W ostatnich miesiącach 2021 r. w przestrzeni publicznej pojawiły się informacje dotyczące kolejnej ustawy wdrażającej przepisy unijne. Ustawa o ochronie osób zgłaszających naruszenia prawa utknęła jednak w procesie legislacyjnym i w proponowanym kształcie zapewne nie wejdzie w życie. Dyrektywa jednak musi zostać zaimplementowana i zgodnie z zapowiedziami odpowiedzialnego za ustawę resortu Rodziny i Polityki Społecznej powinno mieć to miejsce w pierwszym kwartale 2022 roku. Czego więc możemy się spodziewać i na jakie obowiązki przygotować?
Sygnaliści to nazwa osób zgłaszających nieprawidłowości w organizacji. Nie oznacza to jednak, że ustawodawca postanowił chronić osoby, które w ramach prywatnej zemsty przekazują pracodawcy niesprawdzone informacje czy własne oceny. Naruszenie musi bowiem dotyczyć przepisów prawa krajowego lub prawa Unii Europejskiej. Osoby wskazujące na takie naruszenia powinny być w szczególny sposób chronione i jest to celem dyrektywy oraz powstającej ustawy.
Szczególny nacisk położono na ochronę sygnalistów przed działaniami odwetowymi w postaci przeróżnych nieprzyjemności w zakładzie pracy. Sygnalisty nie można zwolnić, zdegradować czy w inny sposób szykanować. Innymi słowy nie można brać przy ocenie pracownika pod uwagę faktu dokonania zgłoszenia.
Jak ustawa o sygnalistach wpływa na ochronę danych w organizacji?
Sygnalista co do zasady powinien być anonimowy. Jego dane osobowe – czyli informacje umożliwiające jego identyfikację – powinny być usunięte ze zgłoszenia i przechowywane osobno. Jedynie wyraźna zgoda sygnalisty upoważnia do przekazania jego danych osobowych. Nie wyłącza się jednak obowiązku informacyjnego wobec osób, których dane pozyskuje się w zakresie takiego zgłoszenia. W niektórych konfiguracjach taka konstrukcja może okazać się dość skomplikowana, zwłaszcza że dyrektywa chroni również osoby pomagające dokonać zgłoszenia oraz współpracowników i krewnych sygnalisty. Informacje zawarte w zawiadomieniu powinny być niedostępne dla osób nieupoważnionych. Do tej pory projekt ustawy wskazywał na pisemne upoważnienie przez pracodawcę takiej osoby. Jest to zgodne z zasadami ochrony danych osobowych, bowiem każdy kto na polecenie administratora(pracodawcy) przetwarza dane osobowe powinien być do tego upoważniony.
Kłopoty z wdrożeniem dyrektywy przez polskiego ustawodawcę dają jeszcze chwilę na przegląd procedur wewnątrz organizacji. Należy spodziewać się ze ustawa będzie miała wyjątkowo krótkie vacatio legis i lepiej być przygotowanym zawczasu na opublikowanie nadciągającej ustawy. Warto w tym miejscu jednak zaznaczyć, że na tym etapie prac nad ustawa nie można wdrożyć procedury wraz z oceną skutków przetwarzania danych osobowych w kształcie jaki będzie to miało po jej wejściu w życie. Obecnie podstawą prawną przetwarzania danych osobowych sygnalisty jest prawnie uzasadniony interes administratora (art. 6 u.1 lit. f RODO), nawet jeżeli przetwarzanie to jest zgodne ze standardami dyrektywy. Po wejściu w życie przepisów kwalifikacja ta zmieni się na literę c) wspomnianego artykułu, bowiem wtedy będzie wynikało już z obowiązku prawnego ciążącego na części przedsiębiorców.
Specyfika regulacji jak również praktyczne problemy z niej wynikające wskazują, że przygotowanie skutecznych procedur, uwzględniających zasady ochrony danych osobowych, nie będzie zadaniem łatwym. Szczegółowe rozwiązania w tym zakresie będą musiały być dostosowane do przepisów ustawowych, w tym o szczegółowe zasady dotyczące anonimowości sygnalistów. W przypadku realizacji obowiązków ustawowych warto pamiętać, że prawidłowe wdrożenie nowych regulacji wymagać będzie nie tylko analizy ustawy, ale także odpowiedniego zastosowania zasad wynikających z RODO. Dotyczy to zwłaszcza minimalizacji danych, ograniczenia do nich dostępu, ich zabezpieczenia, archiwizacji czy retencji.
Bezpieczeństwo danych może zapewnić specjalne narzędzie
Dyrektywa jasno określa cechy, jakimi powinno charakteryzować się narzędzie do przyjmowania zgłoszeń. Najważniejsze jest zapewnienie poufności i anonimowości oraz bezpiecznego kanału do dalszej komunikacji z sygnalistą. Narzędzie powinno być niezależne od organizacji, najlepiej osadzone na zewnętrznych serwerach.
W naszej ofercie dysponujemy kanałem, które spełnia wszystkie te wymagania. Ponadto, zapewnia intuicyjną obsługę, zarówno dla zgłaszającego, jak i administratorów, umożliwia analitykę zebranych danych i podgląd statystyk. Możliwe jest tez dopasowanie go do wewnętrznych procedur organizacji.
Chcemy dostarczyć naszym Klientom spójne narzędzie komunikacji, również w obszarze zarządzania ryzykiem. Oferujemy rozwiązanie jako zewnętrzny kanał zgłoszeń nieprawidłowości lub część aplikacji służącej do komunikacji wewnętrznej.
Zalety rozwiązania
Wygoda dla firmy:
- pełna zgodność z wymaganiami Dyrektywy 2019/1937.
- Możliwość dopasowania do wewnętrznych procedur organizacji.
- Indywidualna konfiguracja formularza.
- Wewnętrzny oraz zewnętrzny kanał zgłoszeń nieprawidłowości.
- Intuicyjny panel zarządzania zgłoszeniami.
- Wielopoziomowy dostęp – możliwość podglądu zgłoszeń bez danych sygnalisty.
- Generowanie raportów.
- Analityka i statystyki zgłoszeń.
- Możliwość zgłoszeń z wielu lokalizacji (oddziały).
Pełna ochrona sygnalisty:
- Poufność komunikacji i anonimowość zgłaszającego.
- Bezpieczny kanał komunikacji z sygnalistą.
Możliwość udziału prawników naszej kancelarii w procesie obsługi – profesjonalne wsparcie + skrócenie komunikacji + większe bezpieczeństwo danych.
