Już za nieco ponad miesiąc organy publiczne będą musiały w nim zapisywać sprawy przekazane przez sygnalistów. Konieczne jest więc wyznaczenie osoby do prowadzenia tego dokumentu i nadanie jej odpowiednich upoważnień.

Od 25 grudnia br. organy publiczne będą musiały przyjmować zgłoszenia zewnętrzne. Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. z 2024 r. poz. 928; dalej: u.o.s.) nakłada na nie wiele obowiązków w tym zakresie. Jeden z nich to prowadzenie rejestru zgłoszeń zewnętrznych, o czym stanowi art. 46 ust. 1 pkt 1 i 2 u.o.s. Organy mają wiele pytań oraz wątpliwości m.in. dotyczących tego, kto powinien go prowadzić, w jakiej formie, jakie dane powinny się w nim znaleźć, a także kiedy wpisać dane zgłoszenie.

Niezbędna treść

Katalog informacji, jakie musi zawierać rejestr zgłoszeń zewnętrznych, określa art. 46 ust. 3 u.o.s. Dokument ten powinien zawierać:

1) numer zgłoszenia;

2) przedmiot naruszenia prawa;

3) dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;

4) datę dokonania zgłoszenia;

5) informację o podjętych działaniach następczych;

6) informację o wydaniu zaświadczenia, o którym mowa w art. 38 (chodzi o potwierdzenie, że sygnalista podlega ochronie określonej w przepisach rozdziału 2 u.o.s.);

7) datę zakończenia sprawy;

8) informacje o niepodejmowaniu dalszych działań w przypadku, o którym mowa w art. 40 ust. 2 u.o.s. (tj. gdy zgłoszenie zewnętrzne dotyczące sprawy będącej już przedmiotem wcześniejszego zgłoszenia przez tego samego lub innego sygnalistę nie zawiera istotnych nowych informacji na temat naruszeń prawa w porównaniu z wcześniejszym zgłoszeniem zewnętrznym);

9) szacunkową szkodę majątkową, jeżeli została stwierdzona, oraz kwoty odzyskane w wyniku postępowań dotyczących naruszeń prawa będących przedmiotem zgłoszenia – o ile organ publiczny posiada te dane.

Zakres danych i informacji jest zatem szeroki.

  • Czy w rejestrze zgłoszeń zewnętrznych organy publiczne będą mogły uwzględniać dodatkowe informacje, np. dodawać adnotacje lub uwagi na temat prowadzonych postępowań?

Nie. Z brzmienia art. 46 ust.3 u.o.s. wynika, że katalog pozycji rejestru ma charakter zamknięty. Ustawodawca nie użył w nim bowiem zwrotu typu „co najmniej” lub „w szczególności”, co byłoby równoznaczne z tym, że dopuścił możliwość zamieszczania w rejestrze dodatkowych danych i informacji, innych niż wymienione w katalogu.

Można się domagać odszkodowania 
od sygnalisty, ale nie będzie to łatwe
Można się domagać odszkodowania 
od sygnalisty, ale nie będzie to łatwe

Zobacz również

Często pojawia się pytanie, w jakiej formie trzeba prowadzić rejestr. Ustawa nie precyzuje, czy musi to być forma papierowa czy elektroniczna. Brak regulacji w tym zakresie prowadzi do wniosku, że organy publiczne mają tu swobodę. Jednak wybierając formę rejestru, muszą pamiętać o zasadach bezpieczeństwa, tzn. mieć na względzie m.in. obowiązki:

  • zachowania poufności danych zawartych w tym dokumencie oraz
  • zapewnienia, aby nikt nieupoważniony nie mógł zapoznać się z jego treścią (wymogi wynikające z art. 43 u.o.s.).

Jeżeli organ publiczny zdecyduje, że będzie prowadził rejestr w tradycyjnej formie papierowej, powinien również ustalić odpowiednie miejsce, w którym ów rejestr będzie przechowywany (wskazać fizyczną lokalizację). Chodzi o miejsce to musi być bezpieczne, a więc może to być np. szafa zamykana na klucz bądź sejf. Oczywiście nie może to być szafa, w której przechowuje się także inne dokumenty, do których dostęp mają także inni pracownicy urzędu nieposiadający upoważnienia do prowadzenia rejestru. Chodzi o uniknięcie sytuacji, w której osoba nieupoważniona mogłaby mieć dostęp do dokumentu i wgląd do danych w nim zawartych.

