Sygnaliści a RODO

Przedsiębiorcy muszą pogodzić wymogi ochrony sygnalistów z ochroną danych osobowych. To obszar ryzyka, w którym nie mogą się oprzeć bezpośrednio na przepisach dyrektywy. Potrzebne są przemyślane przepisy krajowe. Czasu na ich przygotowanie jest jednak coraz mniej.

Kształt i kierunek opracowywanych w MRPiT rozwiązań, które od 17 grudnia 2021 muszą zafunkcjonować w polskim porządku prawnym, wciąż pozostają zagadką. Tymczasem przepisy dyrektywy o ochronie sygnalistów mają charakter ramowy Nie są przeznaczone do stosowania w krytycznym dla przedsiębiorcy zakresie: w bezpośredniej relacji pomiędzy nim a sygnalistą czy innymi osobami w kontekście zgłoszenia nieprawidłowości. Niezbędne mechanizmy muszą znaleźć się w przepisach krajowych.

SYGNALISTA TAJNY – DO WIADOMOŚCI NARUSZYCIELA

Jest to szczególnie istotne na styku obszarów ryzyka: ochrony sygnalistów oraz danych osobowych. Przedsiębiorca bowiem miałby obowiązek traktować tożsamość sygnalisty w sposób poufny. Przyjęcie i reakcja na zgłoszenie zgodnie z przepisami mogą jednak wymagać od niego przetwarzania danych osobowych różnych osób. Część z nich może zresztą udostępnić już sam sygnalista, np. przekazując dane współpracowników w ramach zgłoszenia nieprawidłowości. Tymczasem takim osobom już dziś przysługuje wobec przedsiębiorcy szereg uprawnień. Jest to np. prawo żądania informacji o źródle danych, którym może być… właśnie sygnalista, Jest to także np. prawo dostępu do treści danych, co może być instrumentalnie wykorzystywane do żądania wglądu w treść zgłoszenia.

JAK PRZECIĄĆ NIEPEWNOŚĆ

Prawodawca europejski ten dylemat zauważył. Nie mógł jednak rozwiązać go samodzielnie. Wynika to z charakteru dyrektywy. Obowiązuje ona pomiędzy Unią a państwami członkowskimi. Nie zawiera podstaw prawnych, z których mogliby korzystać bezpośrednio przedsiębiorcy i sygnaliści. Stąd dyrektywa sugeruje rozwiązanie: ograniczenie wykonywania niektórych praw do ochrony danych osobowych osób, których dotyczy zgłoszenie. Na gruncie RODO mogłoby to być dopuszczalne np. na potrzeby zapobiegania i zaradzenia próbom utrudniania dokonywania zgłoszeń, utrudniania, udaremniania lub spowalniania działań następczych, w tym wyjaśniających, lub próbom ustalenia tożsamości osób dokonujących zgłoszenia.

Warunek? Taki bezpiecznik musi znaleźć się w przepisach ustawy. Bez tego przedsiębiorcy niebędą mogli z niego skorzystać. Chroniąc sygnalistę, narażą się na odpowiedzialność z RODO. Chroniąc dane osobowe, narażą na szwank sygnalistę. To brak pewności, który może być jeszcze bardziej dotkliwy w relacjach transgra-nicznych (np. w obrębie grupy czy łańcucha dostaw).

Przed autorami ustawy o ochronie sygnalistów stoi zatem niełatwe zadanie. Muszą zapobiec instrumentalnemu wykorzystywaniu RODO, ale w sposób adekwatny i proporcjonalny – nie naruszając istoty prawa do ochrony danych. Potrzebne jest rozwiązanie wyważone i wypracowane z praktykami. Tym bardziej niepokoi przedłużająca się po stronie resortu cisza.

Artykuł autorstwa Marcina Maciejaka ukazał się w najnowszym wydaniu tygodnika Newsweek (z dn. 23.08.2021 r.).