas, zgodnie z nowym projektem ustawy, po stronie Rzecznika Praw Obywatelskich i polega ona na ustaleniu, czy zgłoszenie dotyczy informacji o naruszeniu prawa oraz zidentyfikowaniu organu publicznego właściwego do podjęcia działań następczych. W przypadku, w którym zgłoszenie dotyczy informacji o naruszeniu prawa, Rzecznik Praw Obywatelskich niezwłocznie, nie później jednak niż w ciągu 14 dni od dnia dokonania zgłoszenia, przekazuje zgłoszenie do organu publicznego właściwego do podjęcia działań następczych. Organ publiczny natomiast przekazuje zgłaszającemu informację zwrotną w terminie nieprzekraczającym 3 miesięcy od dnia przyjęcia zgłoszenia.

Kanał zewnętrzny ma działać analogicznie do kanału wewnętrznego, co oznacza iż koniecznie powinien on zapewnić ochronę tożsamości sygnalisty i osób podanych w zgłoszeniu. Ciężar ochrony danych osobowych spoczywa w tym przypadku na organie publicznym obsługującym dany kanał.

Powierzenie przyjmowania i rozpatrywania zgłoszeń przez IOD – czy jest to możliwe?

Artykuł 38 ust. 6 RODO[2] przewiduje, iż inspektor ochrony danych może wykonywać „inne zadania i obowiązki”. W przepisie występuje jednak zastrzeżenie, że „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”. TSUE stoi na stanowisku, zgodnie z którym art. 38 ust. 6 RODO, należy interpretować w ten sposób, że „konflikt interesów” w rozumieniu tego przepisu może istnieć w sytuacji, gdy inspektor ochrony danych otrzymuje inne zadania lub obowiązki, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego, co należy ocenić odrębnie w każdym przypadku na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej administratora lub jego podmiotu przetwarzającego, oraz w świetle całości obowiązujących przepisów, w tym ewentualnych przepisów wewnętrznych administratora lub podmiotu przetwarzającego[3]. Konflikt występuje wtedy, gdy nie można pogodzić prawidłowego wykonywania zadań przez IOD. Należy zauważyć, że konflikt interesów powinien być rozpatrywany na każdym etapie podejmowanych czynności, gdyż może on wystąpić także w późniejszym czasie. Administrator powinien zatem dokonać dokładnej analizy, czy inspektor danych osobowych jest w stanie sprostać zakresowi swoich obowiązków oraz zidentyfikować, czy realizowane przez niego zadania w zakresie przyjmowania i dalszych działań dot. zgłaszania naruszeń wzajemnie się nie wykluczają. W konsekwencji, w naszej ocenie (raczej) nie jest wskazane, aby IOD był członkiem zespołu rozpatrującego zgłoszenia.

Retencja danych osobowych

Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem, zgodnie z projektowanymi przepisami, mają być przechowywane przez podmiot prawny oraz organ publiczny (inny niż RPO) przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Natomiast w przypadku danych osobowych przetwarzanych w związku z przyjęciem zgłoszenia zewnętrznego przez Rzecznika Praw Obywatelskich okres przechowywania ma wynosić 12 miesięcy od zakończenia roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.

[1] Dyrektywa (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa UE

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[3] Wyrok Trybunału Sprawiedliwości z dnia 9 lutego 2023 r. C-453/21