Grupa robocza ds. ochrony danych powołana na mocy ART. 29

Grupa robocza ds. ochrony danych powołana na mocy ART. 29 00195/06/PL WP 117 Opinia 1/2006 w sprawie zastosowania unijnych zasad ochrony danych do wewnętrznych systemów informowania o nieprawidłowościach w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem, zwalczania przekupstwa oraz przestępstw bankowych i finansowych Przyjęta dnia 1 lutego 2006 r. Grupa robocza została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest niezależnym europejskim organem doradczym ds. ochrony danych i prywatności. Jej zadania są opisane w art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE. Sekretariat grupy prowadzi dyrekcja C (sprawiedliwość, prawa i obywatelstwo) Komisji Europejskiej, Dyrekcja ds. sprawiedliwości, wolności i bezpieczeństwa, B-1049 Brussels, Belgium, Office No LX-46 01/43. Strona internetowa: http://europa.eu.int/comm/privacy

SPIS TREŚCI I. WSTĘP...4 II. UZASADNIENIE OGRANICZONEGO ZAKRESU OPINII...5 III. SZCZEGÓLNY NACISK KŁADZIONY W ZASADACH OCHRONY DANYCH NA OCHRONĘ OSÓB OSKARŻONYCH W ZWIĄZKU Z DZIAŁANIEM SYSTEMU INFORMOWANIA O NIEPRAWIDŁOWOŚCIACH...6 IV. OCENA ZGODNOŚCI SYSTEMÓW INFORMOWANIA O NIEPRAWIDŁOWOŚCIACH Z ZASADAMI OCHRONY DANYCH...7 1. Legalność systemów informowania o nieprawidłowościach (art. 7 dyrektywy 95/46/WE)...7 i) Wprowadzenie systemu informowania o nieprawidłowościach jest konieczne dla wykonania zobowiązania prawnego, któremu podlega administrator danych (art. 7 lit. c))...8 ii) Wprowadzenie systemu informowania o nieprawidłowościach jest konieczne dla celów wynikających z uzasadnionych interesów administratora danych (art. 7 lit. f))...8 2. Zastosowanie zasad jakości i proporcjonalności danych (art. 6 dyrektywy o ochronie danych)...10 i) Możliwe ograniczenie liczby osób upoważnionych do zgłaszania domniemanych nieprawidłowości lub wykroczeń w ramach systemu informowania o nieprawidłowościach...10 ii) Możliwe ograniczenie liczby osób, które można oskarżyć w ramach systemu informowania o nieprawidłowościach...11 iii) Promowanie imiennych i poufnych zgłoszeń zamiast zgłoszeń anonimowych...11 iv) Proporcjonalność i dokładność gromadzonych i przetwarzanych danych...12 v) Przestrzeganie wyznaczonego okresu przechowywania danych...13 3. Dostarczenie jasnych i pełnych informacji o systemie (art. 10 dyrektywy o ochronie danych)...13 4. Prawa osoby oskarżonej...14 i) Prawa do informacji...14 ii) Prawo dostępu, sprostowania i usuwania danych...14 5. Bezpieczeństwo przetwarzania (art. 17 dyrektywy 95/46/WE)...15 i) Istotne środki bezpieczeństwa...15 ii) Poufność doniesień składanych w ramach systemu informowania o nieprawidłowościach...15 6. Zarządzanie systemami informowania o nieprawidłowościach...16 2

i) Organizacja wewnętrzna zarządzająca systemami informowania o nieprawidłowościach...16 ii) Możliwość zatrudnienia zewnętrznych dostawców usług...16 iii) Zasada prowadzenia dochodzenia w UE dotyczące firm unijnych i odstępstwa...17 7. Przekazywanie danych do państw trzecich...17 8. Zgodność z wymaganiami dotyczącymi powiadamiania...18 V WNIOSKI...18 3

GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH powołana dyrektywą 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. 1 uwzględniając art. 29, art. 30 ust. 1 lit. c) i ust. 3 tej dyrektywy; uwzględniając swój regulamin wewnętrzny, w szczególności jego art. 12 i 14; PRZYJMUJE NINIEJSZĄ OPINIĘ: I. WSTĘP Niniejsza opinia zawiera wytyczne co do wdrażania wewnętrznych systemów informowania o nieprawidłowościach zgodnie z unijnymi zasadami ochrony danych określonymi w dyrektywie 95/46/WE. 2 Liczba problemów, jakie pojawiły się przy okazji wprowadzania systemów informowania o nieprawidłowościach w Europie w 2005 r., w tym problemów związanych z ochroną danych, pokazała, że rozwój tej praktyki we wszystkich państwach UE napotykać może na poważne trudności. Są one głównie spowodowane różnicami kulturowymi, te zaś z kolei wynikają z przyczyn społecznych i/lub historycznych, których istnienia nie można zaprzeczyć ani zignorować. Grupa robocza zdaje sobie sprawę, że te trudności są częściowo związane z szerokim zakresem kwestii, które można zgłaszać w ramach wewnętrznych systemów informowania o nieprawidłowościach. Zdaje sobie także sprawę, że systemy informowania o nieprawidłowościach napotykają na szczególne trudności w niektórych państwach UE w związku z prawem pracy oraz że trwają prace związane z ich rozwiązaniem, które mogą wymagać dalszej uwagi. Grupa robocza musi także uwzględnić to, że chociaż w niektórych państwach UE funkcjonowanie systemów informowania o nieprawidłowościach jest wymagane prawem, w większości z nich ten problem nie jest regulowany żadnymi konkretnymi przepisami ustawowymi czy wykonawczymi. W związku z tym grupa robocza uważa, że na tym etapie przyjęcie ogólnej, ostatecznej opinii w sprawie informowania o nieprawidłowościach byłoby przedwczesne. W niniejszej opinii grupa robocza zdecydowała się wypowiedzieć w sprawie tych kwestii, w których wytyczne unijne są najpilniej potrzebne. Mając to na uwadze i z przyczyn wspomnianych w dokumencie, formalny zakres niniejszej opinii ogranicza się do stosowania unijnych zasad ochrony danych do wewnętrznych systemów informowania o nieprawidłowościach w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem, zwalczania przekupstwa oraz przestępstw bankowych i finansowych. 1 2 Dz.U. L 281 z 23.11.1995, str. 31, dostępny pod adresem: http://europa.eu.int/comm/internal_market/privacy/law_en.htm Zgodnie ze szczególnym mandatem grupy roboczej, niniejszy dokument roboczy nie dotyczy trudności prawnych związanych z systemami informowania o nieprawidłowościach, w szczególności dotyczących prawa pracy i prawa karnego. 4

