Przejdź do głównej treści Wymagane polskim prawem (Ustawa o ochronie sygnalistów) dla organizacji z ponad 50 pracownikami

Metodologia #

Niniejszy dokument przedstawia sposób, w jaki EthicsPortal interpretuje przepisy dyrektywy (UE) 2019/1937, które dopuszczają więcej niż jedną rozsądną wykładnię. Jest on przeznaczony dla inspektorów ds. zgodności, inspektorów ochrony danych i radców prawnych, którzy muszą podejmować możliwe do obrony decyzje operacyjne wobec braku wiążącej interpretacji ze strony Komisji Europejskiej lub Trybunału Sprawiedliwości Unii Europejskiej.

Jest to dokument ewoluujący. W sytuacji, w której Trybunał Sprawiedliwości, Europejska Rada Ochrony Danych lub właściwy organ krajowy wyda wiążącą interpretację odmienną od stanowisk przedstawionych poniżej, niniejszy dokument podlega korekcie, a poprzednie stanowisko zostaje utrwalone w dzienniku zmian.

Dla mapy wymóg-funkcjonalność — funkcji EthicsPortal, która spełnia każdy przepis dyrektywy — zapoznaj się ze stroną zgodność. Oba dokumenty mają charakter komplementarny: zgodność dokumentuje to, co robi produkt; metodologia dokumentuje sposób, w jaki odczytujemy przepis.

Wersja angielska niniejszego dokumentu jest wersją autorytatywną. Tłumaczenia udostępniane są w celach informacyjnych. W przypadku rozbieżności między wersjami językowymi rozstrzygająca jest wersja angielska. Zasada ta odpowiada praktyce instytucji Unii w odniesieniu do dokumentów wielojęzycznych przeznaczonych do cytowania.

Ostatnia aktualizacja: kwiecień 2026.

§1. Zakres i źródła #

Niniejsza metodologia dotyczy dyrektywy 2019/1937 w kształcie transponowanym do prawa krajowego 27 państw członkowskich Unii. Jeżeli krajowa transpozycja jest bardziej rygorystyczna niż sama dyrektywa, w organizacjach prowadzących działalność w danej jurysdykcji obowiązuje reguła krajowa (zob. §9).

Źródła wiążące, w porządku pierwszeństwa:

  1. Tekst samej dyrektywy — dyrektywa (UE) 2019/1937 z dnia 23 października 2019 r., wraz z jej motywami.
  2. Krajowe ustawy transponujące — wiążące w każdym państwie członkowskim. Zob. nasze zestawienie ustaw o ochronie sygnalistów według państw, zawierające dokładne nazwy ustaw i organy egzekwujące.
  3. Orzeczenia Trybunału Sprawiedliwości Unii Europejskiej — wiążące w całej Unii.
  4. Wytyczne Europejskiej Rady Ochrony Danych — dla aspektów związanych z ochroną danych (art. 17 dyrektywy, powiązanie z RODO).
  5. Wytyczne krajowych organów właściwych — o charakterze perswazyjnym w obrębie państwa, które je wydaje.

Niniejszy dokument stanowi metodologię operacyjną. Nie jest on poradą prawną. Organizacje powinny zweryfikować interpretacje z właściwym doradcą prawnym w swojej jurysdykcji przed oparciem się na nich w toku audytu lub postępowania sądowego.

§2. Konwencje redakcyjne #

Dyrektywa stanowi wprowadza sformułowanie odzwierciedlające wymogi tekstu dyrektywy.

W praktyce oznacza to wprowadza interpretację EthicsPortal w sytuacji, w której tekst dopuszcza więcej niż jedną wykładnię.

EthicsPortal realizuje to poprzez wprowadza sposób, w jaki dana interpretacja przejawia się w produkcie. Operatorzy przyjmujący odmienną interpretację muszą odpowiednio dostosować konfigurację lub procedury.

Wszystkie odniesienia do artykułów odnoszą się do dyrektywy 2019/1937, chyba że wskazano inaczej.

