Kiedy sygnalista ma prawo do zachowania poufności, a kiedy prawo do bycia anonimowym?

Polska ustawa o ochronie sygnalistów z 14 czerwca 2024 r. posługuje się dwoma pojęciami: anonimowością i poufnością. Z punktu widzenia pracodawców to rozróżnienie jest znaczące.

Prawo do zachowania poufności tożsamości sygnalisty

Prawo do zachowania poufności tożsamości sygnalisty stanowi jedną z najważniejszych zasad postępowań wyjaśniających.  Ochrona poufności sygnalisty dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować jego tożsamość. W praktyce ma to oznaczać, że dostęp do danych zawartych w zgłoszeniu, w tym danych dotyczących sygnalisty, mają wyłącznie osoby do tego upoważnione. Osoby te, pod groźbą określonych konsekwencji prawnych, mają obowiązek zachować je w tajemnicy. Nie mają prawa do ich upublicznienia. Wyjątek stanowi sytuacja, gdzie sygnalista składa wniosek o ujawnienie swoich danych.

Zgłoszenia anonimowe

W zakresie przyjmowania zgłoszeń anonimowych ustawa o ochronie sygnalistów pozostawia organizacjom dowolność w zakresie ich przyjmowania. Pracodawcy mają jedynie obowiązek określenia w procedurze zgłoszeń wewnętrznych czy umożliwiają dokonywanie zgłoszeń w formie anonimowej czy nie. W przypadku pozytywnego podejścia, procedura musi określać tryb postępowania z informacjami o naruszeniach zgłoszonych anonimowo. Zgłoszenie anonimowe oznacza całkowity brak możliwości ustalenia tożsamości sygnalisty.

W praktyce oznacza to, że przy planowaniu kanałów do dokonywania zgłoszeń wewnętrznych należy uwzględnić takie rozwiązania techniczne, które zabezpieczą sygnalistę przed dostępem do jego tożsamości przez osoby nieupoważnione lub w przypadku zgłoszeń anonimowych przed ujawnieniem jego tożsamości w ogóle.

Zapewnianie anonimowości w procesie sygnalizacji nieprawidłowości nie jest bezwzględnym obowiązkiem organizacji. To dana firma zdecyduje, czy będzie przyjmować anonimowe zgłoszenia czy też nie.

Procedura służy ochronie poufności

Jednym z najczęściej stosowanych kanałów zgłoszeń wewnętrznych są różnego rodzaju rozwiązania teleinformatyczne, np. e-maile, czy specjalne platformy i aplikacje .

Zgodnie art. 27 ustawy o ochronie sygnalistów: podmiot prawny gwarantuje, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.

Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych sygnalistów mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Upoważnieni mają obowiązek zachować tajemnicę w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych.

Pracodawca musi zagwarantować, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych:

  • uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem,
  • zapewniają ochronę poufności tożsamości sygnalisty.

Natomiast osoby uprawnione do:

  • przyjmowania i weryfikacji zgłoszeń wewnętrznych,
  • podejmowania działań następczych oraz przetwarzania danych osobowych sygnalisty,

    muszą mieć pisemne upoważnienie.

Praktykowane rozwiązania

Częstym kanałem dokonywani zgłoszeń wprowadzanym przez pracodawców są dedykowane skrzynki mailowe. Przy takim rozwiązaniu należy wziąć pod uwagę określenie zasad dostępu do skrzynki. Należy też przewidzieć sytuację, w której osoba, która odbiera zgłoszenia jest wskazana w zgłoszeniu jako ta, która narusza prawo. W takim wypadku należy to uwzględnić w treści upoważnień do przetwarzania danych, a w procedurze przewidzieć osobę, która musi ją zastąpić.

Duże firmy, często korzystają z rozwiązań firm zewnętrznych kupując odpowiednie oprogramowanie. Pamiętać należy, że bez względu na przyjęte rozwiązanie odpowiedzialność za dochowanie poufności spoczywa na pracodawcy. Zgodnie z art. 28 ust 4 ustawy o ochronie sygnalistów zawarcie umowy z dostawcą takiego oprogramowania nie uchyla odpowiedzialności pracodawcy za niespełnienie obowiązku zachowania poufności, udzielania informacji zwrotnej oraz podjęcia działań następczych.

Cyfrowe kanały zgłaszania naruszeń mają przewagę nad tradycyjnymi formami w wielu obszarach. Za ich pośrednictwem można dokonać zgłoszenia w każdym czasie, w każdym momencie i w każdym języku. Pozwalają nie tylko przyjąć zgłoszenia, ale też nimi administrować. Pozwalają zarządzać anonimowymi zgłoszeniami, jak i automatyzować proces zgłoszeń. Niemniej jednak z pewnością nie są one pozbawione potencjalnych ryzyk. Dlatego też, korzystając z oprogramowania dostarczanego przez zewnętrznego dostawcę, należy:

  • zweryfikować go pod kątem wiarygodności,
  • zabezpieczyć się na wypadek wycieku danych
  • zapewnić mechanizmy szyfrowania, uniemożliwiające odczytanie treści zgłoszeń innym osobom, niż wskazane przez samą organizację.

Na marginesie można wspomnieć, że w przypadku anonimowych zgłoszeń przyjmowanych poza systemem IT może być też tak, że pracodawca rozpozna charakter pisma sygnalisty. I tu właśnie rozwiązania technologiczne stają się niezastąpione.

Podsumowanie

Reasumując, prawo do zachowania poufności sygnalisty wynika wprost z przepisów ustawy o ochronie sygnalistów i dotyczy wszystkich postępowań wyjaśniających. Tożsamość sygnalisty znają wyłącznie osoby, posiadające pisemne upoważnienia do procedowania zgłoszeń wewnętrznych. Mają obowiązek zachować w tajemnicy wszelkie dane, które mogłyby wpłynąć na ujawnienie danych sygnalisty.

Prawo do bycia anonimowym powstaje w chwili, gdy pracodawca przewidzi anonimowy sposób przekazywania zgłoszeń w procedurze w swojej organizacji. Sygnalista, zgłaszający nieprawidłowość w tym trybie powinien pozostać anonimowy w toku całego postępowania, jak i po jego zakończeniu.

Polski porządek prawnym za naruszenie obowiązku zachowania poufności i ujawnienie tożsamości sygnalisty przewiduje karę grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

dr Magdalena Kun-Buczko

dr Magdalena Kun-Buczko

radca prawny, Kancelaria Radców Prawnych Bieluk i Partnerzy

m.kun-buczko@bieluk.pl
tel. 85 663 77 64

Wszystkie artykuły

Kliknij w temat, który cię interesuje

agencja pracy tymczasowej / badanie trzeźwości / BHP / compliance / czas pracy / dokumentacja pracownicza / emerytura / kontrola trzeźwości / koronawirus / medycyna pracy / mobbing / monitoring / ochrona małoletnich / odprawa / podróż służbowa / PPK / praca zdalna / prawa i obowiązki pracodawcy / prawa i obowiązki pracownika / procedury antydyskryminacyjne / regulaminy / RODO w prawie pracy / staż pracy / sygnaliści / umowa o pracę / urlop okolicznościowy / urlopy / WOT / wynagrodzenie / wypadek przy pracy / wypowiedzenie umowy / zatrudnianie cudzoziemców / ZFŚS / zmiany w kodeksie pracy / ZUS / związek pracodawców / zwolnienie dyscyplinarne

O autorach

Pomoc prawna

Kontakt

Kancelaria Radców Prawnych Bieluk i Partnerzy
ul. Warszawska 14 lok 3, Białystok 15-063, tel. +48 85 66 54 441, kancelaria@bieluk.pl

oddział w Warszawie
ul. Karolkowa 28/114, Warszawa 00-750, tel. +48 604 911 128

©2024 Bieluk i Partnerzy – bieluk.pl / Ustawienia Cookies
Wykonanie strony: Big Project