Okres przechowywania danych

Wybierając formę prowadzenia rejestru, trzeba mieć na uwadze również to, że po okresie przechowywania danych osobowych oraz pozostałych informacji zawartych w rejestrze muszą zostać one trwale usunięte. W praktyce problematyczne może się okazać usunięcie danych z rejestru papierowego, jeżeli zawierał będzie on również dane sprawy, co do których okres retencji danych się jeszcze nie zakończył. Organ musi przecież zapewnić integralność danych w nim zawartych. Nie ma tutaj jednoznacznej recepty, w jaki sposób to zrobić, dlatego organy muszą przemyśleć, jak tworzyć wersję papierową rejestru, aby wypełnić obowiązki ustawowe.

W przypadku rejestru prowadzonego w formie elektronicznej trzeba zapewnić bezpieczeństwo informatyczne. Rejestr będzie tworzony w jakimś programie, przechowywany na serwerze, dysku komputera lub w chmurze. Dlatego też organ publiczny musi zaprojektować i przemyśleć, czy będzie prowadzić rejestr np. w formie tabeli w pliku edytowalnym, czy też skorzystać np. z oferty dostawcy zewnętrznego.

I dla tych rozwiązań musi wprowadzić odpowiednie zabezpieczenia. Na przykład rejestr przechowywany w wersji elektronicznej może zostać zabezpieczony hasłem. Wdrożone rozwiązania techniczne i informatyczne muszą też gwarantować ochronę przed cyberatakami.

Kto powinien prowadzić

Ustawa wskazuje, że „organ publiczny prowadzi rejestr zgłoszeń zewnętrznych”, nie wskazując konkretnie osoby odpowiedzialnej. Wobec tego pojawia się kolejne pytanie: kto powinien faktycznie wykonywać ten obowiązek oraz w jaki sposób osoba taka ma zostać do tego upoważniona. W przypadku zgłoszeń wewnętrznych ustawa daje takie wytyczne. Artykuł 29 ust. 2 u.o.s. wprost wskazuje, że podmiot prawny może upoważnić wewnętrzną jednostkę organizacyjną lub osobę, o których mowa w art. 25 ust. 1 pkt 1 lub 3 u.o.s. (wyznaczone i upoważnione do przyjmowania zgłoszeń wewnętrznych oraz do podejmowania działań następczych, włączając w to weryfikację zgłoszenia wewnętrznego i dalszą komunikację z sygnalistą, w tym występowanie o dodatkowe informacje i przekazywanie sygnaliście informacji zwrotnej) do prowadzenia rejestru zgłoszeń wewnętrznych. W przypadku zgłoszeń zewnętrznych ustawa nie daje wprost odpowiedzi na to pytanie. W rozdziale 4, poświęconym zgłoszeniom zewnętrznym, nie ma regulacji analogicznej do art. 29 ust. 2 u.o.s. ani odesłania do tego przepisu. W art. 46 u.o.s., który reguluje obowiązki organu publicznego w kontekście prowadzenia rejestru zgłoszeń zewnętrznych, nie znajdziemy żadnej wzmianki na temat wyznaczania osób upoważnionych do prowadzenia rejestru. Z tego też powodu organy publiczne zadają sobie pytania:

  • czy jest to zabieg celowy ustawodawcy, który świadomie pominął umieszczenie w ustawie wytycznych co do prowadzenia rejestru;
  • czy może jednak chodzi o lukę w prawie;
  • w jaki sposób wybrnąć z tego kłopotu, aby nie narazić się na zarzut niezgodności z ustawą lub naruszenia jej przepisów.

Odnosząc się na zasadzie analogii do art. 29 u.o.s., pierwsza myśl, jaka może się pojawić po stronie organu publicznego, jest taka, że taki rejestr mogą prowadzić osoby wyznaczone m.in. do przyjmowania zgłoszeń zewnętrznych. Dla przypomnienia, organ publiczny zgodnie z art. 44 ust. 2 u.o.s. upoważnia spośród pracowników urzędu obsługującego ten organ osoby uprawnione do:

1) przyjmowania zgłoszeń zewnętrznych, dokonywania ich wstępnej weryfikacji, podejmowania działań następczych oraz związanego z tym przetwarzania danych osobowych;

2) kontaktu z sygnalistą w celu przekazywania informacji zwrotnych i – w razie potrzeby – zwracania się o wyjaśnienia lub dodatkowe informacje w zakresie przekazanych informacji, jakie mogą być w jego posiadaniu;

3) przekazywania zainteresowanym osobom informacji na temat procedury zgłoszeń zewnętrznych.

Brak odniesienia do art. 29ust. 2 u.o.s. nie oznacza, że organy publiczne będą mogły swobodnie zadecydować, komu i jak powierzyć obowiązek prowadzenia rejestru zgłoszeń zewnętrznych. Ustawa bowiem nakłada na organy publiczne inne wymogi, które powodują, że wyznaczenie takiej osoby nie może być przypadkowe.

