Dyrektywa o sygnalistach. Jak ją wdrożyć zgodnie z RODO? #RODOFAQ
Ochrona sygnalistów do tej pory była stosowana w Polsce jako dobra praktyka (wyjątek stanowiły instytucje bankowe, gdzie whistleblowing jest obowiązkowy od 2017 r.). Wiele podmiotów uznało, że budowa bezpiecznego kanału do zgłaszania nieprawidłowości, pomoże im w rozwoju.
Jednak zgodnie z Dyrektywą PE i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, teraz każda organizacja (spełniająca pewne kryteria – jakie? o tym dalej) powinna zapewniać ochronę sygnalistom. Zgodnie z przepisami unijnymi, do dnia 17 grudnia 2021 roku, ma pojawić się Polska ustawa, która będzie mówiła kto i jak powinien chronić sygnalistów. Obecnie mamy już jej projekt, ale wciąż jest on w procesie legislacyjnym i może ulec niewielkim (prawdopodobnie) zmianom.
Jakie są korzyści z wdrożenia przepisów dotyczących sygnalistów?
Jeśli kierownictwo dostanie sygnał o tym, że któryś z pracowników działa niezgodnie z prawem, to jest szansa na wyjaśnienie sytuacji znacznie wcześniej, niż gdyby poinformował o niej np. przestraszony klient.
Sygnały mają zapobiegać nieprawidłowościom w ich najbardziej pierwotnym stadium. Mają sprawić, że Twoja organizacja będzie mogła bardziej liczyć na własnych pracowników, którzy pierwsi widzą niepokojące sytuacje. Mogą jednak obawiać się, że jeśli o takiej sytuacji poinformują kierownictwo, to np. ich bezpośredni przełożeni, wyciągną wobec nich surowe konsekwencje.
Kto musi chronić sygnalistów i ile jest czasu na wdrożenie procedur?
Przepisy dotyczą odpowiednio:
- wszystkich pracodawców bez względu na sektor (prywatny / publiczny) zatrudniających co najmniej 50 pracowników;
- pracodawców zatrudniających poniżej 50 pracowników, jeżeli wykonują działalność w zakresie usług, produktów i rynków finansowych, zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska.
Mniejsze organizacje, mają dwa dodatkowe lata na wdrożenie nowych przepisów:
- podmioty w sektorze prywatnym zatrudniające co najmniej 50 i mniej niż 250 pracowników mają czas do dnia 17 grudnia 2023 r.,
- pozostałe podmioty mają czas do wejścia w życie procedowanego projektu ustawy, a szacowany termin to grudzień 2021 r.
Jeśli zatem Twoja organizacja nie znajduje się na liście odraczającej wdrożenie, to nie zostało Ci już zbyt wiele czasu.
Pomożemy Ci wdrożyć dyrektywę o sygnalistach
Wdrożymy dla Ciebie „szyte na miarę” procedury, regulaminy i instrukcje. Przeszkolimy Twój zespół. Zadbamy o zgodność całego procesu z RODO.
SprawdźCo oznacza wdrożenie ochrony sygnalistów z perspektywy RODO?
RCP
Teraz skupimy się na perspektywie RODO. Przetwarzanie danych sygnalistów wiąże się z nowym procesem przetwarzania danych osobowych. Taki proces powinien zostać opisany w rejestrze czynności przetwarzania danych osobowych, tak samo jak każdy inny proces.
Obowiązek informacyjny
Jeśli mamy nowy proces przetwarzania, to pamiętaj także o dopełnieniu obowiązków informacyjnych. To szczególnie ważne w związku z tym, że potencjalni sygnaliści muszą czuć się bezpiecznie, jeśli chcesz liczyć na ich pomoc. Obowiązek informacyjny powinien oczywiście spełniać wszystkie wymogi RODO. Warto jednak dopełnić go w sposób szczególnie prosty i czytelny. Sygnaliści muszą wiedzieć co dokładnie wydarzy się po zrealizowania przez nich zgłoszenia i dlaczego mogą czuć się bezpiecznie.
Retencja
W obowiązku informacyjnym powinien oczywiście znaleźć się także wskazany okres retencji dla zgłoszeń. Zgodnie z art. 10 projektu Ustawy o ochronie osób zgłaszających naruszenia prawa, dane osobowe przetwarzane w związku z przyjęciem zgłoszenia są przechowywane nie dłużej niż przez okres 5 lat od dnia przyjęcia zgłoszenia.
Upoważnienia
Szczególnie istotnym elementem będzie również nadanie upoważnień dla osób, które będą posiadały dostęp do danych osobowych sygnalistów. Pamiętaj o aktualizacji swojej ewidencji upoważnień w tym zakresie.
Bezpieczeństwo zewnętrznego kanału do zgłaszania sygnałów
Jeśli korzystasz z zewnętrznej platformy zgłoszeniowej, nie zapomnij o przygotowaniu umowy powierzenia lub sprawdź regulamin usługi (jeśli powierzenie jest w regulaminie).
Skorzystaj z bezpiecznego systemu do zgłaszania sygnałów Esingaller
Zamów sprawdzony, bezpieczny, rozliczalny i niezależny kanał do obsługi zgłoszeń sygnalistów. Skorzystaj z Esignallera. Więcej informacji o systemie znajdziesz tutaj. Jeśli skorzystasz z poniższego linku aktywacyjnego, to otrzymasz rabat 10% na wartość zamówienia.
DPIA
To jednak nie wszystko. Systemy służące do zgłaszania nieprawidłowości (whistleblowing) zostały wskazane przez UODO jako te, które wymagają wykonania oceny skutków dla ochrony danych osobowych (DPIA), w myśl art. 35 RODO.
Każda organizacja ma nieco inną procedurę realizowania oceny skutków, ważne aby została ona uruchomiona.
Tutaj możesz pobrać checklistę wdrożenia obsługi zgłoszeń sygnalistów uwzględniającą ochronę danych osobowych.
Pobierz plik z praktyczną chcecklistą "Sygnaliści a RODO"
PobierzZaproszenie
Tymczasem już za tydzień, zapraszam na nasz pierwszy #wywiadIOD do kanału YouTube „Czas na RODO” gdzie naszym gościem będzie r.pr Mirosław Gumularz, który opowie więcej na temat nowych przepisów. Wywiad ukaże się także w formie spisanej na naszym blogu.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii
- Projekt Ustawy o ochronie osób zgłaszających naruszenia prawa (wersja z dnia 14 października 2021 r.)
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.