Kończąc, a co najmniej zawieszając refleksje nad ustawą o ochronie sygnalistów, podejmę zagadnienie dla mnie trudne z dwóch powodów. Po pierwsze jest ono trudne prawniczo. Po drugie mam ograniczoną wiedzę o tym, w jaki sposób utrwalane są dane osobowe w obiegu elektronicznym. Pisząc nieco ironicznie, o ile jeszcze widziałem kiedyś twardy dysk, o tyle nigdy nie widziałem chmury. A przedmiotem mojej refleksji jest to, czy nośniki danych osobowych zebranych w toku postępowań sygnalistycznych mogą znajdować się poza granicami Polski. Intuicja sugeruje, że nie. Wszak postępowania sygnalistyczne prowadzone są w interesie publicznym, czyli krajowym, a w ostateczności unijnym. Nadto, zgodnie z motywem 57 dyrektywy, dochodzenia wewnętrzne mogą, a czasem wręcz powinny być kontynuowane przez organy państwowe. Wydaje się więc naturalne, że państwo powinno sprawować kontrolę co najmniej nad tym, gdzie owe dane się znajdują. Tymczasem w ustawie takich ograniczeń nie widzę, a w każdym razie nie widzę ich wprost. Być może Czytelnicy bloga znajdą stosowną regulację w innej ustawie, do czego zachęcam.
W tym miejscu postaram się przeprowadzić proces dowodzenia, że niezależnie od ewentualnych innych regulacji prawnych, fizyczne nośniki danych, tak jak i akta postępowań sygnalistycznych powinny znajdować się w kraju. Istnieją w moim przekonaniu dwa argumenty natury systemowej przemawiające za taką wykładnią.
Pierwszy to regulacja karna dotycząca ochrony poufności danych. Przyjmuję bowiem, że art. 56 ustawy jest w istocie jedynym narzędziem kontroli państwa nad postępowaniami wewnętrznymi, i to kontroli jedynie wycinkowej. Rozumowanie jest więc takie, że zapewnienie tej ograniczonej kontroli wymaga, aby dane osobowe były przechowywane wyłącznie tam, gdzie państwo może zapewnić ich poufność. A kontekście art. 56 ustawy państwo może to uczynić wyłącznie wtedy, gdy naruszenie poufności nastąpi na terytorium Polski. Z przeprowadzonej przeze mnie analizy kodeksu karnego wynika, że art. 56 ustawy nie ma zastosowania do czynów popełnionych poza granicami Polski. Dlatego nośnik danych nie może być zlokalizowany poza krajem, albowiem w takim przypadku osoba naruszająca ustawę czynem popełnionym za granicą, nie ponosiłaby odpowiedzialności.
Z powyższym rozumowaniem zgodna jest także regulacja dyrektywy (art. 9 ust. 1 a) oraz ustawy (art. 27). Wynika z nich, że procedury powinny zapewnić zastosowanie takich kanałów zgłoszeń oraz takie zabezpieczania danych, które zapewniają poufność danych. Tym samym procedury powinny przesądzić o takim miejscu przechowywania danych, w którym gwarancja ochrony jest największa, czyli w ramach jurysdykcji krajowej. Jeszcze lepiej widać to w przypadku art. 16 dyrektywy, który nakłada obowiązek zapewnienia ochrony poufności sygnalistów na państwa członkowskie. Nie powinno być wątpliwości, że art. 56 ustawy jest postacią wykonania tego obowiązku przez państwo polskie, które może to efektywnie czynić tylko na swoim terytorium.
Warto pamiętać, że osoby stanowiące procedury, przyjmujące zgłoszenia oraz prowadzące dochodzenia wewnętrzne występując w roli organów administrujących. Działają więc w imieniu państwa, co oznacza, że mają obowiązek dbać o ochronę interesu publicznego. Temu zresztą służy zarówno dyrektywa, jak i ustawa. Dlatego organy te muszą uwzględniać, że przepis art. 56 ustawy jest elementem całego systemu i w związku z tym mają obwiązek podejmować decyzje, które zapewnią możliwość państwowej ochrony sygnalistów.
Drugi argument wynika z teorii prawa administracyjnego. Jak pisałem o tym w innym miejscu, przyjmowanie zgłoszeń oraz prowadzenie dochodzeń wewnętrznych w zakładach pracy odbywa się dlatego, że państwo przyznaje organom zakładowym kompetencję, czyli władztwo administracyjne. Co więcej, owo władztwo dotyczy nie tylko decyzji merytorycznych, ale także tzw. czynności materialno-technicznych. Te ostatnie nie są czynnościami prawnymi, ale oddziałują na sytuację prawną jednostek. Z tego właśnie powodu twierdzi się, że ich wykonywanie wymaga posiadania uprawnienia jak dla podejmowania decyzji stosowania prawa. Do czynności takich należy także zapisywanie i przechowywanie danych. Teza, jaką stawiam, jest więc taka, że państwo polskie może przyznawać kompetencje administracyjne tylko w takim zakresie, w jakim czynności takie wykonywane są wyłącznie na terytorium Polski.
Mając powyższe na uwadze, gdyby nawet nie udało się ustalić innych regulacji prawnych prowadzących do tej samej konkluzji, w moim przekonaniu zasadnym jest twierdzenie, że dane osobowe, ale też i inne informacje zbierane w toku dochodzenia wewnętrznego, nie mogą być przechowywane poza granicami Polski. Dotyczy to więc zarówno zidentyfikowanych serwerów, jak i tzw. chmury. Nie twierdzę w tym miejscu, że włamanie do serwera w Polsce jest trudniejsze z samego tylko powodu, że znajduje się fizycznie w Polsce. Twierdzę jedynie, że w takim przypadku zadziała przynajmniej art. 56 ustawy.
