Dokładnie 17 listopada 2021 r. zakończyły się konsultacje publiczne projektu ustawy o ochronie osób zgłaszających naruszenia prawa – wynika z informacji udostępnionej na stronie internetowej Rządowego Centrum Legislacji, dotyczącej właśnie konsultacji publicznych. Projekt przygotowany przez Ministerstwo Rodziny i Polityki Społecznej ma wdrożyć do naszego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, zwanej dyrektywą 2019/1937. Termin jej implementacji mija 17 grudnia 2021 r.
 

O problemach związanych z wdrożeniem regulacji chroniących sygnalistów, Ewa Usowicz, szefowa Prawo.pl, będzie rozmawiać już w najbliższy piątek, 10 grudnia, z prawnikami, podczas debaty organizowanej przez Wolters Kluwer „Czy firmy są przygotowane do wdrożenia ochrony sygnalistów i jak mogą im w tym pomóc prawnicy” -- UDZIAŁ BEZPŁATNY -- Link do rejestracji >
 

Czas biegnie a problemów do rozwiązania nie ubywa

- Dyrektywa wymaga przyjęcia regulacji prawnych związanych ze zgłaszaniem naruszeń, w tym dotyczących ochrony zgłaszających oraz trybu zgłaszania naruszeń i podejmowania działań następczych przez pracodawców i organy publiczne. Ma to służyć lepszemu egzekwowaniu prawa i polityk Unii poprzez skuteczniejsze wykrywanie przypadków naruszeń, prowadzenie postępowań wyjaśniających i ściganie. Osoby pracujące w podmiotach prywatnych i publicznych lub utrzymujące z nimi kontakt w związku ze swoją działalnością zawodową mogą w związku z taką pracą lub działalnością dowiedzieć się o zagrożeniach lub szkodach dla interesu publicznego, a działając jako tzw. sygnaliści, odegrać istotną rolę w ujawnianiu naruszeń. Rozwiązania krajowe powinny zatem zapewnić zrównoważoną i skuteczną ochronę osób zgłaszających naruszenia – wyjaśnia w informacji Ministerstwo Rodziny i Polityki Społecznej.

Czytaj również: Ustawa o sygnalistach to nowe obowiązki, które musi znać pracodawca>>

 

Pracodawcy mają uwagi 

Na mankamenty projektu ustawy uwagę zwracała m.in. Konfederacja Lewiatan. W swoim stanowisku odniosła się do jednego z najbardziej kontrowersyjnych projektowanych przepisów, czyli art. 8. MRiPS zaproponowało w nim, by dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegały ujawnieniu, chyba że za wyraźną zgodą zgłaszającego. Zgodnie z jego ust. 2, pracodawca, organ publiczny lub organ centralny, po otrzymaniu zgłoszenia, będzie mógł w celu weryfikacji zgłoszenia oraz podjęcia działań następczych zbierać i przetwarzać dane osobowe osoby, której dotyczy zgłoszenie, nawet bez jej zgody. Ministerstwo zaproponowało, by przepisu art. 14 ust. 2 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) nie stosować, chyba że zgłaszający działał z naruszeniem art. 6. Ponadto w myśl ww. art. ust. 3 dane osobowe przetwarzane w związku z przyjęciem zgłoszenia miałyby być przechowywane przez pracodawcę, organ publiczny lub organ centralny nie dłużej niż przez okres 5 lat od dnia przyjęcia zgłoszenia. 

Czytaj w LEX:  Baran Beata, Ochrona sygnalistów - rola działów i managerów HR we wdrożeniu systemów whistleblowingowych >

- Przepis nie uwzględnia, iż postępowanie wyjaśniające może w praktyce trwać przez długi czas (patrz uwagi do art. 29 ust 1, pkt  8). Zasadna byłaby regulacja terminu wydłużonego, gdy dane osobowe są elementem dowodu w postępowaniu prowadzonym na podstawie prawa lub gdy pracodawca powziął wiadomość, że mogą one stanowić dowód w postępowaniu – termin uległby wtedy przedłużeniu do czasu prawomocnego zakończenia postępowania). Brak przepisu wskazującego, że po upływie wskazanych okresów nośniki zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej – wskazuje Konfederacja Lewiatan.

