Ochrona sygnalistów, proj. ustawy o ochronie osób zgłaszających naruszenia prawa z 2021 roku

Kary a ochrona sygnalistów w projekcie ustawy o ochronie osób zgłaszających naruszenia prawa

Kary a ochrona sygnalistów w projekcie ustawy o ochronie osób zgłaszających naruszenia prawa

Projekt ustawy o ochronie osób zgłaszających naruszenia prawa w rozdziale 6 wymienia następujące kary;

Rozdział 6 Przepisy karne

Art. 56. Kto utrudnia dokonanie zgłoszenia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 57. Kto wbrew przepisowi art. 10 podejmuje działania odwetowe wobec osoby, która dokonała zgłoszenia lub ujawnienia publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 58. Kto wbrew przepisom art. 30 lub art. 43 narusza obowiązek zachowania poufności tożsamości osoby, która dokonała zgłoszenia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 59. Kto dokonał zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 60.  Kto wbrew przepisom ustawy nie ustanowił wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych albo ustanowiona przez niego procedura narusza art. 29 ust. 1, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Zbieg i łączenie kar za naruszenie ochrony sygnalistów.

Proponowane przepisy karne należy w szczególności analizować w kontekście ryzyka zbiegu ww. czynów zabronionych oraz łączenie kar i środków karnych. Zgodnie z zaproponowanymi zapisami przy naruszeniu art. 56, art. 57, art. 58 oraz art. 60 w praktyce może nastąpić łączenie kary grzywny. Takie wydarzenia i okoliczności są bardzo mocno ze sobą powiązane związkami przyczynowo-skutkowymi. Z dużym prawdopodobieństwem wobec sygnalisty jednocześnie mogą być powzięte odpowiednio:

  1. "utrudnienia dokonania zgłoszenia",
  2. "podjęcie działań odwetowych wobec osoby, która dokonała zgłoszenia",
  3. "naruszenie obowiązku zachowania poufności tożsamości osoby",
  4. "nieustanowienie wewnętrznej procedury zgłoszenia naruszeń prawa i podejmowania działań następczych albo ustanowiona procedura (podmiotu) narusza art. 29 ust 1." w konsekwencji naruszając prawa "sygnalisty".

Jakie mogą być maksymalne wysokości grzywien?

Przypomnieć należy, jakie mogą być na gruncie przepisów wysokości grzywien.

Art. 33. kodeksu karnego określa zasady wymiaru grzywny;

§  1. Grzywnę wymierza się w stawkach dziennych, określając liczbę stawek oraz wysokość jednej stawki; jeżeli ustawa nie stanowi inaczej, najniższa liczba stawek wynosi 10, zaś najwyższa 540.

§  2. Sąd może wymierzyć grzywnę także obok kary pozbawienia wolności wymienionej w art. 32 pkt 3, jeżeli sprawca dopuścił się czynu w celu osiągnięcia korzyści majątkowej lub gdy korzyść majątkową osiągnął.

§  3. Ustalając stawkę dzienną, sąd bierze pod uwagę dochody sprawcy, jego warunki osobiste, rodzinne, stosunki majątkowe i możliwości zarobkowe; stawka dzienna nie może być niższa od 10 złotych, ani też przekraczać 2000 złotych.

Grzywnę wymierza się w stawkach dziennych w liczbie od 10 do 540. Wysokość stawki określana jest przez sąd w granicach od 10 do 2000 zł (art. 33 § 1 i 3 k.k.). W przypadku nadzwyczajnego obostrzenia kary liczba stawek dziennych może wynieść maksymalnie 810. Wykonaniu mogą podlegać kary grzywny w wysokości od minimalnej, tj. 100 zł (10 stawek po 10 zł), do maksymalnej, tj. 1 080 000 zł (540 stawek po 2000 zł), w wypadku zaś nadzwyczajnego obostrzenia aż do 1 620 000 zł (810 stawek po 2000 zł).

Możliwa jest łączenie kary grzywny, zatem maksymalna grzywna z tytułu naruszenia art. 56, art. 57, art. 58 oraz art. 60 może wynosić odpowiednio;

Wariant 1); grzywna maksymalna tj. 1 080 000 zł (540 stawek po 2000 zł) x zbieg z art. art. 56, art. 57, art. 58 oraz art. 60, co razem daje aż 4 320 000 zł ! (1 080 000 zł x 4).

Wysokość grzywny w przypadku nadzwyczajnego obostrzenia kary

Wariant 2 w przypadku nadzwyczajnego obostrzenia kary; 1 620 000 zł (810 stawek po 2000 zł) x zbieg z art. 56, art. 57, art. 58 oraz art. 60, co razem daje aż 6 480 000 zł !