Grupa robocza przyjęła niniejszą opinię zakładając, że powinna ona odzwierciedlać dalsze aspekty zgodności unijnych zasad ochrony danych z wewnętrznymi systemami informowania o nieprawidłowościach w pozostałych dziedzinach, takich jak zasoby ludzkie, zdrowie i bezpieczeństwo pracowników, zagrożenia i szkody dal środowiska naturalnego oraz popełnianie wykroczeń. W najbliższych miesiącach grupa będzie nadal prowadzić analizy mające na celu ustalenie, czy w tych sprawach także potrzebne są wytyczne unijne, a jeśli tak, w kolejnym dokumencie dokona zmiany lub poprawy zasad określonych w tej opinii. II. UZASADNIENIE OGRANICZONEGO ZAKRESU OPINII Po serii skandali finansowych w przedsiębiorstwach w 2002 r. Kongres USA przyjął ustawę Sarbanesa-Oxley a (SOX). Zgodnie z SOX, amerykańskie przedsiębiorstwa publiczne oraz ich oddziały zlokalizowane w UE, a także firmy spoza USA notowane na amerykańskiej giełdzie muszą, w ramach swoich komisji audytowych, opracować procedury przyjmowania, przechowywania i rozpatrywania skarg otrzymanych przez emitenta, dotyczących księgowości, wewnętrznej kontroli księgowej i audytu oraz składania anonimowych, tajnych skarg przez pracowników emitenta dotyczących spornych kwestii związanych z księgowością i audytem. 3 Ponadto rozdział 806 SOX zawiera postanowienie, gwarantujące ochronę pracowników przedsiębiorstw publicznych, którzy dostarczą dowody oszustwa, przed działaniami odwetowymi, w związku ze skorzystaniem przez nich z systemu sprawozdawczego. 4 Organem kierującym monitorowaniem stosowania SOX jest amerykańska Komisja Giełdy i Papierów Wartościowych (SEC). Odzwierciedlenie tych przepisów można znaleźć w zasadach Nasdaq 5 i nowojorskiej giełdy papierów wartościowych (NYSE) 6. Firmy, które są notowane na Nasdaq lub NYSE muszą co roku certyfikować swoje konta na tych rynkach. Proces certyfikacji wymaga, aby firmy zapewniały zgodność z wieloma zasadami, w tym z zasadami informowania o nieprawidłowościach. Nasdaq, NYSE lub SEC nakładają surowe sankcje i kary na firmy, które nie spełniają wyżej wymienionych zasad dotyczących informowania o nieprawidłowościach. Ze względu na niepewność co do zgodności systemów informowania o nieprawidłowościach z unijnymi zasadami ochrony danych z jednej strony firmy są narażone na sankcje ze strony organów ds. ochrony danych UE, jeśli nie spełniają unijnych zasad ochrony danych, a z drugiej strony na sankcje ze strony władz USA, jeśli nie spełniają przepisów amerykańskich. 3 4 5 6 Ustawa Sarbanesa-Oxley a, rozdział 301(4). Ustawa Sarbanesa-Oxley a, rozdział 406, przepisy przyjęte przez główne amerykańskie instytucje giełdowe (NADAQ, NYSE) także stanowią w szczególności, że firmy notowane na tych rynkach przyjmują kodeksy postępowania dla kierowników i dyrektorów finansowych, dotyczące spraw księgowych, finansowych i audytowych, które powinny zawierać mechanizmy wykonawcze. Zasada 4350 (D) (3): Odpowiedzialność i uprawnienia komisji audytowej Nowojorska giełda papierów wartościowych (NYSE), Rozdział 303A.06: Komisja audytowa 5

Obecnie w Stanach Zjednoczonych prowadzona jest ocena prawna możliwości zastosowania niektórych przepisów SOX do europejskich filii firm amerykańskich oraz europejskich firm notowanych na amerykańskich rynkach giełdowych. 7 Mimo stosunkowo dużej niepewności co do możliwości zastosowania wszystkich przepisów SOX wobec spółek z siedzibą w Europie, firmy, które podlegają SOX na mocy jednoznacznych eksterytorialnych postanowień tej ustawy, też chcą spełniać jej szczególne postanowienia dotyczące informowania o nieprawidłowościach. Ze względu na zagrożenie sankcjami wobec firm unijnych GR29 (grupa robocza powołana na mocy art. 29) uznała, że sprawą pilną jest zawężenie prowadzonych przez nią analiz do systemów informowania o nieprawidłowościach ustanowionych w celu zgłaszania naruszeń w dziedzinie księgowości, wewnętrznej kontroli księgowej i audytu, takich, o jakich mowa w ustawie Sarbanesa-Oxley a, lub innych opisanych poniżej. Podejmując taką decyzję, grupa robocza chce przyczynić się do zapewnienia pewności prawnej firmom, które podlegają zarówno unijnym zasadom ochrony danych, jak i SOX. III. SZCZEGÓLNY NACISK KŁADZIONY W ZASADACH OCHRONY DANYCH NA OCHRONĘ OSÓB OSKARŻONYCH W ZWIĄZKU Z DZIAŁANIEM SYSTEMU INFORMOWANIA O NIEPRAWIDŁOWOŚCIACH Wewnętrzne systemy informowania o nieprawidłowościach powstają zwykle w ramach działań mających na celu zapewnienie stosowania właściwych zasad ładu korporacyjnego w codziennej pracy firmy. Zgłaszanie nieprawidłowości to dodatkowy mechanizm, za pomocą którego pracownicy mogą zgłaszać niewłaściwe działania poprzez określony kanał komunikacyjny. Wspomaga on standardowe kanały informacyjne i zgłoszeniowe działające w firmie, takie jak przedstawicielstwa pracowników, zarząd liniowy, personel ds. kontroli jakości lub audytorzy wewnętrzni, których głównym zadaniem jest właśnie zgłaszanie takich niewłaściwych działań. Zgłaszanie nieprawidłowości należy traktować jako element uzupełniający zarządzanie wewnętrzne, a nie go zastępujący. Grupa robocza podkreśla, że systemy informowania o nieprawidłowościach należy wprowadzać w życie zgodnie z unijnymi zasadami ochrony danych. W większości przypadków wprowadzanie systemu informowania o nieprawidłowościach będzie polegać na przetwarzaniu danych osobowych (tj. zbieraniu, rejestracji, przechowywaniu, ujawnianiu i niszczeniu danych związanych z osobą, której tożsamość jest ustalana), czyli z zastosowaniem zasad ochrony danych. Zastosowanie tych zasad będzie mieć różne skutki dla tworzenia systemów informowania o nieprawidłowościach i zarządzania nimi. Pełny wykaz tych skutków przedstawiono w dalszej części niniejszego dokumentu (rozdział IV). Grupa robocza stwierdza, że chociaż istniejące regulacje i wytyczne dotyczące informowania o nieprawidłowościach mają na celu zapewnienie szczególnej ochrony osobom korzystającym z systemu informowania o nieprawidłowościach 7 Na posiedzeniu w dniu 5 stycznia 2006 r. amerykański Sąd Apelacyjny (1 okręg) postanowił, że przepisy SOX dotyczące informatorów nie dotyczą obywateli innych państw pracujących poza terytorium USA w zagranicznych spółkach zależnych firm, które mają obowiązek przestrzegania pozostałych przepisów SOX. 6

