Co znajdziesz w tym materiale:
Już 25 września 2024 r. wejdą w życie nowe przepisy dotyczące ochrony sygnalistów. Regulacje te nakładają na administratorów danych osobowych szereg obowiązków związanych z przetwarzaniem danych osobowych w ramach procesu zgłoszeń wewnętrznych. W tym artykule omówie najważniejsze kwestie związane z wdrożeniem ochrony sygnalistów zgodnie z RODO w ramach zgłoszeń wewnętrznych.
Podsumowanie na start!
- Wejście w życie nowych przepisów: 25 września 2024 r. wejdą w życie nowe przepisy dotyczące ochrony sygnalistów, które nakładają na administratorów danych osobowych szereg obowiązków związanych z przetwarzaniem danych w ramach zgłoszeń wewnętrznych.
- Obowiązek wprowadzenia procedury zgłoszeń wewnętrznych: Nowe regulacje wymagają od przedsiębiorców zatrudniających co najmniej 50 osób wprowadzenia procedury zgłoszeń wewnętrznych. Proces ten będzie obejmować przetwarzanie danych osobowych sygnalistów, osób naruszających prawo oraz świadków.
- Ochrona danych osobowych sygnalistów: Ochrona danych osobowych sygnalistów jest kluczowym elementem nowych przepisów. Dane sygnalisty nie mogą być ujawniane nieupoważnionym osobom, chyba że sygnalista wyrazi na to wyraźną zgodę. Dostęp do tych danych mają tylko osoby upoważnione.
- Warunki ujawnienia danych sygnalisty: Ujawnienie danych sygnalisty jest dopuszczalne jedynie za jego zgodą lub gdy jest to konieczne i proporcjonalne w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne, sądy, bądź w celu zagwarantowania prawa do obrony osobie, której dotyczy zgłoszenie.
- Obowiązek informacyjny i podstawa prawna przetwarzania: Przetwarzanie danych osobowych w ramach zgłoszeń wewnętrznych wymaga spełnienia obowiązku informacyjnego zgodnie z RODO. Osoby, których dane dotyczą, muszą być poinformowane, że ich dane będą przetwarzane w celu wypełnienia obowiązków prawnych wynikających z ustawy o ochronie sygnalistów. Podstawę prawną przetwarzania stanowi art. 6 ust. 1 lit. c) RODO.
- Retencja danych osobowych: Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych będą przechowywane przez 3 lata po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie do organu publicznego lub zakończono działania następcze. Po upływie tego okresu dane muszą zostać usunięte, chyba że stanowią część akt spraw sądowych.
- Wyłączenie obowiązku informowania o źródle danych: Nowe przepisy wyłączają obowiązek przekazania informacji o źródle pozyskania danych osobowych osobie, której dane dotyczą, jeśli sygnalista spełnia warunki uzyskania ochrony lub wyrazi zgodę na ujawnienie swojej tożsamości
Procedura zgłoszeń wewnętrznych
Jednym z głównych obowiązków wynikających z nowych przepisów jest obowiązek wprowadzenia procedury zgłoszeń wewnętrznych, w przypadku przedsiębiorców dla których pracę zarobkową wykonuje co najmniej 50 osób.
W procesie rozpoznawania zgłoszeń wewnętrznych bez wątpienia będziemy mieć do czynienia z przetwarzaniem danych osobowych. Rzecz jasna będą to głównie dane osobowe sygnalisty, czyli osoby dokonującej zgłoszenia. Ale nie tylko! W ramach zgłoszenia naruszenia prawa mogą bowiem pojawić się dane osób, które dopuściły się naruszenia, świadków itp.
Z przetwarzaniem danych osobowych będziemy mieć do czyenienia tak naprawdę na wszystkich etapach rozpoznawania zgłoszenia wewnętrznego, począwszy dego przyjęcia, oceny czy podlega pod rozpoznanie w ramach procedury zgłoszeń wewnętrznych, a finalnie także w związku z przechowywaniem dokumentacji dotyczącej zgłoszenia.
Porozmawiaj z ekspertem 🎯
Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną i ustalimy termin 15-minutowej darmowej konsultacji. Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu!
Ochrona danych osobowych sygnalisty
Prowadzenie postępowań w sprawie naruszeń przepisów prawa będzie niewątpliwie wiązać się z przetwarzaniem danych osobowych sygnalistów i innych uczestników. Konieczne jest więc przyjęcie rozwiązań, które umożliwią osiągnięcie celu tych postępowań, jak i zgodne z prawem przetwarzanie danych osobowych. Szczególnie istotna pozostaje ochrona tożsamości sygnalisty.
Przepisy ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów wprowadzają generalną zasadę, że dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty.
Z przepisu tego wynikają dwie istotne kwestie. Pierwsza to, że dostęp do danych osobowych związanych z rozpoznawaniem zgłoszeń mogą mieć wyłącznie osoby upoważniona. To generalna zasada wynikająca z RODO i każdy pracownik powinien mieć w tym zakresie stosowne upoważnienie.
Wprowadzenie procedury zgłoszeń wewnętrznych będzie więc wiązało się z koniecznością rozszerzenia dotychczasowych upoważnień do przetwarzania danych osobowych o procesy i systemy związane z ochroną sygnalistów.
Drugą ważną kwestią jest to, że sygnalista może w sposób wyrażny wyrazić zgodę na ujawnienie jego danych. Wymaga to więc uwzględnienia, przede wszystkich w ramach kanałów zgłoszeń, złożenia sygnaliście takiego oświadczenia.
