Przetwarzanie danych o karalności w kontekście wykonywania przez tzw. podmioty prawne zadań określonych w ustawie o ochronie sygnalistów może być interesujące w dwóch perspektywach. Pierwsza to kwestia przetwarzania danych dotyczących osób, których dotyczy zgłoszenie. Druga to ustanowienie wymogu niekaralności w odniesieniu do osób, które będą przyjmowały zgłoszenia oraz prowadziły działania następcze. I ten drugi wątek poruszę w tym tekście, albowiem daje on pole do pogłębionej analizy prawa, czym staram się zajmować na tym blogu.
Zacznę od stwierdzenia, że oczekiwanie, aby osoby karane, a co najmniej karane za niektóre przestępstwa, były wykluczone z możliwości rozpatrywania zgłoszeń naruszeń prawa jest zupełnie naturalne. Pominąwszy to, czy wymóg ten jest zasadny w kontekście przyjmowania zgłoszeń, to jest w pełni uzasadniony w przypadku podejmowania działań następczych. Można bowiem twierdzić, że niekaralność jest warunkiem bezstronności. Skoro więc prawo nakazuje zapewnić bezstronność, to można także ustalić warunki, które ową bezstronność zwiększają. To samo dotyczy zresztą niezależności.
Mogę jedynie dodać, że w ramach swojej naiwnej wiary, że warto pomagać państwu polskiemu, wysłałem kilka miesięcy temu do Ministerstwa Rodziny Pracy i Polityki Społecznej oraz do Ministerstwa Sprawiedliwości propozycje do ustawy o ochronie sygnalistów, które taki wymóg przewidywały. Państwo zachowało się „godnie”, czyli nie raczyło nawet podziękować za wysiłek i dobrą wolę. Trudno. Problem jednak pozostaje z tego powodu, że kontrola przestrzegania prawa nie powinna się znajdować w rękach osób, które naruszają prawo.
Czy w tej sprawie można coś zrobić? Co więcej, czy nie ma wręcz obowiązku, aby powziąć jakieś działania? Problem w tym, że przeszkodą może tu być RODO, a dokładnie jego art. 10. Istnieją jednak mocne argumenty, że takiej przeszkody nie ma. Aby powyższe wykazać, trzeba przeprowadzić zaawansowaną wykładnię prawa i postawić pytanie o to, jaki charakter prawny ma procedura zgłoszeń wewnętrznych. A bardziej precyzyjnie, czy przymiotnik „wewnętrzność” oznacza, że procedura jest aktem prawa wewnętrznego. Jeśli tak, to nie można w niej ustanowić wymogu niekaralności, a w konsekwencji przetwarzać danych osobowych.
Sądzę, że odpowiedź na powyższe pytanie będzie dla znakomitej większości prawników jednoznaczna. Nie dość bowiem, że ustawa użyła wyrazu „wewnętrzny”, to z licznych podręczników dla studentów prawa wynika, że katalog źródeł prawa powszechnie obowiązujących jest zamknięty. W typowej narracji podręcznikowej ogranicza się on do art. 87 Konstytucji oraz rozporządzeń Prezydenta. Tyle tylko, że jest to już wiedza daleko nieaktualna. Z pogłębionych badań zarówno teorii prawa, jak i doktryny prawa administracyjnego wynika, że jest inaczej. Niektórzy twierdzą, że źródłem praw obowiązującego powszechnie jest każdy akt zakotwiczony w Konstytucji, czego przykładem są układy zbiorowe. Inni twierdzą, że Konstytucja nie wymienia wszystkich źródeł prawa, w tym tzw. przepisów administracyjnych, a te mogą mieć także charakter obowiązujący powszechnie.
Mając powyższe na uwadze przyjrzę się analizowanej tu procedurze. Jest to niewątpliwe akt prawny skierowany do „każdego”. Nie jest to więc akt prawa wewnętrznego, który może dotyczyć jedynie osób podległych organizacyjnie (np. pracowników w zakresie wykonywania pracy). Co więcej, jest to akt wydany z upoważnienia ustawowego. Nie chcąc zaciemniać obrazu wspomnę jedynie, że prawo wewnętrzne jest co do zasady stanowione „na podstawie ustawy”, a to coś innego niż upoważnienie. Nadto, procedura w sposób oczywisty przypomina rozporządzenie. Jej przedmiotem jest bowiem jedynie wybór spośród kilku możliwości, jakie przyznała ustawa. Można więc wybierać między jedną lub dwoma „osobami” obsługującymi proces zgłoszeń, między osobą a „wydziałem” lub między przyjmowaniem zgłoszeń przez podmiot zewnętrzny lub wewnętrznie. Wszystko dowodzi więc, a nie są to argumenty jedyne, że procedura przynależy do kategorii źródeł prawa obowiązujących powszechnie. A skoro tak, może ona określić sytuację prawną osób niepodporządkowanych, przez wprowadzenie zakazu wykonywania zadań w zakresie przyjmowania zgłoszeń oraz wykonywania działań następczych przez osoby karane.
Pozostaje więc kwestia art. 10 RODO. Przypominam, że przepis ten dopuszcza przetwarzanie danych osobowych dotyczących wyroków skazujących, jeżeli przetwarzanie jest dozwolone „prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą”. Powstaje więc pytanie, czy procedura jest prawem państwa członkowskiego. Odpowiedź brzmi: tak, choć jest to nieintuicyjne. Prawo jest stanowione zawsze przez państwo, choć organem je stanowiącym nie muszą być organy władzy i administracji państwowej. Czasem prawo stanowią podmioty prywatne, co nie zmienia faktu, że działają one w imieniu państwa. W przypadku analizowanej tu procedury, mamy do czynienia z klasyczną normą kompetencyjną do ustanowienia prawa, tj. przyznano pracodawcom uprawnienie oraz nałożono obowiązek działania. Nadto, jak wskazałem wyżej, jest to akt powszechnie obowiązujący. Dlatego można zasadnie twierdzić, że procedura może nie tylko wprowadzić wymóg niekaralności, ale również pozwolić na przetwarzanie danych dotyczących karalności, pod warunkiem wprowadzenia stosownych gwarancji.