( informatorom ), w żadnym punkcie nie zawierają wzmianki dotyczącej ochrony oskarżonego, w szczególności związanej z przetwarzaniem jego danych osobowych. Jednak osobom, które zostały oskarżone, nadal przysługują prawa określone w dyrektywie 95/46/WE i stosownych przepisach prawa krajowego. Zastosowanie unijnych zasad ochrony danych w systemie informowania o nieprawidłowościach oznacza zwrócenie szczególnej uwagi na ochronę osób, które mogą być oskarżone w doniesieniu. W tej kwestii grupa robocza podkreśla, że systemy informowania o nieprawidłowościach wiążą się z poważnym ryzykiem naznaczenia i represjonowania osoby w organizacji, do której należy. Taka osoba będzie narażona na to ryzyko, jeszcze zanim dowie się o oskarżeniu i domniemane podejrzenia zostaną potwierdzone lub oddalone. Grupa robocza uważa, że właściwe zastosowanie zasad ochrony danych w systemach informowania o nieprawidłowościach przyczyni się do zmniejszenia wspomnianych wyżej zagrożeń. Uważa również, że zastosowanie tych zasad przyczyni się do lepszego działania systemów informowania o nieprawidłowościach, nie przeszkadzając jednocześnie w ich funkcjonowaniu zgodnie z przeznaczeniem. IV. OCENA ZGODNOŚCI SYSTEMÓW INFORMOWANIA O NIEPRAWIDŁOWOŚCIACH Z ZASADAMI OCHRONY DANYCH Zastosowanie zasad ochrony danych w systemach informowania o nieprawidłowościach wiąże się z koniecznością rozstrzygnięcia następujących kwestii: legalność systemów informowania o nieprawidłowościach (1); zastosowanie zasad jakości i proporcjonalności danych (2); udzielanie jasnych i pełnych informacji o systemie (3); prawa osób oskarżonych (4); bezpieczeństwo działań związanych z przetwarzaniem (5); zarządzanie wewnętrznymi systemami informowania o nieprawidłowościach (6); zagadnienia związane z wewnętrzną transmisją danych (7); wymagania dotyczące powiadamiania i wcześniejszego sprawdzania (8). 1. Legalność systemów informowania o nieprawidłowościach (art. 7 dyrektywy 95/46/WE) Aby system informowania o nieprawidłowościach był zgodny z prawem, przetwarzanie danych osobowych musi odbywać się legalnie i zgodnie z art. 7 dyrektywy o ochronie danych. W obecnej sytuacji możliwe są dwa rozwiązania: wprowadzenie systemu informowania o nieprawidłowościach jest konieczne dla wykonania zobowiązania prawnego (art. 7 lit. c)) lub jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, których dane są ujawniane (art.7 lit. f)). 8 8 Firmy powinny mieć świadomość, że w niektórych państwach członkowskich przetwarzanie danych dotyczących domniemanych przestępstw kryminalnych podlega dodatkowym szczególnym warunkom, związanym z zasadnością ich przetwarzania (patrz niżej, rozdział IV, 8). 7

i) Wprowadzenie systemu informowania o nieprawidłowościach jest konieczne dla wykonania zobowiązania prawnego, któremu podlega administrator danych (art. 7 lit. c)) Celem wprowadzenia systemu zgłoszeniowego powinno być wypełnienie zobowiązania prawnego nałożonego prawem wspólnotowym lub Państwa Członkowskiego, w szczególności zobowiązania prawnego, którego celem jest wprowadzenie wewnętrznych procedur kontrolnych w dobrze określonych obszarach. Obecnie w większości Państw Członkowskich UE takie zobowiązanie istnieje np. w sektorze bankowym, gdzie władze podjęły decyzję o wzmocnieniu kontroli wewnętrznej, w szczególności dotyczącej działań firm kredytowych i inwestycyjnych. Takie zobowiązanie prawne wprowadzające zaostrzone mechanizmy kontroli istnieje w zakresie zwalczania przekupstwa, w szczególności w związku z wprowadzeniem do prawa krajowego postanowień konwencji OECD o zwalczaniu przekupstwa zagranicznych urzędników publicznych w międzynarodowych transakcjach handlowych (konwencja OECD z dnia 17 grudnia 1997 r.). Natomiast zobowiązanie wynikające z zagranicznego statusu prawnego lub rozporządzenia, które wiąże się z koniecznością wprowadzenia systemów zgłoszeniowych może nie zostać uznane za zobowiązanie prawne uzasadniające przetwarzanie danych w UE. Każda inna interpretacja ułatwiłaby obchodzenie zasad unijnych określonych w dyrektywie 95/46/WE przez przepisy zagraniczne. W związku z tym przepisy SOX dotyczące informowania o nieprawidłowościach nie mogą zostać uznane za uzasadnione podstawy przetwarzania zgodnie z art. 7 lit. c). Niemniej jednak w niektórych państwach UE może istnieć konieczność wprowadzenia systemów informowania o nieprawidłowościach na mocy wiążących prawnie zobowiązań prawa krajowego w tych samych dziedzinach, co ujęte w SOX. 9 W innych państwach UE, gdzie takie zobowiązania prawne nie istnieją, ten sam skutek można osiągnąć na podstawie art. 7 lit. f). ii) Wprowadzenie systemu informowania o nieprawidłowościach jest konieczne dla celów wynikających z uzasadnionych interesów administratora danych (art. 7 lit. f)). Wprowadzenie systemów zgłoszeniowych może zostać uznane za konieczne dla celów wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, którym dane są ujawniane (art. 7 lit. f)). Taki powód byłby do przyjęcia jedynie pod warunkiem, że takie uzasadnione interesy nie są sprzeczne z interesem podstawowych praw i wolności osoby, której dane dotyczą. 9 Niderlandzki kodeks nadzoru i zarządzania spółkami, 9.12.2003 r., sekcja II, 1.6. Hiszpański projekt ładu korporacyjnego w spółkach notowanych na giełdzie, rozdział IV, art. 67 ust. 1 lit. d). Ten kodeks musi jeszcze przejrzeć hiszpański urząd ds. ochrony danych, aby uwzględnić jego wpływ na ochronę danych. 8

