Ochrona sygnalistów, proj. ustawy o ochronie osób zgłaszających naruszenia prawa z 2021 roku
Kary a ochrona sygnalistów w projekcie ustawy o ochronie osób zgłaszających naruszenia prawa
Kary a ochrona sygnalistów w projekcie ustawy o ochronie osób zgłaszających naruszenia prawa
Projekt ustawy o ochronie osób zgłaszających naruszenia prawa w rozdziale 6 wymienia następujące kary;
Rozdział 6 Przepisy karne
Art. 56. Kto utrudnia dokonanie zgłoszenia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Art. 57. Kto wbrew przepisowi art. 10 podejmuje działania odwetowe wobec osoby, która dokonała zgłoszenia lub ujawnienia publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Art. 58. Kto wbrew przepisom art. 30 lub art. 43 narusza obowiązek zachowania poufności tożsamości osoby, która dokonała zgłoszenia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Art. 59. Kto dokonał zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Art. 60. Kto wbrew przepisom ustawy nie ustanowił wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych albo ustanowiona przez niego procedura narusza art. 29 ust. 1, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.
Zbieg i łączenie kar za naruszenie ochrony sygnalistów.
Proponowane przepisy karne należy w szczególności analizować w kontekście ryzyka zbiegu ww. czynów zabronionych oraz łączenie kar i środków karnych. Zgodnie z zaproponowanymi zapisami przy naruszeniu art. 56, art. 57, art. 58 oraz art. 60 w praktyce może nastąpić łączenie kary grzywny. Takie wydarzenia i okoliczności są bardzo mocno ze sobą powiązane związkami przyczynowo-skutkowymi. Z dużym prawdopodobieństwem wobec sygnalisty jednocześnie mogą być powzięte odpowiednio:
- "utrudnienia dokonania zgłoszenia",
- "podjęcie działań odwetowych wobec osoby, która dokonała zgłoszenia",
- "naruszenie obowiązku zachowania poufności tożsamości osoby",
- "nieustanowienie wewnętrznej procedury zgłoszenia naruszeń prawa i podejmowania działań następczych albo ustanowiona procedura (podmiotu) narusza art. 29 ust 1." w konsekwencji naruszając prawa "sygnalisty".
Jakie mogą być maksymalne wysokości grzywien?
Przypomnieć należy, jakie mogą być na gruncie przepisów wysokości grzywien.
Art. 33. kodeksu karnego określa zasady wymiaru grzywny;
§ 1. Grzywnę wymierza się w stawkach dziennych, określając liczbę stawek oraz wysokość jednej stawki; jeżeli ustawa nie stanowi inaczej, najniższa liczba stawek wynosi 10, zaś najwyższa 540.
§ 2. Sąd może wymierzyć grzywnę także obok kary pozbawienia wolności wymienionej w art. 32 pkt 3, jeżeli sprawca dopuścił się czynu w celu osiągnięcia korzyści majątkowej lub gdy korzyść majątkową osiągnął.
§ 3. Ustalając stawkę dzienną, sąd bierze pod uwagę dochody sprawcy, jego warunki osobiste, rodzinne, stosunki majątkowe i możliwości zarobkowe; stawka dzienna nie może być niższa od 10 złotych, ani też przekraczać 2000 złotych.
Grzywnę wymierza się w stawkach dziennych w liczbie od 10 do 540. Wysokość stawki określana jest przez sąd w granicach od 10 do 2000 zł (art. 33 § 1 i 3 k.k.). W przypadku nadzwyczajnego obostrzenia kary liczba stawek dziennych może wynieść maksymalnie 810. Wykonaniu mogą podlegać kary grzywny w wysokości od minimalnej, tj. 100 zł (10 stawek po 10 zł), do maksymalnej, tj. 1 080 000 zł (540 stawek po 2000 zł), w wypadku zaś nadzwyczajnego obostrzenia aż do 1 620 000 zł (810 stawek po 2000 zł).
Możliwa jest łączenie kary grzywny, zatem maksymalna grzywna z tytułu naruszenia art. 56, art. 57, art. 58 oraz art. 60 może wynosić odpowiednio;
Wariant 1); grzywna maksymalna tj. 1 080 000 zł (540 stawek po 2000 zł) x zbieg z art. art. 56, art. 57, art. 58 oraz art. 60, co razem daje aż 4 320 000 zł ! (1 080 000 zł x 4).
Wysokość grzywny w przypadku nadzwyczajnego obostrzenia kary
Wariant 2 w przypadku nadzwyczajnego obostrzenia kary; 1 620 000 zł (810 stawek po 2000 zł) x zbieg z art. 56, art. 57, art. 58 oraz art. 60, co razem daje aż 6 480 000 zł !
