Ochrona danych osobowych sygnalistów a opóźnienia we wdrożeniu przepisów dyrektywy dotyczącej ich ochrony
Widmo niezaimplementowanej dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii ciąży nad polskimi przedsiębiorcami i sygnalistami. Jakie są tego dla tych dwóch grup konsekwencje?
Polska nie uchwaliła krajowych przepisów wdrażających dyrektywę o ochronie sygnalistów, co dla przedsiębiorców oznacza przedłużający się stan niepewności, od kiedy taki obowiązek może zacząć funkcjonować – szczególnie że projekt polskiej ustawy daje jedynie 2 miesiące na wdrożenie wszystkich wymaganych prawnie procedur. Stan niepewności zapewne będzie spotęgowany, jeśli w organizacji dojdzie do zgłoszenia naruszeń prawa przez sygnalistę. Jak chronić bowiem jego dane osobowe? Ten obowiązek wynika bowiem obecnie jedynie z przepisów RODO.
Przede wszystkim jednak wspomniane wyżej opóźnienie jest problemem dla sygnalistów.
Największą trudnością może okazać się ochrona danych osobowych zawartych w przyjętym zgłoszeniu. Przedsiębiorcy, czyli administratorzy danych, będą mieli obowiązek chronić dane nie tylko sygnalisty – jeśli je poda – ale również świadków i osób dokonujących naruszeń prawa.
Projektowana ustawa odnosi się do ochrony danych osobowych zawartych w zgłoszeniach, odwołując się również do RODO. Jednakże dopóki nie zostanie uchwalona, ochrona danych sygnalistów dokonujących zgłoszeń już dzisiaj stoi pod znakiem zapytania.
W związku z brzmieniem przepisu art. 23 ust. 1 lit. e) i i) RODO, w projekcie ustawy wyłączony zostanie ciążący na administratorze obowiązek przekazania informacji dotyczących źródła pozyskania danych osobie, której dane dotyczą. W uzasadnieniu ustawy czytamy: „Takie wyłączenie będzie jednak uwarunkowane obowiązkiem spełnienia przez zgłaszającego warunków zawartych w projektowanym art. 6 albo wyrażeniem wyraźnej zgody na ujawnienie swojej tożsamości (projektowany ust. 5). Wyłączony zostanie także, na mocy art. 23 ust. 1 lit. e) i i) rozporządzenia 2016/679, obowiązek realizacji wniosku osoby, której dane dotyczą w zakresie udzielenia informacji o źródle pozyskania danych”, co wydaje się dobrym rozwiązaniem biorąc pod uwagę nadużycia, do jakich może dochodzić na podstawie samych przepisów RODO.
Obecnie sygnalista, który chce dokonać zgłoszenia nieprawidłowości nie korzysta z ochrony przewidzianej przez dyrektywę – tj. z zakazu podejmowania działań odwetowych, czy ochrony jego danych przed ujawnieniem ich osobom postronnym. Co prawda rozporządzenie RODO chroni dane osobowe sygnalistów, jednakże można wyobrazić sobie, że sygnalista podaje dane osobowe osoby naruszającej prawo w zgłoszeniu, a osoba ta żąda podania podstawy przetwarzania jej danych, czy źródła ich pozyskania, czym może doprowadzić do ujawnienia danych sygnalisty.
Dlatego też opóźnianie się rządu polskiego we wdrożeniu dyrektywy pozostawia sygnalistów bez należnej im ochrony.
Nie ryzykuj naruszenia przepisów o ochronie sygnalistów. Notibox gwarantuje, że wszystkie obowiązki wynikające z ustawy o sygnalistach zostaną spełnione na czas.