§3. Próg 50 pracowników (art. 8) #

Pytanie. Art. 8 ust. 3 zobowiązuje podmioty zatrudniające „50 lub więcej pracowników" do ustanowienia wewnętrznych kanałów dokonywania zgłoszeń. Dyrektywa nie określa sposobu obliczania liczby zatrudnionych ani sposobu liczenia pracowników w niepełnym wymiarze czasu pracy i pracowników tymczasowych, ani tego, czy próg stosuje się na poziomie pojedynczej osoby prawnej, czy grupy kapitałowej.

Dyrektywa stanowi, że „podmioty prawne w sektorze prywatnym zatrudniające co najmniej 50 pracowników" podlegają obowiązkowi (art. 8 ust. 3). Motyw 48 precyzuje, że próg oblicza się „zgodnie z prawem krajowym transponującym odpowiednie akty prawa Unii".

W praktyce oznacza to, że obliczenie podąża za istniejącymi krajowymi regułami zliczania zatrudnionych, obowiązującymi dla celów prawa pracy i ubezpieczeń społecznych. Reguły te są zróżnicowane:

Próg oblicza się per osoba prawna, a nie per grupa kapitałowa. Spółka dominująca i zależna stanowią odrębne podmioty dla potrzeb art. 8, chyba że prawo krajowe stanowi inaczej. Art. 8 ust. 6 dopuszcza współdzielenie zasobów w ramach grupy dla podmiotów zatrudniających do 249 pracowników — obowiązek ustanowienia kanału zostaje jednak uruchomiony per podmiot po przekroczeniu progu 50 pracowników.

Wykonawcy, pracownicy tymczasowi i stażyści co do zasady wliczają się do progu w zakresie, w jakim objęci są krajową definicją „pracownika" — szerszą niż pojęcie „zatrudnionego" w prawie Unii. Trybunał Sprawiedliwości konsekwentnie orzeka, że pojęcie „pracownika" w prawie Unii obejmuje każdą osobę, która wykonuje świadczenia na rzecz i pod kierownictwem innej osoby w zamian za wynagrodzenie (zob. Lawrie-Blum, C-66/85).

EthicsPortal realizuje to poprzez brak ograniczeń dostępu w oparciu o liczbę zatrudnionych. Każda organizacja może wdrożyć portal, niezależnie od wielkości. Organizacje poniżej progu 50 pracowników często prowadzą portal dobrowolnie — ze względu na zarządzanie ryzykiem, ze względu na niższy próg ustawowy w danym sektorze (np. usługi finansowe) lub w związku z polityką grupy kapitałowej.

§4. Termin potwierdzenia otrzymania (art. 9 ust. 1 lit. b) #

Pytanie. Art. 9 ust. 1 lit. b) wymaga potwierdzenia otrzymania zgłoszenia „w terminie siedmiu dni od otrzymania". Dyrektywa nie precyzuje, czy chodzi o dni kalendarzowe, czy robocze, ani od jakiego momentu biegnie termin dla zgłoszeń otrzymanych poza godzinami pracy.

Dyrektywa stanowi o potwierdzeniu otrzymania „w terminie siedmiu dni od otrzymania". Nie podaje dalszej kwalifikacji.

W praktyce oznacza to siedem dni kalendarzowych, liczonych od momentu wpłynięcia zgłoszenia do kanału. Jest to zgodne z ogólną zasadą, że terminy w prawie Unii biegną w dniach kalendarzowych, chyba że wyraźnie przewidziano inaczej (rozporządzenie (EWG, Euratom) nr 1182/71, art. 3). Państwa członkowskie transponujące dyrektywę konsekwentnie traktują siedmiodniowy termin jako wyrażony w dniach kalendarzowych (HinSchG §17 ust. 1 pkt 2; D.Lgs. 24/2023 art. 5 ust. 1 lit. d; Loi Waserman art. 8).