Wyżej przedstawiony warianty nie są katalogiem zamkniętym, stanowią przykład możliwych naruszeń przepisów z projektu ustawy o ochronie osób zgłaszających naruszenia prawa.

Podobne zapisy występują w innych projektach ustaw w Europie implementujących Dyrektywę nr 2019/1937 potocznie nazywaną dyrektywą o ochronie sygnalistów. Estonia w projekcie ustawy wprowadza poniższe przepisy karne, ale rozróżnia kary grzywny osobno dla osób fizycznych i osób prawnych.

Poniżej przedstawiamy wysokość kar w estońskim projecie o "ochronie sygnalistów".

  1. Rozdział 3 Odpowiedzialność

§ 18 Zapobieganie zgłaszaniu nieprawidłowości

(1) Utrudnianie informowania o nieprawidłowościach - podlega karze grzywny do 300 jednostek karnych.

(2) Usiłowanie popełnienia wykroczenia przewidzianego w podsekcji (1) niniejszego paragrafu jest karalne.

(3) To samo wykroczenie, jeśli zostało popełnione przez osobę prawną, podlega karze grzywny w wysokości do 400 000 EUR.

§ 19 Stosowanie środków wykonawczych

(1) Podejmowanie działań odwetowych wobec sygnalisty - zagrożone karą grzywny do 300 jednostek karnych.

(2) To samo wykroczenie, jeśli zostało popełnione przez osobę prawną, podlega karze grzywny w wysokości do 400 000 EUR.

Naruszenie poufności tożsamości osoby zgłaszającej nieprawidłowości

(1) Naruszenie obowiązku zachowania w tajemnicy tożsamości sygnalisty - zagrożone karą grzywny do 300 jednostek karnych.

(2) To samo wykroczenie, jeśli zostało popełnione przez osobę prawną, podlega karze grzywny w wysokości do 400 000 EUR.

W Czechach wprowadzono kary finansowe podobne do rozwiązań z RODO. "Podmiot zobowiązany popełnia przestępstwo w szczególności w przypadkach, gdy nie tworzy wewnętrznego systemu powiadamiania, nie wskazuje osoby zainteresowanej, nie zapewnia publikacji informacji o możliwościach powiadamiania, ale także np. nie podejmuje odpowiednich działań działania naprawcze w celu zapobieżenia lub zapobieżenia nielegalnej sytuacji po powiadomieniu. W przypadku wykroczenia podmiotu zobowiązanego może zostać na niego nałożona grzywna w wysokości do 1 000 000 CZK lub do 5% obrotu netto." 1

Naruszenie ochrony sygnalistów a powiadomienie Prezesa UODO

Należy również mieć na uwadze, że naruszenie przepisów rozdziału 6 polskiego projektu ustawy o ochronie osób zgłaszających naruszenia prawa, będzie w konsekwencji stanowić naruszenie przepisów RODO. Tak więc poszkodowany "sygnalista" i pozostałe osoby podlegające ochronie (np. krewni) będą mogli dochodzić stosownego odszkodowania za naruszenie praw ochrony sygnalistów zapisanych odpowiednio w art. 56, art. 57, art. 58 oraz art. 60. Co więcej, przepisy ochrony danych osobowych są jedną z 15 dziedzin prawa unijnego określonych w samej dyrektywie 2019/1937 oraz w polskim projekcie ustawy o ochronie sygnalistów.

Zatem każde naruszenie ochrony danych osobowych na gruncie art. 58. projektu ustawy ww. (kto wbrew przepisom art. 30 lub art. 43 narusza obowiązek zachowania poufności), stanowić będzie naruszenie zasad RODO oraz naruszenie polskiej ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000).

W konsekwencji naruszeń "obowiązku zachowania poufności" danych osobowych sygnalisty, możliwe będzie powiadomienie Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO). Co więcej, brak powiadomienia Prezesa UODO w przypadku naruszenia "obowiązku zachowania poufności" może być kolejnym naruszeniem prawa przez osobę, podmiot obowiązany tj. administratora danych, ponieważ przepisy RODO nakładają obowiązek powiadamiania Prezesa UODO w określonych przypadkach. Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes UODO.

Biorąc pod uwagę powagę sprawy pod rygorem ww. przepisów karnych, naruszenia "obowiązku zachowania poufności" danych osobowych sygnalisty a w konsekwencji naruszenia obowiązku zachowania w tajemnicy tożsamości sygnalisty, brak powiadomienia Prezesa UODO może być naruszeniem przepisów RODO. Takie zaniechanie i brak zgłoszenia do Prezesa UODO może skutkować wszczęciem postępowania kontrolnego ze strony UODO.

