Procedura zgłoszeń wewnętrznych w nadleśnictwach zatrudniających powyżej 50 pracowników została wdrożona 25 września 2024 roku. Choć sygnaliści nie pojawili się masowo, w niektórych nadleśnictwach już wystąpiły pierwsze przypadki takich zgłoszeń. Jakie wnioski można z nich wyciągnąć?

Podstawową zasadą wynikającą z ustawy oraz założeń dyrektywy jest ochrona tożsamości sygnalisty. To do nadleśniczego należy decyzja, czy w opracowanej procedurze przewiduje się możliwość zgłoszeń anonimowych, czy też nie.

Chronimy dane sygnalistów

W nadleśnictwach, z którymi współpracuję, nadleśniczowie zawsze wybierali opcję, aby nie przyjmować zgłoszeń anonimowych. Niemniej nawet w przypadku zgłoszeń nieanonimowych sygnaliście przysługuje pełna ochrona tożsamości. Zgodnie z art. 8 ust. 1 ustawy dane osobowe sygnalisty, które umożliwiają ustalenie jego tożsamości, nie mogą zostać ujawnione nieupoważnionym osobom, chyba że sygnalista wyrazi na to wyraźną zgodę.

Niestety w ustawie występuje szereg błędów już na etapie definicji, co dotyczy samych „danych osobowych”. Zgodnie z RODO dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować […]. W konsekwencji, jeśli na podstawie dostępnych informacji nie można pośrednio ani bezpośrednio zidentyfikować konkretnej osoby, trudno uznać te informacje za dane osobowe.

Definicja, która wskazuje, że chronione są dane osobowe sygnalisty pozwalające na ustalenie jego tożsamości, wydaje się problematyczna. Można ją rozumieć na dwa sposoby, jako: lapsus ustawodawczy – dane osobowe sygnalisty są chronione warunkowo, a warunkiem ich ujawnienia jest zgoda podmiotu danych na udostępnienie; bądź ograniczona ochrona – chronione są jedynie te dane osobowe sygnalisty, które pozwalają na ustalenie jego tożsamości, podczas gdy pozostałe dane nie podlegają takiej ochronie.

Moim zdaniem właściwa jest pierwsza interpretacja. Można uznać, że przy formułowaniu ustawy doszło do pewnego błędu legislacyjnego, który skutkuje niejasnością w zakresie ochrony danych osobowych sygnalistów. W praktyce należy przyjąć, że dane osobowe sygnalisty podlegają pełnej ochronie, a ich ujawnienie wymaga wyraźnej zgody osoby, której dane dotyczą.

Zgoda na ujawnienie?

Jak widać, to sygnalista musi wyrazić wyraźną zgodę na ujawnienie swojej tożsamości. Należy zatem uwzględniać jego wolę zachowania anonimowości, traktując ją jako opcję domyślną. Dopiero wyraźna zgoda sygnalisty może tę zasadę zmienić.

Kwestia samej zgody również nie jest jednoznaczna. Pojawia się pytanie, czy chodzi o zgodę w rozumieniu RODO, czyli na przetwarzanie danych osobowych, czy raczej o zgodę w kontekście ustawy o sygnalistach. Niestety brak precyzyjnych uregulowań legislacyjnych stwarza przestrzeń do różnych interpretacji. Z perspektywy praktycznego działania administratora danych osobowych autor skłania się jednak ku stanowisku, że nie jest to zgoda w rozumieniu przepisów RODO. Przemawia za tym kilka argumentów. Po pierwsze, w ustawie o sygnalistach brakuje wyraźnego odniesienia do instytucji „zgody” w sensie RODO. Co więcej, „zgoda” na przetwarzanie danych osobowych na podstawie RODO ma istotną wadę – może zostać cofnięta, a o tej możliwości należy informować. W kontekście ujawnienia danych sygnalisty realizacja tego prawa staje się praktycznie niemożliwa. Jeżeli sygnalista wyrazi zgodę na ujawnienie swoich danych osobom nieupoważnionym i dane te zostaną ujawnione, cofnięcie zgody nie zmieni faktu, że te osoby już mają te dane. Realizacja podstawowego atrybutu zgody w rozumieniu RODO, czyli jej odwoływalności, byłaby zatem w tym przypadku niewykonalna. Dlatego, aby nie mnożyć problemów, których można uniknąć, uzasadnione wydaje się uznanie, że mamy do czynienia z odrębnymi instytucjami, mimo pewnego zamieszania wynikającego z ich podobnej nazwy.

Upoważnienie – jaka podstawa?

W przepisie pojawia się zagadnienie dotyczące upoważnień, które może być interpretowane na dwa sposoby. Pierwsza opcja to upoważnienie w rozumieniu art. 29 RODO, gdzie przetwarzanie danych osobowych odbywa się wyłącznie na polecenie administratora. Druga to upoważnienie wynikające z ustawy o sygnalistach, które może być bardziej adekwatne w kontekście zgłaszania naruszeń. Alternatywnie można przyjąć podejście pośrednie polegające na wskazaniu zarówno art. 29 RODO, jak i przepisów ustawy o sygnalistach w upoważnieniu dla osoby przyjmującej zgłoszenia.

Ze względu na niedokładność ustawodawcy każda z tych opcji ma swoje uzasadnienie. Argumentem za zastosowaniem wyłącznie upoważnienia z RODO z jednej strony jest to, że sam mechanizm upoważnienia mieści się w obszarze ochrony danych osobowych. Z drugiej  można wskazać, że dostęp osoby przyjmującej zgłoszenie wynika bezpośrednio z przepisów ustawy o sygnalistach, co sugerowałoby, że wystarczające jest upoważnienie na podstawie tej ustawy.

Chociaż podejście pośrednie może wydawać się nadmiarowe, w praktyce, w sytuacjach kontroli czy audytów, może okazać się korzystne dla nadleśnictwa. Pozwala bowiem uniknąć potencjalnych zarzutów o pominięcie jakiegokolwiek przepisu, niezależnie od tego, czy stało się to świadomie, czy nie. Z tego powodu w upoważnieniu należy odwołać się zarówno do przepisów art. 29 RODO, jak i ustawy o sygnalistach, co zapewni większą przejrzystość i zgodność z regulacjami.

Czy nadleśniczy może poznać dane sygnalisty?

Często pojawia się pytanie, w jakim zakresie pracodawca może poznać personalia sygnalisty. Stoję na stanowisku, że w pewnym momencie nadleśniczy nie tylko może, lecz wręcz musi je poznać. Na etapie przyjmowania zgłoszeń ujawnienie tożsamości sygnalisty nie jest konieczne. Jednak na dalszych etapach, podczas podejmowania działań następczych, staje się to niezbędne. Zgodnie z ustawą działania te mogą obejmować m.in. postępowanie wyjaśniające, wszczęcie kontroli lub postępowania administracyjnego, wniesienie oskarżenia, odzyskanie środków finansowych czy zamknięcie procedury zgłoszenia naruszenia prawa.

Podstawowym obowiązkiem pracodawcy wobec sygnalistów jest ochrona przed działaniami odwetowymi, zgodnie z art. 11 ustawy o sygnalistach: Wobec sygnalisty nie mogą być podejmowane działania odwetowe ani próby lub groźby zastosowania takich działań. Aby jednak pracodawca mógł wywiązać się z tego obowiązku, tj. nadleśniczy, musi znać personalia sygnalisty, aby upewnić się, że działania odwetowe nie zostaną wobec niego zastosowane.

Należy jednak podkreślić z pełną mocą, że ochrona sygnalisty nie oznacza przyzwolenia na bezkarność. Zakaz działań odwetowych dotyczy wyłącznie sytuacji związanych z dokonaniem zgłoszenia, a nie popełnienia ewentualnych nieprawidłowości. Co więcej, pracodawca ma także inne obowiązki, takie jak ochrona pracowników przed mobbingiem czy innymi niepożądanymi działaniami, w tym ze strony grupy pracowniczej. Aby skutecznie chronić sygnalistę w ramach tych obowiązków, pracodawca powinien mieć możliwość poznania jego tożsamości.

Analiza ryzyka oraz DPIA

Dokumenty, które oceniałem, w zasadzie zawierają wszystkie możliwe formularze dotyczące przyjmowania zgłoszeń, realizacji obowiązków informacyjnych itd. Nie wszędzie była jednak przeprowadzona analiza ryzyka oraz ocena skutków dla ochrony danych, tzw. DPIA.

Przyczyny naruszeń, a więc ryzyka, mogą wynikać z:

1. braku odpowiednich zabezpieczeń technicznych i organizacyjnych, do których należą: nieszczelność systemów IT – niewłaściwie zabezpieczony system do przyjmowania zgłoszeń może pozwolić na nieuprawniony dostęp do danych; brak szyfrowania – dane przesyłane bez szyfrowania mogą zostać przechwycone przez osoby trzecie; brak kontroli dostępu – zbyt szeroki dostęp do informacji o sygnaliście w organizacji umożliwia ich wyciek, przechowywanie w niezabezpieczonej szafce (!).
2. błędów ludzkich, do których należą: nieumyślne ujawnienie – pracownik obsługujący zgłoszenia może przypadkowo udostępnić dane osobom nieuprawnionym; złe praktyki komunikacyjne – np. przesłanie danych sygnalisty w niezaszyfrowanym e-mailu lub ich wydrukowanie i pozostawienie w miejscu dostępnym dla innych pracowników nadleśnictwa.
3. naruszenia procedur np. przez: niedostosowanie procedur do przepisów – brak jasnych wytycznych dotyczących postępowania z danymi sygnalistów może prowadzić do ich nieświadomego naruszenia; nieprzeszkolony personel – osoby obsługujące zgłoszenia mogą nie być świadome, jak chronić dane sygnalisty.

Oczywiście nie można wykluczyć złośliwego działania wewnętrznego.Zawsze można spotkać się z celowym ujawnieniem danych – np. przez niezadowolonego pracownika lub osobę zainteresowaną ochroną osoby zgłaszanej.

Takie lub inne zagrożenia administrator powinien mieć przeanalizowane, by zastanowić się, jak uniknąć takich lub innych naruszeń. Dokument związany z analizą ryzyka powinien to wskazywać.

DPIA

Nadleśnictwo powinno również posiadać dokument o nazwie: Ocena skutków dla ochrony danych, zwany inaczej DPIA lub też określany jako ocena skutków regulacji. Jest on o tyle istotny, że prezes UODO w swoim komunikacie z 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony wskazał, że opracowania takich dokumentów wymagają systemy służące do zgłaszania nieprawidłowości (tzw. whistleblowing). W komunikacie doprecyzowano, że dotyczy to systemów związanych np. z korupcją, mobbingiem – w szczególności, gdy są w nim przetwarzane dane pracowników. Jest to zatem dodatkowy dokument, który na wypadek kontroli powinien zostać opracowany.

Podsumowanie

Zgłaszanie nadużyć nie stało się powszechnie wykorzystywanym narzędziem w Lasach, dlatego warto być czujnym, aby nie przegapić takiej sytuacji. Nawet jeśli dotychczas nie wystąpiły żadne nieprawidłowości, nie można wykluczyć, że w pewnym momencie sygnał do nadleśnictwa nadejdzie. W takim przypadku naruszenie procedur może wiązać się z poważną odpowiedzialnością zarówno dla nadleśniczego, jak i nadleśnictwa. Co więcej, po pewnym czasie regionalne dyrekcje najprawdopodobniej rozpoczną kontrole w zakresie opracowanych procedur.