Zgłoszenie złożone o godzinie 23:59 w niedzielę jest zgłoszeniem otrzymanym w tę niedzielę. Siedmiodniowy termin rozpoczyna się następnego dnia (dzień 1 = poniedziałek) i upływa z końcem siódmego dnia. Wynika to z art. 3 ust. 1 rozporządzenia 1182/71, zgodnie z którym, jeżeli termin wyrażony jest w dniach, dnia zdarzenia uruchamiającego nie wlicza się.

Potwierdzenie otrzymania nie jest tożsame z odpowiedzią merytoryczną. Potwierdzenie otrzymania stanowi wyłącznie potwierdzenie, że zgłoszenie zostało otrzymane i zarejestrowane. Nie musi ono zawierać oceny merytorycznej zgłoszenia ani nazwiska osoby prowadzącej sprawę.

EthicsPortal realizuje to poprzez wysyłanie automatycznego potwierdzenia otrzymania do sygnalisty w momencie złożenia zgłoszenia, wyświetlanego na portalu oraz (jeżeli podane są dane kontaktowe) przesyłanego pocztą elektroniczną. Potwierdzenie zawiera sygnaturę sprawy oraz ustawowy trzymiesięczny termin przekazania informacji zwrotnych. Organizacje skonfigurowane do ręcznego potwierdzania otrzymują alerty o zbliżającym się terminie na 48 godzin przed jego upływem oraz w dniu upływu terminu.

§5. Termin przekazania informacji zwrotnych (art. 9 ust. 1 lit. f) #

Pytanie. Art. 9 ust. 1 lit. f) wymaga przekazania informacji zwrotnych „w terminie nieprzekraczającym trzech miesięcy od potwierdzenia otrzymania lub, jeżeli nie przesłano potwierdzenia otrzymania do osoby dokonującej zgłoszenia, w terminie trzech miesięcy od upływu siedmiodniowego okresu następującego po dokonaniu zgłoszenia". Dyrektywa nie definiuje, co kwalifikuje się jako „informacje zwrotne".

Dyrektywa stanowi, że informacje zwrotne oznaczają „przekazanie osobie dokonującej zgłoszenia informacji na temat działań planowanych lub podjętych jako działania następcze oraz na temat powodów takich działań następczych" (art. 5 pkt 13).

W praktyce oznacza to, że informacje zwrotne są merytoryczne. Kolejne potwierdzenie otrzymania ani oświadczenie, że sprawa „pozostaje w toku analizy", nie stanowią informacji zwrotnych w rozumieniu art. 9 ust. 1 lit. f). Sygnalista jest uprawniony do uzyskania, z upływem trzech miesięcy, informacji o działaniu, które organizacja zamierza podjąć (lub które podjęła) oraz o uzasadnieniu tego działania.

Informacje zwrotne nie muszą stanowić ostatecznego rozstrzygnięcia. Organizacja może wskazać, że sprawa pozostaje w toku postępowania wyjaśniającego, pod warunkiem że wskaże również, co zostało dotąd uczynione, jakie dalsze kroki są planowane oraz kiedy można oczekiwać kolejnej aktualizacji. Wymagany jest zakres informacji wystarczający, aby sygnalista mógł ocenić, czy organizacja traktuje zgłoszenie poważnie.

Trzymiesięczny termin biegnie od dnia potwierdzenia otrzymania, a nie od dnia złożenia zgłoszenia. W przypadku opóźnienia potwierdzenia otrzymania okres na przekazanie informacji zwrotnych ulega odpowiedniemu skróceniu — ostateczny dopuszczalny termin przekazania informacji zwrotnych wynosi trzy miesiące i siedem dni od daty złożenia zgłoszenia.

EthicsPortal realizuje to poprzez śledzenie obu terminów (7-dniowego potwierdzenia, 3-miesięcznych informacji zwrotnych) dla każdej sprawy oraz przesyłanie alertów o przekroczeniu terminu do wszystkich administratorów organizacji. Informacje zwrotne są przekazywane sygnaliście za pośrednictwem dwukierunkowego kanału wiadomości portalu, który zachowuje anonimowość sygnalisty w sytuacji, gdy nie ujawnił on swojej tożsamości.

