SYGNALIŚCI – czy stosowanie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii (tzw. Dyrektywa o ochronie sygnalistów) jest zgodne z prawem?
W ostatnim czasie zasypywani jesteśmy informacjami, propozycjami szkoleń lub zakupu w 100% spełniającego wymogi oprogramowania lub dokumentacji dotyczącymi „sygnalistów”. Ten natłok informacji związany jest z datą 17 grudnia 2021 roku, czyli datą, z którą według podmiotów przesyłających oferty, zapytania zaczęła obowiązywać Dyrektywa o ochronie sygnalistów. Czy tak jest naprawdę? Czy po dniu 17 grudnia 2021 r. zmienił się porządek prawny, a na podmiotach publicznych i prywatnych ciążą nowe obowiązki?
W poniższej publikacji pragnę odpowiedzieć na nurtujące pytania oraz wyjaśnić Państwu co zmieniło się po dniu 17 grudnia 2021 r.
W pierwszej kolejności zauważyć należy, iż termin 17 grudnia 2021 dotyczy implementacji Dyrektywy Parlamentu Europejskiego i Rady (EU) 2019/1937 z dnia 23 października 2019r w sprawie ochrony osób zgłaszających naruszenie prawa Unii do porządku prawnego naszego kraju. Nie jest to termin wejścia w życie Dyrektywy o ochronie sygnalistów.
Dyrektywa o ochronie sygnalistów nie jest aktem prawnym, który bezpośrednio wiąże adresata w państwach członkowskich, jest to akt prawa, który nakłada na państwa członkowskie realizację określonego w niej pomysłu w celu osiągnięcia konkretnego rezultatu tj. zapewnienia ochrony osób zgłaszających naruszenia, a państwa członkowskie mają obowiązek implementowania Dyrektywy w swoim prawodawstwie.
Zastanówmy się jednak czy przepisy Dyrektywy o ochronie sygnalistów możemy stosować bezpośrednio. Owszem możliwe jest powoływanie się na ww. dokument w naszych regulaminach, procedurach itp. jednakże muszą wystąpić łącznie niżej wymienione warunki:
-
Dyrektywa nie została implementowana albo została implementowana niewłaściwie, bądź minął czas na jej implementacje;
-
Jednostka powołuje się na swoje jasno i konkretnie określone prawo w stosunku do państwa;
-
Dyrektywa nakłada obowiązki tylko w relacji do podmiotów publicznych;
-
Dyrektywa jest bezwarunkowa i nie wymaga doprecyzowania w prawie krajowym;
O ile dwa pierwsze punkty zostały spełnione, to problematycznym zagadnieniem staje się bezwarunkowość (Dyrektywa o ochronie sygnalistów nie odbiera możliwości ustawodawcy krajowemu nakładania na podmioty obowiązków, wyłączeń z zakresu stosowania itp.). Należy tu również zauważyć, iż nakłada ona wymogi nie tylko na podmioty publiczne, ale również na podmioty prywatne.
Mając na uwadze powyższe, należy uznać iż Dyrektywa musi być wdrożona w krajowym systemie prawnym za pomocą ustawy implementującej. Obecnie ustawa wdrażająca Dyrektywę o ochronie sygnalistów znajduje się na wstępnym etapie legislacyjnym (została opublikowana druga wersja projektu Ustawy o sygnalistach).
Reasumując, należy uznać iż nie ma bezpośredniego oddziaływania narzędzi prawnych związanych z datą 17 grudnia 2021 r, a co za tym idzie nie ma obowiązków prawnych związanych z Dyrektywą o ochronie sygnalistów takich jak posiadanie regulaminów czy kanałów zgłoszeń itp. (brak mechanizmów procedur określonych w prawie krajowym). Nie tworzy ona również relacji poziomych pomiędzy pracownikiem, a pracodawcą, a jedynie relacje obywatel – państwo. Próby oddolnej implementacji Dyrektywy w oparciu o uprawnienia włodarzy miast, gmin itp. może wiązać się z naruszeniem prawa powszechnego w związku z brakiem podstaw prawnych odnoszących się między innymi do przetwarzania danych osobowych. Dyrektywa o ochronie sygnalistów nie powinna być stosowana bezpośrednio, a co za tym idzie musimy mieć akt prawny rangi ustawy by takie dane przetwarzać. Problematyczne może być również stosowanie praw podmiotu danych w odniesieniu do art. 15 RODO, czy realizacja obowiązku informacyjnego względem osoby, na którą składane jest doniesienie czyli art. 14 RODO. Niedopuszczalne jest by podmiot który znajduje się w zgłoszeniu mógł poznać dane sygnalisty, a wewnętrzne procedury nie mogą być przesłanką ograniczającą zakres praw podmiotu danych.
Problemy mogą również wyniknąć w przypadku spełnienia obowiązku wynikającego z art. 13 RODO, czyli wskazania właściwej podstawy prawnej przetwarzania danych osobowych. Z pewnością często podstawą prawną przetwarzania danych osobowych będzie wskazywany art. 6 ust. 1 lit. c RODO, jednakże czy będzie to prawidłowym działaniem? Art. 6 ust. 1 lit. c RODO stanowi, iż przetwarzanie danych jest niezbędne do wypełniania obowiązku prawnego ciążącego na administratorze. Jednakże zwróćmy uwagę na fakt, iż aktualnie nie mamy ustawy implementującej Dyrektywę o ochronie sygnalistów, a więc przyjęcie, że przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze należy uznać za nieprawidłowe. Ponadto wszelkie akty prawne mające rangę prawa miejscowego nie mogą być także przesłanką do stosowania art. 6 ust. 1 lit. c RODO. Podkreślić w tym miejscu należy, iż Dyrektywa o ochronie sygnalistów nie może być podstawą do przyjmowania regulacji prawnych (zarządzeń/uchwał) przez włodarzów miast i gmin.
Biorąc pod uwagę powyższe, należy stwierdzić także, iż łamiąc ww. przepisy prawa ryzykujemy naruszeniem art. 107 Ustawy o ochronie danych osobowych, a w przypadku jednostek samorządu terytorialnego ryzykujemy naruszeniem dyscypliny finansów publicznych.
Szanowni Państwo, z pewnością należy stwierdzić, że aktualnie nie ma podstaw do zaimplementowania Dyrektywy o ochronie sygnalistów do regulaminów, procedur wewnętrznych. Zadajmy także pytanie, czy wdrożenie w jednostkach samorządu terytorialnego takich regulacji nie jest sprzeczne z art. 4 Konstytucji? Czy nie zostanie tu naruszona zasada legalizmu, oraz przekroczenie uprawnień z art. 231 Kodeksu karnego?
A zatem zastanówmy się jakie dziś możemy podjąć działania w celu przygotowania się do wdrożenia przepisów o ochronie sygnalistów.
Jako, iż projekt ustawy wyznacza generalny kierunek rozwiązań należy poczekać na jej ostateczny kształt. W czasie oczekiwania na zakończenie procesu legislacyjnego możemy zacząć się przygotowywania do tworzenia ogólnych ram naszych procedur i regulaminów, oraz sporządzenia projektu kanałów informacyjnych służących do przyjmowania zgłoszeń podejrzenia naruszeń (zarówno Dyrektywa o ochronie sygnalistów, jak i projekt Ustawy nie przewiduje nakazu korzystania z rozwiązań komercyjnych służących do przyjmowania zgłoszeń).
Więcej informacji na temat wymogów dotyczących kanałów w kolejnych artykułach. Zapraszam do lektury.
Sylwester Krawczyk
Inspektor Ochrony Danych
Audytor wewnętrzny ISO 27001