Wyżej przedstawiony warianty nie są katalogiem zamkniętym, stanowią przykład możliwych naruszeń przepisów z projektu ustawy o ochronie osób zgłaszających naruszenia prawa.
Podobne zapisy występują w innych projektach ustaw w Europie implementujących Dyrektywę nr 2019/1937 potocznie nazywaną dyrektywą o ochronie sygnalistów. Estonia w projekcie ustawy wprowadza poniższe przepisy karne, ale rozróżnia kary grzywny osobno dla osób fizycznych i osób prawnych.
Poniżej przedstawiamy wysokość kar w estońskim projecie o "ochronie sygnalistów".
- Rozdział 3 Odpowiedzialność
§ 18 Zapobieganie zgłaszaniu nieprawidłowości
(1) Utrudnianie informowania o nieprawidłowościach - podlega karze grzywny do 300 jednostek karnych.
(2) Usiłowanie popełnienia wykroczenia przewidzianego w podsekcji (1) niniejszego paragrafu jest karalne.
(3) To samo wykroczenie, jeśli zostało popełnione przez osobę prawną, podlega karze grzywny w wysokości do 400 000 EUR.
§ 19 Stosowanie środków wykonawczych
(1) Podejmowanie działań odwetowych wobec sygnalisty - zagrożone karą grzywny do 300 jednostek karnych.
(2) To samo wykroczenie, jeśli zostało popełnione przez osobę prawną, podlega karze grzywny w wysokości do 400 000 EUR.
Naruszenie poufności tożsamości osoby zgłaszającej nieprawidłowości
(1) Naruszenie obowiązku zachowania w tajemnicy tożsamości sygnalisty - zagrożone karą grzywny do 300 jednostek karnych.
(2) To samo wykroczenie, jeśli zostało popełnione przez osobę prawną, podlega karze grzywny w wysokości do 400 000 EUR.
W Czechach wprowadzono kary finansowe podobne do rozwiązań z RODO. "Podmiot zobowiązany popełnia przestępstwo w szczególności w przypadkach, gdy nie tworzy wewnętrznego systemu powiadamiania, nie wskazuje osoby zainteresowanej, nie zapewnia publikacji informacji o możliwościach powiadamiania, ale także np. nie podejmuje odpowiednich działań działania naprawcze w celu zapobieżenia lub zapobieżenia nielegalnej sytuacji po powiadomieniu. W przypadku wykroczenia podmiotu zobowiązanego może zostać na niego nałożona grzywna w wysokości do 1 000 000 CZK lub do 5% obrotu netto." 1
Naruszenie ochrony sygnalistów a powiadomienie Prezesa UODO
Należy również mieć na uwadze, że naruszenie przepisów rozdziału 6 polskiego projektu ustawy o ochronie osób zgłaszających naruszenia prawa, będzie w konsekwencji stanowić naruszenie przepisów RODO. Tak więc poszkodowany "sygnalista" i pozostałe osoby podlegające ochronie (np. krewni) będą mogli dochodzić stosownego odszkodowania za naruszenie praw ochrony sygnalistów zapisanych odpowiednio w art. 56, art. 57, art. 58 oraz art. 60. Co więcej, przepisy ochrony danych osobowych są jedną z 15 dziedzin prawa unijnego określonych w samej dyrektywie 2019/1937 oraz w polskim projekcie ustawy o ochronie sygnalistów.
Zatem każde naruszenie ochrony danych osobowych na gruncie art. 58. projektu ustawy ww. (kto wbrew przepisom art. 30 lub art. 43 narusza obowiązek zachowania poufności), stanowić będzie naruszenie zasad RODO oraz naruszenie polskiej ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000).
W konsekwencji naruszeń "obowiązku zachowania poufności" danych osobowych sygnalisty, możliwe będzie powiadomienie Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO). Co więcej, brak powiadomienia Prezesa UODO w przypadku naruszenia "obowiązku zachowania poufności" może być kolejnym naruszeniem prawa przez osobę, podmiot obowiązany tj. administratora danych, ponieważ przepisy RODO nakładają obowiązek powiadamiania Prezesa UODO w określonych przypadkach. Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes UODO.
Biorąc pod uwagę powagę sprawy pod rygorem ww. przepisów karnych, naruszenia "obowiązku zachowania poufności" danych osobowych sygnalisty a w konsekwencji naruszenia obowiązku zachowania w tajemnicy tożsamości sygnalisty, brak powiadomienia Prezesa UODO może być naruszeniem przepisów RODO. Takie zaniechanie i brak zgłoszenia do Prezesa UODO może skutkować wszczęciem postępowania kontrolnego ze strony UODO.
Potencjalne kary administracyjne ze strony Prezesa UODO mogą być również dotkliwe dla administratora danych.
Lista 10 najwyższych kar nałożonych na podmioty prywatne i publiczne przez Prezesa UODO. Stan na październik 2021.