- Jednym z podstawowych problemów projektowanej regulacji, której celem jest ochrona sygnalisty oraz szybkie przywrócenie stanu zgodnego z prawem, jest to, że pracodawcy, którzy je prowadzą, będąc administratorami danych osobowych osób, których dane są przetwarzanie w procesie zgłoszenia i działań następczych, muszą mieć podstawę prawną do przetwarzania ich danych. Nie będą to tylko dane samych sygnalistów, ale i osób, których zgłoszenie dotyczy, i np. świadków, pomocników. Tymczasem takiej podstawy prawnej projekt nie zawiera. Owszem, pozór tej podstawy stanowi projektowany art. 8, ale ma on nieprawidłową konstrukcję – mówi dr Dominik Lubasz, radca prawny, wspólnik w kancelarii Lubasz i Wspólnicy. I dodaje: - To jest jeden z podstawowych problemów, bowiem oczywiście można próbować stosować przesłankę legalizującą z art. 6 ust. 1 lit. f RODO, tj. przesłankę uzasadnionego interesu administratora, przy czym po pierwsze jej zastosowanie wymaga podjęcia przez administratora dodatkowych czynności np. przeprowadzenia testu równowagi, a po drugie nie rozwiązuje to problemu przetwarzania danych osobowych szczególnych kategorii.

Sprawdź w LEX: Czy inspektorowi ochrony danych można powierzyć zadania związane z przygotowaniem i wdrożeniem ochrony sygnalistów w organizacji oraz bieżącą obsługę zgłoszeń?  >

Zdaniem dr Lubasza, odrębną kwestią jest poufność – ale nie anonimowość – sygnalisty. – Wprowadzone rozwiązania są daleko niewystarczające z perspektywy praw, jakie przysługują podmiotom danych na podstawie RODO, zwłaszcza osobom których zgłoszenie dotyczy, a w stosunku do której zwłaszcza tożsamość sygnalisty powinna być poufna. Projekt ustawy w art. 8 ust. 2  wyłącza bowiem obowiązek informowania osoby, której zgłoszenie dotyczy, o źródle pochodzenia danych, zapominając o uprawnieniach informacyjnych dotyczących źródła danych na podstawie prawa dostępu (art. 15 ust. 1 lit. g RODO) – podkreśla dr Dominik Lubasz. 

Jak podkreśla Aleksandra Minkowicz-Flanek, radca prawny, partner w kancelarii Dentons, kierująca Zespołem Prawa Pracy, duże kontrowersje budzi art. 8 projektu ustawy, który przez ekspertów RODO jest oceniany jako niosący ryzyko, że dane osoby zgłaszającej naruszenie mogą być ujawnione osobie obwinionej. - Ochrona danych osobowych osoby zgłaszającej jest ważna, ale jest też zasada ochrony praw obwinionego i dania mu szansy na odniesienie się do stawianych zarzutów. Nie wyobrażam sobie sytuacji, żeby osoba obwiniona dowiadywała się o toczącym się postępowaniu jedynie z plotek. Zasadą powinno być, że sygnalista pozostaje anonimowy tak długo, jak to możliwe – zaznacza mec. Minkowicz–Flanek.

Czytaj w LEX: Baran Beata, Ochrona sygnalistów - nowe regulacje prawne dla organizacji >

 


Przygotowywać procedury czy czekać na ustawę?

Pracodawcy, którzy zastanawiają się, czy już teraz przygotowywać procedurę, czy może poczekać do uchwalenia ustawy, gdy będzie znany ostateczny jej kształt, w zasadzie nie powinni mieć tych dylematów.

- W prawie europejskim obowiązuje zasada bezpośredniości stosowania prawa. Dotyczy ona rozporządzeń unijnych, bo dyrektywy wymagają implementacji przez  państwa członkowskie. Wytworzyła się jednak linia orzecznicza, zgodnie z którą zasada bezpośredniości byłaby stosowana także do dyrektyw. Jeżeli dyrektywa zawiera przepisy jasne i klarowne to powinna działać w praktyce na linii obywatel – państwo, państwo – obywatel. Oznacza to, że w relacjach pracodawca – pracownik, pracodawca – osoba zatrudniona na innej podstawie niż umowa o pracę należy czekać na implementację – mówi Aleksandra Minkowicz-Flanek.

Czytaj w LEX: Ziółkowska Krystyna, Whistleblowing jako przejaw dbałości o dobro zakładu pracy >

Nie oznacza to jednak, że nie można już teraz przygotować procedury wzorując się na postanowieniach unijnej dyrektywy. Ewentualne jej dostosowanie do  ostatecznego kształtu ustawy o ochronie osób zgłaszających naruszenia prawa  zajmie na pewno mniej czasu niż tworzenie procedury dopiero po uchwaleniu ustawy. Zwłaszcza, że projektodawcy proponują bardzo krótki – jak na obowiązki pracodawców – okres vacatio legis. Zgodnie z projektem, ma to być tylko 14 dni.

