Sygnaliści a RODO – #wywIOD

Zapraszamy na pierwszy w historii naszego bloga.. #wywIOD :). Czyli nową serię artykułów-wywiadów z interesującymi osobami ze świata ochrony danych osobowych. I nie tylko, bo temat dzisiejszego odcinka jest powiązany z RODO „tylko” pośrednio. O sygnalistach, o nowych obowiązkach dla pracodawców wynikających z implementacji unijnej dyrektywy opowie nam dzisiejszy gość, czyli dr Mirosław Gumularz.

Obejrzyj #wywIOD w formie video na YouTube…

… albo odsłuchaj w formie podcastu…

… albo przeczytaj transkrypcję wywiadu na blogu

-Cześć Mirku!

-Cześć, dzień dobry wszystkim.

–Jakbyś mógł powiedzieć parę słów o sobie.

– Nazywam się Mirosław Gmularz, jestem Radcą Prawnym. Zajmuje się ochroną danych i bezpieczeństwem informacji, a jeżeli chodzi o sygnalistów to zajmuję się tym dlatego, że to jest działka gdzieś pomiędzy właśnie bezpieczeństwem informacji, ochroną danych, ogólnym zarządzeniem zgodnością, procesami w firmie. Czyli szeroko pojętym i szumnie określanym compaliance, a jednocześnie właśnie jeżeli chodzi o te procesy to wspieram klientów we wdrażaniu wymogów dotyczących zgłaszania naruszeń prawa. Od razu bym tu podkreślił – zawsze tam gdzie będzie się pojawiało określenie „sygnaliści”, to tak naprawdę chodzi o osoby, które zgłaszają informację dotyczące naruszeń przepisów prawa. Czyli nie jakiś błahych rzeczy, ale jednak poważnych tematów.

– No właśnie, to miało być pierwsze moje pytanie i właściwie na nie odpowiedziałeś. Bardzo często nasi słuchacze i klienci zastawiają się kim właściwie ten sygnalista jest. Często wydaje im się, że ktoś przyjdzie i powie „o! zegarek krzywo wisi w recepcji”, albo „dostałem brudną filiżankę do kawy”. Więc rozumiem, że to nie jest sygnalista, tak?

– 😊 może być, o ile ten wiszący źle zegarek będzie powodował jakieś naruszenia przepisów.

– BHP na przykład, jeśli spadnie komuś na głowę 😉

– Dokładnie tak! Natomiast co do zasady, to jest osoba, która jest pracownikiem / byłym pracownikiem / kandydatem. Katalog tych osób w zasadzie wynika z dyrektywy i będzie implementowany do Prawa Polskiego. Zobaczymy jak finalnie będzie to wyglądało, natomiast nie jest to osoba z zewnątrz, tylko to jest osoba, która jakoś w tej organizacji u nas zaistniała. Ważna rzecz – tutaj od razu pojawia się kwestia, jak my będziemy to weryfikować. Bo nie jest też powiedziane, że my będziemy to na starcie wiedzieć kto się do nas zgłosił, zwłaszcza jeżeli przyjmiemy możliwość zgłoszeń anonimowych. Czyli tu się otworzy całe pole problemów dotyczących wstępnej weryfikacji tych zgłoszeń i sprawdzania czy to jest osoba uprawniona w rozumieniu przepisów.

– Rozumiem. Za chwilę sobie do tego tematu wrócimy. Jeszcze kilka pytań na rozgrzewkę wstępnych, bo o to często pytają nas słuchacze oraz klienci. Czy sygnalista i whistleblower to jest to samo, czy coś innego?

– To jest to samo. W zasadzie przepisy posługują się pojęciem osoby zgłaszającej naruszenia przepisów prawa i szczerze mówiąc, zacząłem posługiwać się właśnie tym pojęciem. Bo pojęcie sygnalisty może nie koniecznie obrazuje rangę problemu. Jeżeli wiemy, że to chodzi o ochronę osób, które działają w interesie publicznym (bo one nie mogą działać we własnym interesie) – to jest bardzo ważne. Czyli taki „sygnalista” działa w interesie publicznym i zgłasza informację dotyczące naruszeń przepisów prawa wymienionych w samej dyrektywie. Ten katalog będzie wynikał też z przepisów krajowych i tu chociażby są kwestię zamówień publicznych, ochrony środowiska, transportu, ochrony prywatności.

Czyli sygnalistą może być np. osoba, która jako były pracownik zgłasza naruszenie dotyczące zabezpieczeń systemów. To też będzie zgłoszenie, które będzie wymagało obsługi.

– Czyli możemy sobie śmiało postawić znak równości między whistleblowerem, sygnalistą, a tym dłuższym zwrotem – osoba zgłaszająca naruszenie przepisów prawa, tak?

– Dokładnie tak.

– Natomiast dla prostoty, zwięzłości i szybkości – będziemy używali sobie tego zwrotu „sygnalista”. Podejrzewam, że to też w języku potocznym się przyjmie i jak te przepisy będą wchodziły w życie, to media będą się też powszechnie posługiwały właśnie zwrotem „sygnalista”.

Mam do Ciebie jeszcze jedno pytanie – bardzo często słowo „sygnalista” ma pejoratywne zabarwienie. Wielu osobom to słowo kojarzy się (prawdopodobnie przez jakieś zaszłości z historyczne) z donosicielem. Dlaczego odpowiednie rozumienie słów jest ważne? Dokładnie tak samo jak miało to miejsce w 2018 r. w przypadku RODO: jeżeli traktujemy przepisy, które wdrażamy negatywnie i od razu na starcie mamy do nich negatywne podejście, wdrażamy je dlatego bo nam ktoś karze, a nie dlatego bo wydaje nam się to słuszne, to cały proces będzie nieskuteczny. A możemy przecież podejść do tego od zupełnie innej, pozytywnej strony i traktować sygnalistów jako potencjalną możliwość i okazję do poprawienia czegoś co nie działa w ich organizacji. Czy znasz może jakieś pozytywne przykłady sygnalistów?

– Można wręcz powiedzieć, że wszystkie „grube sprawy”, które zgłaszały media dotyczące chociażby Facebooka czy dostawców technologicznych, ogromnych wycieków czy masowej inwigilacji – to zawsze byli sygnaliści. Tego typu informację na ogół ma osoba z wewnątrz. Osoba „z ulicy” nie jest w stanie uzyskać informacji, które właśnie później można zgłosić jako potencjalne naruszenie. Ale też ważna rzecz – tutaj regulacja nam pomoże zrozumieć, że właśnie ten sygnalista nie jest donosicielem. Dlaczego? Przepisy wykluczają chociażby to o czym powiedziałem wcześniej, czyli zgłoszenie we własnym interesie. Co więcej jeżeli osoba będzie działała w złej wierze i będzie wiedziała, że swoim zgłoszeniem naruszy dobra osobiste (bo zgłoszenie jest nieprawdziwe) to ona też nie będzie chroniona! Taka osoba sama również będzie ponosiła odpowiedzialność. Czyli zadziała to w dwie strony. Dlatego ja bym się nie bał tutaj zalewu takich nieładnie mówiąc „pieniaczych spraw”. Potencjalni autorzy zgłoszeń będą informowani na szkoleniach dla pracowników, w klauzulach informacyjnych i regulaminach, że jeżeli wykroczą poza te kryteria bycia sygnalistą, to nie będą chronione chociażby przed działaniami odwetowymi.

Pomożemy Ci wdrożyć dyrektywę o sygnalistach

Wdrożymy dla Ciebie „szyte na miarę” procedury, regulaminy i instrukcje. Przeszkolimy Twój zespół. Zadbamy o zgodność całego procesu z RODO.

Sprawdź

– Czyli parafrazując klasyka „with great power comes great responsibility” – tzn. pracownicy otrzymują specjalną moc, ale idzie z nią razem w parze specjalna odpowiedzialność.

– Myślę, że to wykluczy zgłoszenia od osób, którym teraz wydaje się, że mogą „dla żartów” wysłać jakieś „śmieszne” zgłoszenie. Bo jak się dowiedzą o odpowiedzialności za takie nieuprawnione zgłoszenie – myślę, że się dwa razy zastanowią zanim to zrobią. W efekcie w ramach tych zgłoszeń będą wpadały sprawy, które rzeczywiście będą wskazywały na naruszenia przepisów prawa.

– Mirku, powiedz mi ważną rzecz. Terminy, terminy i jeszcze raz terminy: ile mamy czasu na wdrożenie tych nowych przepisów. Kiedy jest deadline?

– 17 grudnia to jest czas, kiedy Polska powinna implementować dyrektywę. W tym momencie kończą się konsultację projektu polskiej ustawy implementującej dyrektywę. Zawiera ona chociażby przepisy karne (bardzo rozległe). Zobaczymy na ile to się ostanie w  finalnych regulacjach. Czyli 17 grudnia jest deadline w tym sensie, że Polska powinna przyjąć przepisy krajowe. I teraz tak: jeżeli nie przyjmie przepisów krajowych, to zgodnie z utrwalonym Orzecznictwem Trybunału Sprawiedliwości UE, dyrektywa znajdzie bezpośrednie zastosowanie w relacjach Obywatel – Państwo.

Czyli 17 grudnia to termin wiążący przede wszystkim dla sektora publicznego. Najpewniej dla podmiotów zatrudniających co najmniej 50 pracowników, bo w tym kierunku idzie projekt polskiej regulacji.

Z sektora prywatnego na pewno podmioty 250+ już powinny zacząć przygotowywać się do zmian. Natomiast podmioty prywatne zatrudniające pomiędzy 50, a 250 osób na umowę o pracę – najprawdopodobniej ich obowiązki będą przesunięte w czasie.

Nie wiemy jeszcze na ile będą przesunięte i też w jakim zakresie. Tutaj się pojawia ciekawy problem. Czy oni w ogóle będą wyłączeni przez 2 lata z tych obowiązków, czy tylko nie będą mieli obowiązku wdrażać pewnych regulaminów, procedur. To jest ciekawa kwestia bo jak się popatrzy na przepisy projektu to one nie mówią, że do podmiotów 50 – 250 nie stosuje przez dwa lata przepisów. Tylko mówią, że nie muszą przyjmować regulaminów. A to nie oznacza, że jak przyjdzie zgłoszenie to nie muszą go obsłużyć i zabezpieczyć.

Dlatego dla tych podmiotów, które najpewniej będą stosować te przepisy (sektor publiczny 50+ oraz większe firmy z sektora prywatnego) – moim zdaniem nie ma co czekać. Bo naprawdę kwestii do ustalenia jest cała masa. Chociażby kto to będzie obsługiwał i w jaki sposób będziemy przyjmowali zgłoszenia.

–  Tutaj pojawia się bardzo ważne pojęcie. Pamiętajmy, że limity 50 osób zatrudnionych w sektorze publicznym oraz 250 w sektorze prywatnym dotyczy osób zatrudnionych na umowę o pracę.

– Tak, przynajmniej tak brzmi projekt i wydaje mi się, że w tym kierunku to pójdzie. Natomiast co ważne – niezależnie od wielkości etatu. Czyli liczymy „głowy”, a nie liczymy etatów.

Czy będziemy liczyć też osoby na B2B, czy umowy zlecenia – wydaje mi się, że nie. Ale tutaj ostrożnie bym poczekał do przepisów krajowych.

– Wspominałeś o tym, wcześniej, ale żeby to też dobrze wybrzmiało: co jeżeli nie zdążę? Jestem przedsiębiorcą zatrudniającym minimum 250 osób, albo jestem przedsiębiorcą zatrudniającym 150 osób, czyli nie mieszczę się w widełki bezwzględne, natomiast zdaję sobie sprawę, że prawdopodobnie takie zgłoszenia będą do mnie wpadały. Jakie sankcję grożą mi jeżeli nie zrobię nic w kierunku uregulowania kwestii sygnalistów, wdrożenia odpowiednich procedur czy zapewniania bezpiecznego kanału do zgłaszania sygnałów.

– Nie lubię epatować konsekwencjami, natomiast te konsekwencję mogą być bardzo różne.

Po pierwsze może to być naruszenie, czyli incydent w rozumieniu RODO. Ponieważ jeżeli trafi do nas zgłoszenie i nagle nie wiemy jak je obsłużyć, prawdopodobnie dojdzie do ujawnienia tożsamości osoby zgłaszającej.

To może być też typ karny, bo przepisy zawierają bardzo wiele typów, chociażby utrudnianie zgłoszeń, czy ujawnienie tożsamości.

Zobaczymy czy one się ostaną w finalnej wersji ustawy, bo tego nie wiemy.

Może też być to naruszenie prawa pracy, dóbr osobistych pracowników. Co też ważne – pamiętajmy o tym, że ta regulacja ma służyć nie tylko ochronie sygnalistów, ale też osób, których dotyczy zgłoszenie. Czyli jeżeli tam się pojawi imię i nazwisko (np. sygnalista wskazuje, że dochodzi w firmie do naruszenia prawa pracy, mobbingu) to też będzie oddziaływało na inne osoby. Jeżeli my nie mamy procedury, która też zapewnia ochronę tamtych osób przed nieuprawnionym oskarżeniem, to one mogą wyciągać w tym zakresie konsekwencje. Być może pozwą pracodawcę o naruszenie dóbr osobistych z tego względu, że właśnie on nie zapewnił nie tylko sygnaliście, ale też im ochrony w związku ze zgłoszeniem.

– Czyli na pewno nie zaszkodzi! Uniknie się dzięki temu wielu różnych ryzyk. Wiemy już kto, kiedy i dlaczego powinien wdrożyć zasady, procedury odnośnie zgłoszeń sygnalistów. To powiedzmy sobie teraz, co dokładnie powinienem wdrożyć? Jakieś dokumenty, regulaminy? Powiedz co konkretnie co jako pracodawca powinienem zrobić do 17 grudnia 2021 r.

– To będzie przede wszystkim kwestia regulaminu wewnętrznego, czyli procedury obsługi zgłoszeń.

W ramach tego regulaminu będziemy musieli przesądzić szereg kwestii. Po pierwsze w jaki sposób te zgłoszenia będą mogły następować, czy to będzie kanał informatyczny, tradycyjny, jak go zabezpieczymy. Gdzie te zgłoszenia wpadną i kto je będzie rozpatrywał. Outsourcing czy wewnętrznie. Jak zapewnimy niezależność tych osób, które te zgłoszenia będą rozpatrywały. Następnie w jaki sposób przeprowadzimy postępowania wewnętrzne sprawdzające, jeżeli uznamy wstępnie, że zgłoszenie uprawdopodobnione w sensie, że to jest osoba, która może je zgłosić.

Więc tych kwestii jest cała masa, a to się łączy z bezpieczeństwem informacji i z samym RODO! Bo będziemy musieli też przeprowadzić ocenę ryzyka i ocenę skutków czyli zidentyfikować zagrożenia związane z poszczególnymi operacjami: przyjmowaniem, przechowywaniem danych, przechowaniem dowodów itd. Powinniśmy też zdecydować czy środki bezpieczeństwa, które planujemy wdrożyć są adekwatne dla tych ryzyk. Uwzględniając wagę i prawdopodobieństwo potencjalnych konsekwencji.

A tutaj to jest też ciekawa rzecz, bo my często dokonując oceny ryzyka zastanawiamy się nad potencjalnymi konsekwencjami. Motyw 70 RODO wskazuje na różne przykrości, które mogą się wydarzyć w związku z naruszeniem ochrony danych osobowych, ale nie ma co ukrywać, często to jest trochę naciągane. My się zastanawiamy czy dojdzie do naruszenia dóbr osobistych, a tutaj to jest jak kawa na ławę: czyli ustawa mówi konkretnie, jakie negatywne konsekwencje mogą dla sygnalisty wystąpić w związku z ujawnieniem chociażby jego tożsamości. Czyli te kryteria oceny ryzyka od razu są „zasilane” tą szczególną procedurą dotyczącą sygnalistów.

Sprawdzone szablony procedur

Skorzystaj ze sprawdzonych wzorów do samodzielnego wdrożenia ochrony sygnalistów. Otrzymasz regulamin, instrukcję, procedurę i ocenę ryzyka.

Sprawdź

– Czyli można by powiedzieć, że te obowiązki dzielą się na trzy grupy. Pierwsza grupa to wewnętrze regulaminy i procedury związane z samym procesem zgłaszania sygnałów. Druga grupa obowiązków to zapewnienie bezpiecznego kanału dla sygnalistów. I trzecia grupa obowiązków to obowiązki związane z RODO. Czy tak?

– Dokładnie tak. One oczywiście się łączą w cały ekosystem.

– Tak, bo jeżeli robimy przykładowo procedurę to musimy tam opisać kanał, który jest bezpieczny do zgłaszania sygnałów. To teraz powiedzmy sobie coś na temat każdego z tych elementów. Pierwszy procedury, regulamin. Czy my tu musimy zgłaszać do jakiegoś regulatora? Urzędu? Tak jak mamy np. UODO do którego musimy zgłosić IODa. Czy tu też jest jakiś regulator gdzie powinniśmy raportować opracowane przez nas dokumenty?

