Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (dalej: „Ustawa”) została opublikowana w Dzienniku Ustaw w dniu 25 czerwca 2024 r. Ma ona wejść w życie po upływie 3 miesięcy od dnia ogłoszenia tj. 25 września 2024 r., za wyjątkiem wybranych przepisów, które wejdą w życie  25 grudnia 2024 r. [1] Jednak, czy wiedziałeś, że aby spełnić wymogi ustawowe, już do 6 września musisz mieć gotowe dokumenty, w tym procedurę? Ponadto, jeżeli nie działają u Ciebie związki zawodowe, to również do 6 września powinni już być wybrani u Ciebie przedstawiciele, z którymi będziesz konsultował procedurę. Pozostało niewiele czasu, czy wiesz zatem w jaki sposób zatem zorganizować zgłaszanie naruszeń, aby chronić tożsamość zgłaszającego i jego dane osobowe?

O podmiotach zobowiązanych do wdrożenia systemu zgłaszania naruszeń pisaliśmy już jakiś czas temu <LINK>. Należy mieć na uwadze, że obowiązek taki mają podmioty, na rzecz których wykonuje pracę zarobkową co najmniej 50 osób (uwaga: nie chodzi tu tylko o pracowników, ale także osoby współpracujące z podmiotem prawnym na podstawie umowy zlecenia czy kontraktu b2b) oraz wszystkie podmioty (bez względu na liczbę osób) wykonujące działalność w określonym zakresie (m.in. usługi finansowe czy ochrona środowiska). Przed tymi podmiotami stoi zatem nie lada wyzwanie – wdrożenie skutecznego systemu ochrony sygnalistów. Skutecznego, a więc zapewniającego sygnaliście poufność, co nieodłącznie wiąże się z koniecznością ochrony jego danych osobowych.

Co w zakresie przetwarzania danych osobowych stanowi Ustawa?

W Ustawie tematyce przetwarzania danych osobowych sygnalisty poświęcono jeden artykuł. Regulacja w tym zakresie jest dość lakoniczna oraz daleka od doskonałej. W art. 8 ust. 4 Ustawy wskazano, iż „podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.” Administratorem danych osobowych jest zatem podmiot prawny, czyli organizacja, która otrzymała zgłoszenie. Podmiot prawny będzie miał status administratora danych osobowych sygnalisty, ale też innych danych osobowych pozyskanych w związku z przyjmowaniem i weryfikacją zgłoszeń. Należy bowiem pamiętać, że w związku z dokonaniem zgłoszenia będą przetwarzane nie tylko dane osobowe sygnalisty, ale także m.in. osoby, której dotyczy zgłoszenie, czy osób trzecich wskazanych w zgłoszeniu, np. świadków naruszenia. Ustawa wprost nie wskazuje na ochronę innych osób, należy zatem na to zagadnienie patrzeć szerzej, tj. z uwzględnieniem Dyrektywy[2] oraz przepisów RODO[3]. Jak czytamy w motywie 85 Dyrektywy: „skuteczna ochrona poufności tożsamości osób dokonujących zgłoszenia jest równie konieczna w celu ochrony praw i wolności innych osób […]. Państwa członkowskie powinny zapewnić skuteczność niniejszej dyrektywy, w tym w stosownych przypadkach poprzez ograniczenie – w drodze aktów prawnych – wykonywania niektórych praw do ochrony danych osobowych osób, których dotyczy zgłoszenie […], w zakresie w jakim i o ile jest to konieczne, by zapobiec i zaradzić próbom utrudniania dokonywania zgłoszeń lub utrudniania, udaremniania lub spowalniania działań następczych, w szczególności postępowań wyjaśniających, lub próbom ustalenia tożsamości osób dokonujących zgłoszenia”. Istotnym przepisem z punktu widzenia tych osób na gruncie polskiej Ustawy jest art. 8 ust.5 i 6, który daje podstawę do nieinformowania tych osób, kto przekazał ich dane w ramach zgłoszenia. Innymi słowy, mają na celu zachowanie w tym aspekcie poufności sygnalisty (a zatem ustawa wyłącza obowiązek informowania jak określa to RODO o „źródle danych”), chyba że sygnalista wyrazi zgodę na ujawnienie jego danych.  Przy okazji warto także wspomnieć, iż wykonanie klauzuli informacyjnej czy prawa dostępu do danych w stosunku do tych osób w pozostałym wymaganym przez RODO zakresie jest tym samym konieczne. Realizacja praw osób, których dane dotyczą, ale także i praw osób, których dotyczy zgłoszenie musi odbywać się z poszanowaniem obowiązków wynikających z RODO. W związku z tym administrator musi zapewnić, aby system sygnalny dawał możliwość zrealizowania tych praw. 

Co możemy zrobić?