§6. Należyte działania następcze (art. 9 ust. 1 lit. d) #

Pytanie. Art. 9 ust. 1 lit. d) wymaga „należytych działań następczych podejmowanych przez wyznaczoną osobę lub departament, o których mowa w lit. c)". Pojęcie „należyte" nie zostało zdefiniowane.

Dyrektywa stanowi, że działania następcze oznaczają „działania podjęte przez odbiorcę zgłoszenia lub właściwy organ w celu oceny prawdziwości zarzutów zawartych w zgłoszeniu oraz, w stosownych przypadkach, w celu zaradzenia zgłoszonemu naruszeniu" (art. 5 pkt 12).

W praktyce oznacza to, że należyte działania następcze obejmują trzy minimalne elementy operacyjne:

  1. Ocena. Udokumentowana analiza tego, czy zarzuty — o ile miałyby się potwierdzić — stanowiłyby naruszenie objęte zakresem przedmiotowym dyrektywy (art. 2) lub jej krajowej transpozycji.
  2. Postępowanie wyjaśniające proporcjonalne do zarzutu. Działania wyjaśniające odpowiadające wadze zarzucanego naruszenia, sile materiału dowodowego i potencjalnej szkodzie. Nie każde zgłoszenie uzasadnia pełne postępowanie; zgłoszenie nieposiadające żadnego konkretnego szczegółu może zostać ocenione i zamknięte z udokumentowanym uzasadnieniem. Zgłoszenie poparte konkretnymi, wzajemnie potwierdzającymi się szczegółami wymaga więcej.
  3. Bieżący zapis czynności. Podjęte działania, podjęte decyzje i ich uzasadnienie muszą być zapisywane w momencie, w którym następują. Należyte działania następcze pozbawione śladu dokumentacyjnego są nieodróżnialne od braku działań.

„Należyte" jest standardem obiektywnym. Nie jest zaspokojone samą subiektywną dobrą wiarą. Organizacja, która rutynowo zamyka zgłoszenia bez oceny lub która potrzebuje miesięcy na otwarcie sprawy, nie jest działająca należycie, niezależnie od własnej oceny.

EthicsPortal realizuje to poprzez zapewnienie przepływu zarządzania sprawami z przejściami statusów (otrzymane, potwierdzone, w toku postępowania wyjaśniającego, zamknięte), notatek wewnętrznych umożliwiających współpracę prowadzących sprawę oraz dziennika audytu tylko do dopisywania, który rejestruje każdą czynność wraz ze znacznikiem czasu i identyfikatorem wykonawcy. Dziennik audytu stanowi podstawowy dowód należytej staranności w trakcie audytu lub kontroli regulacyjnej.

§7. Poufność tożsamości (art. 16) #

Pytanie. Art. 16 ust. 1 wymaga, aby tożsamość osoby dokonującej zgłoszenia nie była ujawniana osobom innym niż upoważnieni pracownicy. Dyrektywa nie precyzuje, czy „tożsamość" rozciąga się na metadane umożliwiające zidentyfikowanie sygnalisty (adresy IP, odciski przeglądarek, metadane autorstwa plików, schematy znaczników czasu).

Dyrektywa stanowi, że „tożsamość osoby dokonującej zgłoszenia nie jest ujawniana bez wyraźnej zgody tej osoby nikomu innemu niż upoważnionym członkom personelu właściwym do przyjmowania zgłoszeń lub podejmowania w ich następstwie działań" (art. 16 ust. 1).

W praktyce oznacza to, że „tożsamość" należy rozumieć funkcjonalnie: obejmuje ona wszelkie informacje, które — samodzielnie lub w połączeniu z innymi — umożliwiają zidentyfikowanie sygnalisty. Taka wykładnia jest spójna z definicją danych osobowych w RODO (rozporządzenie (UE) 2016/679, art. 4 pkt 1) oraz z konsekwentnym stanowiskiem Europejskiej Rady Ochrony Danych, zgodnie z którym możliwość zidentyfikowania jest zależna od kontekstu.