Ujawnienie danych osobowych sygnalisty
Nowe przepisy wyraźnie regulują kwestie ujawnienia danych osobowych sygnalisty. Oprócz sytuacji gdy sygnalista wyrazi na to zgodę, ujawnienie jego danych osobowych jest dopusczalne w przypadku, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.
Nawet jednak w takiej sytuacji przed dokonaniem ujawnienia właściwy organ publiczny lub właściwy sąd powiadamia o tym sygnalistę, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych, chyba że takie powiadomienie zagrozi postępowaniu wyjaśniającemu lub postępowaniu przygotowawczemu, lub sądowemu.
Klauzula informacyjna i podstawa prawna przetwarzania
Przetwarzanie danych osobowych w ramach procedury zgłoszeń wewnętrznych wiąże się też z koniecznością stworzenia klazul informacyjnych wypełniających obowiązek informacyjny z RODO.
Realizacja obowiązków nałożonych przez przepisy dotyczące ochrony sygnalistów stanowić będzie samodzielną podstawę przetwarzania danych osobowych. W ramach więc obowiązku informacyjnego należy osoby, których dane dotyczą poinformować, że ich dane osobowe będą przetwarzane w celu wypełnienia obowiązków prawnych ciążących na administratorze danych osobowych, związanych ze zgłoszeniami naruszeń prawa. Podstawę prawną przetwarzania w takim przypadku stanowi art. art. 6 ust. 1 lit. c) RODO w związku z przepisami ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów.
Nowa ustawa zawiera też szczegółowe regulacje dotyczące kwesti przekazania w ramach obowiązku informacyjnego informacji o źródle danych osobowych. Mianowicie wyłączony został ciążący na administratorze obowiązek przekazania informacji dotyczących źródła pozyskania danych osobie, której dane dotyczą (zawarty w art. 14 ust. 2 lit. f RODO).
Takie wyłączenie będzie jednak uwarunkowane obowiązkiem spełnienia przez zgłaszającego warunków uzyskanai ochrony jako sygnalista albo wyrażeniem wyraźnej zgody na ujawnienie swojej tożsamości.
PRZYGOTUJ SWOJĄ FIRMĘ NA NOWE PRZEPISY DOTYCZĄCE OCHRONY SYGNALISTÓW!
Już 25 września 2024 r. zaczną obowiązywać nowe przepisy prawne dotyczące ochrony sygnalistów. Czy Twoja firma jest na nie gotowa?
Twoja firma zatrudnia co najmniej 50 pracowników (bez względu na podstawę zatrudnienia)? Zgodnie z nowymi przepisami Twoim obowiązkiem jest wdrożenie regulaminu zgłoszeń wewnętrznych!
Retencja danych w ramach ustawy o ochronie sygnalistów
Nowe regulacje zawierają też szczegółowe postanowienia dotyczące okresu przechowywania danych przetwarzanych z związku z przyjęciem i rozpatrzeniem zgłoszenia naruszenia prawa. Są to kwestie, które uwzględnić należy nie tylko w treści kaluzuli informacyjnej, ale równieżw Rejestrze Czynności Przetwarzania lub innym rejestrze o podobnym charakterze prowadzonym przez przedsiębiorstwo.
Zgodnie z ustawą dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Jak wskazano w uzasadnieniu ustawy, taki okres pozostaje spójny nie tylko ze szczególnymi regulacjami wynikającymi z ustawy z dnia 14 czerwca o ochronie sygnalistów, ale również jest spójny z terminem przedawnienia roszczeń ze stosunku pracy (art. 291 Kodeksu pracy) oraz roszczeń o świadczenia okresowe i roszczeń związanych z prowadzeniem działalności gospodarczej (art. 118 Kodeksu cywilnego).
Po upływie wskazanego okresu przechowywania dane należy usunąć oraz zniszczyć dokumenty związane z danym zgłoszeniem. Przepisy ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2020 r. poz. 164) nie będą w tym przypadku stosowane.
Nie będzie to jednak dotyczyło sytuacji, w których dokumenty związane ze zgłoszeniem zostaną włączone i będą stanowiły integralną część akt spraw sądowych lub sądowoadministracyjnych. W takich przypadkach do przechowywania i usuwania takich dokumentów będą stosowana przepisy odrębne, mające zastosowanie do takich akt.
Podsumowanie. Ochrona sygnalistów zgodna z RODO
Nowe przepisy dotyczące ochrony sygnalistów, które wejdą w życie 25 września 2024 r., wprowadzają szereg obowiązków dla administratorów danych osobowych, szczególnie w kontekście procedur zgłoszeń wewnętrznych. Przedsiębiorcy zatrudniający co najmniej 50 osób będą zobowiązani do wdrożenia takich procedur, co wiąże się z przetwarzaniem danych osobowych sygnalistów i innych uczestników.
Kluczowym aspektem nowych regulacji jest ochrona tożsamości sygnalistów, której ujawnienie jest możliwe jedynie za ich zgodą lub w określonych przypadkach prawnych. Przepisy te nakładają również obowiązek informacyjny zgodny z RODO oraz precyzują zasady retencji danych, wymagając ich przechowywania przez określony czas, po którym muszą być usunięte. Nowa ustawa wyłącza także obowiązek informowania o źródle danych osobowych w pewnych sytuacjach, co podkreśla kompleksowość i szczegółowość nowych regulacji.
Doceniasz tworzone przeze mnie treści?
Paweł Głąb
RADCA PRAWNY
Specjalizuję się w prawie e-commerce, prawie własności intelektualnej oraz prawie danych osobowych. Pomagam firmom chronić ich marki, produkty i walczyć z nieuczciwą konkurencją. Przygotowuję regulaminy, polityki prywatności i cookies oraz dokumentację RODO. Zajmuję się również tworzeniem i audytowaniem umów.
Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.