Sygnaliści a RODO
23.08.2021 Publikacje
Przedsiębiorcy muszą pogodzić wymogi ochrony sygnalistów z ochroną danych osobowych. To obszar ryzyka, w którym nie mogą się oprzeć bezpośrednio na przepisach dyrektywy. Potrzebne są przemyślane przepisy krajowe. Czasu na ich przygotowanie jest jednak coraz mniej.
Kształt i kierunek opracowywanych w MRPiT rozwiązań, które od 17 grudnia 2021 muszą zafunkcjonować w polskim porządku prawnym, wciąż pozostają zagadką. Tymczasem przepisy dyrektywy o ochronie sygnalistów mają charakter ramowy Nie są przeznaczone do stosowania w krytycznym dla przedsiębiorcy zakresie: w bezpośredniej relacji pomiędzy nim a sygnalistą czy innymi osobami w kontekście zgłoszenia nieprawidłowości. Niezbędne mechanizmy muszą znaleźć się w przepisach krajowych.
SYGNALISTA TAJNY – DO WIADOMOŚCI NARUSZYCIELA
Jest to szczególnie istotne na styku obszarów ryzyka: ochrony sygnalistów oraz danych osobowych. Przedsiębiorca bowiem miałby obowiązek traktować tożsamość sygnalisty w sposób poufny. Przyjęcie i reakcja na zgłoszenie zgodnie z przepisami mogą jednak wymagać od niego przetwarzania danych osobowych różnych osób. Część z nich może zresztą udostępnić już sam sygnalista, np. przekazując dane współpracowników w ramach zgłoszenia nieprawidłowości. Tymczasem takim osobom już dziś przysługuje wobec przedsiębiorcy szereg uprawnień. Jest to np. prawo żądania informacji o źródle danych, którym może być… właśnie sygnalista, Jest to także np. prawo dostępu do treści danych, co może być instrumentalnie wykorzystywane do żądania wglądu w treść zgłoszenia.
JAK PRZECIĄĆ NIEPEWNOŚĆ
Prawodawca europejski ten dylemat zauważył. Nie mógł jednak rozwiązać go samodzielnie. Wynika to z charakteru dyrektywy. Obowiązuje ona pomiędzy Unią a państwami członkowskimi. Nie zawiera podstaw prawnych, z których mogliby korzystać bezpośrednio przedsiębiorcy i sygnaliści. Stąd dyrektywa sugeruje rozwiązanie: ograniczenie wykonywania niektórych praw do ochrony danych osobowych osób, których dotyczy zgłoszenie. Na gruncie RODO mogłoby to być dopuszczalne np. na potrzeby zapobiegania i zaradzenia próbom utrudniania dokonywania zgłoszeń, utrudniania, udaremniania lub spowalniania działań następczych, w tym wyjaśniających, lub próbom ustalenia tożsamości osób dokonujących zgłoszenia.
Warunek? Taki bezpiecznik musi znaleźć się w przepisach ustawy. Bez tego przedsiębiorcy niebędą mogli z niego skorzystać. Chroniąc sygnalistę, narażą się na odpowiedzialność z RODO. Chroniąc dane osobowe, narażą na szwank sygnalistę. To brak pewności, który może być jeszcze bardziej dotkliwy w relacjach transgra-nicznych (np. w obrębie grupy czy łańcucha dostaw).
Przed autorami ustawy o ochronie sygnalistów stoi zatem niełatwe zadanie. Muszą zapobiec instrumentalnemu wykorzystywaniu RODO, ale w sposób adekwatny i proporcjonalny – nie naruszając istoty prawa do ochrony danych. Potrzebne jest rozwiązanie wyważone i wypracowane z praktykami. Tym bardziej niepokoi przedłużająca się po stronie resortu cisza.
Artykuł autorstwa Marcina Maciejaka ukazał się w najnowszym wydaniu tygodnika Newsweek (z dn. 23.08.2021 r.).
Mogą Cię zainteresować
17.07.2024
Czy zatrudnienie przez Microsoft pracowników start-upów może być formą koncentracji ?
Czy zatrudnienie przez Microsoft pracowników start-upów może być formą koncentracji ? Zatrudnienie przez Microsoft pracowników start-upów jest badane jako możliwa fuz...
10.07.2024
Jedni idą na wakacje, a inni – na wojnę z gigantami cyfrowymi Microsoftem i Apple
W przypadku Microsoft - Komisja zarzuca Microsoft nadużycie pozycji dominującej na światowym rynku aplikacji SaaS poprzez związanie produktu do komunikacji i współpracy ...