Za informacje o tożsamości uznaje się:

Organizacje przechowujące adresy IP sygnalistów lub akceptujące przesyłane pliki bez usunięcia metadanych narażają się na naruszenie poufności, które pod względem technicznym stanowi naruszenie art. 16, nawet jeśli nazwisko sygnalisty nigdy nie zostało ujawnione.

EthicsPortal realizuje to poprzez brak przechowywania adresów IP sygnalistów (limitowanie żądań wykorzystuje nieodwracalne jednokierunkowe hasze), usuwanie metadanych EXIF oraz metadanych dokumentów ze wszystkich przesyłanych plików przed zapisem, a także szyfrowanie pól tożsamości sygnalisty w spoczynku z zastosowaniem szyfrowania niedeterministycznego (tak, aby nawet pełen dostęp do bazy danych nie umożliwiał masowego wyszukiwania po nazwisku).

§8. Okres przechowywania (art. 18) #

Pytanie. Art. 18 ust. 1 wymaga, aby dokumentacja zgłoszeń była przechowywana „nie dłużej niż jest to konieczne i proporcjonalne w celu spełnienia wymogów nałożonych niniejszą dyrektywą lub innych wymogów nałożonych prawem Unii lub prawem krajowym". Dyrektywa nie określa maksymalnego okresu.

Dyrektywa stanowi standard „konieczności i proporcjonalności", powiązany z celami zgodności.

W praktyce oznacza to, że przechowywanie musi być uzasadnione konkretnym celem prawnym lub operacyjnym, ograniczone w czasie oraz udokumentowane w rejestrze czynności przetwarzania (RODO, art. 30). W braku trwającego postępowania wyjaśniającego, sporu sądowego lub szczególnego wymogu ustawowego, przechowywanie wykraczające poza zamknięcie sprawy staje się coraz trudniejsze do uzasadnienia.

Typowe uzasadnienia i powiązane z nimi okresy:

CelTypowy okres przechowywania
Sprawa aktywna (od otrzymania do zamknięcia)Czas trwania sprawy
Kolejne postępowanie wyjaśniające lub spór sądowyDo ostatecznego rozstrzygnięcia
Ścieżka audytu regulacyjnegoOkres określony przez regulację sektorową (zwykle 5 lat dla usług finansowych)
Ochrona przed roszczeniami z tytułu działań odwetowych (art. 21)Krajowy termin przedawnienia roszczeń ze stosunku pracy (zwykle 2–5 lat)
Sprawozdawczość statystyczna na podstawie art. 27 ust. 2Wyłącznie dane zanonimizowane; dane osobowe należy minimalizować lub usuwać

Krajowa transpozycja może wyznaczać konkretne okresy. Przykłady:

Jednolity okres przechowywania dobrany dla wygody („przechowujemy wszystko przez 10 lat") nie jest zgodny ani z art. 18, ani z art. 5 ust. 1 lit. e) RODO. Przechowywanie musi być powiązane z celem.

EthicsPortal realizuje to poprzez udostępnianie konfigurowalnych okresów przechowywania (12, 24, 36, 60 miesięcy) z automatycznym usuwaniem zamkniętych zgłoszeń po upływie skonfigurowanego okresu. Wartość domyślna odpowiada najkrótszemu okresowi spełniającemu najczęstsze wymogi transpozycji krajowych. Operatorzy w sektorach objętych dłuższymi ustawowymi obowiązkami przechowywania konfigurują okres odpowiednio.

§9. Podstawa prawna przetwarzania (powiązanie z RODO) #

Pytanie. Art. 17 dyrektywy wymaga, aby przetwarzanie danych osobowych było zgodne z RODO. Sama dyrektywa nie stanowi podstawy prawnej w rozumieniu art. 6 RODO — administrator musi wskazać, która konkretnie podstawa ma zastosowanie.

Dyrektywa stanowi, że przetwarzanie „jest prowadzone zgodnie z rozporządzeniem (UE) 2016/679" (art. 17).