Potencjalne kary administracyjne ze strony Prezesa UODO mogą być również dotkliwe dla administratora danych.

Lista 10 najwyższych kar nałożonych na podmioty prywatne i publiczne przez Prezesa UODO. Stan na październik 2021.

KrajData decyzjiWysokość kary w EURKontroler/Procesor
POLSKA10.09.2019660 000Morele.net
POLSKA14.12.2020443 000Virgin Mobile Polska
POLSKA22.04.2021245 000Cyfrowy Polsat SA
POLSKA17.12.2020235 300ID Finance Polska Sp. ogród zoologiczny
POLSKA26.03.2019220 000Bisnode Polska Sp. z o.o.
POLSKA16.10.201947 000KliknijSzybkoTeraz
POLSKA21.06.202135 300Sopockie Towarzystwo Ubezpieczeń ERGO Hestia SA
POLSKA11.01.202130 000Enea SA
POLSKA31.08.202022 700Główny Geodeta Kraju („GKK”)
POLSKA15.07.202022 300Biuro Geodezji i Kartografii
Źródło danych: https://www.enforcementtracker.com/

Lista 10 najwyższych kar nałożonych na podmioty prywatne i publiczne przez urzędy ochrony danych osobowych w Europie. Stan na październik 2021.

KrajData wydania decyzjiWysokość kary w EURNazwa firmy 
LUKSEMBURG16.07.2021746 000 000Amazon Europe Core S.à.rl
IRLANDIA02.09.2021225 000 000WhatsApp Irlandia Ltd.
FRANCJA21.01.201950 000 000Google LLC
NIEMCY01.10.202035 258 708H&M Hennes & Mauritz sklep internetowy AB & Co. KG
WŁOCHY15.01.202027 800 000TIM (operator telekomunikacyjny)
ZJEDNOCZONE KRÓLESTWO16.10.202022 046 000Brytyjskie linie lotnicze
ZJEDNOCZONE KRÓLESTWO30.10.202020 450 000Marriott International Inc
WŁOCHY13.07.202016 700 000Wiatr Tre Spa A
NIEMCY08.01.202110 400 000notebooksbilliger.de
AUSTRIA28.09.20219 500 000Poczta austriacka
Źródło danych: https://www.enforcementtracker.com/

Jak Prezes UODO nakłada administracyjne kary pieniężne? 2 "Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników.

Istotne będą więc m.in. :

  • charakter, waga i czas trwania naruszenia;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
  • wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
  • stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”)."

Motyw nr 101 Dyrektywy 2019/1937 mówi, iż każdy, kto dozna uszczerbku – bezpośrednio lub pośrednio – w wyniku zgłoszenia lub ujawnienia publicznego niedokładnych lub wprowadzających w błąd informacji, powinien zachować przysługujące mu na mocy przepisów ogólnych prawa krajowego prawo do ochrony i środków ochrony prawnej. Jeżeli tego rodzaju niedokładne lub wprowadzające w błąd informacje uczyniono przedmiotem zgłoszenia lub ujawnienia publicznego w sposób celowy i świadomy, osoby, których dotyczy zgłoszenie, powinny być uprawnione do odszkodowania zgodnie z prawem krajowym.

Na gruncie prawa cywilnego, każdy, czyje dobro osobiste zostało naruszone, może żądać, ażeby osoba, która się tego naruszenia dopuściła, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności, żeby złożyła oświadczenie o odpowiedniej treści i w odpowiedniej formie. Może również żądać:

  • zadośćuczynienia pieniężnego lub (oraz)
  • zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.

Dlatego należy wdrożyć ochronę sygnalistów w sposób kompleksowy:

  1. Rekomendujemy wdrożenie informatycznych wewnętrznych kanałów zgłoszeń dla sygnalistów.
  2. Ustanowienie wewnętrznej procedury zgłoszenia naruszeń prawa i podejmowania działań następczych.
  3. Przeszkolenie osób odbierających zgłoszenia oraz pracowników podmiotu obowiązanego.
  4. Wdrożenie pozostałych elementów Systemu Ochrony Sygnalistów.
  5. Ustawiczne szkolenia.

Zapraszamy do przesłania zapytania.

Oferujemy kompleksowe wdrożenie Systemu Ochrony Sygnalistów.

1 https://roklen24.cz/chystana-pravni-uprava-ochrany-oznamovatelu-aneb-z-hrozby-prilezitost/

2 https://uodo.gov.pl/pl/138/1244