Ochrona danych osobowych

Sygnaliści, nadszedł wasz czas!

16 grudnia 2019 r. weszła w życie Dyrektywa w sprawie ochrony osób zgłaszających naruszenia prawa Unii
(tzw. dyrektywa o ochronie sygnalistów). Europejski ustawodawca zdecydował się na wprowadzenie jednolitego mechanizmu ochrony sygnalistów w państwach członkowskich. Natomiast to polski ustawodawca podjął decyzję, realizując obowiązek implementacji przepisów prawa do krajowego porządku prawnego, o przyjęciu minimalnego lub rozszerzonego standardu ochrony sygnalistów. Niewątpliwe polscy przedsiębiorcy powinni śledzić proces legislacyjny w tym zakresie, ponieważ nowe regulacje będą wymagały od nich wdrożenia odpowiednich procedur.

Kim jest sygnalista?

Celem dyrektywy o ochronie sygnalistów jest poprawa egzekwowania prawa i polityki Unii w określonych dziedzinach poprzez ustanowienie wspólnych minimalnych norm, które zapewnią wysoki poziom ochrony osób zgłaszających naruszenia (tzw. sygnalistów). Na podstawie dyrektywy status sygnalisty przyznano osobie fizycznej pracującej w sektorze prywatnym lub publicznym. Zakresem ochrony niewątpliwie objęto pracowników, osoby prowadzące działalność na własny rachunek, a także m.in. podwykonawców.

Sygnaliści dostarczając informacje odgrywają kluczową rolę w procesie ujawniania przypadków naruszenia prawa. Potencjalni sygnaliści w obawie przed negatywnymi konsekwencjami (np. rozwiązaniem stosunku pracy, obniżeniem wynagrodzenia, piętnowaniem w środowisku pracy) często rezygnują jednak ze zgłaszania zastrzeżeń lub podejrzeń. W związku z tym konieczne jest wprowadzenie narzędzi, które zapewnią ochronę sygnalistów. Istotne jest podkreślenie, że prawne mechanizmy ochrony takich osób nie mogą być wdrażane bez konsekwentnie budowanej kultury etycznej przedsiębiorstwa.

Jakie obowiązki będzie miał przedsiębiorca?

Dyrektywa nakłada na przedsiębiorców m.in. następujące obowiązki:

  • stworzenie skutecznych, poufnych i bezpiecznych kanałów dokonywania zgłoszeń przez sygnalistów,
  • wyznaczenie bezstronnej osoby do podejmowania działań następczych w związku ze zgłoszeniem,
  • podejmowanie działań wyjaśniających i przekazywanie informacji zwrotnych na temat rozpatrywanego zgłoszenia,
  • zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur w zakresie dokonywania zgłoszeń. 
Kogo dotyczą obowiązki wynikające z dyrektywy? 

Dyrektywa obejmuje zarówno sektor prywatny, jak i publiczny. Polski ustawodawca jest zobowiązany dokonać implementacji przepisów prawa w zakresie sygnalistów do polskiego porządku prawnego. W związku z tym w perspektywie kilkunastu miesięcy musimy spodziewać się uchwalenia ustawy regulującej instytucję sygnalisty w polskim systemie prawnym. Do tej pory szeroka ochrona sygnalistów wynikała jedynie z projektów ustaw np. projektu ustawy o jawności życia publicznego, projektu ustawy o odpowiedzialności podmiotów zbiorowych.

Dyrektywa obejmuje przedsiębiorców, którzy zatrudniają co najmniej 250 pracowników. Przedsiębiorcy zatrudniający od 50 do 249 pracowników również będą podlegać dyrektywie, ale dopiero po czterech latach od jej wejścia w życie, czyli od 17 grudnia 2023 r. Dodatkowo dyrektywa pozwala państwom członkowskim zobowiązać podmioty prywatne zatrudniające mniej niż 50 pracowników do wprowadzenia w przedsiębiorstwie mechanizmów ochrony sygnalistów.

Warto również wspomnieć, że na podstawie dyrektywy ograniczono zakres dziedzin objętych obowiązkiem zgłaszania naruszenia. Przyjęto, że zakres przedmiotowy dyrektywy obejmuje m.in. obszar zamówień publicznych, bezpieczeństwa transportu, ochrony środowiska, bezpieczeństwa żywności, ochrony konsumentów, ochrony prywatności i danych osobowych (art. 2 ust. 1 lit. a dyrektywy). Ponadto europejski ustawodawca zdecydował, że zgłoszenia obejmują również naruszenia dotyczące rynku wewnętrznego, w szczególności naruszenia dotyczące zasad konkurencji oraz pomocy publicznej. Jednak polski ustawodawca może przyjąć własne rozwiązania w tym zakresie, rozszerzając niniejszy katalog.

Czy należy obawiać się wprowadzanych zmian?

Zdecydowanie warto już teraz rozpocząć przygotowania do wprowadzenia mechanizmów ochrony sygnalistów w przedsiębiorstwach. Proces jest wymagający, ale nieunikniony. W konsekwencji każdy przedsiębiorca powinien, przygotowując się na nadchodzące zmiany, wdrożyć program compliance w swojej organizacji. Dyrektywa przewiduje bowiem wprowadzenie przez państwa członkowskie, do ich krajowych porządków prawnych, skutecznych, proporcjonalnych i odstraszających sankcji za utrudnienie dokonywania zgłoszeń, podejmowanie działań odwetowych, uciążliwe prowadzenie postępowania w sprawie naruszenia, czy niezachowanie w poufności danych osobowych sygnalisty. Zagadką jest jak rygorystyczne sankcje zostaną przewidziane przez polskiego ustawodawcę. Jednak biorąc pod uwagę np. projekt ustawy o odpowiedzialności podmiotów zbiorowych, w którym nieprzeprowadzenie postępowania wyjaśniającego lub nieusunięcie stwierdzonych w ramach tego postępowania nieprawidłowości lub naruszeń zagrożone zostało karą pieniężną w wysokości do 60 milionów zł, można spodziewać się równie wysokich kar pieniężnych.

Autor: Aleksandra Chatys, Specjalista ds. ochrony danych osobowych/Prawnik, JAMANO Sp. z o.o.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *