Projekt bardzo ogólnie określa warunki, jakim mają odpowiadać rozwiązania dla tzw. sygnalistów – mowa jest jedynie o zapewnieniu pracownikom, którzy zgłaszają nieprawidłowości lub nadużycia mogące stanowić przestępstwo, ochronę co najmniej przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania. Zatem to po stronie podmiotu zbiorowego będzie inicjatywa, w jaki sposób i za pomocą jakich rozwiązań należy powyższe warunki zapewnić tzw. sygnalistom.
Trzeba zatroszczyć się o dane osobowe
Należy zauważyć, że dokonywanie zgłoszeń związanych z możliwością popełnienia czynu zabronionego, niedochowaniem należytej staranności, niedopełnieniem obowiązków, czy też nieprawidłowościami w organizacji podmiotu zbiorowego dotyczy najczęściej kwestii wrażliwych i może wpływać na wizerunek nie tylko sygnalisty, ale także osoby, której zgłoszenie dotyczy. Dlatego też istotne jest uwzględnienie w procedurze whistleblowing kwestii związanych z przetwarzaniem danych osobowych. Umiejętne uregulowanie sposobu postępowania z danymi osobowymi, ich przepływu czy ograniczenia dostępu do nich jedynie do osób upoważnionych, biorących udział w procesie decyzyjnym w związku z postępowaniem wewnętrznym, mogą uchronić podmiot nie tylko przed negatywnymi konsekwencjami naruszenia RODO, ale również minimalizować będą ryzyko naruszenia dóbr osobistych (np. wizerunku, prywatności).
Istotne jest zatem, aby zadbać zarówno o dane osobowe sygnalisty, jak i osoby, której zgłoszenie dotyczy. W odniesieniu do sygnalisty przepisy nakazują zadbać, aby w związku ze zgłoszeniem nie doszło do żadnych represji wobec takiego pracownika. Można uznać, że chodzi tutaj zarówno o działania pracodawcy, które podejmuje on w wyniku odebrania zgłoszenia, jak i o zapewnienie ochrony przed represjami ze strony współpracowników. W związku z tym, pracodawca powinien szczególnie zadbać o zachowanie w poufności tożsamości osoby zgłaszającej naruszenie oraz treści zgłoszenia. Jeżeli zgłoszenie nie jest przekazywane anonimowo, a np. wysłane jest na skrzynkę mailową, najlepiej aby była to dedykowana skrzynka, do której dostęp mają wyłącznie osoby dedykowane do wstępnej weryfikacji zgłoszeń o nadużyciach. Jeżeli w organizacji wyznaczono konkretną osobę odpowiedzialną za dokonywanie takiej weryfikacji, w regulaminie lub intranecie można wskazać bezpośrednio jej adres mailowy.
Ostrożności nigdy nie za dużo
W sposób ostrożny należy postępować również z danymi osób, których zgłoszenie sygnalisty dotyczy. Co prawda organy podmiotu zbiorowego mogą przetwarzać dane pracowników i członków organów bez ich zgody w celu zapobiegania popełnieniu czynu zabronionego, a ustawodawca wprost przewidział wyłączenie obowiązku informowania takich osób o źródle, z którego otrzymano ich dane. Jednak należy zwrócić uwagę na dość wąskie sformułowanie tych przepisów. Po pierwsze, wprost brak konieczności pozyskiwania zgody został przewidziany wyłącznie w przypadku działań mających na celu zapobieganie popełnieniu czynu zabronionego. Zatem nie chodzi o każde potencjalne nadużycie. Jednocześnie może się zdarzyć, że w ramach procesu whistleblowing zgłaszane będą nieprawidłowości, które warto rozpatrzyć, a które jako czyn zabroniony się nie kwalifikują, np. pewne zachowania powszechnie uznawane za niepożądane w środowisku pracy. Przedsiębiorca powinien zatem rozważyć, jaka będzie podstawa przetwarzania danych osobowych w takich przypadkach, w szczególności, czy dopuszczalne będzie oparcie się na prawnie usprawiedliwionym interesie administratora danych. W przypadku dokonywania ważenia interesów, konieczne będzie uwzględnienie potencjalnej nierówności stron w relacji pracodawca – pracownik. Ponadto, projekt ustawy nie wyłącza całkowicie wykonywania obowiązku informacyjnego wobec osoby, której zgłoszenie sygnalisty dotyczy. Wyłączenie dotyczy tylko tożsamości sygnalisty. W związku z tym należy rozważyć, w jakim czasie należy dopełnić obowiązku informacyjnego w pozostałym zakresie, aby z jednej strony pozostać w zgodzie z przepisami RODO, a z drugiej zapewnić skuteczność wykrywania nadużyć.
Zdaniem autorów
Katarzyna Sawicka, prawnik, managing associate, Deloitte Legal
Maciej Kuśmierczyk adwokat, managing associate, Deloitte Legal