Dane osobowe sygnalisty a dyrektywa 2019/1937
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii, traktuje w swej treści o konieczności wprowadzenia oraz stosowania regulacji dotyczących ochrony danych osobowych sygnalistów. Nie ulega bowiem wątpliwości, że w przypadku dokonywania przez nich zgłoszeń w przedmiocie zidentyfikowanych naruszeń, dojdzie do przetworzenia danych osobowych osoby zgłaszającej.
Aby zatem zabezpieczyć osobę zgłaszającą przed stosowaniem w stosunku do niej działań odwetowych, jak też zapewnić przeprowadzenie postępowania zgodnego z obowiązującymi przepisami prawa, koniecznym stało się uregulowanie kwestii związanych z odpowiednim zabezpieczeniem danych osobowych sygnalisty.
Na powyższe wskazuje motyw 76, który „nakazuje państwom członkowskim UE zapewnienie organom pozostawania przez nie w dyspozycji odpowiednich procedur, mających za cel ochronę w zakresie przetwarzania zgłoszeń i ochrony danych osobowych osób, o których mowa w zgłoszeniach. Takie procedury powinny zapewniać (i) ochronę tożsamości każdej osoby dokonującej zgłoszenia, (ii) osób, których dotyczy zgłoszenie, (iii) oraz osób trzecich, o których mowa w zgłoszeniu, na przykład świadków lub współpracowników, na wszystkich etapach procedury”.
Ochrona danych poufnych
Jednym ze sposobów ochrony tożsamości sygnalisty, przewidzianym w treści przedmiotowej dyrektywy, jest zachowanie w poufności jego danych, które zostały pozyskane na skutek dokonanego zgłoszenia.
Wyjątkiem od powyższej zasady, na jaki w pierwszej kolejności wskazuje dyrektywa, jest uzyskanie zgody sygnalisty na ujawnienie jego danych osobowych bądź innych informacji, które pozwolą ustalić tożsamość osoby zgłaszającej.
Odpowiada to treści art. 16 ust. 1 dyrektywy 2019/1937, zgodnie z którym „Państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby […]”.
Należy zatem stwierdzić, że w przypadku braku uzyskania powyższej zgody, dane osobowe osoby zgłaszającej, bądź inne dane umożliwiające jej identyfikację, co do zasady winny w dalszym ciągu pozostać poufne.
Zgłoszenie anonimowe
Mimo przewidzianej w powyższej Dyrektywie możliwości dokonywania przez sygnalistów tzw. zgłoszeń anonimowych, ostateczna decyzja w przedmiocie wprowadzenia ich do danego porządku prawnego zależy od krajowego ustawodawcy.
Ustawa z dnia 14 czerwca 2024 roku, uprawnia podmioty do zastosowania procedury zgłoszeń anonimowych w swoich organizacjach, zobowiązując je przy tym do określenia trybu postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo. W związku z tym, należy wdrożyć odpowiednio dostosowane procedury, umożliwiające potwierdzenie sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania.
Oznacza to, że w przypadku dokonania zgłoszenia w formie anonimowej (bez podania danych osobowych osoby zgłaszającej) ustawa nie zobowiązuje danego podmiotu do weryfikacji zgłoszenia i podjęcia na jego skutek stosowanych działań (tj. zastosowania rygorów określonych w dyskutowanej ustawie), jednakże tego nie wyklucza.
Co jednak istotne, gdyby doszło do ujawnienia danych osobowych (lub innych umożliwiających identyfikację) sygnalisty, dokonującego tzw. zgłoszenia anonimowego, na skutek którego zastosowano by wobec osoby zgłaszającej działania odwetowe, ustawa o której mowa powyżej, winna zostać zastosowana.