Szkolenie online „Wymagania prawno-techniczne w świetle dyrektywy UE i RODO” zgromadziło szerokie grono uczestników. Na ich pytania odpowiadali prelegenci: dr Mirosław Gumularz, radca prawny specjalizujący się w prawie nowych technologii (m.in. ochrona danych osobowych oraz e-commerce) oraz Krzysztof Wilkos, architekt oprogramowania Esignaller.

Dzięki webinarowi uczestnicy dowiedzieli się:

- jakie nowe kanały przyjmowania zgłoszeń można wdrożyć, aby spełnić wymagania przepisów o ochronie sygnalistów
- jakie wymagania stawiają przepisy w kontekście kanałów przyjmowania zgłoszeń
- jakie istnieją ryzyka prawne i prawno-techniczne oraz czego należy unikać, aby proces zgłaszania nieprawidłowości był zgodny z wyznaczoną regulacjami procedurą.

Wybrane pytania uczestników szkolenia i odpowiedzi ekspertów

Czy sam numer telefonu jest daną osobową? Czy ma tu zastosowanie ustawa prawo telekomunikacyjne?

Z pewnością nie każdy nr telefonu (np. do abonenta spółki) jest daną osobową. Niemniej w tym zakresie UODO ma dość restrykcyjne stanowisko. Znamy decyzje (niepublikowane) UODO, gdzie urząd stwierdził, że nr telefonu (sam, tj. bez dodatkowych danych) to dane osobowe.

Czy jako firma możemy stworzyć dedykowany adres mailowy, do którego tylko uprawnione osoby z HR będą miały dostęp i tylko na ten mail osoby będą mogły pisać zgłoszenia?

Nie jest to zakazane. Chodzi o to, żeby zapewnić ograniczony dostęp np. działu IT. Zgodnie z art. 16 ust. 1 dyrektywy 2019/1937 o ochronie sygnalistów państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmo­wania zgłoszeń i podejmowania w związku z nimi działań następczych. Ma to również zastosowanie do wszelkich innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia.

Czy przepisy chronią sygnalistę oraz inne osoby, tj. takie, które wskazał sygnalista, czy osoby w naszej organizacji, które rozpatrują zgłoszenie?

Przepisy dyrektywy o ochronie sygnalistów chronią przede wszystkim sygnalistę (ochrona tożsamości, ochrona przed działaniami odwetowymi). Chronią także osobę, której dotyczy zgłoszenie, ale w ograniczonym zakresie. Nie oznacza to, że te osoby (których dotyczy zgłoszenie lub inne, np. członkowie zespołu przyjmującego zgłoszenia) są wyłączone spod ochrony. Chronić je będzie RODO/kodeks pracy, np. w zakresie dyskryminacji.

Spółka zatrudnia 140 pracowników, ale jest w kilkutysięcznej grupie kapitałowej. Czy fakt bycia członkiem grupy oznacza, że spółka będzie musiała od razu spełniać wymagania, a nie dopiero od grudnia 2023 r.?

Z przepisów dyrektywy i opublikowanych do tej pory projektów pracowników należy obliczać osobno dla każdej spółki w grupie.

Co zrobić, jeśli monitorowanie sieci wewnętrznej firmy powoduje, że odnotowuje się, iż pracownik korzystał z strony dla sygnalistów. Czy wystarczy zapis w regulaminie że logowanie z sieci wewnętrznej firmy nie zapewnia pełnej anonimowości oraz zakaz wyszukiwania przez informatyków, kto się logował na daną stronę?

W tym przypadku nawet nie chodzi o anonimowość bo dyrektywa / projekty wskazują to jako mechanizm fakultatywny. Bardziej chodzi o zakres dostępu. W tym przypadku projekty implementacji są dość ogólne. Dyrektywa natomiast wyraźnie wskazuje, że tożsamość sygnalisty mogą poznać wyłącznie osoby upoważnione do przyjmowania / rozpatrywania zgłoszeń.

Zgodnie z art. 16 ust. 1 dyrektywy 2019/1937 o ochronie sygnalistów państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmo­wania zgłoszeń i podejmowania w związku z nimi działań następczych. Ma to również zastosowanie do wszelkich innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonują­ cej zgłoszenia.

Czy dopuszczalna jest praca nad zgłoszeniem i działania następcze przez dział znajdujący się poza jednostką organizacyjną, np. korporacyjny dział compliance? Czy osobami odpowiedzialnymi za rozpatrywanie zgłoszeń mogą być osoby spoza organizacji (np. wyznaczony zespół w ramach międzynarodowej grupy spółek)?

Dopuszczalne. Dyrektywa o ochronie sygnalistów w motywie 54 wskazuje: "Do przyjmowania zgłoszeń naruszeń w imieniu podmiotów prawnych w sektorze prywatnym i publicznym mogą również zostać upoważnione osoby trzecie, pod warunkiem że zapewniają należyte gwarancje poszano­wania niezależności, poufności, ochrony danych i zachowania tajemnicy. Takimi osobami trzecimi mogą być dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związ­ków zawodowych lub przedstawiciele pracowników". 

Czy zarząd spółki również będzie musiał otrzymać odpowiednie upoważnienia, biorąc pod uwagę, że osoby z zarządu nie będą stanowić komisji do rozpatrywania zgłoszeń, jednak na istotnym dla spółki poziomie każda decyzja jest konsultowana z zarządem?

To jest jedna z bardziej problematycznych kwestii. Mianowicie, czy kierownictwo może uczestniczyć w podejmowaniu decyzji względem sygnalisty. Przepisy tego nie wykluczają o ile spełnione będą inne wymagania np. co do upoważnienia do działania w jednostce rozpatrującej zgłoszenia.

Może natomiast pojawić się problem bezstronności / niezależności. Motyw 56 dyrektywy o ochronie sygnalistów wskazuje, że "Wybór najwłaściwszych osób lub wydziałów w ramach podmiotu prawnego w sektorze prywatnym, które mają zostać wyznaczone jako właściwe do przyjmowania zgłoszeń i podejmowania działań następczych w związku z nimi, zależy od struktury danego podmiotu, ale w każdym przypadku ich funkcja powinna zapewniać brak konfliktu interesów i niezależność". 

Jak często mają być dane usuwane - po jakim czasie? Jak określić retencję?

To będą określać przepisy krajowe. 

Czy liczba pracowników, odnośnie terminu wdrożenia przepisów, dotyczy tylko pracowników zatrudnionych na podstawie stosunku pracy? Czy pojęcie pracownika jest szersze i dotyczy też osób zatrudnionych na podstawie umowy zlecenia, umowy o dzieło czy B2B?

Według projektów chodzić będzie raczej o umowy o prace, ale kwestia jest otwarta do momentu wejścia przepisów implementujących. 

Czy jednostki samorządu terytorialnego obowiązują te same terminy i limity co sektor prywatny?

JST może dotyczyć zgłoszenie wewnętrzne lub zewnętrzne. Kwestia terminów zostanie dookreślona w ramach przepisów krajowych.