Pytanie: Gdy organizacja zdecyduje się nie przyjmować zgłoszeń anonimowych – czy ma uprawnienia do weryfikacji tożsamości sygnalisty? W jakim zakresie? Ma to znaczenie przy ew. roszczeniach, przy ew. wniosku do dostęp do danych.

Odpowiedź: Zgodnie z ustawą o ochronie sygnalistów podmiot prawny nie ma obowiązku przyjmowania zgłoszeń anonimowych, chyba, że sam ustanowi procedury zgłoszeń dokonywanych także anonimowo. W takim przypadku nie stosuje się obowiązków informacyjnych (informacja zwrotna) wobec zgłaszającego. Jeżeli organizacja nie wprowadziła trybu postępowania z informacjami anonimowymi, to w żadnym przypadku nie jest uprawniona do samodzielnej weryfikacji danych osobowych osoby zgłaszającej anonimowo. Ewentualne uprawnienia zgłaszającego w stosunku do organizacji (podmiotu prawnego) mogą być realizowane dopiero po ujawnieniu własnych danych osobowych. Anonim w swojej istocie należy traktować wyłącznie jak informację kierowaną do danej organizacji (podmiotu prawnego), która nie rodzi skutków w stosunku do osoby, która ją kieruje.

Pytanie: Jakie uprawnienia ma zespół wyjaśniający? Czy może żądać wyjaśnień od pracowników danego podmiotu wskazanych w zgłoszeniu?

Odpowiedź: Zespół wyjaśniający (czyli wewnętrzna jednostka/komórka organizacyjna lub osoba albo podmiot zewnętrzny) musi posiadać pisemne upoważnienie do przyjmowania i realizacji zgłoszeń wewnętrznych wystawione przez kierownictwo danej organizacji. Taki zespół jest uprawniony do:

– żądania „wyjaśnień” od pracowników (lepiej używać sformułowania, że zespół wyjaśniający jest uprawniony do rozpytania pracowników w danej sprawie. Wyjaśnienia dotyczą osób podejrzanych o przestępstwo)

– przeglądu monitoringu zakładowego

– wglądu w dokumentację służbową

– wglądu w korespondencję służbową (papierową i elektroniczną)

– przeglądu dokumentacji finansowej itd.

Pytanie: Zgłoszenia dot. członków zarządu, komu przekazywać?

Odpowiedź: Zgłoszenia dot. członków zarządu osób prawnych można realizować w następujący sposób:

1. w przypadku struktury przewidującej funkcjonowanie rady nadzorczej – zgłoszenia kierować do rady nadzorczej, która powinna być wyposażona w możliwość wyznaczenia podmiotu (wewnętrznego lub zewnętrznego) do obsługi zgłoszeń dot. członków organów zarządzających, albo
2. zgodnie z ustawą o ochronie sygnalistów, od razu dokonać zgłoszenia zewnętrznego (rozdział 4 ustawy) bez uprzedniego dokonania zgłoszenia wewnętrznego lub dokonać zgłoszenia do organu publicznego.

Pytanie: Ustawa przewiduje naruszenia dot. konstytucyjnych wolności i praw człowieka i obywatela – występujące w stosunkach jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi w pkt 1-16. Czyli prywatny pracodawca nie musi rozpatrywać zgłoszeń z ww. obszaru?

Odpowiedź: Ale to dotyczy tylko stosunków obywatel – Państwo. W intencji projektodawcy dotyczy to w szczególności – biorąc pod uwagę, że naruszenia te w świetle projektowanej ustawy występują w kontekście związanym z pracą – sytuacji osób, które pozostają w administracyjnoprawnych stosunkach zatrudnienia (np. funkcjonariuszy służb mundurowych, żołnierzy zawodowych) i które w związku ze służbą doświadczają takich naruszeń lub je dostrzegają, oraz sytuacji innych osób, których wolności i prawa człowieka i obywatela są naruszane przez organy władzy publicznej.

Prywatny pracodawca w kontekście administracyjnoprawnych stosunków zatrudnienia nie musi i nie powinien rozpatrywać zgłoszeń w tym obszarze. Jeżeli prywatny pracodawca w jakikolwiek sposób otrzyma informacje o naruszeniach w dziedzinie zatrudnienia funkcjonariuszy Policji, KAS, żołnierzy , straży granicznej itd. powinien skierować informację do organu publicznego albo Rzecznika Praw Obywatelskich jako zgłoszenie zewnętrzne. A zatem prywatny przedsiębiorca nie rozpatruje zgłoszeń
z tego obszaru.

Pytanie: Czy osoba przyjmująca zgłoszenie sygnalisty może równocześnie być osobą rozstrzygającą o zasadności zgłoszenia? Jak prawidłowo ustanowić podmiot rozstrzygający o zasadności zgłoszenia? Czy po rozstrzygnięciu raport organu rozstrzygającego wystarcza do działań w Spółce czy też raport  jest kierowana do Zarządu Spółki który podejmuje decyzję o działaniach następczych w Spółce?

