Analizując nowe obowiązki pracodawców wynikające z dyrektywy o sygnalistach oraz projektu ustawy o sygnalistach, nie można zapomnieć o RODO i przetwarzaniu danych osobowych w związku ze zgłoszeniem naruszenia, bowiem pracodawca jest administratorem danych zgromadzonych w rejestrze zgłoszeń wewnętrznych, a sygnalista – podmiotem danych.

Dyrektywa o sygnalistach (tj. Dyrektywa Parlamentu Europejskiego i Rady 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii), wejdzie w życie 17 grudnia 2021 roku. To oznacza, że za ok. miesiąc wybrane podmioty będą musiały sprostać nowym obowiązkom. Jakim?

  • Ustanowienia wewnętrznych procedur zgłaszania naruszeń (także w zakresie ich ewidencji i podejmowania działań następczych)
  • oraz ochrony sygnalistów.

Kogo dokładnie obejmą nowe przepisy? Od 17 grudnia br. będą musiały się do nich dostosować podmioty:

  • zatrudniające co najmniej 50 osób w sektorze publicznym,
  • zatrudniające co najmniej 250 osób w sektorze prywatnym,
  • wykonujące działalność w zakresie:
    • usług, produktów i rynków finansowych
    • oraz zapobieganiu praniu pieniędzy i finansowaniu terroryzmu,
    • a także bezpieczeństwa transportu
    • i ochrony środowiska.

W przypadku podmiotów z sektora prywatnego, zatrudniających od 50 do 249 pracowników, wejście w życie regulacji dotyczących sygnalistów zostało opóźnione o dwa lata, tj. będą obowiązały od 17 grudnia 2023 roku.

Podstawą nowego obowiązku będzie dyrektywa o sygnalistach oraz implementująca ją ustawa o ochronie osób zgłaszających naruszenia prawa, której projekt został już opublikowany w Rządowym Centrum Legislacji (tutaj można się zapoznać z tym dokumentem >>).

Masz pytanie lub wątpliwość?

Nasz ekspert jest do Twojej dyspozycji.

Sygnalista, czyli kto?

Na gruncie projektu omawianej ustawy sygnalistą jest każda osoba zgłaszająca lub ujawniająca publicznie informacje na temat naruszeń, które uzyskała w związku z wykonywaną przez siebie pracą (bez względu na to, czy pracuje w sektorze publicznym czy prywatnym).

Projekt ustawy wymienia (choć nie jest to katalog zamknięty) podmioty, które będą uznane za sygnalistów, czyli uprawnionych do przekazywania zgłoszeń. Są nimi:

  • pracownicy – także w przypadku, gdy stosunek pracy ustał – oraz osoby ubiegające się o zatrudnienie,
  • osoby świadczące pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej,
  • przedsiębiorcy,
  • akcjonariusze lub wspólnicy oraz osoby będące członkami osoby prawnej,
  • osoby świadczące pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej,
  • wolontariusze i stażyści;
  • a także osoby pomagające w dokonaniu zgłoszenia.

Ważny fragment

Zatem sygnaliści to krąg osób, od których pracodawca może otrzymać dane osobowe, oraz które będzie musiał przetwarzać w związku ze zgłoszeniem naruszenia, jest szeroki.

Ochrona sygnalistów – jakie będą nowe zadania pracodawców?

Rządowy projekt dotyczący ochrony sygnalistów zakłada, że od 17 grudnia 2021/2023 roku pracodawcy będą zobowiązani do:

  • ustalenia regulaminu zgłoszeń wewnętrznych, który wejdzie w życie po upływie 2 tygodni od dnia podania go do wiadomości pracowników w sposób przyjęty u danego pracodawcy;
  • zapoznania nowych pracowników z treścią regulaminu zgłoszeń wewnętrznych przed dopuszczeniem ich do pracy;
  • utworzenia i prowadzenia kanałów dokonywania zgłoszeń (kanały zgłoszeń powinny umożliwiać dokonywanie ich: na piśmie oraz przekazywanie zgłoszeń drogą pocztową, za pośrednictwem fizycznych skrzynek na skargi lub na platformie online, intra- lub internetowej, bądź dokonywanie zgłoszeń ustnie, za pośrednictwem gorącej linii lub innego systemu komunikacji głosowej);
  • prowadzenia rejestru zgłoszeń wewnętrznych, w ramach którego pracodawca będzie gromadził dane, w tym dane osobowe, przez okres 5 lat od dnia przyjęcia zgłoszenia.

Każdy, kto wbrew przepisom polskiej ustawy nie ustanowi wewnętrznej procedury zgłaszania naruszeń prawa i nie podejmie działań następczych albo ustanowi procedurę, która narusza prawo, będzie ukarany grzywną, karą ograniczenia wolności albo karze pozbawienia wolności do lat 3.

Zakres przetwarzanych danych sygnalisty i podstawa przetwarzania

W ramach kanałów, za pośrednictwem których sygnaliści będą dokonywać zgłoszeń, przetwarzaniu mogą zostać poddane dane osobowe sygnalisty i osoby trzeciej, takie jak imię, nazwisko czy dane kontaktowe, ale także – na co warto zwrócić uwagę – szereg informacji, które zostaną wytworzone w trakcie przetwarzania, jak i informacje, które mają związek z daną osobą. Z uwagi na konieczność zapewnienia sygnaliście odpowiedniej ochrony, jego dane osobowe oraz inne dane umożliwiające jego identyfikację nie będą udostępniane, chyba że sygnalista wyrazi na to zgodę.

Pracodawca, który otrzyma zgłoszenie, będzie uprawniony do zbierania i przetwarzania danych osobowych zgłaszającego. Podstawę takiego przetwarzania stanowić będzie art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie danych osobowych jest zgodne z prawem, jeśli jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązek ten będzie wynikał wprost z ustawy o sygnalistach.

Istotnym aspektem ochrony danych osobowych w kontekście ustawy o sygnalistach pozostają także prawa osób, których dane dotyczą. Z uwagi bowiem na specyfikę i zakres przedmiotowy ustawy, realizacja niektórych z praw podmiotów danych może powodować nieefektywność mechanizmów w niej przewidzianych. W szczególności dotyczy to prawa do informacji o przetwarzaniu danych osobowych – realizacja obowiązku administratora do przekazania tej informacji osób ujętych w zgłoszeniu, może wiązać się z ujawnieniem źródła zgłoszenia, w tym tożsamości samego sygnalisty. Powyższe implikuje konieczność ograniczenia prawa do informacji o przetwarzaniu danych, a to celem zapewnienia efektywności stosowania przepisów ustawy i zapewnieniu odpowiedniej ochrony osobie zgłaszającej. W przypadku obowiązku informacyjnego względem osoby, której dotyczy zgłoszenie – jak wynika z projektu ustawy – wykluczone zostało podanie źródła danych.

Skorzystaj z naszych usług w zakresie: Ochrona danych osobowych (RODO)
Dowiedz się więcej

Zasada privacy by design przy planowaniu ochrony danych osobowych

Podczas dostosowania organizacji przez pracodawcę do wymogów ustawowych należy mieć na uwadze zasadę privacy by design, o której mowa w art. 25 RODO i analizę ryzyka wdrażanych rozwiązań. Wspomniana zasada ma zagwarantować, że funkcjonowanie systemu zgłaszania naruszeń będzie stworzone tak, aby domyślnie chronić dane osobowe.

Wobec powyższego kanały zgłoszeń muszą być zaprojektowane i obsługiwane w bezpieczny sposób oraz zapewniać ochronę poufności tożsamości – zarówno osoby dokonującej zgłoszenia, jak i osoby trzeciej wymienionej w zgłoszeniu, uniemożliwiając uzyskanie do nich dostępu nieupoważnionym członkom personelu.

