Whistleblowing – czy potrzebujemy kompleksowej regulacji ?

Large Man Looking At Co-Worker With A Magnifying Glass --- Image by © Images.com/Corbis

Szwecja poszerzy grono krajów, w których szczególną ochroną prawną objęci zostaną tzw. sygnaliści, tj. osoby, które posiadając informacje o nieprawidłowościach w swoim środowisku pracy ujawnią je przełożonym lub organom państwowym. Ustawa o ochronie osób nagłaśniających nieprawidłowości w miejscu pracy ma uchronić takich pracowników nie tylko przed ostracyzmem środowiska zawodowego, ale również przed szykanami pracodawcy, w szczególności zdegradowaniem lub zwolnieniem z pracy.

Whistleblowing – co to właściwie jest?

Whistleblowing (z ang. sygnalizowanie, demaskowanie) to zjawisko polegające na ujawnianiu przez pracowników niemoralnych czy wręcz nielegalnych działań mających miejsce w ich środowisku pracy. W celu umożliwienia skorzystania przez pracowników z tego rozwiązania, wielu pracodawców tworzy wewnętrzne systemy informowania o nieprawidłowościach (tzw. whistleblowing scheme).

Nie budzi wątpliwości, że taki sposób demaskowania uchybień może rodzić pewne kontrowersje. Z uwagi na cel jaki legł u podstaw stworzenia takiego systemu, tj. konieczność przeciwdziałania bezprawiu, wydaje się on być wielce pożądanym. Z drugiej zaś strony,
z uwagi na sposób w jaki cel ten ma zostać osiągnięty, tj. konieczność zadenuncjowania pracodawcy bądź współpracownika, nie ulega wątpliwości, że może on „donosiciela” narazić na wiele nieprzyjemności z ich strony.

Stąd też, wydaje się, iż w celu zapewnienia skutecznego funkcjonowania wewnętrznych systemów informowania o nieprawidłowościach, konieczne jest stworzenie przez ustawodawcę krajowego ram prawnych, które zapewnią sygnalistom ochronę,
w szczególności w zakresie ich tożsamości. Co należy podkreślić potrzebę taką poczuł nie tylko ustawodawca szwedzki. Ustawy w tym zakresie od wielu lat funkcjonują już
w niektórych krajach Europy Środkowej i Wschodniej, takich jak Rumunia (od 2004 r.), Węgry (od 2009 r.) czy Słowenia (od 2010 r.). Tradycja ochrony sygnalistów najstarsze korzenie ma natomiast w krajach anglosaskich, np. Stanach Zjednoczonych czy Wielkiej Brytanii.

W kontekście powyższych rozważań, na usta samo ciśnie się pytanie o sytuację sygnalisty
w polskim porządku prawnym.

Sytuacja sygnalistów w Polsce

Analizując sytuację sygnalistów w polskim porządku prawnych, przede wszystkim należy zwrócić uwagę na brak kompleksowej regulacji prawnej w tej kwestii. Aby zatem doszukać się podstaw funkcjonowania wewnętrznych systemów informowania w Polsce należy dokonać analizy szeregu aktów prawnych, które w pewnym zakresie, choć nie bezpośrednio, odnoszą się do tego zjawiska.

I tak, podstaw samego obowiązku informowania możemy dopatrywać się w przepisach Kodeksu pracy zobowiązujących pracownika do szeroko rozumianej dbałości o dobro pracodawcy (art. 100 § 2 pkt 4). Z kolei Kodeks postępowania karnego w art. 304 § 1 ustanawia społeczny obowiązek zawiadamiania organów ścigania o podejrzeniu popełnienia przestępstwa.

Na gruncie przepisów o ochronie danych osobowych przesłanką przetwarzania danych w ramach omawianego systemu będzie natomiast art. 23 ust. 1 pkt 5 ustawy, zgodnie z którym, przetwarzanie danych osobowych („zwykłych”) jest dopuszczalne, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Nie ulega wątpliwości, iż walka z nadużyciami znajduje się w granicach prawnie usprawiedliwionego celu administratora danych czyli w tym przypadku pracodawcy, jednakże zawsze należy mieć na uwadze podkreślone „prawa i wolności osoby, której dane dotyczą”. Każdorazowo zatem przy ocenie legalności danego procesu przetwarzania danych w ramach wewnętrznego systemu informowania należy zbadać, np. czy informator działał w dobrej wierze czy też jego intencją było jedynie pomówienie współpracownika.

Problematycznym może natomiast okazać się upatrywanie podstawy przetwarzania – poprzez whistleblowing schemes – danych podlegających szczególnej ochronie (art. 27 ust. 1 ustawy). Nie można wszakże wykluczyć, iż w ramach informacji, które pozyskiwane będą przez administratora danych za pośrednictwem omawianych systemów, znajdą się dane takiej właśnie natury.

Jeśli chodzi o ochronę samego sygnalisty, to na potrzeby niniejszego artykułu ograniczę się do szczegółowego omówienia kwestii związanych przede wszystkim z ochroną jego tożsamości. Niemniej jednak nie sposób nie wspomnieć, iż problemy rysujące się na tym tle, to kwestie wynikające przede wszystkim z przepisów Prawa pracy, tj. potrzeba ochrony tej kategorii osób przed niekorzystnymi zmianami w ramach ich stosunków pracy czy wręcz zwolnieniem.

Ochrona tożsamości sygnalisty i inne problemy rysujące się na tle przepisów o ochronie danych osobowych

Przede wszystkim podkreślić należy, iż wobec nie ustanowienia przez polskiego ustawodawcę szczególnych regulacji odnoszących się do funkcjonowania whistleblowing schemes, aktem prawnym, który w głównej mierze winien być brany pod uwagę przy analizie kwestii ochrony tożsamości sygnalisty jest ustawa o ochronie danych osobowych. Co prawda w różnych dziedzinach prawa znajdziemy przepisy dotykające pewnych aspektów wiążących się z ochroną tożsamości zgłaszającego, jednak regulacje te mają jedynie charakter fragmentaryczny. Tytułem przykładu wskazać należy chociażby na występującego
w postępowaniu karnym tzw. świadka anonimowego (art. 184 i n. Kodeksu postępowania karnego). Z kolei przepisy ustawy o Państwowej Inspekcji Pracy zobowiązują pracowników PIP do nieujawniania informacji, że kontrola przeprowadzana jest w następstwie skargi, o ile zgłaszający skargę nie wyraził na to pisemnej zgody (art. 44 ust. 3).

Nie ulega wątpliwości, iż w obecnym kształcie przepisy o ochronie danych osobowych tak naprawdę nie tylko nie chronią sygnalisty, ale wręcz działają na jego niekorzyść. Mają one bowiem na celu przede wszystkim dbanie o prawa osoby, której dane dotyczą, tj. w tym przypadku oskarżonego w ramach procedury wewnętrznego informowania. Nie ulega wątpliwości, iż poinformowanie go o źródle pozyskania jego danych, w praktyce, z uwagi na specyfikę analizowanego systemu, mogłoby doprowadzić do ujawnienia tożsamości sygnalisty.

Podstawę powyższego obowiązku informacyjnego stanowi art. 25 ust. 1 pkt 3 ustawy, który w przypadku zbierania danych nie od osoby, której one dotyczą, nakazuje ich administratorowi poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o ich źródle. Wydaje mi się zatem, iż rozsądne w tej sytuacji byłoby np. wskazanie oskarżonemu, iż jego dane pracodawca pozyskał „poprzez system informowania
o nieprawidłowościach”. Przyjęcie takiego rozwiązania nie tylko pozwoliłoby administratorowi danych na uniknięcie zarzutu niewywiązania się z powyższego obowiązku, ale jednocześnie ochroniłoby tożsamość informatora.

Zwrócić także należy uwagę na kwestię powszechnie stosowanej przez firmy praktyki zlecania wdrażania whistleblowing schemes podmiotom zewnętrznym, w świetle przepisów o ochronie danych osobowych, działającym w oparciu o art. 31 ustawy. Podkreślić w tym kontekście należy, iż okoliczność powierzenia przetwarzania danych innemu podmiotowi nie oznacza, że skoro po stronie podmiotu, któremu powierzono przetwarzanie danych nie powstaje obowiązek informacyjny, to zwolniony z niego zostaje również administrator danych.

Warto również wspomnieć, iż wobec powyżej zarysowanego konfliktu między interesami sygnalisty a oskarżonego w ramach systemu informowania o nieprawidłowościach, powstaje pytanie czy zasadna jest tak szeroko rozumiana ochrona tożsamości zgłaszającego naruszenie. W kwestii tej wypowiedziała się Grupa Robocza ds. Ochrony Danych Osobowych powołana na mocy art. 29 dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.WE.23.11.1995) w przyjętej dnia
1 lutego 2006 r. opinii „w sprawie zastosowania unijnych zasad ochrony danych do wewnętrznych systemów informowania o nieprawidłowościach w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem, zwalczania przekupstwa oraz przestępstw bankowych i finansowych”. Według tego gremium, konieczne jest zachowanie równowagi między prawami osoby, której dane dotyczą i na których z punktu widzenia ochrony danych osobowych, systemy informowania o nieprawidłowościach powinny się koncentrować i prawami informatora, z uwzględnieniem potrzeb pracodawcy
w zakresie prowadzenia dochodzenia mającego wykryć nieprawidłowości. W powołanej opinii podkreślono przy tym jasno, iż cyt.: „w żadnym wypadku, w ramach systemu i w oparciu o prawo dostępu osoby oskarżonej, osoba oskarżona w sprawozdaniu informatora nie może uzyskać informacji o jego tożsamości, z wyjątkiem przypadków, gdy informator działając w złej woli składa fałszywe oświadczenie. W każdym innym przypadku należy zapewnić anonimowość informatora”.

Perspektywa zmian

 

26 maja 2016 r. Rada Unii Europejskiej przyjęła dyrektywę w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem, która jest pierwszym europejskim aktem prawnym dotykającym praw sygnalistów. Powyższe rodzi po stronie polskiego ustawodawcy obowiązek implementowania dyrektywy, co jak możemy się spodziewać, nastąpi poprzez nowelizację przepisów ustawy o zwalczaniu nieuczciwej konkurencji. Zaznaczenia wymaga również okoliczność złożenia projektu dyrektywy  w sprawie uregulowania praw sygnalistów przez partię Zielonych.

Ponadto od 3 lipca 2016 r. w Unii Europejskiej bezpośrednio stosowane jest Rozporządzenie  w sprawie nadużyć na rynku, tzw. Rozporządzenie MAR (od ang. Market Abuse Regulation), co kształtuje po stronie polskiego ustawodawcy obowiązek dostosowania do niego polskich przepisów. Przedmiotowy akt prawny nakazuje, aby państwa członkowskie zapewniły lepszą ochronę sygnalistom i wprowadza regulacje ograniczające rozpowszechnianie ich danych osobowych, w pewnych przypadkach zapewniając im anonimowość.

Pozostaje zatem nadzieja, że powyższe, jeśli nawet nie zmobilizuje polskiego ustawodawcy do stworzenia kompleksowego uregulowania mającego na celu zapewnienie sygnalistom ochrony ich tożsamości, to zmusi go do pochylenia się nad uregulowaniem kwestii ochrony ich praw poprzez zmianę już obowiązujących aktów prawnych.

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.