HR Sygnał: Dyrektywa o ochronie sygnalistów

Czytaj więcej

Jak pomóc Ukrainie?
 

Czytaj więcej

HR Sygnał: Anonimowość sygnalisty i poufność danych objętych treścią zgłoszenia

19.05.2021

W ostatnim artykule z cyklu HR Sygnał pisaliśmy o specyfice przewidzianych dyrektywą o ochronie sygnalistów kanałów dokonywania zgłoszeń nieprawidłowości oraz stawianych im wymaganiom. Najważniejszym z nich jest gwarancja anonimowości sygnalistów i poufność danych objętych treścią zgłoszeń.

Obecnie nawet w organizacjach, gdzie funkcjonują systemy whistleblowingowe, a dokonanie zgłoszenia jest co do zasady możliwe, potencjalni sygnaliści często nie decydują się na podjęcie działania w obawie przed ujawnieniem ich tożsamości i wyciągnięciem konsekwencji z tytułu zgłoszenia.

Jak pokazuje praktyka, jednym z typowych błędów organizacyjnych jest stawianie skrzynki (urny) na zgłoszenia papierowe w miejscu ogólnodostępnym, przechodnim lub bezpośrednio pod kamerą, czy możliwość wysłania zgłoszenia wyłącznie ze służbowego adresu mailowego. W takich sytuacjach zrozumiała jest obawa pracowników o ujawnienie ich tożsamości.

Z kolei tam, gdzie zgłoszeń dokonuje się poprzez wewnętrzną infolinie, zachodzi obawa rozpoznania głosu danego sygnalisty przez osobę odpowiedzialną za odbieranie telefonów, tym bardziej, że tego typu rozmowy są najczęściej nagrywane.

Z tych przyczyn Dyrektywa bardzo skrupulatnie podchodzi do kwestii anonimowości zgłoszeń. Objęcie ochroną przed identyfikacją, a w przypadku jej mimowolnego dokonania – przed działaniami odwetowymi, sygnalistów, to jeden z głównych celów, który unijny prawodawca wskazuje już w preambule.

Na gruncie Dyrektywy pojęcie anonimowości rozpatrywać można w dwóch aspektach:

  1. jako możliwość dokonania zgłoszenia bez podania swoich danych osobowych, oraz;
  2. jako obowiązek zachowania w poufności danych osobowych zgłaszającego oraz innych osób których dotyczy zgłoszenie.

Niezależnie od wybranego kanału, zgłoszenia zawsze można będzie dokonać całkowicie anonimowo. Wówczas jednak Dyrektywa nie daje gwarancji, że zgłoszenie takie zostanie rozpatrzone – ostatecznie to polski ustawodawca zdecyduje o istnieniu obowiązku przyjmowania i reagowania na takie zgłoszenia. Ratio legis takiego rozwiązania jest związane z koniecznością wysyłania zgłoszeń w dobrej wierze i ma chronić pracodawców przed nieprawdziwymi oskarżeniami, przykładowo ze strony konkurencji. Wiele złego mogłoby wyrządzić „zbombardowanie” instytucji publicznych niemającymi oparcia w rzeczywistości zgłoszeniami, na które odpowiednie organy musiałyby reagować, wszczynając procedurę kontrolną.

Jeśli natomiast sygnalista zdecyduje się podpisać pod swoim zgłoszeniem, Dyrektywa gwarantuje mu, że jego tożsamość będzie chroniona i nie trafi do żadnej nieupoważnionej osoby. Gwarancja ta rozciąga się również na wszelkie inne informacje, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia. Dyrektywa przewiduje sytuacje, w których – w drodze wyjątku – można odstąpić od obowiązku zachowania tajemnicy poufności. Będzie tak wtedy, gdy ujawnienie będzie jednocześnie koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w kontekście działań prowadzonych przez aparat władzy, m.in. w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie. Wreszcie, sam sygnalista może udzielić zgody na ujawnienie jego tożsamości, rezygnując z prawa do poufności.

W praktyce, aby zagwarantować anonimowość zgłaszających oraz poufność danych objętych zgłoszeniami, organizacje będą zmuszone wdrożyć lub zaktualizować swoją infrastrukturę techniczną. O nowych zasadach będzie trzeba pracowników należycie poinformować oraz nauczyć, jak odnaleźć się w nowych, whistleblowingowych realiach. Pracodawcy powinni dbać o to, by tożsamość sygnalisty nie była przedmiotem zakładowych plotek, odpowiednio reagować na szykanę ze strony pozostałych pracowników i w dalszym ciągu, w stopniu zintensyfikowanym – przeciwdziałać mobbingowi w tym zakresie.

Obsługa nowej infrastruktury rodzi wiele ryzyk, zwłaszcza z perspektywy ochrony danych osobowych. Jeśli przykładowo tożsamość sygnalisty zostanie ujawniona w wyniku ataku hakerskiego na pracodawcę lub zewnętrzną firmę obsługującą zlecenia, rodzi się pytanie o zakres odpowiedzialności tych podmiotów i możliwe roszczenia pracownika-sygnalisty. Wtedy też szczególne znaczenie będą miały środki ochrony przed działaniami odwetowymi.

Dochodzić będzie również do wielu sytuacji spornych, jak np. wtedy, gdy zwolniony pracownik podnosić będzie zarzuty, że rzeczywistym powodem zwolnienia było dokonane przez niego zgłoszenie, o którym pracodawca w jakiś sposób się dowiedział.

Aby zapobiec takim sytuacjom i zminimalizować ryzyka z nimi związane, trzeba wdrożyć system w pełni skuteczny i funkcjonujący zgodnie z zasadami anonimowości wskazanymi w Dyrektywie.