– Raportować nie musimy. Natomiast to zależy jeszcze od tego jak będą brzmiały finalnie przepisy krajowe. Prawdopodobnie będzie obowiązek konsultacji z pracownikami, czyli trochę tak jak mamy teraz przy monitoringu wizyjnym, czy przy innych formach monitorowania. Z pewnością jakiś proces związany z uwzględnieniem uwag pracowników tutaj będzie następował. Zobaczymy jeszcze w jakim zakresie.

Najprawdopodobniej tutaj nie będzie żadnej notyfikacji na zewnątrz, czy wprowadziliśmy jakąś procedurę czy nie, natomiast oczywiście może być to kontrolowane. Chociażby przez Państwową Inspekcję Pracy, czy Urząd Ochrony Danych Osobowych, gdyby doszło do incydentu związanego z ujawnieniem tożsamości sygnalisty.

– A jeżeli chodzi o tą druga grupę obowiązków? Czyli zapewnienie bezpiecznego kanału. Załóżmy, że jestem pracownikiem. Chciałbym poinformować mojego pracodawcę, że mój bezpośredni przełożony stosuje w stosunku do mnie mobbing. Boje się o swoją tożsamość, o to że ta informacja wyjdzie na jaw i mój bezpośredni przełożony się o tym dowie. Jaką formę bezpiecznej komunikacji tych naruszeń, może zapewnić mój pracodawca. Albo z drugiej strony – ja, jako pracodawca, jaką formę komunikacji mogę tutaj zapewnić?

– To trochę działa jak w RODO. Mamy masę przepisów, które mówią o konieczności wdrożenia odpowiednich środków technicznych lub organizacyjnych. Czyli w zasadzie powinienem zacząć od oceny ryzyka. Bo kanał przyjmowania i odpowiedzi na zgłoszenia sygnalisty, będzie podlegał ocenie ryzyka.

Dlatego jeżeli dojdę do wniosku, że jakiś kanał jest niebezpieczny to powinienem zastosować inny, lepiej zabezpieczony. Nie ma przepisu prawa, który mówiłby jak dokładnie ma wyglądać taki kanał zgłoszeń. Natomiast to będzie działało w ten sposób, moim zdaniem: im mniej techniczny sposób (czyli jak firma sobie wymyśli, że będzie przyjmowała zgłoszenia do skrzyneczki), tym większe ryzyka. Jeśli np. szkoła prowadzi wszystko na papierze, to jest cała masa ryzyk, które są związane z prowadzeniem w ten sposób dokumentacji.

Z tym, że to nie jest tak, że kanały informatyczne same w sobie nie rodzą problemów. One pozwalają pewne rzeczy ustrukturyzować. Ustrukturyzować dostęp do tego, do zarządzania uprawnieniami, odbieraniem uprawnień i tak dalej.

Nawet wczoraj na jednym ze spotkań omawialiśmy tą kwestię. I jak zaczęliśmy sobie wyobrażać ile zagrożeń rodzi przyjmowanie ustne, tradycyjne, pisemne, i że tego typu mechanizm ogranicza później komunikację. Przepisy nie mówią tylko „przyjmij zgłoszenie”, ale też „prowadź komunikację z sygnalistą”.

Chociażby przekaż mu komunikację co do tego jak jego sprawa została rozstrzygnięta. Teraz wyobraźmy sobie, że zgłoszenie przebiegło w formie ustnej. I teraz jak opowiedzieć sygnaliście na to w jaki sposób rozstrzygnęliśmy sprawę? Czy zaprosić go do pokoju? To są oczywiste ryzyka. Wszyscy będą wiedzieć, że w tym, a nie innym miejscu przychodzi osoba, która potencjalnie jest sygnalistą. Tutaj jest dość duży zakres swobody, w sensie przepisów, ale moim zdaniem on w praktyce nie będzie aż taki szeroki.

– Rozumiem. Czyli im więcej wysiłku włożę we wdrożenie tego odpowiedniego kanału komunikacji i im większą rozliczalność będzie zapewniał – tym lepiej?

– Dokładnie tak jak w RODO. Wszystko możemy robić na kartce papieru, tylko pytanie czy my się rozliczymy z tego, że to jest adekwatne.

– Trochę tak jak prowadzenie Rejestru Czynności Przetwarzania na papierze. Ja sobie osobiście tego nie wyobrażam. Przejdźmy jeszcze do trzeciego obszaru, w którym konieczne będzie podjęcie pewnych działań – czyli aktualizacja procedur związanych z RODO. Na pierwszy ogień RCP: czy coś będziemy musieli zmieniać?