Najważniejsze organizacje międzynarodowe, łącznie z UE 10 i OECD, 11 uznały znaczenie dobrych zasad ładu korporacyjnego dla zagwarantowania prawidłowego działania organizacji. Zasady lub wytyczne opracowane na tych forach mają zwiększyć przejrzystość i opracować praktyki należytego zarządzania finansami i księgowością, tym samym zwiększając ochronę udziałowców i stabilność finansową rynków. Szczególnie podkreśla się w nich interes, jaki mają te organizacje we wprowadzeniu odpowiednich procedur umożliwiających pracownikom zgłaszanie zarządowi lub komisji audytowej nieprawidłowości i wątpliwych praktyk księgowych lub audytowych. Te procedury powiadamiania muszą gwarantować istnienie odpowiednich rozwiązań w celu proporcjonalnego i niezależnego ustalenia zgłoszonych faktów, w tym odpowiedniej procedury wyboru osób zajmujących się zarządzaniem systemem, oraz w celu podejmowania stosownych dalszych działań. Poza tym we wspomnianych wytycznych i przepisach podkreśla się konieczność zapewnienia ochrony informatorom oraz udzielenia odpowiednich gwarancji chroniących ich przed działaniami odwetowymi (dyscyplinarnymi lub dyskryminacyjnymi). 12 Cel, jakim jest zapewnienie bezpieczeństwa finansowego na międzynarodowych rynkach finansowych, w szczególności zapobieganie oszustwom i wykroczeniom w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem i sprawozdawczością oraz zwalczanie przekupstwa, przestępstw bankowych i finansowych lub udostępniania i wykorzystywania informacji objętych tajemnicą zawodową, rzeczywiście leży w interesie pracodawcy i uzasadnia przetwarzanie danych osobowych w systemie informowania o nieprawidłowościach w tych dziedzinach. Głównym problemem w przedsiębiorstwie publicznym, w szczególności notowanym na rynku finansowym, jest zadbanie o to, aby zgłoszenia domniemanych manipulacji księgowych lub niepoprawnego audytu księgowego, które mogą mieć wpływ na oświadczenia finansowe firmy i dotyczyć interesów prawnych udziałowców mających interes w stabilności finansowej firmy, rzeczywiście docierały do rady nadzorczej i by podejmowano w związku z nimi dalsze działania. W tym kontekście amerykańską ustawę Sarbanesa-Oxley'a można uznać za jedną z inicjatyw służących zapewnieniu stabilności rynków finansowych oraz ochrony interesów prawnych udziałowców, gdyż ustanawia ona właściwe zasady ładu korporacyjnego. Mając na uwadze wszystkie te powody Grupa Robocza uważa, że w państwach UE, w których nie istnieje wymaganie prawne nakazujące wprowadzenie systemów informowania o nieprawidłowościach w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem oraz zwalczania przekupstwa, przestępstw bankowych i finansowych, administratorzy danych mają uzasadniony interes we wprowadzeniu w tych dziedzinach takich systemów wewnętrznych. 10 11 12 Wspólnota Europejska: Zalecenie Komisji z dnia 15 lutego 2005 r. dotyczące roli dyrektorów niewykonawczych i nadzorczych spółek notowanych na giełdzie w komisjach rad (nadzorczych) (Dz.U. L 52, 25.2.2005, str. 51). OECD: Zasady ładu korporacyjnego OECD 2004. Część pierwsza, rozdział IV. Patrz, na przykład, brytyjska ustawa o ujawnianiu interesu publicznego z 1998 r. 9

Jednakże, zgodnie z art. 7 lit. f) konieczne jest zachowanie równowagi między uzasadnionym interesem przetwarzania danych osobowych a podstawowymi prawami osób, których dane dotyczą. To zrównoważenie kryteriów interesu powinno uwzględniać proporcjonalność, pomocniczość, wagę domniemanego wykroczenia, o którym można powiadomić, oraz skutki dla podmiotów danych. W kontekście równoważenia kryteriów interesu należy wprowadzić odpowiednie zabezpieczenia. W szczególności art. 14 dyrektywy 95/46/WE stanowi, że przy przetwarzaniu danych zgodnie z art. 7 lit. f), osoby mają prawo do wyrażenia w każdej chwili sprzeciwu wobec przetwarzania dotyczących ich danych, jeśli mają ku temu uzasadnione istotne podstawy. Punkty te rozwinięto poniżej. 2. Zastosowanie zasad jakości i proporcjonalności danych (art. 6 dyrektywy o ochronie danych) Zgodnie z dyrektywą 95/46/WE, dane osobowe należy przetwarzać rzetelnie i legalnie; 13 należy je gromadzić do określonych, jednoznacznych i legalnych celów 14, a nie wolno wykorzystywać w sposób niezgodny z tym celem. Ponadto przetwarzane dane muszą być prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone. 15 Te zasady są czasem określane wspólnym mianem zasady proporcjonalności. Poza tym należy przedsięwziąć odpowiednie środki, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych. 16 Zastosowanie tych podstawowych zasad ochrony danych ma wieloraki wpływ na sposób sporządzania doniesień przez pracowników organizacji oraz ich przetwarzania przez organizację. Omówiono je poniżej. i) Możliwe ograniczenie liczby osób upoważnionych do zgłaszania domniemanych nieprawidłowości lub wykroczeń w ramach systemu informowania o nieprawidłowościach Grupa Robocza zaleca, aby stosując zasadę proporcjonalności firma odpowiedzialna za system informowania o nieprawidłowościach starannie rozważyła, czy konieczne jest ograniczenie liczby osób upoważnionych do zgłaszania domniemanych wykroczeń w ramach systemu informowania o nieprawidłowościach, w szczególności w świetle wagi domniemanych przestępstw. Grupa robocza dopuszcza jednak, aby w niektórych przypadkach kategoria uprawnionych osób obejmowała wszystkich pracowników objętych zakresem niniejszej opinii. Grupa robocza uznaje, że decydujące będą okoliczności danego przypadku. Zatem nie zamierza w tej kwestii niczego narzucać, ale pozostawia decyzję administratorom danych, którzy przy ewentualnym nadzorze właściwych władz winni ustalić, czy takie ograniczenia są właściwe w okolicznościach, z którymi mają do czynienia. 13 14 15 16 Art. 6 ust. 1 lit. a) dyrektywy 95/46/WE Art. 6 ust. 1 lit. b) dyrektywy 95/46/WE Art. 6 ust. 1 lit. c) dyrektywy 95/46/WE Art. 6 ust. 1 lit. d) dyrektywy 95/46/WE 10

