Jesteś tutaj: Strona główna Wydania archiwalne 2024 SAS5/2024 Ochrona sygnalistów w ramach samorządowego centrum usług wspólnych

Ochrona sygnalistów w ramach samorządowego centrum usług wspólnych

ANALIZY | KOMENTARZE - SAS 4 / 2024

Na gruncie przepisów ustawy o ochronie sygnalistów ustawodawca dopuszcza ustalenie przez jednostki samorządu terytorialnego wspólnej procedury zgłoszeń wewnętrznych w ramach wspólnej obsługi, o której mowa w przepisach samorządowych ustaw ustrojowych.

Podstawą prawną do powyższego działania jest przepis art. 28 ust. 5 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. poz. 928; dalej: „u.o.s.”). Zgodnie z jego brzmieniem, „Jednostki samorządu terytorialnego mogą ustalić wspólną procedurę zgłoszeń wewnętrznych w ramach wspólnej obsługi, o której mowa w art. 10a ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz.U. z 2024 r. poz. 609 i 721), art. 6a ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz.U. z 2024 r. poz. 107) i art. 8c ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz.U. z 2024 r. poz. 566), pod warunkiem zapewnienia jej odrębności i niezależności od procedury przyjmowania zgłoszeń zewnętrznych i podejmowania działań następczych”.

Ustawodawca określa tym samym, że w przypadku, gdy JST chce ustalić wspólną procedurę zgłoszeń wewnętrznych, może to zrobić, wykorzystując do tego tzw. centra usług wspólnych, tworzone w oparciu o odpowiednie przepisy samorządowych ustaw ustrojowych (ustawę o samorządzie gminnym, ustawę o samorządzie powiatowym czy ustawę o samorządzie województwa). Oznacza to, że od strony formalnoprawnej odbywać się to będzie albo poprzez uwzględnienie wspólnej procedury zgłoszeń w uchwale określającej zakres obowiązków powierzonych jednostce obsługującej (CUW), w ramach wspólnej obsługi jednostek obsługiwanych (w przypadku jednostek organizacyjnych danej JST nieposiadających osobowości prawnej), albo poprzez uwzględnienie tej procedury w porozumieniu zawartym przez jednostkę obsługującą (CUW) z tymi jednostkami obsługiwanymi, które mają własną osobowość prawną (samorządowe instytucje kultury lub inne samorządowe osoby prawne). Oczywiście mowa w tym miejscu o sytuacji, w której dane jednostki, których miałaby dotyczyć wspólna procedura zgłoszeń wewnętrznych, są już objęte obsługą ze strony CUW.
Jeśli w danej JST nie zostało jeszcze takie działanie wdrożone, to albo należałoby je w pierwszej kolejności objąć taką obsługą (tu warto zauważyć, że obsługą taką może być objęty również sam urząd czy starostwo, a ponadto poszczególne jednostki mogą mieć różny zakres wspólnej obsługi ze strony CUW), albo w przypadku, gdy w danej JST nie funkcjonuje jeszcze CUW, utworzyć je, nawet wyłącznie do prowadzenia wspólnej procedury zgłoszeń wewnętrznych.
Szczególne rozwiązanie dla jednostek samorządu terytorialnego, umożliwiające przyjęcie wspólnej procedury dla zgłoszeń wewnętrznych, może być niewątpliwe korzystne dla takich podmiotów. Pozwala to wdrożyć jeden, wspólny kanał komunikacji oraz zapewnić wyspecjalizowane osoby zajmujące się obsługą złożeń. Bardzo często, szczególnie w mniejszych podmiotach, bardzo istotnym problemem może być znalezienie odpowiedniej osoby i umiejscowienie jej w strukturze organizacyjnej w taki sposób, aby mogła ona wykonywać swoje obowiązki w sposób niezależny i bezstronny oraz zapewniający brak potencjalnego konfliktu interesów. Autorzy uzasadnienia wskazują również na potencjalne korzyści finansowe zaproponowanego rozwiązania, co również może być istotne dla jednostek samorządu terytorialnego, planujących z niego skorzystać.

Należy jednak pamiętać, że ustawodawca wprowadza dwa warunki dla samorządów.
Po pierwsze wspólna obsługa będzie możliwa jedynie wtedy, jeżeli zapewniona zostanie jej odrębność i niezależność od procedury przyjmowania zgłoszeń zewnętrznych. Tylko zgłoszenia wewnętrzne mogą zostać objęte omawianym rozwiązaniem. Obowiązki w zakresie zgłoszeń zewnętrznych muszą być realizowane indywidualnie przez każdy zobowiązany do tego organ publiczny. Obie te procedury muszą być dla sygnalisty jasne i nie mogą wprowadzać go w błąd.
Drugim wymogiem, umożliwiającym wprowadzenie wspólnej procedury zgłoszeń wewnętrznych, jest zapewnienie jej odrębności i niezależności w zakresie podejmowania działań następczych. Oznacza to, że każdy podmiot, mimo objęcia go wspólną procedurą, musi pozostać samodzielny, jeżeli chodzi o podejmowanie decyzji w zakresie potencjalnych konsekwencji, związanych z dotyczącymi go zgłoszeniami. Przedstawiając to obrazowo można stwierdzić, że sama obsługa zgłoszeń zewnętrznych może być wspólna, jednak finalne działania następcze muszą pozostać wyłącznie w kompetencji konkretnej jednostki.