Odpowiedź: Co do zasady, zgodnie z procedurą zgłoszeń wewnętrznych podmiot prawny (np. pracodawca) powinien utworzyć odrębny, dedykowany do powiadamiania kanał zgłoszeniowy. Nie ma przeszkód, by kanał ten był od samego początku obsługiwany przez specjalnie pisemnie upoważnioną, wewnętrzną jednostkę/komórkę organizacyjną lub osoby/osobę do tego wyznaczoną. A zatem osoba przyjmująca zgłoszenie może być jednocześnie osobą rozstrzygającą o zasadności zgłoszenia, pod warunkiem, że zostanie do tego umocowana przez kierownictwo zarządzające organizacją. Częściej jednak można spotkać się z sytuacją, kiedy cała korespondencja najpierw trafia do kierownictwa, potem zaś kierowana jest do właściwych komórek do realizacji. Ustawa o ochronie sygnalistów w art. 25 ust.1 pkt 3 wskazuje wprost, że jednym z kryteriów doboru podmiotu do realizacji zgłoszeń jest bezstronność tego podmiotu (jednostki/komórki/osób/osoby itd.).

Raport organu rozstrzygającego, ze względu na zakres kompetencji osób zarządzających organizacją, powinien zostać skierowany do zarządu spółki, z wnioskiem o podjęcie decyzji w przedmiocie podjęcia działań następczych. Wyjątkiem może być przykład, w którym kierownictwo spółki upoważnia do przeprowadzenia działań następczych zespół powołany do realizacji całości zgłoszenia.

Pytanie: Jeśli zgłoszenie dotyczyłoby naruszenia prawa dokonanego przez któregoś z Panów w swojej fundacji, to czy finałem postępowania wewnętrznego powinno być dokonanie przez Panów „samozawiadomienia” do organów ścigania? Taka sytuacja będzie miała miejsce w przypadku każdego zgłoszenia dot. działań zarządu spółek; jak Panowie się na to zapatrują?

Odpowiedź: Zgłoszenia dot. członków zarządu osób prawnych można realizować w następujący sposób:

– w przypadku struktury przewidującej funkcjonowanie rady nadzorczej – zgłoszenia kierować do rady nadzorczej, która powinna być wyposażona w możliwość wyznaczenia podmiotu (wewnętrznego lub zewnętrznego) do obsługi zgłoszeń dot. członków organów zarządzających, albo

– zgodnie z ustawą o ochronie sygnalistów, od razu dokonać zgłoszenia zewnętrznego (rozdział 4 ustawy) bez uprzedniego dokonania zgłoszenia wewnętrznego lub dokonać zgłoszenia do organu publicznego. A zatem nie występuje możliwość „samozawiadomienia”, ze względu ustawową ścieżkę zgłoszenia zewnętrznego do Rzecznika Praw Obywatelskich albo organu publicznego.

Pytanie: W kontekście ochrony danych osobowych – co robić jeśli sygnalista napisze/zgłosi szkole, że przykładowy nauczyciel Kowalski był karany za narkotyki, a poza tym jest pedofilem i to ukrył, przy czym sygnalista prześle odpowiednie dowody ukarania – a przecież odbiorca nie będzie raczej uprawniony do przetwarzania danych o ukaraniu/skazaniu? W zakresie niezbędnym trzeba to mieć żeby sprawę rozpoznać, informacje te mają znaczenie dla sprawy ale administrator nie może ich posiadać…

Odpowiedź: Rzeczywiście zagadnienie sygnalizacji wiąże się z gromadzeniem danych osobowych, zatem pracodawca staje się administratorem danych osobowych. W omawianym przypadku mamy jednak do czynienia z pytaniem o zakres działania pomiotu prowadzącego wewnętrzne postępowanie wyjaśniające w sytuacji zgłoszenia, które w rzeczywistości nie mieści się w katalogu naruszeń prawa, o którym mowa w art. 3 ust.1 ustawy o ochronie sygnalistów. W takiej sytuacji zachodzi brak zastosowania przepisów ww. ustawy. Co więcej, treść art. 3 ust.2 ustawy o ochronie sygnalistów także nie wskazuje na możliwość wszczęcia postępowania wyjaśniającego w omawianym przypadku. A zatem, zgodnie z art. 304 kodeksu postępowania karnego, mając do czynienia z podejrzeniem popełnienia przestępstwa ściganego z oskarżenia publicznego, należy złożyć stosowne zawiadomienie o możliwości popełnienia przestępstwa.

Powstaje pytanie, co z danymi osobowymi, którymi dysponuje administrator. Zgodnie z RODO administrator danych osobowych nie może gromadzić danych osobowych (oraz innych danych wrażliwych), które nie mają znaczenia dla rozstrzygnięcia sprawy i musi takie dane usunąć niezwłocznie, nie później niż w terminie 14 dni od momentu ustalenia, że zgromadzone dane nie mają znaczenia dla sprawy.