Czytaj w LEX: Gumularz Mirosław, Projektowanie prywatności (privacy by design) w ramach elektronicznych kanałów zgłaszania naruszeń przez sygnalistów >

- Polski projekt ustawy o sygnalistach nie odbiega znacząco w swoich założeniach od dyrektywy UE. Dlatego już teraz również pracodawcy, na których nie będzie nałożony obowiązek natychmiastowego wprowadzenia zasad i procedur wskazanych w ustawie powinni się do tego przygotować. Opracowanie procedur zgłaszania nieprawidłowości w firmach wymaga dogłębnej analizy ryzyka w konkretnym przedsiębiorstwie, ale również na gruncie całej korporacji. To proces skomplikowany i długotrwały, wymagający bliskiej współpracy zarządu z pracownikami różnych szczebli, stąd warto poświęcić czas, by się do niego dobrze przygotować i właściwie go ustrukturyzować - mówi Magdalena Żak, dyrektor Działu Prawnego Johnson & Johnson MD dla Polski i Krajów Bałtyckich.  

Zobacz wzór dokumentu w LEX: Lista kontrolna dotycząca elektronicznych kanałów dokonywania zgłoszeń przez sygnalistów >

Jak wskazuje ponadto dr Lubasz, pamiętać też należy o tym, że procedura zgłoszeń wewnętrznych i działań następczych nie będzie zawieszona w próżni a działania pracodawców nie będą ograniczały się do zagadnień wynikających z projektowanej ustawy. Niezbędna będzie ocena projektowanych rozwiązań i podejmowanych decyzji wdrożeniowych z perspektywy systemu ochrony danych osobowych, co również należy uwzględnić w aspekcie czasowym przygotowań. 

 


Kto ma w firmie odpowiadać za procedurę: compliance czy HR?

Na pewno już teraz pracodawcy powinni myśleć nie tylko o tym, jak od strony organizacyjnej ma wyglądać w ich firmie procedura zgłaszania naruszeń prawa, ale nawet kogo – personalnie -  uczynią odpowiedzialnym za analizowanie zgłoszeń.

Zobacz wzory dokumentów w LEX:

Procedura ochrony danych sygnalisty w ramach rozpatrywania skarg i wniosków >

Klauzula informacyjna w związku z przetwarzaniem danych osobowych sygnalisty >

Dr Dominik Lubasz pytany o to, kto w organizacji powinien zajmować się obsługą zgłoszeń: dział personalny czy compliance, stwierdził: - Działowi compliance jest najbliżej, rozważane są także komórka audytu wewnętrznego, o ile organizacja ją posiada, oraz inspektor ochrony danych. Przy podejmowaniu decyzji konieczne jest przeanalizowanie czy dana jednostka zachowa wymaganą projektowanymi przepisami niezależność oraz czy zapewnionych będzie brak konfliktu interesów. Zwłaszcza w tym ostatnim aspekcie problematyczna być może możliwość łączenia funkcji z inspektorem ochrony danych, na co zwracał już uwagę Prezes Urzędu Ochrony Danych Osobowych, choć nie wykluczył ich połączenia, o ile spełnione będą warunki z art. 38 ust. 6 RODO. 

Czytaj w LEX: Marciniak Jarosław, Rola HR w obszarach Compliance - przełożenie na praktykę współdziałania >

W opinii mec. Minkowicz–Flanek, najlepszym rozwiązaniem byłoby powołanie trzyosobowych komisji, w skład których wchodziłyby osoby o różnych kompetencjach i dużym doświadczeniu, np. osoba z compliance i osoba z HR. – Nie mogą być to osoby przypadkowe. Z drugiej strona osoba długo pracująca w firmie i znająca wszystkich też może mieć problemy z bezstronnością – podkreśla. I dodaje: - Trzeba szukać osób mających kompetencje, które nie będą traktowały tego zadania jako niechcianego z powodu braku umiejętności czy doświadczenia.

--------------------------------------------------------

10 grudnia zapraszamy do udziału w debacie organizowanej przez Wolters Kluwer „Czy firmy są przygotowane do wdrożenia ochrony sygnalistów i jak mogą im w tym pomóc prawnicy” -- UDZIAŁ BEZPŁATNY -- Link do rejestracji >

--------------------------------------------------------