OCHRONA DANYCH OSOBOWYCH

Istotne znaczenie w kontekście analizowanej problematyki odgrywają również kwestie ochrony danych osobowych. W pierwszej kolejności podkreślić należy, że dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty. Dane osobowe przetwarzane są w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.
Dane osobowe, przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem, są przechowywane przez okres trzech lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami
(art. 8 i art. 27 u.o.s.).
Dopuszczalność ujawnienia danych osobowych sygnalisty zachodzi wówczas, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem, wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy.
W świetle powyższych uwag należy również poczynić komentarz, że zgodnie z dyspozycją ustawodawcy, wyrażoną w przywoływanym przepisie art. 28 ust. 5 u.o.s., wspólna procedura zgłoszeń wewnętrznych może funkcjonować w ramach wspólnej obsługi, o której mowa w art. 10a ustawy o samorządzie gminnym (oraz analogicznych przepisach w pozostałych dwóch samorządowych ustawach ustrojowych). Takie rozwiązania w konsekwencji determinuje sposób przetwarzania danych osobowych, który jest wynikiem „wspólnej obsługi”. Przetwarzanie danych osobowych w ramach wspólnej obsługi określa art. 10d ustawy o samorządzie gminnym (i również w tym przypadku analogiczne przepisy w pozostałych dwóch samorządowych ustawach ustrojowych), zgodnie z którym ”Jednostka obsługująca jest uprawniona do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnych do wykonywania zadań w ramach wspólnej obsługi tej jednostki”.
Zachowując odrębności regulacji ustawowych należy uznać, że jednostka obsługująca, która będzie obsługiwała jednostki obsługiwane w ramach procedury zgłoszeń wewnętrznych, będzie uprawniona do przetwarzania danych osobowych na takich zasadach, jak wynikające z powołanego art. 10d u.s.g. (tj. w zakresie niezgodnym do realizacji procedury zgłoszeń wewnętrznych), z tą odmiennością, że przy przetwarzaniu danych osobowych sygnalisty muszą być uwzględnione regulacje wynikające
z art. 8 i art. 27 u.o.s.
Podkreślić należy, że przetwarzanie danych osobowych w ramach dyspozycji art. 28 ust. 5 u.o.s. wymaga, zgodnie z art. 28 ust. 3 RODO, aby przetwarzanie przez podmiot przetwarzający (jednostkę obsługującą) odbywało się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania, podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmuje wszelkie środki wymagane na mocy art. 32;
  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi, upoważnionemu przez administratora, przeprowadzanie audytów w tym inspekcji, i przyczynia się do nich.
  • Podkreślenia wymaga, że sama treść przepisu art. 28 ust. 3 RODO nie stanowi upoważnienia jednostki obsługującej do przetwarzania danych osobowych jednostki obsługiwanej. Przepis ten zawiera jedynie wskazanie instrumentu prawnego, upoważniającego jednostkę obsługującą do przetwarzania danych osobowych, przetwarzanych przez jednostkę obsługiwaną.

Takie upoważnienie może wynikać:

  • z uchwały w sprawie wspólnej obsługi jednostek, podjętej przez radę gminy na podstawie art. 10b ust. 2 u.s.g. (oraz jego odpowiednika w pozostałych dwóch samorządowych ustawach ustrojowych) w przypadku jednostek organizacyjnych danej JST zaliczanych do sektora finansów publicznych; lub
  • z porozumień zawartych z jednostką obsługującą na podstawie art. 10b ust. 3 u.s.g. (oraz jego odpowiednika w pozostałych dwóch samorządowych ustawach ustrojowych) w przypadku samorządowych instytucji kultury oraz innych zaliczanych do sektora finansów publicznych samorządowych osób prawnych, utworzonych na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Upoważnienie to może także wynikać z umowy powierzenia przetwarzania danych, zawartej pomiędzy jednostką obsługiwaną a jednostką obsługującą. Zarówno uchwała organu stanowiącego JST,jak i porozumienie oraz umowa, o których wyżej mowa, muszą spełniać wymagania określonew art. 28 ust. 3 RODO.

Mateusz Karciarz
prawnik
Karol Kupień
radca prawny
Piotr Ziółkowski
radca prawny

Kancelaria Radców Prawnych Zygmunt Jerzmanowski
i Wspólnicy sp.k. w Poznaniu

SPIS TREŚCI

Wydawca: SKIBNIEWSKI MEDIA, Warszawa