Ustawa o sygnalistach a RODO
Dyrektywa oraz Ustawa o sygnalistach – czy jest powiązana z RODO?
Podstawą nowego obowiązku dla Przedsiębiorców będzie dyrektywa o sygnalistach oraz implementująca ją nasza krajowa ustawa o ochronie osób zgłaszających naruszenia prawa (ustawa na dzień 04.12.2021r – w trakcie opracowania).
17.12.2021 r. mija dla Polski czas na wdrożenie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, potocznie zwanej dyrektywą o ochronie sygnalistów.
Kogo dotyczy dyrektywa oraz ustawa o sygnalistach?
Od 17 grudnia 2021r. będą musiały się do niej dostosować podmioty:
– zatrudniające co najmniej 50 osób w sektorze publicznym,
– zatrudniające co najmniej 250 osób w sektorze prywatnym,
– wykonujące działalność w zakresie: usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, a także bezpieczeństwa transportu i ochrony środowiska.
Od 17 grudnia 2023r będą musiały się do niej dostosować:
– podmioty z sektora prywatnego, zatrudniających od 50 do 249 pracowników,
Przedsiębiorcy powinni jak najszybciej rozpocząć przygotowania do wdrożenia nowych obowiązków związanych z koniecznością zagwarantowania bezpieczeństwa sygnalistom. Niezbędne jest opracowanie i wdrożenie procedur umożliwiających dokonywanie zgłoszeń, ich ewidencjonowanie oraz ustalenie sposobu prowadzenia działań następczych, będących odpowiedzią na dokonane zgłoszenia.
Dokonując analizy nowych wymogów wynikających z dyrektywy oraz projektu ustawy o sygnalistach, nie można zapomnieć o RODO i konieczności pogodzenia wymogów ochrony sygnalistów z ochroną danych osobowych. Przedsiębiorca jest bowiem administratorem danych zgromadzonych w ramach przyjęcia i obsługi zgłoszeń wewnętrznych, a sygnalista – podmiotem danych.
Największym wyzwaniem w zakresie przetwarzania danych osobowych w związku ze zgłoszeniem naruszenia będzie zapewnienie skutecznej ochrony prywatności sygnalistów w związku z ustanowieniem kanałów dokonywania zgłoszeń.
Przedsiębiorca będzie bowiem zobowiązany do zachowania poufności w zakresie danych identyfikujących sygnalistę, niezależnie od tego, czy pozostaje z nim w stosunku pracy czy też sygnalistą będzie kandydat do pracy, stażysta, wolontariusz, wspólnik czy członek zarządu bądź rady nadzorczej.
Przy wdrażaniu odpowiednich procedur warto pamiętać, że:
✓ dane osobowe sygnalisty to nie tylko imię i nazwisko czy też nr identyfikatora służbowego – to wszystkie informacje pozwalające na ustalenie tożsamości sygnalisty
✓ dane osobowe sygnalisty powinny być przechowywane oddzielnie od treści samego zgłoszenia; jeśli zachodzi taka potrzeba – należy je usunąć z treści zgłoszenia
✓ dane osobowe sygnalisty mogą zostać ujawnione tylko po uzyskaniu jego zgody
✓ dane osób, których zgłoszenie dotyczy, mogą być przetwarzane bez ich zgody
✓ administrator, na obecną chwilę (jeśli ustawa o sygnalistach w swojej ostatecznej formie tego nie zmieni) musi spełnić obowiązek informacyjny wynikający z RODO w stosunku do sygnalisty, osób, których dotyczy zgłoszenie oraz osób trzecich np. świadków zdarzenia lub innych osób, które mogą być w jakiś sposób powiązane ze zdarzeniem, będącym przedmiotem zgłoszenia.
Istotnym jest, że zgodnie z treścią dyrektywy i ustawy jakiekolwiek działania mające na celu nękanie sygnalistów w związku z podjętymi przez nich działaniami będą karalne. Ponadto sygnalista, który na skutek prześladowań ze strony swojego pracodawcy zostanie zmuszony do zmiany pracy, będzie uprawniony do dochodzenia od niego stosownego odszkodowania.
Jeśli masz wątpliwości jak właściwie ulokować proces sygnalistów w swojej firmie, jak zgodnie z RODO przygotować kanały zgłoszeń, opracować i wdrożyć wszystkie procedury, zadbać o anonimowość sygnalisty, przygotować swoich pracowników do obsługi zgłoszeń – zapraszam do kontaktu, chętnie udzielę wsparcia.