Kraj | Data decyzji | Wysokość kary w EUR | Kontroler/Procesor |
POLSKA | 10.09.2019 | 660 000 | Morele.net |
POLSKA | 14.12.2020 | 443 000 | Virgin Mobile Polska |
POLSKA | 22.04.2021 | 245 000 | Cyfrowy Polsat SA |
POLSKA | 17.12.2020 | 235 300 | ID Finance Polska Sp. ogród zoologiczny |
POLSKA | 26.03.2019 | 220 000 | Bisnode Polska Sp. z o.o. |
POLSKA | 16.10.2019 | 47 000 | KliknijSzybkoTeraz |
POLSKA | 21.06.2021 | 35 300 | Sopockie Towarzystwo Ubezpieczeń ERGO Hestia SA |
POLSKA | 11.01.2021 | 30 000 | Enea SA |
POLSKA | 31.08.2020 | 22 700 | Główny Geodeta Kraju („GKK”) |
POLSKA | 15.07.2020 | 22 300 | Biuro Geodezji i Kartografii |
Lista 10 najwyższych kar nałożonych na podmioty prywatne i publiczne przez urzędy ochrony danych osobowych w Europie. Stan na październik 2021.
Kraj | Data wydania decyzji | Wysokość kary w EUR | Nazwa firmy |
LUKSEMBURG | 16.07.2021 | 746 000 000 | Amazon Europe Core S.à.rl |
IRLANDIA | 02.09.2021 | 225 000 000 | WhatsApp Irlandia Ltd. |
FRANCJA | 21.01.2019 | 50 000 000 | Google LLC |
NIEMCY | 01.10.2020 | 35 258 708 | H&M Hennes & Mauritz sklep internetowy AB & Co. KG |
WŁOCHY | 15.01.2020 | 27 800 000 | TIM (operator telekomunikacyjny) |
ZJEDNOCZONE KRÓLESTWO | 16.10.2020 | 22 046 000 | Brytyjskie linie lotnicze |
ZJEDNOCZONE KRÓLESTWO | 30.10.2020 | 20 450 000 | Marriott International Inc |
WŁOCHY | 13.07.2020 | 16 700 000 | Wiatr Tre Spa A |
NIEMCY | 08.01.2021 | 10 400 000 | notebooksbilliger.de |
AUSTRIA | 28.09.2021 | 9 500 000 | Poczta austriacka |
Jak Prezes UODO nakłada administracyjne kary pieniężne? 2 "Kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników.
Istotne będą więc m.in. :
- charakter, waga i czas trwania naruszenia;
- umyślny lub nieumyślny charakter naruszenia;
- działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
- stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
- wszelkie stosowne wcześniejsze naruszenia, zatem czy to było pierwsze naruszenie czy kolejne;
- stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
- kategorie danych osobowych, których dotyczyło naruszenie;
- sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie (np. czy sam zgłosił „wyciek danych”)."
Motyw nr 101 Dyrektywy 2019/1937 mówi, iż każdy, kto dozna uszczerbku – bezpośrednio lub pośrednio – w wyniku zgłoszenia lub ujawnienia publicznego niedokładnych lub wprowadzających w błąd informacji, powinien zachować przysługujące mu na mocy przepisów ogólnych prawa krajowego prawo do ochrony i środków ochrony prawnej. Jeżeli tego rodzaju niedokładne lub wprowadzające w błąd informacje uczyniono przedmiotem zgłoszenia lub ujawnienia publicznego w sposób celowy i świadomy, osoby, których dotyczy zgłoszenie, powinny być uprawnione do odszkodowania zgodnie z prawem krajowym.
Na gruncie prawa cywilnego, każdy, czyje dobro osobiste zostało naruszone, może żądać, ażeby osoba, która się tego naruszenia dopuściła, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności, żeby złożyła oświadczenie o odpowiedniej treści i w odpowiedniej formie. Może również żądać:
- zadośćuczynienia pieniężnego lub (oraz)
- zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
Dlatego należy wdrożyć ochronę sygnalistów w sposób kompleksowy:
- Rekomendujemy wdrożenie informatycznych wewnętrznych kanałów zgłoszeń dla sygnalistów.
- Ustanowienie wewnętrznej procedury zgłoszenia naruszeń prawa i podejmowania działań następczych.
- Przeszkolenie osób odbierających zgłoszenia oraz pracowników podmiotu obowiązanego.
- Wdrożenie pozostałych elementów Systemu Ochrony Sygnalistów.
- Ustawiczne szkolenia.
Zapraszamy do przesłania zapytania.
Oferujemy kompleksowe wdrożenie Systemu Ochrony Sygnalistów.
1 https://roklen24.cz/chystana-pravni-uprava-ochrany-oznamovatelu-aneb-z-hrozby-prilezitost/
2 https://uodo.gov.pl/pl/138/1244