1) Kompleksowo opracowana procedura zgłoszeń wewnętrznych: Przyjmujący zgłoszenia jako administrator danych osobowych będzie musiał  wdrożyć odpowiednie środki bezpieczeństwa danych sygnalisty. Zasadne jest przyjęcie takich rozwiązań także w procedurze zgłoszeń wewnętrznych. Wybór konkretnych środków bezpieczeństwa, adekwatnych do poziomu ryzyka przetwarzania danych będzie należał do Administratora. Wybór odpowiednich zabezpieczeń powinien być poprzedzony i mieć swoje oparcie w uprzednio przeprowadzonej analizie ryzyka. Kanały przyjmowania zgłoszeń powinny być zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym osobom.

2) Starannie dobrane osoby bądź podmioty przyjmujące zgłoszenie: Osoby wyznaczone do przyjmowania i weryfikacji zgłoszeń oraz podejmowania działań następczych, muszą posiadać pisemne upoważnienie podmiotu prawnego i być zobowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowanych działań następczych. Osoby wyznaczone do przyjmowania i rozpatrywania zgłoszeń powinny być bezstronne oraz odpowiednio przeszkolone, m.in. w kwestii ochrony danych.

W przypadku natomiast powierzenia przyjmowania zgłoszeń podmiotom zewnętrznym, np. gdy administrator danych osobowych chce skorzystać z systemu informatycznego do obsługi zgłoszeń dostawcy zewnętrznego, powinien w pierwszej kolejności dokonać weryfikacji takiego podmiotu oraz zawrzeć z nim umowę o powierzenie przetwarzania danych osobowych.  Upoważnienie takiego podmiotu zewnętrznego wymaga przy tym zawarcia umowy w celu powierzenia obsługi: przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą.

Taka umowa powinna również określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 RODO[1]. Ustanawia on wymogi prawidłowego powierzenia przetwarzania danych osobowych, w tym obowiązek dochowania odpowiedniej formy powierzenia przetwarzania danych osobowych, czyli umowy.

3) Rejestr zgłoszeń wewnętrznych z danymi osobowymi: warto wskazać, że przyjmujący zgłoszenie jako administrator będzie musiał także prowadzić rejestr zgłoszeń wewnętrznych. Ewidencja ta musi zawierać:

• numer zgłoszenia;
• przedmiot naruszenia;
• dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;
• adres do kontaktu sygnalisty;
• datę dokonania zgłoszenia;
• informację o podjętych działaniach następczych;
• datę zakończenia sprawy.

Jest to wymóg wynikający z ustawy, podmiot musi taki rejestr prowadzić w dowolnej formie, co oznacza że dopuszczalna jest zarówno pisemna, jak i elektroniczna. W zakresie danych osobowych, należy mieć jednak na uwadze, że jednym z elementów obligatoryjnych, które rejestr musi zwierać są dane sygnalisty oraz osoby, której zgłoszenie dotyczy, dlatego tak istotne jest zadbanie o ich bezpieczne przetwarzanie. Należy pamiętać, aby dostęp do rejestru miały tylko powołane do tego osoby, a zatem legitymujące się stosownym upoważnieniem. W zależności od formy jego prowadzenia, należy rozważyć bezpieczne przechowywanie wersji papierowych, czy to w zamkniętych szafach, czy w pomieszczeniach do tego przeznaczonych zamykanych na klucz. W przypadku natomiast wersji elektronicznych należy zadbać o stosowne szyfrowanie, kody zabezpieczeń z dostępem tylko osób upoważnionych. Jest to wszystko bardzo istotne przede wszystkim z uwagi na konieczność zachowania poufności. Wydaje mi się, że niezbędne w tym zakresie będzie zadbanie o szkolenie pracowników. W nawiązaniu do szkoleń to nie tylko sprawdzą się one w kwestii stosownego obchodzenia się z danymi osobowymi, ale jeśli chodzi o wdrożenie systemu sygnalistów w ogóle. Takie szkolenie powinno mieć miejsce nie tylko  przed wdrożeniem  w organizacji procedury zgłoszeń wewnętrznych, ale także w trakcie  jej stosowania, co powinno przyczynić się do jej faktycznego obowiązywania i do uzyskania przez pracodawcę wiedzy o zdarzeniach, które mogą mieć znaczenie dla bezpiecznego i prawidłowego funkcjonowania jego działalności.

Na zakończenie dodajmy, iż dane w tym rejestrze powinny być przechowywane przez 3 lata, licząc od zakończenia roku kalendarzowego, w którym sfinalizowano działania następcze lub zakończenia postępowań zainicjowanych tymi działaniami.

Nasza Kancelaria pomoże w skuteczny i bezbolesny sposób wdrożyć system ochrony sygnalistów w Twojej organizacji. Czasu pozostało niewiele, zatem już teraz z wypełnij ankietę i sprawdź, czego potrzebujesz i jak możemy Ci pomóc: <ANKIETA>

[1] w zakresie przepisów dotyczących zgłoszeń zewnętrznych

[2] Dyrektywa (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa UE

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)