1. Kolejna regulacja – po co i dla kogo?

Zasadniczym motywem wprowadzenia nowego prawa było przekonanie, iż istnieje konieczność ochrony osób, które zgłaszają występujące w organizacjach nieprawidłowości (sygnaliści). Prawodawca unijny uznał, że w związku z faktem, iż niejednokrotnie jako pierwsze dowiadują się one o zagrożeniach lub szkodach dla interesu publicznego, odgrywają kluczową rolę w procesie ujawniania przypadków naruszenia prawa i zapobiegania im oraz w procesie ochrony interesu społecznego. Czynnikiem zniechęcającym do takiego działania może być jednak obawa przed odwetem.

Co istotne „współcześni ustawodawcy, co do zasady, nie uzależniają dopuszczalności zgłoszenia od motywacji zgłaszającego, kluczowa jest bowiem sama informacja, jej jakość i prawdziwość, bez względu na powody, jakimi kierował się sygnalista”.

Stwierdzono, iż w Unii Europejskiej istnieją różnorodne i niejednolicie stosowane mechanizmy ochrony sygnalistów. Wspólne normy zapewniające minimalne standardy skutecznej ochrony powinny zatem obowiązywać w odniesieniu do tych działań i tych obszarów polityki, w przypadku których:

  • zachodzi konieczność poprawy egzekwowania prawa;
  • niski poziom zgłaszania wśród sygnalistów stanowi kluczowy czynnik wywierający wpływ na egzekwowanie prawa;
  • naruszenia przepisów prawa Unii poważnie szkodzą interesowi publicznemu.

Osoby zgłaszające nieprawidłowości w ramach swojej działalności zawodowej narażają się na ryzyko odwetu w miejscu pracy i wymagają szczególnej ochrony prawnej. Wynika to z ich niestabilnej sytuacji ekonomicznej, będącej skutkiem tego, że ich pozycja zawodowa, w tym sam fakt posiadania pracy, uzależniona jest od konkretnego pracodawcy. A contrario – w przypadkach, w których nie istnieje taka nierównowaga jak w stosunku pracy (np. zwykłych skarg składanych przez obywateli do np. właściwych urzędów), zapewnienie takiej ochrony nie wydaje się konieczne.

Sam mechanizm uznać wiec można jako swego rodzaju prewencję i narzędzie służące zarządzaniu ryzykiem w organizacji.

Prawodawca unijny szacuje, iż nowe przepisy przyniosą korzyści gospodarcze, społeczne oraz dla środowiska, w tym na polu ujawniania nadużyć finansowych i korupcji w kontekście budżetu UE, szacowanych rocznie na kwotę 179–256 mld euro. W dziedzinie zamówień publicznych korzyści wynikające ze skutecznej ochrony sygnalistów w UE szacuje się na kwotę 5,8–9,6 mld euro rocznie. Sygnaliści mają również pomóc w walce z unikaniem opodatkowania (przenoszenie zysków to straty szacowane na ok 50–70 mld euro).

2. Kto i kiedy podlega ochronie?

Celem regulacji jest więc poprawa egzekwowania prawa i polityki Unii w określonych obszarach poprzez ustanowienie wspólnych minimalnych norm ochrony osób zgłaszających działania niezgodne z prawem lub przykłady nadużywania prawa w następujących obszarach:

  • zamówienia publiczne;
  • usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu;
  • bezpieczeństwo produktów i ich zgodność z wymogami;
  • bezpieczeństwo transportu;
  • ochrona środowiska;
  • ochrona radiologiczna i bezpieczeństwo jądrowe;
  • bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt;
  • zdrowie publiczne;
  • ochrona konsumentów;
  • ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych;

Nie zapomniano również o ochronie interesów finansowych Unii, która wiąże się ze zwalczaniem nadużyć finansowych, korupcji i wszelkich innych bezprawnych działań wywierających wpływ na wydatki Unii, pobieranie przychodów i funduszy przez Unię lub składniki majątku Unii.

Należało również ustanowić wspólne minimalne normy ochrony sygnalistów w odniesieniu do naruszeń związanych z rynkiem wewnętrznym, o którym mowa w art. 26 ust. 2 Traktatu o Funkcjonowaniu Unii Europejskiej TFUE z 26.10.2012 r (Dz.Urz.UE.C Nr 326, s. 47). Dyrektywa obejmuje również zgłaszanie nieprawidłowości w zakresie wykrywania przypadków naruszenia unijnego prawa konkurencji i zapobiegania takim naruszeniom.

Ostatnim obszarem są działania prowadzące do naruszenia przepisów i ustaleń regulujących kwestie związane z podatkiem od osób prawnych podejmowane w celu odniesienia korzyści podatkowej i uchylenia się od zobowiązań prawnych.

Regulacja ma zastosowanie do osób pracujących w sektorze prywatnym lub publicznym, które uzyskały informacje na temat naruszeń w kontekście związanym z pracą. Jako adresatów regulacji wskazuje się m.in następujące osoby:

  • posiadające status pracownika;
  • posiadające status osób prowadzących działalność na własny rachunek;
  • akcjonariuszy lub wspólników oraz osoby będące członkami organu zarządzającego przedsiębiorstwa, w tym członków niewykonawczych, a także wolontariuszy i stażystów nieotrzymujących wynagrodzenia;
  • osoby pracujące pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców.

Co ciekawe, gdy informacje dotyczące naruszenia zostaną uzyskane w trakcie procesu rekrutacji lub innych negocjacji poprzedzających zawarcie umowy, Dyrektywa ma również zastosowanie do osób, których stosunek pracy zostanie dopiero nawiązany. Pewne wątpliwości budzi wyrażenie użyte w odniesieniu do stosunku pracy, który „ma zostać dopiero nawiązany”, gdyż sugeruje ono, że sam fakt pozostawania w procesie rekrutacji nie wystarczy, aby kandydat do pracy nabył uprawnienia objęte Dyrektywą. Z konstrukcji art. 4 ust. 3 zdaje się wynikać, że taki stan rzeczy odnosi się do procesów rekrutacyjnych w ich końcowej fazie, tj. np. w fazie negocjacji poprzedzających zawarcie umowy.

Osoby dokonujące zgłoszenia kwalifikują się do objęcia ochroną pod warunkiem, że:

  • miały uzasadnione podstawy, by sądzić, że będące przedmiotem zgłoszenia informacje na temat naruszeń są prawdziwe w momencie dokonywania zgłoszenia i że informacje takie są objęte zakresem stosowania niniejszej Dyrektywy, przy czym nie chodzi tu okoliczności i informacje prawdziwe w ujęciu obiektywnym, a jedynie subiektywnym, tj. takie, jakimi na moment zgłoszenia dysponuje zgłaszający;
  • oraz dokonały zgłoszenia z zastosowaniem przepisów Dyrektywy w jednym z trzech trybów: w trybie zgłoszenia wewnętrznego albo zgłoszenia zewnętrznego lub ujawnienia publicznego, przy czym ochrona osób dokonujących ujawnienia publicznego zakłada spełnienie warunków określonych w art. 15 Dyrektywy.

3. Ex definitione 

Prawodawca sformułował również szereg definicji w tym m. in.:

  • „naruszenie”, poprzez które rozumiemy działania lub zaniechania, które są niezgodne z prawem i dotyczą aktów Unii i dziedzin objętych zakresem przedmiotowym Dyrektywy, lub są sprzeczne z przedmiotem lub celem przepisów zawartych w aktach Unii i dziedzinach objętych tym zakresem;
  • „zgłoszenie” rozumiane jako przekazanie informacji na temat naruszeń w formie ustnej lub pisemnej;
  • „zgłoszenie wewnętrzne” – oznacza zgłoszenie w obrębie podmiotu prywatnego w sektorze prywatnym lub publicznym;
  • „zgłoszenie zewnętrzne” – oznacza zgłoszenie właściwym organom;
  • „działania odwetowe” oznaczają bezpośrednie lub pośrednie działanie lub zaniechanie mające miejsce w kontekście związanym z pracą, które jest spowodowane zgłoszeniem wewnętrznym lub zewnętrznym lub ujawnieniem publicznym i które wyrządza lub może wyrządzić nieuzasadnioną szkodę dla osoby dokonującej zgłoszenia;
  • „działania następcze” to działania podjęte przez odbiorcę zgłoszenia lub właściwy organ w celu oceny prawdziwości zarzutów zawartych w zgłoszeniu oraz, w stosownych przypadkach, w celu zaradzenia naruszeniu będącemu przedmiotem zgłoszenia, w tym poprzez takie działania, jak dochodzenie wewnętrzne, postępowanie wyjaśniające.

4. Nowe obowiązki po stronie organizacji 

Zgłoszenie może mieć formę zgłoszenia wewnętrznego lub zewnętrznego, przy czym pierwszeństwo przyznaje się zgłoszeniom wewnętrznym. Należy zapewnić, by podmioty prawne w sektorze prywatnym i publicznym ustanowiły kanały i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, po konsultacji i w porozumieniu z partnerami społecznymi, jeżeli tak przewiduje prawo krajowe.

W sektorze prywatnym dotyczy to do podmiotów, które zatrudniają co najmniej 50 pracowników (próg ten nie ma zastosowania do podmiotów objętych zakresem stosowania aktów Unii wymienionych w części I.B i II załącznika, tj. usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwo transportu, ochrona środowiska).

Po dokonaniu odpowiedniej oceny ryzyka, uwzględniającej charakter działalności podmiotów i wynikający z niej poziom ryzyka, w szczególności w dziedzinie środowiska i zdrowia publicznego, można zobowiązać do ustanowienia wewnętrznych kanałów i procedur dokonywania zgłoszeń podmioty prawne w sektorze prywatnym, które zatrudniają mniej niż 50 pracowników.

Prawodawca uwzględnił także możliwość dzielenia się zasobami w zakresie przyjmowania zgłoszeń i wszelkich prowadzonych postępowań wyjaśniających przez podmioty zatrudniające od 50 do 249 pracowników.

Obowiązek ustanawiania kanału i procedur stosuje się do wszystkich podmiotów w sektorze publicznym, w tym do podmiotów będących własnością lub znajdujących się pod kontrolą takich podmiotów, przy czym można zwolnić z tego obowiązku:

  • gminy liczące mniej niż 10 000 mieszkańców lub
  • zatrudniające mniej niż 50 pracowników

lub inne podmioty zatrudniające mniej niż 50 pracowników.

5. Zgłoszenia wewnętrzne i działania następcze 

Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych obejmują następujące elementy:

  • bezpieczne kanały przyjmowania zgłoszeń (muszą umożliwiać dokonywanie zgłoszeń na piśmie lub ustnie, w tym za pomocą bezpośredniego spotkania ze zgłaszającym);
  • potwierdzenie osobie dokonującej zgłoszenia przyjęcia zgłoszenia w terminie siedmiu dni od jego otrzymania;
  • wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do komunikacji i podejmowania działań następczych w związku ze zgłoszeniami;
  • podejmowanie z zachowaniem należytej staranności działań następczych przez wyznaczoną osobę lub wyznaczony wydział;
  • podejmowanie z zachowaniem należytej staranności działań następczych, jeżeli prawo krajowe przewiduje takie działania, w odniesieniu do zgłoszeń anonimowych;
  • rozsądny termin na przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia;
  • zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii.

6. Zgłoszenia zewnętrzne

Zgłoszenia takiego dokonać można od razu lub po uprzednim wykorzystaniu kanału wewnętrznego.

Trzeba zapewnić, aby właściwe organy:

  • ustanowiły niezależne i autonomiczne zewnętrzne kanały dokonywania zgłoszeń w celu przyjmowania i przetwarzania informacji na temat naruszeń;
  • niezwłocznie, a w każdym razie w terminie siedmiu dni od otrzymania zgłoszenia, potwierdzały jego otrzymanie, chyba że osoba dokonująca zgłoszenia wystąpiła wyraźnie z odmiennym wnioskiem w tym zakresie lub właściwy organ ma uzasadnione powody, by sądzić, że potwierdzenie otrzymania zgłoszenia zagroziłoby ochronie tożsamości tej osoby;
  • podejmowały z zachowaniem należytej staranności działania następcze w związku ze zgłoszeniami;
  • przekazały osobie dokonującej zgłoszenia informacje zwrotne w rozsądnym terminie, nieprzekraczającym trzech miesięcy lub, w należycie uzasadnionych przypadkach – w terminie sześciu miesięcy;
  • poinformowały osobę dokonującą zgłoszenia o ostatecznym wyniku postępowań wyjaśniających uruchomionych na skutek danego zgłoszenia, zgodnie z procedurami przewidzianymi w prawie krajowym;
  • przekazały w stosownym terminie, w odpowiednich przypadkach, właściwym instytucjom, organom lub jednostkom organizacyjnym Unii informacje zawarte w zgłoszeniu w celu przeprowadzenia dalszego postępowania wyjaśniającego, o ile jest to przewidziane w prawie Unii lub w prawie krajowym.

Zewnętrzne kanały dokonywania zgłoszeń uznaje się za niezależne i autonomiczne, pod warunkiem że zostały zaprojektowane i ustanowione oraz są obsługiwane w sposób zapewniający kompletność, integralność i poufność informacji oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu właściwego organu, a także pozwalają na przechowywanie informacji w sposób trwały, aby umożliwić prowadzenie dalszego postępowania wyjaśniającego.

Podobnie jak w przypadku kanałów wewnętrznych musi istnieć możliwość dokonywania zgłoszeń na piśmie lub ustnie. Ustnego zgłoszenia można dokonywać telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej, a na wniosek osoby dokonującej zgłoszenia – za pomocą bezpośredniego spotkania zorganizowanego w rozsądnym terminie.

Należy także dopilnować, aby właściwe organy publikowały na swoich stronach internetowych w oddzielnej, łatwej do zidentyfikowania i łatwo dostępnej sekcji stosowne informacje (komu, kiedy i na jakich zasadach przysługuje ochrona, jaka procedura i zasady poufności mają zastosowanie).  

7. Środki ochrony

Państwa członkowskie podjąć muszą niezbędne środki, aby zakazać wszelkich form działań odwetowych, w tym gróźb działań odwetowych i prób podejmowania takich działań, w tym w szczególności w formie: zawieszenia, przymusowego urlopu bezpłatnego, zwolnienia, degradacji lub wstrzymania awansu, wstrzymania szkoleń, negatywnej oceny, czy te nieprzedłużenia lub przedterminowego rozwiązania umowy o pracę na czas określony. 

Należy zapewnić ochronę osób zgłaszających, w szczególności odpowiednie informacje i pomoc organów państwa.

Dokonujący zgłoszenia informacji na temat naruszeń lub dokonujący ujawnienia publicznego nie naruszają ponadto żadnych ograniczeń w zakresie ujawniania informacji i nie ponoszą żadnej odpowiedzialności w zw. z takim zgłoszeniem lub ujawnieniem publicznym, pod warunkiem że miały uzasadnione podstawy, by sądzić, że zgłoszenie lub ujawnienie publiczne takich informacji jest niezbędne do ujawnienia naruszenia.

Również w postępowaniach przed sądem lub innym organem dotyczących szkody poniesionej przez osobę dokonującą zgłoszenia, jeżeli osoba ta twierdzi, iż w wyniku zgłoszenia lub dokonania ujawnienia publicznego poniosła szkodę, przyjmuje się, że została ona wyrządzona w ramach działań odwetowych i to na osobie, która podjęła działania powodujące szkodę, spoczywa ciężar udowodnienia, że przeprowadziła je z należycie uzasadnionych powodów.

8. Sankcje

Ustanowić trzeba skuteczne, proporcjonalne i odstraszające sankcje stosowane wobec osób fizycznych lub prawnych, które:

  • utrudniają lub usiłują utrudniać dokonywanie zgłoszeń;
  •  podejmują działania odwetowe;
  • wszczynają uciążliwe postępowania przeciwko sygnalistom;
  • dopuszczają się naruszeń obowiązku zachowania poufności tożsamości osób dokonujących zgłoszenia.

Analogiczne sankcje przewidziane muszą zostać wobec osób dokonujących zgłoszenia, a wobec których ustalono, że świadomie posłużyły się nieprawdziwymi informacjami. Wprowadzić należy również przepisy przewidujące środki odszkodowawcze za szkodę wynikającą z takiego działania.

9. Ochrona danych osobowych i zachowanie poufności 

Przetwarzania danych osobowych dokonuje się zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L 2016 Nr 119, str. 1; dalej: RODO) i Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L 119 z 04.05.2016, str. 89) (tzw. dyrektywa policyjna). Wymiany i przekazywania informacji przez instytucje, organy lub jednostki organizacyjne Unii dokonuje się zgodnie z rozporządzeniem (UE) 2018/1725.

Co ciekawe prawodawca wyraźnie podkreślił, iż dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki.

Wyrażona w Dyrektywie zasada poufności zarówno w odniesieniu do zgłoszenia wewnętrznego, jak i zewnętrznego, odnosi się do ochrony tożsamości osoby dokonującej zgłoszenia, co oznacza, że nie może ona zostać ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu, właściwym do przyjmowania zgłoszeń i podejmowania w zw. z nimi działań następczych. W polskich realiach jest to podejście rewolucyjne i z pewnością będzie wymagało zmiany w sposobie myślenia na poziomie organizacyjnym, wręcz zmiany mentalności.

W drodze odstępstwa, tożsamość może zostać ujawniona jedynie wtedy, gdy takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa Unii lub prawa krajowego w kontekście prowadzonych przez organy krajowe postępowań wyjaśniających lub postępowań sądowych, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.

Takie ujawnianie jest jednak objęte odpowiednimi zabezpieczeniami zgodnie z obowiązującymi przepisami unijnymi i krajowymi. W szczególności zanim tożsamość osób dokonujących zgłoszenia zostanie ujawniona, muszą one zostać o tym powiadomione (wraz z wyjaśnieniem powodów takiego działania), chyba że takie powiadomienie mogłoby zagrozić powiązanemu postępowaniu wyjaśniającemu lub postępowaniu sądowemu.

Należy także zapewnić, aby właściwe organy otrzymujące informacje na temat naruszeń, które zawierają tajemnice przedsiębiorstwa, nie wykorzystywały ani nie ujawniały tych tajemnic przedsiębiorstwa do celów wykraczających poza to, co jest niezbędnie do podejmowania odpowiednich działań następczych.

W ramach środków ochrony prawnej przysługujących sygnalistom zapewnia się także ochronę tożsamości osób, których dotyczy zgłoszenie, tak długo jak postępowania wyjaśniające uruchomione na skutek danego zgłoszenia lub ujawnienia publicznego są w toku. Przepisy dotyczące ochrony tożsamości osób dokonujących zgłoszenia stosuje się w tym przypadku również do ochrony tożsamości osób, których zgłoszenie dotyczy.

10. Dane osobowe jako jeden z kluczowych elementów systemu 

Pierwszą branżą w Polsce, objętą regulacjami whistleblowingu była branża finansowa (banki), ale z praktycznym stosowaniem tych regulacji na bazie kodeksów wewnętrznych spółek stykaliśmy się już od samego początku gospodarki rynkowej. W pierwszej kolejności oczywiście dotyczyło to spółek należących do międzynarodowych koncernów, które miały wypracowane własne mechanizmy whistleblowingu, ale stopniowo te dobre praktyki, bo tak je traktowano, zaczęły trafiać do spółek z rodzimym kapitałem, w końcu i do administracji publicznej. Przykładem tego były kodeksy etyki wdrażane w wielu podmiotach państwowych. 

Zagadnienie walki z nieprawidłowościami w kontekście ochrony danych osobowych dostrzegano już od samego początku funkcjonowania systemu ochrony danych osobowych. Czy to pod rządzami poprzedniej ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r., poz. 922 ze zm. ; dalej: OchrDanychU16), czy obecnie pojawiają się te same problemy związane z rozbieżnymi celami jakie przyświecają z jednej strony instytucji ochrony danych osobowych (prywatności) a z drugiej przeciwdziałaniu nieprawidłowościom (z ang. whistleblowing). Z perspektywy historycznej jak i obecnie widzimy wyraźnie potrzebę ochrony sygnalistów i pozytywne efekty ich działań, ale nie możemy tracić z oczu potrzeby ochrony danych osób uczestniczących w procederze ujawniania nieprawidłowości i to nie tylko tych których dotyczą zawiadomienia, ale i informujących. 