ii) Możliwe ograniczenie liczby osób, które można oskarżyć w ramach systemu informowania o nieprawidłowościach. Grupa robocza zaleca, aby stosując zasadę proporcjonalności firma wprowadzająca system informowania o nieprawidłowościach starannie rozważyła, czy konieczne jest ograniczenie liczby osób, o których wykroczeniach można informować w ramach systemu, w szczególności w świetle wagi domniemanych przestępstw. Grupa robocza dopuszcza jednak, aby w niektórych przypadkach kategoria dopuszczonych osób obejmowała wszystkich pracowników objętych zakresem niniejszej opinii. Grupa robocza uznaje, że decydujące będą okoliczności danego przypadku. Zatem nie zamierza w tej kwestii niczego narzucać, ale pozostawia decyzję administratorom danych, którzy przy ewentualnym nadzorze właściwych władz winni ustalić, czy takie ograniczenia są właściwe w okolicznościach, z którymi mają do czynienia. iii) Promowanie imiennych i poufnych zgłoszeń zamiast zgłoszeń anonimowych Pytanie, czy system informowania o nieprawidłowościach powinien umożliwiać anonimowe składanie doniesień zamiast preferowania zgłoszeń otwartych (tj. zgłoszeń imiennych, w każdym wypadku z zachowaniem warunków poufności) wymaga szczególnej uwagi. Anonimowość może być niedobrym rozwiązaniem, zarówno dla informatora, jak i organizacji, z kilku powodów: - zachowanie anonimowości nie gwarantuje, że inne osoby w firmie nie domyślą się, kto złożył doniesienie; - trudniej jest prowadzić dochodzenie, jeśli nie można zadać uzupełniających pytań informatorowi; - jeśli zastrzeżenia są wnoszone jawnie, łatwiej jest zorganizować ochronę informatora przed działaniami odwetowymi, zwłaszcza jeśli taka ochrona jest gwarantowana prawem 17 ; - anonimowe doniesienia mogą prowadzić do koncentrowania uwagi na informatorze i podejrzeń, że złożył doniesienie w złej wierze; - organizacja musi liczyć się z ryzykiem stworzenia środowiska, w którym anonimowe, wrogie doniesienia staną się normą; - atmosfera w organizacji może ulec pogorszeniu, gdy pracownicy będą mieć świadomość, że w każdej chwili ktoś może złożyć na nich anonimowe doniesienie. Jeśli chodzi o zasady ochrony danych, to anonimowe doniesienia są problematyczne, gdyż dotykają podstawowego wymagania, aby dane osobowe były gromadzone w sposób rzetelny. Grupa robocza uważa, że aby to wymaganie było spełnione, w ramach systemu informowania o nieprawidłowościach, powinno się akceptować wyłącznie sprawozdania imienne. 17 Na przykład zgodnie z brytyjską ustawą o ujawnianiu informacji związanych interesem publicznym. 11

Grupa robocza zdaje sobie jednak sprawę, że nie wszyscy informatorzy, z braku możliwości lub ze względów psychologicznych, będą mogli składać sprawozdania imienne. Jest również świadoma, że anonimowe skargi są w firmach na porządku dziennym, nawet i w szczególności z braku zorganizowanych, poufnych systemów informowania o nieprawidłowościach i że faktu tego nie można zignorować. Grupa robocza przyznaje zatem, że wprowadzenie systemów informowania o nieprawidłowościach może prowadzić do składania i rozpatrywania w jego ramach anonimowych doniesień, jednak winno być to traktowane jako odstępstwo od zasady i z uwzględnieniem poniższych warunków. Grupa robocza stoi na stanowisku, że systemy informowania o nieprawidłowościach powinny być skonstruowane w sposób zniechęcający do traktowania anonimowych doniesień, jako zwykłej metody składania skargi. W szczególności firmy nie powinny rozpowszechniać informacji, że w ramach systemu można składać anonimowe doniesienia. Z drugiej strony, systemy informowania o nieprawidłowościach powinny gwarantować przetwarzanie tożsamości informatora zgodnie z zasadami poufności. Zatem osoba, która chce złożyć doniesienie w ramach tego systemu powinna mieć świadomość, że działanie to nie będzie dla niej szkodliwe. Z tego względu informator przy pierwszym kontakcie z systemem powinien zostać poinformowany, że na wszystkich etapach procesu jego tożsamość będzie utajniona, w szczególności zaś nie zostanie ujawniona stronie trzeciej, osobie oskarżonej lub bezpośrednim zwierzchnikom pracownika. Jeśli mimo to osoba zgłaszająca nieprawidłowość zechce zachować anonimowość, jej doniesienie powinno zostać przyjęte. Konieczne jest także uprzedzenie informatorów, że ich tożsamość może zostać ujawniona osobom, które będą prowadzić dochodzenie oraz w trakcie postępowania sądowego, które może zostać wszczęte w wyniku śledztwa przeprowadzonego w ramach systemu informowania o nieprawidłowościach. Przetwarzanie anonimowych doniesień musi być prowadzone ze szczególną ostrożnością. W szczególności może ono wymagać między innymi przesłuchania pierwszego odbiorcy doniesienia w celu uzyskania informacji o złożeniu doniesienia i jego właściwym obiegu w ramach systemu. Warto również rozważyć kwestię, czy doniesienia anonimowe powinny być sprawdzane i przetwarzane szybciej niż poufne skargi imienne ze względu na możliwość ich niewłaściwego wykorzystania. Szczególna ostrożność nie oznacza jednak, że doniesień anonimowych nie trzeba badać z należytym uwzględnieniem wszystkich okoliczności sprawy, tak jak w przypadku sprawozdań otwartych. iv) Proporcjonalność i dokładność gromadzonych i przetwarzanych danych Zgodnie z art. 6 ust. 1 lit b) i c) dyrektywy o ochronie danych, dane osobowe należy gromadzić do określonych, jednoznacznych i legalnych celów i muszą być one prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone lub dalej przetworzone. Biorąc pod uwagę, że celem systemu raportowania jest zapewnienie odpowiedniego nadzoru i zarządzania spółkami, dane gromadzone i przetwarzane w ramach tego systemu powinny być ograniczone do faktów związanych z tym celem. Firmy wprowadzające takie systemy powinny jednoznacznie określić typ informacji, które będą w nim ujawnianie i ograniczyć je do informacji związanych z księgowością, wewnętrznymi kontrolami księgowymi lub audytem lub przestępstwami bankowymi i finansowymi oraz działaniami zapobiegającymi przekupstwu. W niektórych krajach 12