► Jedna z podstawowych i fundamentalnych zasad, jakie wynikają z u.o.s., to zasada zachowania poufności tożsamości sygnalisty. Artykuł 8 u.o.s. wprowadza zakaz ujawniania danych osobowych sygnalisty, które pozwalają na ustalenie jego tożsamości. Wyjątkiem jest jedynie sytuacja, gdy sygnalista zgodził się w sposób wyraźny i niebudzący wątpliwości na to, żeby jego tożsamość została ujawniona. Zatem dostęp do danych osobowych sygnalisty, a także danych osobowych innych osób wymienionych w zgłoszeniu, lub też ustalonych w toku prowadzenia postępowania wyjaśniającego, mogą mieć wyłącznie upoważnione osoby.

Potwierdza to również art. 43 ust. 1 u.o.s., zgodnie z którym organ publiczny gwarantuje, że procedura zgłoszeń zewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych:

1) uniemożliwia uzyskanie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom;

2) zapewnia ochronę poufności tożsamości sygnalisty oraz osoby, której dotyczy zgłoszenie.

► Z kolei art. 42 ust. 1 pkt 2 u.o.s. kładzie nacisk na to, aby kanały komunikacji gwarantowały kompletność, poufność i integralność danych, w tym ich zabezpieczenie przed dostępem osób nieupoważnionych. Zatem wszystkie ww. przepisy łączy to, że dostęp do treści zgłoszenia, w tym do danych osobowych sygnalisty może mieć wyłącznie osoba do tego upoważniona.

Biorąc pod uwagę powyższe zasady, logiczne wydaje się rozwiązanie, w którym rejestr będzie prowadzić osoba upoważniona do przyjmowania zgłoszeń zewnętrznych. Będzie ona uprawniona do tego, żeby zgłoszenia obsługiwać oraz musi zachować tajemnicę w zakresie informacji i danych osobowych, które uzyskała w ramach przyjmowania i weryfikacji zgłoszeń zewnętrznych lub podejmowania działań następczych.

Czy to oznacza, że niedopuszczalne będzie wyznaczenie innej osoby do prowadzenia rejestru zgłoszeń zewnętrznych niż ta, która będzie je przyjmować, czy też podejmować działania następcze? Skoro ustawa milczy w tym temacie, możemy stwierdzić, że będzie do dozwolone (skoro nie jest zabronione).

Sposób upoważnienia

Ustawa nie zawiera również żadnych regulacji dotyczących sposobu i formy upoważnienia osoby do prowadzenia rejestru zgłoszeń zewnętrznych. Jednak nie powinno budzić wątpliwości, że takie upoważnienie powinno być na piśmie – po to, aby organ był w stanie wykazać i udowodnić, że zrobił to w sposób prawidłowy.

Co istotne, osoba, której powierzy to zadanie, powinna oświadczyć, że zapoznała się z treścią upoważnienia. Musi wiedzieć, jaki zakres obowiązków został jej powierzony – do czego została wyznaczona i upoważniona.

Ustawa nie wskazuje również, jak powinno brzmieć upoważnienie do przyjmowania zgłoszeń zewnętrznych. Taki dokument na pewno oprócz standardowych danych – takich jak data oraz informacja, kto nadaje upoważnienie – powinien zawierać dane osoby upoważnionej do prowadzenia rejestru oraz treść samego upoważnienia. Dokument nie powinien budzić wątpliwości co do tego, kto i do czego konkretnie jest upoważniony, jaka jest jego rola. Ze względu na poufność danych osobowych sygnalisty, a także innych informacji zawartych zgłoszeniu, osoba, której organ powierzy prowadzenie rejestru, powinna również zostać zobowiązana do zachowania tajemnicy danych zwartych w rejestrze oraz posiadać stosowne upoważnienie do przetwarzania danych osobowych, spełniające wymogi RODO.

Co w treści

Przykładowa treść upoważnienia do prowadzenia rejestru zgłoszeń zewnętrznych może brzmieć: „Niniejszym upoważniam Pana/Panią […] do prowadzenia rejestru zgłoszeń zewnętrznych, zgodnie z art. 46 ust. 3 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów. Zobowiązuję Pana/ Panią do zachowania poufności danych i informacji zawartych w rejestrze”.

W dokumencie tym można też zawrzeć inne informacje. I tak, jeżeli organ publiczny:

  • wyznaczy te same osoby do przyjmowania zgłoszeń zewnętrznych, podejmowania działań następczych oraz prowadzenia rejestru zgłoszeń zewnętrznych – wówczas w jednym upoważnieniu może wymienić wszystkie te czynności, bez konieczności generowania kilku różnych dokumentów;
  • opracuje i wdroży pomocniczy dokument dotyczący zasad prowadzenia, przechowywania oraz bezpieczeństwa rejestru zgłoszeń zewnętrznych – to w upoważnieniu może odwołać się do tych regulacji.

Z uwagi na to, że w rejestrze muszą znaleźć się dane osobowe, co wiąże się z przetwarzaniem danych osobowych, osoba prowadząca rejestr musi przejść szkolenia z zakresu ochrony danych osobowych, aby zapewnić poufność, integralność zawartych w nich danych, a także to, by przetwarzanie danych osobowych zawartych w rejestrze odbywało się w zgodzie z przepisami ustawy o ochronie sygnalistów oraz przepisami z zakresu ochrony danych osobowych.

Moment wpisu

Kolejne istotne zagadnienie to ustalenie chwili, w której napływającą informację trzeba wpisać do rejestru. Odpowiedź wydaje się prosta: „z chwilą wpłynięcia zgłoszenia zewnętrznego”. Jednak po głębszym zastanowieniu okazuje się, że nie jest to takie jednoznaczne. Pojawia się wątpliwość, czy zawsze będzie to właściwy moment. Co bowiem w sytuacji, gdy np. do organu publicznego na podany adres e-mail lub formularz elektroniczny wpłynie zgłoszenie i po wstępnej weryfikacji okaże się, że nie dotyczy naruszenia prawa, o którym mowa w art. 3 ust. 1 u.o.s., ale prawa pracy (które nie mieści się w zamkniętym katalogu dziedzin prawa, jakie można zgłosić na podstawie u.o.s.). W takim przypadku taka informacja nie będzie informacją o naruszeniu prawa w rozumieniu art. 2 pkt 3 u.o.s., a co za tym idzie, zgłoszenie nie spełni definicji zgłoszenia zewnętrznego określonej w art. 2 pkt 17 u.o.s. W myśl tego przepisu zgłoszeniem zewnętrznym jest zgłoszenie ustne lub pisemne przekazanie rzecznikowi praw obywatelskich albo organowi publicznemu informacji o naruszeniu prawa. Z kolei informacja o naruszeniu prawa w myśl art. 2 pkt 3 to informacja, w tym uzasadnione podejrzenie dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w podmiocie prawnym, w którym sygnalista uczestniczył w procesie rekrutacji lub innych negocjacji poprzedzających zawarcie umowy, pracuje lub pracował, lub w innym podmiocie prawnym, z którym sygnalista utrzymuje lub utrzymywał kontakt w kontekście związanym z pracą. Jeżeli sprawa będzie dotyczyć naruszenia np. przepisów prawa pracy, to organ – w świetle przytoczonych definicji pojęć zgłoszenia zewnętrznego, informacji o naruszeniu prawa oraz brzemienia art. 3 ust. 1 u.o.s. – nie powinien odnotować takiej informacji w rejestrze, ponieważ w dokumencie tym należy uwzględniać tylko zgłoszenia zewnętrzne.

Z powyższych rozważań nasuwa się zatem konkluzja: wpis do rejestru zgłoszeń zewnętrznych powinien nastąpić po ustaleniu, czy zgłoszenie dotyczy informacji o naruszeniu prawa w rozumieniu art. 2 pkt 3 u.o.s.

Procedura pożądana

Organy publiczne mogą ponadto zadbać o określenie jasnych i przejrzystych zasad powadzenia rejestru, w tym m.in. określić:

  • procedurę dotyczącą formy i zasad przechowywania dokumentu;
  • zasady dokonywania wpisu danych i informacji do rejestru;
  • wymogi bezpieczeństwa, jakie trzeba spełnić, aby zagwarantować, że dane w nim zawarte będą poufne, kompletne, zapewnią ich integralność oraz że nikt nieupoważniony nie będzie miał do nich dostępu;
  • zasady usuwania danych i informacji z rejestru w sposób trwały.

Usuwanie informacji

Ustawa o ochronie sygnalistów wskazuje, jak długo organ publiczny może przechowywać dane dotyczące zgłoszenia zewnętrznego wprowadzone do rejestru zgłoszeń zewnętrznych. W myśl art. 46 ust. 4. u.o.s., dane osobowe oraz pozostałe informacje zawarte w rejestrze zgłoszeń zewnętrznych są przechowywane przez okres trzech lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

Po tym okresie organ publiczny musi zadbać o to, żeby dane i informacje dotyczące archiwalnego zgłoszenia zostały trwale usunięte z rejestru, np. poprzez usunięcie właściwych rekordów z rejestru elektronicznego. ©℗