Dyrektywa o ochronie Sygnalistów, a RODO.

Opublikowano: 
29.6.2022 14:17
Dyrektywa o ochronie Sygnalistów i jej powiązanie z przepisami RODO

Zgodnie z Dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/1937 każda osoba, która dokona zgłoszenia naruszenia, którego była bezpośrednim lub pośrednim świadkiem podlega ochronie. Dane osobowe Sygnalistów powinny być bezwzględnie zabezpieczone przed osobami trzecimi. W jaki sposób przepisy o ochronie osób sygnalizujących nieprawidłowości są powiązane z tymi dotyczącymi RODO?

Kto podlega ochronie w związku z nowymi przepisami?

Przed pojawieniem się Dyrektywy Parlamentu Europejskiego i Rady, osoby, które były świadkami naruszeń, a następnie dokonały ich zgłoszenia nie były w tak zaawansowanym stopniu prawnie chronione przed reperkusjami ze strony m.in. współpracowników lub kadry zarządczej. Działania odwetowe polegały na degradacji ze stanowiska lub całkowitej utracie zatrudnienia. W związku z tym, że każdy kraj członkowski Unii Europejskiej został zobligowany do stworzenia i zaimplementowania państwowych przepisów odnośnie Sygnalistów, wszystkie osoby fizyczne, pracujące w sektorze prywatnym, lub publicznym oraz spełniające założenia dyrektywy stały się prawnie chronione. Należą do nich:

- Aktualni oraz byli pracownicy.

- Osoby starające się o zatrudnienie.

- Osoby, które wykonują pracę na zasadzie umowy cywilnoprawnej lub pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy.

- Przedsiębiorcy.

- Akcjonariusze lub wspólnicy.

- Członkowie organów osób prawnych.

- Stażyści.

- Wolontariusze.

Jak RODO wpływa na dyrektywę o Sygnalistach?

Zabezpieczenie Sygnalistów przed działaniami odwetowymi polega na ochronie poufności ich tożsamości. Przetwarzanie, wymiana i przekazywanie danych osobowych osób zgłaszających naruszenia dokonywane musi być zgodnie z RODO oraz dyrektywą DODO (ustawą z dnia 14 grudnia 2018 r. o ochronie danych osobowych w związku z zapobieganiem i zwalczeniem przestępczości). Wszelkie dane, które nie mają związku z konkretnym zgłoszeniem nie powinny być gromadzone, a jeśli zostały zebrane muszą być natychmiastowo usunięte.

Nowy projekt ustawy o ochronie Sygnalistów przewiduje, że dane osobowe Sygnalistów oraz inne informacje, które są potrzebne do ustalenia ich tożsamości nie podlegają ujawnieniu, jeśli zgłaszający nie wydali na to zgody. Wyjątkiem są sytuacje, gdy pracodawca, organ publiczny lub organ centralny otrzymali zawiadomienie i pracują nad weryfikacją jego autentyczności oraz podejmują działania naprawcze. Co więcej, dane osobowe potrzebne do obsługi zgłoszeń mogą być przechowywane przez wyżej wymienione organy nie dłużej niż przez okres 5 lat, liczony od dnia ich przyjęcia.

W jaki sposób pracodawca może chronić dane zgłaszającego?

Przede wszystkim, obowiązkiem pracodawców jest wyjaśnienie pracownikom wszelkich wątpliwości dotyczących procesu sygnalizowania nieprawidłowości oraz poinformowanie ich o zasadach sygnalizowania naruszeń. Systemem, który z pewnością usprawnia komunikację w relacjach pracodawcy z pracownikami jest system Sygnalista do przyjmowania i obsługi zgłoszeń.

W celu ochrony danych osobowych osób zgłaszających nieprawidłowości, pracodawcy powinni wprowadzić kompleksowe rozwiązania organizacyjne. Należą do nich m.in.:

- Upoważnienia. Dostęp do konkretnego zgłoszenia powinny mieć tylko osoby, które zostały w pisemny sposób upoważnione do jego obsługi. Istotne jest to, aby było ich jak najmniej oraz żeby zostały zobowiązane do zachowania tajemnicy i przestrzegania zasad ochrony poufności tożsamości Sygnalistów.  

- Regulaminy. Pracodawcy powinni stworzyć odpowiednie zapisy, które w sposób transparentny i rzetelny opisują wszystkie etapy obsługi zgłoszeń tak, aby wszelkie wątpliwości pracowników zostały rozwiane. W tym celu mogą zastosować formę regulaminów lub dokumentacji procedur.

- Anonimizacja danych. Działania te polegają na modyfikacji danych osobowych w taki sposób, aby połączenie informacji z określoną osobą fizyczną było niemożliwe lub wymagało zbyt dużych kosztów finansowych.  

Zgodnie z ustanowionymi przepisami RODO, pracodawcy objęci dyrektywą o ochronie Sygnalistów powinni spełnić obowiązek informacyjny względem osoby zgłaszającej naruszenie oraz tej, której ono dotyczy. Istnieje kilka sposobów powiadamiania osoby sygnalizującej, a jednym z nich jest, na przykład zamieszczenie odpowiedniej informacji w formie odpowiedzi w systemie Sygnalista. W przypadku sprawcy naruszenia, którego dotyczy zgłoszenie, zgodnie z RODO, pracodawca ma na przekazanie informacji w ciągu 30 dni od momentu uzyskania danych.

Podsumowując, obowiązkiem pracodawcy jest zapewnić skuteczną ochronę poufności tożsamości Sygnalistów zgodną zarówno z wytycznymi dyrektywy Unii Europejskiej, jak i przepisami RODO.