Dane osobowe sygnalisty a dyrektywa 2019/1937
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii, traktuje w swej treści o konieczności wprowadzenia oraz stosowania regulacji dotyczących ochrony danych osobowych sygnalistów. Nie ulega bowiem wątpliwości, że w przypadku dokonywania przez nich zgłoszeń w przedmiocie zidentyfikowanych naruszeń, dojdzie do przetworzenia danych osobowych osoby zgłaszającej.
Aby zatem zabezpieczyć osobę zgłaszającą przed stosowaniem w stosunku do niej działań odwetowych, jak też zapewnić przeprowadzenie postępowania zgodnego z obowiązującymi przepisami prawa, koniecznym stało się uregulowanie kwestii związanych z odpowiednim zabezpieczeniem danych osobowych sygnalisty.
Na powyższe wskazuje motyw 76, który „nakazuje państwom członkowskim UE zapewnienie organom pozostawania przez nie w dyspozycji odpowiednich procedur, mających za cel ochronę w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w zgłoszeniach. Takie procedury powinny zapewniać (i) ochronę tożsamości każdej osoby dokonującej zgłoszenia, (ii) osób, których dotyczy zgłoszenie, (iii) oraz osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników, na wszystkich etapach procedury”.
Ochrona danych poufnych
Jednym ze sposobów ochrony tożsamości sygnalisty, przewidzianym w treści przedmiotowej dyrektywy, jest zachowanie w poufności jego danych, które zostały pozyskane na skutek dokonanego zgłoszenia.
Wyjątkiem od powyższej zasady, na jaki w pierwszej kolejności wskazuje dyrektywa, jest uzyskanie zgody sygnalisty na ujawnienie jego danych osobowych bądź innych informacji, które pozwolą ustalić tożsamość osoby zgłaszającej.
Odpowiada to treści art. 16 ust. 1 dyrektywy 2019/1937, zgodnie z którym „Państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby […]”.
Należy zatem stwierdzić, że w przypadku braku uzyskania powyższej zgody, dane osobowe osoby zgłaszającej, bądź inne dane umożliwiające jej identyfikację, co do zasady winny w dalszym ciągu pozostać poufne.
Zgłoszenie anonimowe
Mimo przewidzianej w powyższej Dyrektywie możliwości dokonywania przez sygnalistów tzw. zgłoszeń anonimowych, ostateczna decyzja w przedmiocie wprowadzenia ich do danego porządku prawnego zależy od krajowego ustawodawcy.
W przypadku Rzeczpospolitej Polskiej na dzień dzisiejszy nie uwzględniono w projekcie ustawy procedury tzw. „zgłoszeń anonimowych”.
Oznacza to, że w przypadku dokonania zgłoszenia w formie anonimowej (bez podania danych osobowych osoby zgłaszającej) ustawa nie zobowiązuje danego podmiotu do weryfikacji zgłoszenia i podjęcia na jego skutek stosowanych działań (tj. zastosowania rygorów określonych w dyskutowanej ustawie), jednakże tego nie wyklucza.
Co jednak istotne, gdyby doszło do ujawnienia danych osobowych (lub innych umożliwiających identyfikację) sygnalisty, dokonującego tzw. zgłoszenia anonimowego, na skutek którego zastosowano by wobec osoby zgłaszającej działania odwetowe, ustawa o której mowa powyżej, winna zostać zastosowana.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 11 stycznia 2023 r.
autor: