W dzisiejszej części naszego cyklu Analizy projektu Ustawy o Sygnalistach opracowanej przez prawników z Kancelarii Prawnej A. Oszczęda – Ł. Sowa, Radcowie prawni i Adwokaci omówimy temat zgłoszeń wewnętrznych. Dowiecie się z niego w jaki sposób należy obsługiwać zgłoszenia wewnętrzne sygnalistów. W tym momencie możemy polecić wam opracowany przez Detectio Group system DGSygnalistaPRO który obsłuży Sygnalistów w Twojej Organizacji w sposób zgodny z wymaganiami prawnymi. Kliknij tutaj aby poznać naszą ofertę
Inne części naszego cyklu:
- Część 1:Omówienie ustawy i Zakresu Podmiotowego
- Część 2:Zakres przedmiotowy i wyłączenia
- Część 3:Ochrona Danych Osobowych
- Część 4: Zakaz działań odwetowych i środki ochrony
- Część 5: Zgłoszenia wewnętrzne
- Część 6: Zgłoszenie zewnętrzne i ujawnienie publiczne
- Część 7: Przepisy karne
Zgodnie z dyrektywą istnieje obowiązek ustanowienia wewnętrznych kanałów dokonywania zgłoszeń zarówno w sektorze prywatnym jak i publicznym.
Procedury zgłoszeń wewnętrznych dotyczą podmiotów na rzecz których świadczy pracę co najmniej 50 osób, a wyjątek dotyczy przypadków :
1) próg 50 osób nie ma zastosowania do podmiotu prawnego wykonującego działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937 (art. 23 ust. 2 komentowanego projektu ustawy).
2) przepisów nie stosuje się do jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 000 mieszkańców.
Szczegółowo wyjaśniono tą kwestię przy omawianiu problematyki zakresu podmiotowego, przy podmiotoach zobowiązanych do realizacji przepisów projektowanej ustawy.
Podstawą prawną umożliwiającą dokonywanie zgłoszeń u danego podmiotu prawnego będzie wewnętrzny akt prawny zwany procedurą zgłoszeń wewnętrznych.
Taka procedura będzie ustalana po konsultacjach z zakładową organizacją związkową albo zakładowymi organizacjami związkowymi albo w przypadku braku zakładowej organizacji związkowej po konsultacjach z przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy.
Termin na przeprowadzenie konsultacji to nie krócej niż 7 dni i nie dłużej niż 14 dni od przedstawienia projektu.
Art. 25 komentowanego projektu ustawy określa elementy obligatoryjne i fakultatywne, które powinna zawierać taka procedura.
Forma przekazywania zgłoszeń:
- ustnie: może być telefonicznnie poprzez nagranie lub poprzez transkrypcję rozmowy; zgłoszenie ustne dokonywane za pośrednictwem nienagrywanej linii telefonicznej lub innego nienagrywanego systemu komunikacji głosowej, jest dokumentowane w formie protokołu rozmowy.
Na wniosek zgłaszającego, zgłoszenie ustne może być dokonane za pomocą bezpośredniego spotkania zorganizowanego w terminie 14 dni od dnia otrzymania takiego wniosku. W takim przypadku, za zgodą zgłaszającego, zgłoszenie jest dokumentowane w formie: nagrania rozmowy, umożliwiającego jej wyszukanie, lub protokołu spotkania
- pisemnie: w formie papierowej albo elektornicznej.
Podmiot prawny zapewnia, aby procedura zgłoszeń wewnętrznych oraz związane z tym przetwarzanie danych osobowych uniemożliwiały uzyskanie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom oraz zapewniały ochronę poufności tożsamości zgłaszającego, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.
Do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych osób mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.
Przyjąć zgłoszenie może również podmiot zewnętrzny. Wówczas należy z podmiotem tym zawrzeć umowę w celu powierzenia obsługi przyjmowania zgłoszeń, potwierdzania przyjęcia zgłoszenia, przekazania informacji zwrotnej oraz zapewnienia informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. Umowa, określa szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 rozporządzenia 2016/679 (RODO), który stanowi, że:
„przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
c) podejmuje wszelkie środki wymagane na mocy art. 32;
d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych“.
Autorzy:
radca prawny Anna Oszczęda
radca prawny Anna Myślicka