Drugi projekt ustawy o sygnalistach – zakres zmian

14 kwietnia 2022 r. został opublikowany kolejny, już drugi projekt ustawy o ochronie osób zgłaszających naruszenia prawa, czyli tzw. ustawy o sygnalistach z dnia 6 kwietnia 2022 r.[1] Drugi projekt ustawy wprowadza zmiany o charakterze systemowym oraz zmiany w obszarze przetwarzania i ochrony danych osobowych.

Zmiany o charakterze systemowym

W tym artykule wskażemy kluczowe zdaniem autorki zmiany systemowe, jakie zostały zaproponowane w nowym projekcie ustawy o sygnalistach.

Drugi projekt ustawy rozszerzył katalog osób, które będą mogły zostać sygnalistami, o podmioty, tj. funkcjonariuszy formacji mundurowych czy żołnierzy zawodowych. Projekt rozszerza również katalog spraw, jakie mogą być zgłaszane w ramach systemu zgłaszania nieprawidłowości, a dotyczy to spraw interesów finansowych polskiego Skarbu Państwa.

Ważną zmianą jest też to, że projektodawca w drugim projekcie ustawy o sygnalistach nie zdecydował się na wprowadzenie możliwości wdrożenia anonimowego trybu dokonywania zgłoszeń wewnętrznych, czyli w organizacjach, jak również zgłoszeń anonimowych w kanałach zewnętrznych.

Zmiany z obszaru przetwarzania danych osobowych

Drugi projekt ustawy o sygnalistach wprowadza istotne zmiany w obszarze przetwarzania danych osobowych, a mianowicie:

  • rozszerzenie podstaw prawnych do przetwarzania danych w ramach systemu zgłaszania nieprawidłowości;
  • wyłączenia informowania o źródle danych w przypadku realizacji praw jednostki z art. 15 RODO[2];
  • skrócenie retencji danych;
  • zrezygnowanie z obowiązku odrębnego przechowywania dokumentów;
  • wprowadzenie możliwości posiadania wspólnej procedury dla kilku podmiotów prawa.

Podstawa do przetwarzania tzw. danych zwykłych

Projektodawca w nowej wersji ustawy o ochronie sygnalistów rozszerzył katalog osób, których podmioty prawne (czyli organizacje) będą mogły przetwarzać dane w związku z dokonaniem zgłoszenia. W nowym projektowanym art. 8 wskazano, że organizacja będzie mogła przetwarzać dane wszystkich osób, których przetwarzanie jest niezbędne do realizacji celów ustawy na podstawie art. 6 ust. 1 lit. c RODO.

Brak podstawy do przetwarzania danych szczególnych kategorii w projekcie ustawy

Informacje o przynależności do związków zawodowych, stanie zdrowia czy poglądach politycznych najprawdopodobniej znajdą się w zgłoszeniach dokonywanych przez sygnalistów. W drugiej wersji ustawy o sygnalistach projektodawca nie zdecydował się na wprowadzenie podstawy do przetwarzania danych szczególnych kategorii przez podmiot prawny. Tym samym ustawodawca, biorąc pod uwagę treść projektowanej ustawy oraz uzasadnienia do niej, nie przewiduje, aby podmioty prawne czy organy państwowe odpowiedzialne za przyjmowanie zgłoszeń zewnętrznych przetwarzały dane tzw. szczególnych kategorii.

W praktyce podmiot prawny (organizacja) będzie mógł oprzeć przetwarzanie danych osobowych szczególnych kategorii właśnie na art. 9 ust. 2 lit. g RODO, a więc na przesłance niezbędności przetwarzania ze względów związanych z ważnym interesem publicznym.

Brak podstawy do przetwarzania tzw. danych karnych

Należy przyjąć, że w ramach zgłaszania naruszeń nieprawidłowości mogą i będą pojawiać się dane dotyczące wyroków skazujących i czynów zabronionych, tzw. dane karne. Ustawodawca nie wprowadził podstawy prawnej do przetwarzania przez podmiot prawny danych osobowych dotyczących wyroków skazujących i czynów zabronionych w ramach systemu zgłaszania naruszeń prawa. Zgodnie z art. 10 RODO przetwarzanie danych „karnych” jest dozwolone wyłącznie wtedy, gdy jest dokonywane pod nadzorem władz publicznych lub gdy takie przetwarzanie jest dozwolone prawem Unii lub prawem krajowym. Drugi projekt ustawy nie przewiduje takiej możliwości. Tym samym w obecnej wersji projektu ustawy podmiot prawny (organizacja) nie będzie mógł przetwarzać takich danych osobowych.

Ograniczenie art. 15 RODO

Kolejnym rozwiązaniem mającym na celu ochronę tożsamości sygnalisty w trakcie prowadzenia postępowania wyjaśniającego jest zaproponowanie przedłużenia terminu przekazania informacji wskazanych w art. 15 ust. 1 lit. g RODO w przypadku skorzystania z tego prawa przez jednostkę. W sytuacji gdy naruszyciel lub inna osoba, której dane są przetwarzane w ramach systemu zgłaszania nieprawidłowości (np. świadek zdarzenia), zwróci się z realizacją swoich praw z art. 15 RODO, podmiot prawny może przekazać informacje o źródle pochodzenia danych w ciągu trzech miesięcy od dnia zakończenia działań następczych.

Retencja danych

Z dużym zaskoczeniem należy przyjąć nową propozycję okresu przetwarzania danych przez podmiot prawny po zakończeniu prowadzenia działań następczych. W pierwotnej wersji ustawodawca przewidział 5-letni okres przetwarzania danych w ramach systemu zgłaszania naruszeń. Obecnie, bazując na drugiej wersji projektu ustawy, ustawodawca w art. 8 ust. 9 przyjął 15-miesięczny okres przetwarzania danych osobowych w związku z przyjęciem zgłoszenia. Dodatkowo ustawodawca w art. 29 ust. 5 drugiego projektu ustawy o sygnalistach wskazał, że dane w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 12 miesięcy od dnia zakończenia działań następczych. W praktyce oznacza to, że dane w rejestrze zgłoszeń wewnętrznych będę usuwane po 12 miesiącach od dnia zakończenia działań następczych. Proponowane terminy przetwarzania danych są szalenie krótkie. Termin 15 miesięcy na przetwarzanie danych osobowych w związku z przyjęciem zgłoszenia jest znacznie krótszy niż okres przedawnienia roszczeń, jakie mogą być dochodzone przez osobę, której dotyczy zgłoszenie.

Odrębne przechowywanie dokumentów

Na marginesie autorka wskazuje, że propozycja przechowywania danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmujących zgłoszenie nie przeszła do drugiej wersji projektu ustawy. Zmianę należy uznać za trafną, biorąc pod uwagę rozwiązania proponowane przez poszczególne organizacje w zakresie realizacji takiego obowiązku.

Wspólna procedura dla kilku podmiotów prawa

Druga wersja ustawy o sygnalistach w art. 28 ust. 2–9 wprowadziła możliwość prowadzenia wspólnej procedury przyjmowania zgłoszeń wewnętrznych dla:

  • podmiotów prywatnych, na rzecz których wykonuje pracę co najmniej 50, lecz nie więcej niż 249 osób;
  • kilku urzędów lub jednostek organizacyjnych w ramach jednej gminy lub kilku gmin.

Wspólna procedura może być ustalona dla kilku podmiotów na podstawie umowy. Podmioty, które będą mieć wspólną procedurę, dalej są odrębnymi administratorami wobec zgłoszeń dotyczących ich organizacji. Ustawodawca widzi również możliwość współadministrowania danymi w ramach systemu zgłaszania naruszeń prawa, w przypadku gdy podmioty, realizując zadania określone w ustawie, działają we wspólnym interesie i wspólnie ustalają cele i sposoby przetwarzania danych pozyskanych w wyniku zgłoszenia.

Podsumowanie

Mimo kilku bardzo trafnych zmian wprowadzonych w drugim projekcie ustawy całościowo zaproponowane rozwiązania należy uznać za rozczarowujące. Ustawodawca nie uwzględnił wielu postulatów zgłaszanych do poprzedniej wersji ustawy, takich jak przesunięcie wykonania obowiązku informacyjnego wobec osób, których dotyczy zgłoszenie, do czasu np. zakończenia postępowania wyjaśniającego czy kwestia wydłużenia okresu przetwarzania danych osobowych w związku z zakończonymi postępowaniami wyjaśniającymi. Ustawodawca nie uwzględnił także kwestii wprowadzania podstaw do przetwarzania danych tzw. szczególnych kategorii czy danych karnych. W momencie pisania artykułu drugi projekt ustawy nadal nie trafił do sejmu i jest na etapie opiniowania.

[1] Projekt dostępny na stronie: https://legislacja.gov.pl/projekt/12352401/katalog/12822857#12822857 (dostęp: 11.05.2022).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).