Whistleblowing i co w prawie gwiżdże?

KOMENTARZ
28-12-2015, 22:00

Ład korporacyjny i jednolite standardy to temat znany zwłaszcza spółkom z grup kapitałowych.

Niekiedy w ramach korporacji takie standardy obejmują obowiązek opracowania systemu zgłaszania nieprawidłowości (np. na mocy ustawy Sarbanes–Oxley z 2002 r. w Stanach Zjednoczonych). Innym razem rodzima spółka decyduje się na wprowadzenie tzw. whistleblowing scheme z własnej inicjatywy, jako wewnętrzny system raportowania nieprawidłowości przez pracowników. Jak w wielu obszarach także tu trzeba uważać na wymagania prawne.

Tylko jakie?

Wewnętrzne systemy, wzorowane na wywodzącym się z USA whistleblowing ’u, nie są uregulowane wprost w polskich przepisach. Dochodzi jednak często do zbierania informacji na temat podejrzenia nadużyć konkretnych osób w firmie. Ocierając się o tak wrażliwy temat, spółka może liczyć się z zarzutami naruszenia dóbr osobistych czy danych osobowych oskarżonego. Szczególnie ta ostatnia kwestia pozostaje w polskim prawie bardzo problematyczna, ponieważ stosować musimy ogólne przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.

Dlaczego dane osobowe?

Zgłoszenie dotyczy konkretnej osoby fizycznej. Zarejestrowanie jej imienia, nazwiska, stanowiska, nazwy działu, miejsca pracy, informacji o rodzaju zarzutu naruszenia pozwala spółce na jednoznaczną identyfikację tej osoby, a więc wiąże się z przetwarzaniem danych osobowych. Poza tym, idąc za wytycznymi Grupy Roboczej art. 29 (niezależnego europejskiego organu doradczego ds. ochrony danych i prywatności), firma powinna rozpatrywać wyłącznie zgłoszenia imienne. A w konkretnej spółce także dane zgłaszającego (np. imię, nazwisko, miejsce pracy) bardzo często stanowią dane osobowe.

Co trzeba zrobić?

Wykazać, że przetwarzanie danych ma podstawę prawną. Może nią być tzw. prawnie usprawiedliwiony cel spółki. Whistleblowing scheme ma wynikać z uzasadnionego interesu firmy, ale nie może naruszać praw i wolności osób, których dane dotyczą. Równocześnie z legalnością należy pamiętać o tzw. obowiązku informacyjnym. Chodzi o przekazanie zgłaszającemu i obwinionemu informacji zwłaszcza o celach przetwarzania danych i uprawnieniu do ewentualnego sprzeciwu, a obwinionemu dodatkowo o źródle czy zakresie zebranych danych. Problematyczny jest zwłaszcza moment poinformowania obwinionego. Jeżeli istnieje ryzyko, że spełnienie tego obowiązku uniemożliwi spółce zebranie dowodów i właściwe wyjaśnienie sprawy, według Grupy Roboczej art. 29 można ten moment opóźnić. Zamiast „niezwłocznie po utrwaleniu danych” wstrzymać się do czasu ustania takiego ryzyka. Ustawa o ochronie danych osobowych takiej możliwości wprost nie przewiduje. Na tym nie koniec, bo jeśli do whistleblowing ’u służy system informatyczny obsługiwany przez zewnętrzny podmiot i ta firma ma dostęp do danych osobowych zawartych w systemie, konieczne jest podpisanie umowy powierzenia. Po tym można przejść do kilku(nastu) następnych pozycji na liście wymagań do spełnienia. © Ⓟ

KATARZYNA UŁASIUK, iSecure

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: KOMENTARZ

Najważniejsze dzisiaj

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Firmy / Whistleblowing i co w prawie gwiżdże?