Szkolenie online „Wymagania prawno-techniczne w świetle dyrektywy UE i RODO” zgromadziło szerokie grono uczestników. Na ich pytania odpowiadali prelegenci: dr Mirosław Gumularz, radca prawny specjalizujący się w prawie nowych technologii (m.in. ochrona danych osobowych oraz e-commerce) oraz Krzysztof Wilkos, architekt oprogramowania Esignaller.
Dzięki webinarowi uczestnicy dowiedzieli się:
- jakie nowe kanały przyjmowania zgłoszeń można wdrożyć, aby spełnić wymagania przepisów o ochronie sygnalistów
- jakie wymagania stawiają przepisy w kontekście kanałów przyjmowania zgłoszeń
- jakie istnieją ryzyka prawne i prawno-techniczne oraz czego należy unikać, aby proces zgłaszania nieprawidłowości był zgodny z wyznaczoną regulacjami procedurą.
Wybrane pytania uczestników szkolenia i odpowiedzi ekspertów
- Czy sam numer telefonu jest daną osobową? Czy ma tu zastosowanie ustawa prawo telekomunikacyjne?
Z pewnością nie każdy nr telefonu (np. do abonenta spółki) jest daną osobową. Niemniej w tym zakresie UODO ma dość restrykcyjne stanowisko. Znamy decyzje (niepublikowane) UODO, gdzie urząd stwierdził, że nr telefonu (sam, tj. bez dodatkowych danych) to dane osobowe.
- Czy jako firma możemy stworzyć dedykowany adres mailowy, do którego tylko uprawnione osoby z HR będą miały dostęp i tylko na ten mail osoby będą mogły pisać zgłoszenia?
Nie jest to zakazane. Chodzi o to, żeby zapewnić ograniczony dostęp np. działu IT. Zgodnie z art. 16 ust. 1 dyrektywy 2019/1937 o ochronie sygnalistów państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych. Ma to również zastosowanie do wszelkich innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia.
- Czy przepisy chronią sygnalistę oraz inne osoby, tj. takie, które wskazał sygnalista, czy osoby w naszej organizacji, które rozpatrują zgłoszenie?
Przepisy dyrektywy o ochronie sygnalistów chronią przede wszystkim sygnalistę (ochrona tożsamości, ochrona przed działaniami odwetowymi). Chronią także osobę, której dotyczy zgłoszenie, ale w ograniczonym zakresie. Nie oznacza to, że te osoby (których dotyczy zgłoszenie lub inne, np. członkowie zespołu przyjmującego zgłoszenia) są wyłączone spod ochrony. Chronić je będzie RODO/kodeks pracy, np. w zakresie dyskryminacji.
- Spółka zatrudnia 140 pracowników, ale jest w kilkutysięcznej grupie kapitałowej. Czy fakt bycia członkiem grupy oznacza, że spółka będzie musiała od razu spełniać wymagania, a nie dopiero od grudnia 2023 r.?
Z przepisów dyrektywy i opublikowanych do tej pory projektów pracowników należy obliczać osobno dla każdej spółki w grupie.
- Co zrobić, jeśli monitorowanie sieci wewnętrznej firmy powoduje, że odnotowuje się, iż pracownik korzystał z strony dla sygnalistów. Czy wystarczy zapis w regulaminie że logowanie z sieci wewnętrznej firmy nie zapewnia pełnej anonimowości oraz zakaz wyszukiwania przez informatyków, kto się logował na daną stronę?
W tym przypadku nawet nie chodzi o anonimowość bo dyrektywa / projekty wskazują to jako mechanizm fakultatywny. Bardziej chodzi o zakres dostępu. W tym przypadku projekty implementacji są dość ogólne. Dyrektywa natomiast wyraźnie wskazuje, że tożsamość sygnalisty mogą poznać wyłącznie osoby upoważnione do przyjmowania / rozpatrywania zgłoszeń.
Zgodnie z art. 16 ust. 1 dyrektywy 2019/1937 o ochronie sygnalistów państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych. Ma to również zastosowanie do wszelkich innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonują cej zgłoszenia.
- Czy dopuszczalna jest praca nad zgłoszeniem i działania następcze przez dział znajdujący się poza jednostką organizacyjną, np. korporacyjny dział compliance? Czy osobami odpowiedzialnymi za rozpatrywanie zgłoszeń mogą być osoby spoza organizacji (np. wyznaczony zespół w ramach międzynarodowej grupy spółek)?
Dopuszczalne. Dyrektywa o ochronie sygnalistów w motywie 54 wskazuje: "Do przyjmowania zgłoszeń naruszeń w imieniu podmiotów prawnych w sektorze prywatnym i publicznym mogą również zostać upoważnione osoby trzecie, pod warunkiem że zapewniają należyte gwarancje poszanowania niezależności, poufności, ochrony danych i zachowania tajemnicy. Takimi osobami trzecimi mogą być dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związków zawodowych lub przedstawiciele pracowników".
- Czy zarząd spółki również będzie musiał otrzymać odpowiednie upoważnienia, biorąc pod uwagę, że osoby z zarządu nie będą stanowić komisji do rozpatrywania zgłoszeń, jednak na istotnym dla spółki poziomie każda decyzja jest konsultowana z zarządem?
To jest jedna z bardziej problematycznych kwestii. Mianowicie, czy kierownictwo może uczestniczyć w podejmowaniu decyzji względem sygnalisty. Przepisy tego nie wykluczają o ile spełnione będą inne wymagania np. co do upoważnienia do działania w jednostce rozpatrującej zgłoszenia.
Może natomiast pojawić się problem bezstronności / niezależności. Motyw 56 dyrektywy o ochronie sygnalistów wskazuje, że "Wybór najwłaściwszych osób lub wydziałów w ramach podmiotu prawnego w sektorze prywatnym, które mają zostać wyznaczone jako właściwe do przyjmowania zgłoszeń i podejmowania działań następczych w związku z nimi, zależy od struktury danego podmiotu, ale w każdym przypadku ich funkcja powinna zapewniać brak konfliktu interesów i niezależność".
- Jak często mają być dane usuwane - po jakim czasie? Jak określić retencję?
To będą określać przepisy krajowe.
- Czy liczba pracowników, odnośnie terminu wdrożenia przepisów, dotyczy tylko pracowników zatrudnionych na podstawie stosunku pracy? Czy pojęcie pracownika jest szersze i dotyczy też osób zatrudnionych na podstawie umowy zlecenia, umowy o dzieło czy B2B?
Według projektów chodzić będzie raczej o umowy o prace, ale kwestia jest otwarta do momentu wejścia przepisów implementujących.
- Czy jednostki samorządu terytorialnego obowiązują te same terminy i limity co sektor prywatny?
JST może dotyczyć zgłoszenie wewnętrzne lub zewnętrzne. Kwestia terminów zostanie dookreślona w ramach przepisów krajowych.