Ochrona poufności i danych osobowych dotyczy informacji, na podstawie których można pośrednio lub bezpośrednio zidentyfikować tożsamość osób, o czym wspomina projekt ustawy. Poza tym zagwarantowanie skutecznej ochrony ma na celu wykluczenie ewentualnych działań odwetowych oraz niekorzystnych skutków wynikających ze zgłoszenia nieprawidłowości.

RODO a kanały i podmioty obsługujące zgłoszenia sygnalistów

Projekt ustawy, jak i dyrektywa wskazują, iż kanały dokonywania zgłoszeń mogą być obsługiwane:

  • wewnętrznie przez wyznaczoną do tego celu osobę
  • lub wyznaczony dział
  • lub zapewniane zewnętrznie przez osobę trzecią.

W każdym przypadku – na co wskazuje dyrektywa – funkcja podmiotu obsługującego zgłoszenie powinna zapewniać brak konfliktu interesów i niezależność w celu zagwarantowania niezbędnego poziomu ochrony danych osobowych, o którym mowa w RODO.

Jeżeli osobami obsługującymi będą pracownicy, to z jednym z istotniejszych zadań stojących przed pracodawcą w tym zakresie będzie wskazanie takim pracownikom zasad przetwarzania danych w związku z ewentualnym zgłoszeniem oraz budowanie świadomości zachowania informacji w poufności.

W przypadku, gdy pracodawca zdecyduje się na skorzystanie z podmiotu zewnętrznego, to z punktu prawa ochrony danych osobowych pojawi się nowy podmiot przetwarzający, a zatem zasadne będzie zawarcie umowy powierzenia danych osobowych do przetwarzania.

Ponadto projekt ustawy precyzuje, iż do przyjmowania i weryfikacji zgłoszeń oraz przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie pracodawcy, zobowiązane do zachowania tajemnicy. To dobry moment na dokonanie weryfikacji procesu nadawania upoważnień do przetwarzania danych, czy też uprawnień do pracy w systemach informatycznych.

Zgodnie z informacją UODO (tutaj można się zapoznać z tym artykułem >>) nie można wykluczyć możliwości łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami, w tym dotyczącymi ochrony danych osobowych. W takiej sytuacji, jak możemy przeczytać na stronie internetowej Urzędu, administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków (w tym przypadku polegających na przyjmowaniu zgłoszeń sygnalistów oraz prowadzeniu postępowań wyjaśniających) powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań. Ocena ta powinna być dokonana przy uwzględnieniu stosownych przepisów RODO.

W projekcie ustawy został wyznaczony obowiązek dotyczący stosowanych przez pracodawcę rozwiązań technicznych i organizacyjnych – muszą one zapewniać przechowywanie danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmującego zgłoszenie, włączając w to usunięcie z treści dokumentu lub innego nośnika informacji niezwłocznie po ich otrzymaniu wszystkich danych osobowych zgłaszającego.

RODO a sygnaliści – dobre przygotowanie to podstawa sukcesu

Bez względu na liczbę zatrudnionych, pracodawcy powinni już teraz rozpocząć przygotowania do wdrożenia nowych obowiązków i procedur oraz skorzystać z wiedzy ekspertów, żeby uniknąć niepotrzebnych nerwów, kosztów i ewentualnej odpowiedzialności prawnej.

Największym wyzwaniem w zakresie przetwarzania danych osobowych w związku ze zgłoszeniem naruszenia będzie zapewnienie skutecznej ochrony prywatności sygnalistów w związku z ustanowieniem kanałów dokonywania zgłoszeń.

AUTOR: Łukasz Jarecki

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Ochrona danych osobowych (RODO)

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Skontaktuj się

Łukasz Jarecki

Associate

Specjalizacje

Skontaktuj się

Łukasz Jarecki

Associate

Specjalizacje

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.