przepisy prawa mogą jednoznacznie narzucać obowiązek stosowania systemów informowania o nieprawidłowościach w innych kategoriach poważnych nadużyć, które powinny zostać ujawnione w interesie publicznym 18, jednak kwestia ta wykracza poza zakres niniejszej opinii i może nie dotyczyć innych państw. Dane osobowe przetwarzane w ramach systemu należy ograniczyć do danych jednoznacznie i obiektywnie potrzebnych do sprawdzenia złożonych doniesień. Ponadto dane osobowe należy przechowywać oddzielnie od składanych skarg. Jeśli fakty zgłoszone w ramach systemu informowania o nieprawidłowościach nie dotyczą dziedzin objętych tym systemem, należy przekazać je właściwym pracownikom firmy/organizacji, jeśli zagrożone są podstawowe interesy osoby, której dane dotyczą tudzież uczciwość pracowników, lub jeśli w prawie krajowym istnieje zobowiązanie prawne do przekazywania takich informacji organom lub władzom publicznym właściwym dla ścigania przestępstw. v) Przestrzeganie wyznaczonego okresu przechowywania danych Zgodnie z postanowieniami dyrektywy 95/46/WE przetwarzane dane osobowe są przechowywane przez okres potrzebny do osiągnięcia celu, dla którego dane zostały zgromadzone lub dla którego ulegają dalszemu przetwarzaniu. Jest to warunek konieczny dla zapewnienia zgodności z zasadą proporcjonalności przetwarzania danych osobowych. Dane osobowe przetwarzane w ramach systemu informowania o nieprawidłowościach należy usunąć jak najszybciej, zwykle w ciągu dwóch miesięcy od daty zakończenia dochodzenia w sprawie faktów zgłoszonych w doniesieniu. Okres ten ulega zmianie jeśli w przypadku nieprawdziwego lub oszczerczego zgłoszenia zostanie wszczęte postępowanie prawne lub dyscyplinarne przeciwko osobie oskarżonej lub informatorowi. W takich przypadkach dane osobowe należy przechowywać do czasu zakończenia postępowania oraz upłynięcia okresu, w którym możliwe jest złożenie odwołania. Każde państwo członkowskie ustala okres przechowywania danych w swoich przepisach. Dane osobowe związane ze skargami, które organ uprawniony do przetwarzania skargi uzna za bezzasadne, będą niezwłocznie usuwane. Ponadto w mocy pozostają wszystkie przepisy krajowe dotyczące archiwizacji danych w firmach. Przepisy te mogą w szczególności dotyczyć dostępu do danych przechowywanych w archiwach firm oraz określać cele, w jakich dostęp ten jest możliwy, kategorie osób, które mogą mieć do nich dostęp i inne stosowne zasady bezpieczeństwa. 3. Dostarczenie jasnych i pełnych informacji o systemie (art. 10 dyrektywy o ochronie danych) Wymaganie udzielania jasnych i pełnych informacji o systemie zobowiązuje administratora do powiadamiania osób, których dotyczą dane o istnieniu systemu, jego 18 Na przykład brytyjska ustawa o ujawnianiu informacji w związku z interesem publicznym z 1998 r. 13

celu i działaniu, odbiorcach sprawozdań i prawach dostępu oraz prawie do korygowania i usuwania danych dotyczących zgłoszonych osób. Administratorzy danych powinni również poinformować o tym, że tożsamość informatora w trakcie całego procesu będzie utajniona oraz że wobec osób naruszających zasady działania systemu zostaną podjęte odpowiednie działania. Z drugiej strony można również poinformować użytkowników systemu, że korzystanie z niego w dobrej wierze nie wiąże się z żadnymi sankcjami. 4. Prawa osoby oskarżonej Ramy prawne określone w dyrektywie 95/46/WE szczególnie podkreślają ochronę danych osobowych osoby, której dane te dotyczą. Zgodnie z tym, z punktu widzenia ochrony danych systemy informowania o nieprawidłowościach powinny koncentrować się na prawach osoby, której dane dotyczą bez uszczerbku dla praw informatora. Należy zachować równowagę między prawami zainteresowanych stron, z uwzględnieniem uprawnionych potrzeb firm w zakresie prowadzenia dochodzeń. i) Prawa do informacji Zgodnie z art. 11 dyrektywy 95/46/WE osoby fizyczne muszą być informowane w przypadku, gdy dane ich dotyczące pochodzą z innych źródeł niż od nich samych. Osoba oskarżona w sprawozdaniu informatora powinna zostać powiadomiona przez osobę odpowiedzialną za funkcjonowanie systemu o zarejestrowaniu dotyczących jej danych, tak szybko jak jest to wykonalne. Zgodnie z art. 14 osoby takie mają także prawo sprzeciwu wobec przetwarzania ich danych, jeśli zasadność postępowania wynika z art. 7 lit. f). Z prawa do sprzeciwu można jednak korzystać wyłącznie, jeśli istnieją ku temu istotne, uzasadnione podstawy związane ze szczególną sytuacją danej osoby. W szczególności pracownikowi, którego dotyczy doniesienie należy udzielić informacji dotyczących: [1] organu odpowiedzialnego za system informowania o nieprawidłowościach, [2] czynów, o które jest oskarżony, [3] wydziałów lub służb w ramach firmy, w której pracuje albo innych organów lub firm należących do grupy, której częścią jest firma tego pracownika oraz [4] możliwości skorzystania z prawa dostępu do danych i ich korekty. Jednakże w przypadkach, gdy istnieje poważne ryzyko, że takie powiadomienie uniemożliwi firmie skuteczne sprawdzenie domniemanego wykroczenia lub zebranie potrzebnych dowodów, można je opóźnić do czasu, gdy takie zagrożenie ustanie. Ten wyjątek od reguły określonej w art. 11 ma na celu ochronę dowodów przed zniszczeniem lub sfałszowaniem przez osobę oskarżoną. Należy stosować go restrykcyjnie i na warunkach indywidualnych oraz z uwzględnieniem interesów wszystkich stron. W ramach systemu informowania o nieprawidłowościach należy podjąć odpowiednie kroki w celu zapewnienia, że dowody nie ulegną zniszczeniu. ii) Prawo dostępu, sprostowania i usuwania danych Zgodnie z art. 12 dyrektywy 95/46/WE osoba, której dane dotyczą ma możliwość dostępu do danych zebranych na jej temat w celu sprawdzenia ich poprawności, skorygowania, jeśli są niepoprawne, niekompletne lub nieaktualne (prawo dostępu i sprostowania). W związku z tym system raportowania musi zapewniać osobom 14