W praktyce oznacza to, że podstawą prawną jest art. 6 ust. 1 lit. c) RODO — obowiązek prawny, gdy organizacja podlega prawnemu obowiązkowi ustanowienia i prowadzenia kanału dokonywania zgłoszeń. Dla organizacji powyżej progu 50 pracowników (lub poniżej tego progu w sytuacji, gdy sektorowe prawo nakłada obowiązek) art. 6 ust. 1 lit. c) stanowi prawidłową i wystarczającą podstawę. Zgoda sygnalisty nie jest wymagana i nie powinna być pozyskiwana — traktowanie przetwarzania jako opartego na zgodzie wprowadzałoby w błąd i tworzyło teoretyczne prawo do jej wycofania, którego administrator nie mógłby uszanować.

Dla organizacji prowadzących kanał dokonywania zgłoszeń dobrowolnie (poniżej progu 50 pracowników i niepodlegających sektorowemu obowiązkowi) podstawą prawną jest art. 6 ust. 1 lit. f) — uzasadniony interes, z zastrzeżeniem udokumentowanego testu równoważenia. Uzasadniony interes polegający na zapobieganiu i wykrywaniu nieprawidłowości w organizacji jest uznany i potwierdzony w wytycznych krajowych w państwach członkowskich.

Szczególne kategorie danych osobowych (RODO, art. 9) mogą pojawiać się w zgłoszeniach w sposób incydentalny — zgłoszenie dotyczące dyskryminacji może ujawniać informacje o stanie zdrowia lub pochodzeniu etnicznym. Podstawą prawną dla danych z art. 9 jest zwykle art. 9 ust. 2 lit. g) — ważny interes publiczny, pod warunkiem że przetwarzanie jest proporcjonalne i uzupełnione o szczególne zabezpieczenia. Zgłoszenia ujawniające przestępstwa (RODO, art. 10) są przetwarzane na odpowiadającej podstawie z art. 10 w prawie krajowym.

EthicsPortal realizuje to poprzez udokumentowanie art. 6 ust. 1 lit. c) jako domyślnej podstawy prawnej w umowie powierzenia przetwarzania danych (DPA) oraz w klauzuli informacyjnej. Operatorzy poniżej ustawowego progu dostosowują klauzulę informacyjną, aby odzwierciedlić art. 6 ust. 1 lit. f), i rejestrują swój test równoważenia odrębnie.

§10. Pierwszeństwo prawa krajowego (art. 25) #

Pytanie. Art. 25 ust. 1 stanowi, że państwa członkowskie mogą wprowadzić lub utrzymać przepisy „korzystniejsze dla praw osób dokonujących zgłoszenia" niż przewidziane w dyrektywie. Dyrektywa nie wskazuje, w jaki sposób operatorzy powinni rozstrzygać konflikty w sytuacji, gdy prawo krajowe jest bardziej rygorystyczne.

Dyrektywa stanowi w art. 25 ust. 1, że „państwa członkowskie mogą wprowadzić lub utrzymać przepisy korzystniejsze dla praw osób dokonujących zgłoszenia niż przepisy określone w niniejszej dyrektywie, bez uszczerbku dla art. 22 [prawa osób, których dotyczą zgłoszenia] i art. 23 ust. 2 [sankcje za świadomie fałszywe zgłoszenia]".

W praktyce oznacza to, że gdy krajowa transpozycja jest bardziej rygorystyczna niż dyrektywa, obowiązuje prawo krajowe w odniesieniu do organizacji prowadzących działalność w danej jurysdykcji. Nie ma możliwości oparcia się na minimum dyrektywy, jeżeli reguła lokalna jest bardziej rygorystyczna. Dyrektywa ustanawia dolny próg, a nie górny limit.

Przykłady bardziej rygorystycznych reguł krajowych:

Dla operatorów wielokrajowych reguła operacyjna jest następująca: w każdej jurysdykcji stosować bardziej rygorystyczną z dwóch (dyrektywa, prawo krajowe). Prowadzi to niekiedy do przyjęcia przez grupę jednolitego wysokiego standardu, dostosowanego do najbardziej rygorystycznej reguły krajowej w państwach prowadzenia działalności. Takie podejście jest zwykle preferowane w porównaniu do utrzymywania równoległych polityk per jurysdykcja, które zwiększają obciążenie administracyjne i ryzyko zastosowania niewłaściwej reguły.

EthicsPortal realizuje to poprzez przyjęcie domyślnie najbardziej rygorystycznego wspólnego mianownika w 27 państwach członkowskich: najkrótsze terminy potwierdzenia i informacji zwrotnych, najwęższy okres przechowywania, najpełniejsza klauzula antyodwetowa. Operatorzy w pojedynczej jurysdykcji mogą rozluźnić wybrane wartości domyślne, aby dostosować je do reguł krajowych, jednak linia bazowa jest kalibrowana powyżej minimum dyrektywy w każdym artykule, w którym krajowe transpozycje je przekraczają.

§11. Zgłoszenia anonimowe (art. 6 ust. 2; art. 9 ust. 1 lit. e) #

Pytanie. Czy organizacja musi przyjmować zgłoszenia anonimowe?

Dyrektywa stanowi w art. 6 ust. 2, że „nie narusza uprawnień państw członkowskich do podejmowania decyzji o tym, czy wymagać od podmiotów prawnych […] przyjmowania zgłoszeń anonimowych oraz podejmowania wobec nich działań następczych". Art. 9 ust. 1 lit. e) wymaga „należytych działań następczych, w zakresie, w jakim jest to przewidziane w prawie krajowym, w odniesieniu do zgłoszeń anonimowych".

W praktyce oznacza to, że rozstrzyga prawo krajowe. Dwie postawy:

Trzy konsekwencje.

Raz przyjęte, wiążące. Organizacja, która ogłasza „przyjmujemy zgłoszenia anonimowe", uruchomiła art. 9 ust. 1 lit. e). Obowiązek wiąże się z polityką, nie z pojedynczym zgłoszeniem.

Zakaz działań odwetowych stosuje się dopiero od momentu identyfikacji. Art. 21 nie może chronić osoby nieznanej. Działania z okresu anonimowości nie są objęte retroaktywnie.

Anonimowość jest standardem technicznym, nie obietnicą. Formularz wymagający adresu e-mail nie jest anonimowy. Kanał logujący adresy IP nie jest anonimowy. Poufność z art. 16 chroni znaną tożsamość przed ujawnieniem; anonimowość zapobiega identyfikacji.

EthicsPortal realizuje to poprzez domyślne przyjmowanie zgłoszeń anonimowych. Dane kontaktowe nie są wymagane. Adresy IP nigdy nie są przechowywane (limitowanie żądań wykorzystuje nieodwracalne jednokierunkowe hasze). Metadane plików są usuwane przed zapisem. Operatorzy mogą skonfigurować portal tak, aby wymagał danych kontaktowych, gdy prawo krajowe nakazuje zgłoszenia imienne. Przyjęte zgłoszenia anonimowe przechodzą ten sam przepływ spraw, te same terminy i ten sam standard należytych działań następczych co zgłoszenia imienne.

Dziennik zmian #

Korekty i zapytania #

Niniejszy dokument jest przeznaczony do cytowania i traktowania jako punkt odniesienia. Jeżeli zidentyfikują Państwo błąd, stanowisko sprzeczne z orzeczeniem Trybunału Sprawiedliwości, opinią Europejskiej Rady Ochrony Danych lub wiążącymi wytycznymi krajowymi, prosimy o kontakt pod adresem support@ethicsportal.eu. Korekty publikowane są w dzienniku zmian z datą i streszczeniem modyfikacji.

W odniesieniu do pytań o zastosowanie konkretnej interpretacji do sytuacji Państwa organizacji niniejszy dokument nie zastępuje porady prawnej. Prosimy o konsultację z właściwym doradcą prawnym w Państwa jurysdykcji.

Ostatnia aktualizacja: