Sporo wątpliwości budzą nowe przepisy o ochronie sygnalistów, które wejdą w życie 25 września. Chcemy je rozwiać, dlatego – z myślą o pracownikach administracji publicznej –zorganizowaliśmy webinar z prawnikiem pt. „Obsługa zgłoszeń sygnalistów w urzędzie – wymagania prawne, organizacyjne i techniczne".
Szkolenie, zorganizowane przez platformę technologiczną LEX Hub, odbyło się 27 czerwca. Poprowadził je dr Mirosław Gumularz – radca prawny, ekspert ochrony danych osobowych, audytor wg norm ISO/IEC oraz autor licznych publikacji z zakresu prawa nowych technologii.
Poniżej publikujemy kilka wypowiedzi naszego prelegenta. Zachęcamy do lektury, a następnie do obejrzenia całego nagrania webinaru.
Partnerem szkolenia była aplikacja Esignaller, dostępna na LEX Hub, która umożliwia bezpieczne i poufne składanie zgłoszeń przez sygnalistów oraz ich kompleksową obsługę. Rozwiązanie jest zaprojektowane z myślą o zapewnieniu najwyższego poziomu bezpieczeństwa i zgodności z obowiązującymi przepisami prawa.
Ochrona danych a sygnaliści
Patrząc na przepisy o ochronie sygnalistów, pamiętajmy, że tak naprawdę ich większa część dotyczy kwestii ochrony danych, bezpieczeństwa informacji i ochrony tożsamości sygnalistów. Część dotyczy też prawa pracy, trochę jest kwestii publicznoprawnych, są też przepisy karne. Jednak niezwykle istotną kwestią z punktu widzenia tych przepisów jest zrozumienie mechanizmów ochrony danych i bezpieczeństwa informacji. Problem polega też na tym, że trzeba zrozumieć i przede wszystkim zauważyć, w których punktach te przepisy mają charakter szczególny do przepisów RODO, czyli po prostu wyłączają działanie reguły ogólnej, bo są bardziej precyzyjne.
Kim jest sygnalista
Najczęstsze moje pytanie szkoleniowe brzmi: kogo mamy wyznaczyć na sygnalistę? Nie wyznaczamy, tylko on się sam wyznacza, bo to jest dobrowolna funkcja! Natomiast przepisy są po to, żeby chronić sygnalistów, żeby określać ich ochronę – zarówno w kwestii potencjalnych działań odwetowych, jak i ochrony informacji lub ich danych osobowych.
Co ważne, sygnalista to wyłącznie osoba fizyczna, która zgłasza lub ujawnia publicznie informacje o naruszeniu prawa. Czyli zgłasza to, co wynika z katalogu, który jest zawarty w tych niedawno przyjętych przepisach. Zapisy ustawy o ochronie sygnalistów dotyczą naruszeń prawa, te obszary naruszeń są wyraźnie skatalogowane.
Sygnalista to zawsze osoba, która uzyskuje informacje w kontekście pracy w jakimś podmiocie. Nie jest to osoba całkowicie z zewnątrz! UWAGA Kontekst związany z pracą nie oznacza, że ktoś pracował w danym podmiocie. Może być tak, że ktoś np. działał na rzecz podmiotu, był kontrahentem lub inwestorem. To może być stażysta, a nawet kandydat do pracy, który ostatecznie pracy nie dostał. Dowiedział się jednak o nieprawidłowościach i zgłasza naruszenie prawa. A więc jest to rozumiane dużo szerzej.
Katalog naruszeń
Samo pojęcie naruszenia prawa jest szerokie. Katalog jest nawet szerszy niż ten zawarty w dyrektywie, zawiera 16 czy 17 pozycji, podczas gdy dyrektywa 13. Zresztą sama dyrektywa pozwala, żeby rozszerzyć ten katalog. Dlaczego pojęcie naruszenia prawa w tym kontekście jest tak istotne? Ponieważ tylko pod warunkiem, że zgłoszenie dotyczy jakiejś pozycji z katalogu, dana osoba uzyskuje status sygnalisty.
Przepisy dają możliwość (przy zgłoszeniach tylko wewnętrznych) rozszerzenie tego katalogu m.in. na regulacje wewnętrzne, które są przyjmowane w oparciu o przepisy prawa. Jednak wtedy, np. w przypadku zgłoszeń zewnętrznych, część z tych mechanizmów ochronnych nie będzie dotyczyła sygnalistów.
To warto zapamiętać: lista potencjalnych naruszeń jest szeroka. Jest to katalog jednocześnie zamknięty. Mieści się w tym kwestia zamówień publicznych, korupcji, ochrony prywatności. Na przykład informatyk zgłasza, że jest jakaś luka w systemie IT. Ostatnio w mediach pojawiła się informacja, że taka sytuacja miała miejsce, i od razu pojawiło się pytanie, czy ta osoba jest sygnalistą w rozumieniu nowych przepisów. Niestety – informatyk dokonał zgłoszenia, zanim te przepisy weszły w życie, więc nie uzyskał ochrony.
Zgłoszenia zewnętrzne i wewnętrzne
To jest kluczowe rozróżnienie – istnieją zgłoszenia zewnętrzne i wewnętrzne. Oczywiście mogą one dotyczyć podmiotów czy organów publicznych. Przypominam, że zawsze, jak otrzymamy zgłoszenie, trzeba sprawdzić, czy ono dotyczy właśnie tych naruszeń prawa, które są skatalogowane w ustawie o sygnalistach. Co więcej, czytając ustawę, należy sobie utrwalić, że zgłoszenie wewnętrzne to zgłoszenie do podmiotu prawnego – jest to zarówno podmiot sektora prywatnego, jak i publicznego.
Zgłoszenie zewnętrzne to zgłoszenie ustne lub pisemne przekazane Rzecznikowi Praw Obywatelskich albo organowi publicznemu o naruszeniu prawa. To są sytuacje, kiedy ta osoba, która potencjalnie mogłaby dokonać zgłoszenia wewnętrznego, robi to, pomija zgłoszenie wewnętrzne albo najpierw zgłasza wewnętrznie, a później idzie do organu publicznego zgłosić na zewnątrz.