fizycznym prawo do dostępu do danych i prostowania niepoprawnych, niekompletnych lub nieaktualnych danych. Jednakże prawa te mogą zostać ograniczone w celu zapewnienia ochrony praw i swobód innych podmiotów objętych systemem. Ograniczenia tych praw powinny być rozpatrywane i nakładane indywidualnie. W żadnym wypadku, w ramach systemu i w oparciu o prawo dostępu osoby oskarżonej, osoba oskarżona w sprawozdaniu informatora nie może uzyskać informacji o jego tożsamości, z wyjątkiem przypadków, gdy informator działając w złej woli składa fałszywe oświadczenie. W każdym innym przypadku należy zapewnić anonimowość informatora. Ponadto osoby, których dotyczą dane mają prawo do prostowania lub usuwania swoich danych, jeśli ich przetwarzanie odbywa się niezgodnie z postanowieniami dyrektywy, szczególnie ze względu na ich niekompletność lub niedokładność (art. 12 lit. b)). 5. Bezpieczeństwo przetwarzania (art. 17 dyrektywy 95/46/WE) i) Istotne środki bezpieczeństwa Zgodnie z art. 17 dyrektywy 95/46/WE, firma lub organizacja odpowiadająca za system informowania o nieprawidłowościach wprowadza odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa danych w trakcie ich gromadzenia, udostępniania lub przechowywania. Przepis ten ma zapewniać ochronę danych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą albo niedozwolonym ujawnieniem lub dostępem. Sprawozdania mogą być zbierane za pomocą dowolnej, elektronicznej lub innej, metody przetwarzania danych. Taka metoda powinna być przeznaczona wyłącznie do pracy w systemie informowania o nieprawidłowościach, aby zapobiec jakimkolwiek zmianom jego oryginalnego celu oraz w celu zapewnienia większej poufności danych. Środki bezpieczeństwa muszą być właściwe dla celu zbadania okoliczności zgłoszonej sprawy i zgodne z przepisami dotyczącymi bezpieczeństwa poszczególnych państw członkowskich. Jeśli operatorem systemu informowania o nieprawidłowościach jest zewnętrzny dostawca usług, administrator danych musi zawrzeć z nim umowę kompetencyjną oraz, w szczególności, podjąć wszystkie stosowne środki w celu zagwarantowania bezpieczeństwa informacji przetwarzanych w całym procesie. ii) Poufność doniesień składanych w ramach systemu informowania o nieprawidłowościach Poufność doniesień jest niezbędna dla spełnienia zobowiązania do zapewnienia bezpieczeństwa przetwarzania danych, określonego w dyrektywie 95/46/WE. Aby zrealizować cel, dla którego powołany został system informowania o nieprawidłowościach i zachęcić pracowników do korzystania z systemu i zgłaszania faktów, które mogą świadczyć o przestępczych lub nielegalnych działaniach firmy, konieczne jest zapewnienie odpowiedniej ochrony informatorowi poprzez 15

zagwarantowanie poufności doniesienia i uniemożliwienie osobom trzecim poznanie tożsamości informatora. Firmy wprowadzające systemy informowania o nieprawidłowościach powinny przyjąć stosowne środki gwarantujące poufność tożsamości informatorów i nieujawniania jej osobie oskarżonej w postępowaniu. Jeśli jednak doniesienie zostanie uznane za bezpodstawne, a informator za składającego fałszywe doniesienie w złej wierze, osoba oskarżona może chcieć wszcząć postępowanie o potwarz lub zniesławienie, a w takim wypadku, jeśli zezwalają na to przepisy prawa krajowego, tożsamość informatora może zostać ujawniona osobie oskarżonej. Krajowe przepisy i zasady dotyczące informowania o nieprawidłowościach w dziedzinie ładu korporacyjnego przewidują także ochronę informatora przed działaniami odwetowymi w związku ze skorzystaniem przez niego z systemu, na przykład działaniami dyscyplinarnymi czy dyskryminacyjnymi ze strony firmy lub organizacji. Poufność danych osobowych należy zachować w trakcie ich gromadzenia, ujawniania lub przechowywania. 6. Zarządzanie systemami informowania o nieprawidłowościach W systemach informowania o nieprawidłowościach należy dokładnie rozważyć sposób zbierania i przetwarzania doniesień. Grupa robocza skłania się ku wewnętrznemu systemowi przetwarzania, jednak uznaje, że firma może zlecić obsługę części systemu, przede wszystkim zbieranie doniesień, zewnętrznemu dostawcy usług. Taki zewnętrzny dostawca musi być objęty rygorystycznym obowiązkiem zachowania poufności i zobowiązać się do przestrzegania zasad ochrony danych. Niezależnie od wyboru systemu przetwarzania firma musi przestrzegać postanowień art. 16 i 17 dyrektywy. i) Organizacja wewnętrzna zarządzająca systemami informowania o nieprawidłowościach W firmie lub grupie należy powołać organizację wewnętrzną, której zadaniem będzie przetwarzanie doniesień informatorów i prowadzenie dochodzenia. W jej skład musi wchodzić ograniczona liczba specjalnie wyznaczonych i przeszkolonych pracowników zobowiązanych do zachowania poufności. System informowania o nieprawidłowościach należy bezwzględnie wyłączyć z innych działów firmy, takich jak dział zasobów ludzkich. Jego organizacja powinna, w miarę potrzeb, zapewniać przekazywanie zbieranych i przetwarzanych informacji wyłącznie osobom działającym w systemie w ramach firmy lub grupy, w której skład wchodzi firma, w celu przeprowadzenia dochodzenia lub podjęcia stosownych środków w związku z ustalonymi faktami. Osoby otrzymujące takie informacje muszą przetwarzać je z zachowaniem poufności i środków bezpieczeństwa. ii) Możliwość zatrudnienia zewnętrznych dostawców usług Firma lub grupa firm, która zleca zewnętrznym dostawcom usług część prac związanych z zarządzaniem systemem informowania o nieprawidłowościach nadal pozostaje odpowiedzialna za skutki przetwarzania, ponieważ zgodnie z dyrektywą 95/46/WE dostawcy usług pełnią wyłącznie rolę przetwarzającego dane. 16