Oprócz odpowiedzi na pytania, kto zasadniczo jest administratorem danych, szczególnie przy rozbudowanych systemach whistleblowingu, jak powinien być zbudowany system ochrony danych osobowych, jak prawidłowo rozpisać role w tym procesie, to przede wszystkim problematyczny był obowiązek informacyjny. Przepisy OchrDanychU16 jaki i RODO nakazują realizować ten obowiązek zarówno w przypadku pozyskania danych bezpośrednio od osoby której dane dotyczą (art. 13 i 24 RODO) jak i w przypadku zbierania danych w sposób inny niż od osoby której dane dotyczą (art. 14 i 25 RODO). Problem dotyczył nie tylko samego informowania, ale momentu w którym ono miało nastąpić, oraz skutków dla osoby powiadamiającej, jeśli złożone doniesienie się nie potwierdzi. Zagadnienie jest o tyle szersze, że pomówienie kogoś o coś czego nie zrobił, może być naruszeniem dóbr osobistych dochodzonym na podstawie Kodeksu cywilnego, a którego to uprawnienia nie można odebrać osobie pomówionej. 

Wychodząc naprzeciw tym i innym wyzwaniom whistleblowingu, próbując pogodzić sprzeczne interesy stron, już w 2006 roku tzw. Grupa Robocza ds. ochrony danych osobowych powołana na mocy art. 29 poprzedniczki RODO (Grupa 29), tj. Dyrektywy 95/46/WE wydała opinię WP117, w której wskazano m.in., że „Zgodnie z art. 12 dyrektywy 95/46/WE osoba, której dane dotyczą, ma możliwość dostępu do danych zebranych na jej temat w celu sprawdzenia ich poprawności, skorygowania, jeśli są niepoprawne, niekompletne lub nieaktualne (prawo dostępu i sprostowania). W związku z tym system raportowania musi zapewniać osobom fizycznym prawo do dostępu do danych i prostowania niepoprawnych, niekompletnych lub nieaktualnych danych. Jednakże prawa te mogą zostać ograniczone w celu zapewnienia ochrony praw i swobód innych podmiotów objętych systemem. Ograniczenia tych praw powinny być rozpatrywane i nakładane indywidualnie. W żadnym wypadku, w ramach systemu i w oparciu o prawo dostępu osoby oskarżonej, osoba oskarżona w sprawozdaniu informatora nie może uzyskać informacji o jego tożsamości, z wyjątkiem przypadków, gdy informator, działając w złej wierze, składa fałszywe oświadczenie. W każdym innym przypadku należy zapewnić anonimowość informatora”. Oczywiście nie była to wykładnia legalna przepisów, a jedynie wskazówki interpretacyjne, ale ze względu na swoją specjalistyczną wiedzę jak i renomę jaką się cieszyła Grupa 29, jej opinie były brane pod uwagę przez wszystkich uczestników rynku. 

Innymi słowy w przytoczonej opinii Gupy 29 naciągnęła w swojej interpretacji przepisy, wskazując że istnieją wyjątkowe sytuacje w których można odstąpić od realizacji bezwzględnego obowiązku informacyjnego (dokonano swoistego wyważenia interesów), ale nie dotyczą one sytuacji, gdy sygnalista działa w zlej wierze. Dokonano więc niemożliwego i pogodzono ogień z wodą. 

Wprowadzany w Dyrektywie o ochronie sygnalistów wymóg, zgodnie z którym przyjmujący zgłoszenie zobowiązany jest chronić tożsamość sygnalisty, wyraźnie zwalnia administratora z obowiązku precyzyjnego wskazania źródła uzyskanych informacji. Ochrona tożsamości sygnalisty stanowi bowiem fundament całego mechanizmu i trudno sobie wyobrazić inne rozwiązanie. 

Również Prezes Urzędu Ochrony Danych Osobowych w sprawozdaniu z działalności w 2018 r. odniósł się do ochrony osób, które sygnalizowały organom publicznym działania niezgodne z prawem innych podmiotów. W sprawozdaniu PUODO wskazał na potrzebę wyeliminowania praktyk polegających na niezasadnym udostępnianiu danych osobowych tzw. sygnalistów, czyli osób zgłaszających nieprawidłowości w sprawach, w których nie są stroną (ani uczestnikiem), na rzecz stron (uczestników) tych postępowań. „Prezes podkreślił, że niezbędne jest zapewnienie ochrony danych osobowych sygnalistów, którą umożliwia stosowanie zarówno przepisów KPA, dotyczących procedury rozpatrywania skarg i wniosków, jak również RODO. W ocenie organu dane osobowe osób wnoszących taką skargę (sygnalistów) nie podlegają ujawnieniu w toku ww. postępowania. Co więcej, nie mają żadnego znaczenia dla takiego postępowania, którego celem jest zweryfikowanie i wyeliminowanie sygnalizowanych nieprawidłowości. Nawet jeżeli na skutek tych skarg zostaną wszczęte odrębne postępowania, przewidziane przepisami szczególnymi. (…) Tym samym dane takich osób powinny podlegać ochronie szczególnej z uwagi na możliwe konsekwencje w sferze naruszenia ich interesów przez faktyczne strony postępowań zainicjowanych na skutek ich sygnału. Zdaniem Prezesa Urzędu sprawy dotyczące sygnałów osób powinny być prowadzone odrębnie (z odrębną sygnaturą), a o efektach działań podjętych na skutek ich interwencji (sygnału) powinny być one informowane w osobnym piśmie. Sygnaliści nie mają też statusu świadków. Ponadto Prezes Urzędu wskazał, że udostępnienie danych osobowych sygnalistów narusza zasadę celowości. Ustalając cel, administrator powinien odwołać się do okoliczności sprawy i powodu, dla którego te dane zostały zebrane oraz każdorazowo dokonać starannej analizy zasadności udostępnienia danych”.

Na marginesie wspomnieć należy, że temat ochrony sygnalistów będących pracownikami wiąże się
 z popularnym ostatnio tematem – w branży prawa pracy oraz ochrony danych osobowych – dotyczącym dopuszczalnych form monitorowania pracowników przez pracodawcę. Powyższą zależność zauważyła Grupa Robocza art. 29 wskazując, że: „Szerokie wykorzystanie technologii monitorowania może również zmniejszyć gotowość (i liczbę kanałów służących do tego celu) pracowników do informowania pracodawców o nieprawidłowościach lub nielegalnych działaniach przełożonych lub innych pracowników, które mogą zaszkodzić działalności (zwłaszcza danym klientów) lub miejscu pracy. Często konieczne jest zapewnienie anonimowości, aby dany pracownik podjął działania i zgłosił takie sytuacje. Monitorowanie naruszające prawa pracowników do prywatności może utrudniać konieczną komunikację z odpowiednimi inspektorami. W takim przypadku ustanowione środki stosowane przez wewnętrznych demaskatorów mogą stracić na skuteczności”.

11. Podsumowanie

Nowa Dyrektywa nie tylko stanowi rewolucję, sankcjonując w bardzo szerokim zakresie instytucje whistleblowingu, ale jest też wyzwaniem dla organizacji (tak prywatnych, jak i publicznych), które wdrożyć będą musiały stosowne procedury, a w przypadku naruszenia nowego prawa, spotkać się mogą z sankcjami (których wysokość, szacując na podstawie aktualnych tendencji legislacyjnych, może być znaczna). 

Istotna pozostaje również kwestia ochrony danych osobowych w kontekście tożsamości zgłaszającego, a także konieczność oceny przez doktrynę i orzecznictwo, gdzie przebiega granica pomiędzy rzeczywistym sygnalistą a osobą, która z mechanizmu tego korzysta w złej wierze. Ten ostatni element budzi słuszne obawy pracodawców, którzy widzą możliwość nadużywania tych przepisów w celu realizacji partykularnych interesów przez pracowników.