Zewnętrznymi dostawcami usług mogą być firmy prowadzące call center lub firmy albo kancelarie prawne, które specjalizują się w zbieraniu sprawozdań, a czasem nawet prowadzą część dochodzenia. Także ci zewnętrzni dostawcy usług muszą przestrzegać przepisów określonych w dyrektywie 95/46/WE. Poprzez umowę z firmą, w której imieniu realizowany jest system, muszą zagwarantować, że będą zbierać i przetwarzać informacje zgodnie z zasadami określonymi w dyrektywie 95/46/WE oraz że będą przetwarzać informacje tylko dla konkretnych celów, dla których zostały one zgromadzone. W szczególności mają przestrzegać surowych zasad poufności oraz przekazywać przetwarzane informacje tylko wyznaczonym osobom w firmie lub organizacji, odpowiedzialnym za prowadzenie dochodzenia lub podjęcie stosownych środków w związku z ustalonymi faktami. Dostawcy zewnętrzni muszą również przestrzegać terminów przechowywania danych obowiązujących administratora danych. Firma, która korzysta z takich mechanizmów jako administrator danych musi okresowo sprawdzać zgodność zewnętrznych dostawców usług z przepisami dyrektywy. iii) Zasada prowadzenia dochodzenia w UE dotyczące firm unijnych i odstępstwa Ze względu na charakter i strukturę grup międzynarodowych ustalone fakty i wyniki doniesień mogą być udostępniane większej grupie, także zlokalizowanej poza UE. Mając na uwadze zasadę proporcjonalności, decyzję o tym, na jakim szczeblu i, co za tym idzie, w którym kraju powinna zostać przeprowadzona ocena doniesienia podejmuje się przede wszystkim na podstawie charakteru i wagi domniemanego przestępstwa. Grupa robocza uważa, że generalnie grupy powinny rozpatrywać doniesienia lokalnie, tj. w jednym państwie UE, a nie automatycznie przekazywać informacje wszystkim firmom w ramach grupy. Grupa robocza dopuszcza jednak istnienie wyjątków od tej zasady. Dane otrzymane w ramach systemu informowania o nieprawidłowościach można przekazać innym członkom grupy, jeśli jest to niezbędne dla dochodzenia, zależnie od charakteru i wagi zgłoszonego wykroczenia, lub jeśli takie rozwiązanie wynika ze sposobu organizacji grupy. Takie udostępnienie informacji uznaje się za konieczne dla przeprowadzenia dochodzenia, jeśli na przykład doniesienie rzuca oskarżenie na partnera innego podmiotu prawnego w grupie, wysokiego urzędnika firmy lub członka zarządu. W takim wypadku dane można przekazać wyłącznie z zachowaniem poufności i bezpieczeństwa właściwej organizacji podmiotu prawnego odbiorcy, który gwarantuje takie samo traktowanie doniesień o nieprawidłowościach, co organizacja odpowiedzialna w firmie unijnej za przetwarzanie takich doniesień. 7. Przekazywanie danych do państw trzecich W przypadku przekazywania danych osobowych do państw trzecich zastosowanie mają art. 25 i 26 dyrektywy 95/46/WE. Zastosowanie przepisów art. 25 i 26 będzie mieć miejsce w przypadku, gdy firma zleciła część zarządzania systemem informowania o nieprawidłowościach dostawcy zewnętrznemu spoza UE lub gdy dane zebrane w doniesieniach są wprowadzone do obiegu w ramach grupy, docierając tym samym do firm spoza UE. Takie przekazywanie danych będzie mieć najczęściej miejsce w przypadku unijnych spółek stowarzyszonych firm z państw trzecich. 17

W przypadku, gdy państwo trzecie, do którego zostaną przesłane dane nie zapewnia odpowiedniego poziomu ochrony wymaganego zgodnie z art. 25 dyrektywy 95/46/WE, dane można przekazać, jeśli: [1] odbiorca danych osobowych jest podmiotem z siedzibą w USA i bierze udział w systemie Safe Harbor (bezpieczna przystań); [2] odbiorca zawarł umowę o przesyłanie danych z unijną firmą przesyłającą dane, w której ta powołuje się na odpowiednie środki bezpieczeństwa, na przykład oparte na standardowych klauzulach umownych określonych przez Komisję Europejską w decyzji z dnia 15 czerwca 2001 lub 27 grudnia 2004 r.; [3] odbiorca stosuje zestaw wiążących zasad korporacyjnych, które zostały należycie zatwierdzone przez właściwe organy ochrony danych. 8. Zgodność z wymaganiami dotyczącymi powiadamiania Zgodnie z art. 18 20 dyrektywy o ochronie danych firmy, które stosują system informowania o nieprawidłowościach muszą przestrzegać wymagań dotyczących zawiadamiania krajowych organów ds. ochrony danych lub kontroli wstępnej prowadzonej przez te władze. W państwach członkowskich, w których istnieje taka procedura, przetwarzanie danych może podlegać kontroli wstępnej organu ds. ochrony danych, o ile takie operacje mogą stanowić konkretne zagrożenie dla praw i swobód osoby, której dane dotyczą. Taka sytuacja może mieć miejsce w przypadku, gdy prawo krajowe zezwala na przetwarzanie danych związanych z domniemanymi przestępstwami kryminalnymi przez prywatne podmioty prawne na szczególnych warunkach, obejmujących kontrolę wstępną przez właściwy krajowy organ nadzorczy. Może także wystąpić, gdy organ krajowy uzna, że przetwarzanie danych może pozbawić osobę, której dotyczy doniesienie, prawa, korzyści lub kontraktu. Decyzja, czy takie przetwarzanie danych winno być objęte wymaganiem kontroli wstępnej zależy od przepisów prawa krajowego i praktyk krajowego organu ds. ochrony danych. V WNIOSKI Grupa robocza stwierdza, że systemy informowania o nieprawidłowościach mogą być przydatnym mechanizmem pomagającym firmie lub organizacji w monitorowaniu przestrzegania w niej zasad i przepisów dotyczących ładu korporacyjnego, szczególnie w sprawach księgowych, finansowych i audytowych oraz przepisów dotyczących zwalczania przekupstwa, przestępstw bankowych i kryminalnych oraz prawa karnego. Systemy te mogą ułatwić firmie właściwe wprowadzenie w życie zasad ładu korporacyjnego oraz wykrycie faktów, które mogą wpłynąć na jej pozycję. Grupa robocza podkreśla, że wprowadzenie systemów informowania o nieprawidłowościach w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem oraz zwalczania przekupstwa, przestępstw bankowych i kryminalnych, których dotyczy niniejsza opinia musi odbywać się zgodnie z zasadami ochrony danych osobowych, określonymi w dyrektywie 95/46/WE. Grupa uważa, że przestrzeganie tych zasad ułatwia firmom zagwarantowanie prawidłowego działania takich systemów. Zapewnienie podstawowego prawa do ochrony danych osobowych, 18

zarówno informatora, jak i osoby oskarżonej, w całym procesie informowania o nieprawidłowościach jest niezbędnym elementem systemu informowania o nieprawidłowościach. Grupa robocza podkreśla, że zasady ochrony danych określone w dyrektywie 95/46/WE należy stosować w systemie informowania o nieprawidłowościach w całej rozciągłości, szczególnie jeśli chodzi o prawa osoby oskarżonej do informacji, dostępu, prostowania i usuwania danych. Mając jednak na uwadze interesy różnych stron, grupa robocza dopuszcza w bardzo szczególnych przypadkach ograniczenie tych praw, w celu zapewnienia równowagi między prawem do prywatności a interesami, których broni system. Takie ograniczenia należy jednak stosować bardzo rozważnie i tylko w zakresie, w jakim są niezbędne dla spełnienia celu systemu. Sporządzono w Brukseli, dnia 1 lutego 2006 r. w imieniu grupę roboczej Przewodniczący Peter Schaar 19