– Z pewnością będziemy musieli dodać nowy proces. Nawet jeżeli dopuścimy możliwość zgłoszeń anonimowych (bo taką możliwość dopuszczają przepisy projektu) to przecież dane osobowe się tam pojawią. Chociażby innych osób niż sam sygnalista, wskazanych np. jako świadkowie pewnych zdarzeń. Albo tej osoby, której zgłoszenie dotyczy. Czyli na pewno będziemy musieli stworzyć nowy proces i uzupełnić rejestr czynności w tym zakresie.

– OK. Poza RCP, co powinniśmy jeszcze zaktualizować albo jakie inne działanie powinniśmy podjąć?

– Na pewno powinniśmy podjąć ocenę ryzyka i to pogłębioną ocenę ryzyka, którą RODO nazywa oceną skutków.

Czyli zidentyfikować operacje na danych, które będą miały miejsce. Powinniśmy też zidentyfikować aktywa które będą uczestniczyły w tych operacjach (przechowywanie danych, zbieranie, przechowywanie dowodów). No i oczywiście – zidentyfikować zagrożenia.

Ocena skutków zawiera jeszcze ocenę proporcjonalności i niezbędności. Tutaj przede wszystkim będziemy musieli zastanowić się czy ten sposób zbierania danych, zakres zbierania danych, czy jest proporcjonalny i niezbędny do tego, żeby spełnić wymogi wynikające z przepisów.

– Czyli jednym słowem DPIA.

– Dokładnie, czyli artykuł 35 RODO.

– Trochę pracy nam się szykuje… Regulamin, wdrożenie, bezpieczny kanał, działania związane z RODO, ocena ryzyka, RCP, DPIA. Działań jest sporo… Dlatego drogi słuchaczu, jeżeli nie chcesz wymyślać prochu na nowo, to przygotowaliśmy dla Ciebie specjalne pakiety wdrożeniowe. W treści artykułu znajdziesz bannerki z informacjami na ten temat.

Staraliśmy się aby pakiety były przyszyte na miarę, dla każdego coś się znajdzie. Są to albo same szablony procedur i regulaminów, albo wzory i szablony poszerzone o szkolenie i o konsultacje pomagające we wdrożeniu. Znajdziesz tu też informacje o bezpiecznym kanale do zgłoszeń sygnalistów. Jest to system o nazwie – Esignaller. Zachęcam żeby skorzystać z naszego linku rejestracyjnego, bo jest w nim zakodowane 10% zniżki na abonament w tym systemie.

Skorzystaj z bezpiecznego systemu do zgłaszania sygnałów Esingaller

Zamów sprawdzony, bezpieczny, rozliczalny i niezależny kanał do obsługi zgłoszeń sygnalistów. Skorzystaj z Esignallera. Więcej informacji o systemie znajdziesz na stronie internetowej tutaj i w wideoprezentacji tutaj. Jeśli skorzystasz z poniższego linku aktywacyjnego, to otrzymasz rabat 10% na wartość zamówienia.

Zamów ze zniżką

Jeżeli jesteśmy już przy wdrażaniu w praktyce tej dyrektywy, to mam do Ciebie pytanie – czy proces wdrożenia będzie się różnił w sektorze publicznym i prywatnym?

– W zasadzie nie będzie się różnił.

Zwłaszcza jeżeli chodzi o zgłoszenia wewnętrzne, bo jeszcze tutaj dodałbym jedną rzecz. Dyrektywa i przepisy krajowe będą rozróżniać zgłoszenia wewnętrzne, czyli pracowników i byłych pracowników wewnątrz organizacji i zgłoszenia zewnętrzne czyli do wyznaczonych organów publicznych. Takich jak chociażby Rzecznik Praw Obywatelskich.

Prawo rozgranicza też tzw. ujawnienia publiczne, czyli sygnalista obwieszcza światu dane naruszenie prawa. Sygnalista robi to, kiedy nie wchodząc w szczegóły, nie został potraktowany poważnie na wcześniejszych etapach.

Jeżeli chodzi o zgłoszenia wewnętrzne to tutaj niespecjalnie się te mechanizmy tutaj będą różniły w sektorze publicznym i prywatnym.

Zaznaczę jeszcze jedną rzecz o której nie wspomniałem wcześniej. Przepisy krajowe zawierają mechanizm, który mówi, że w pewnych sytuacjach nawet niezależnie od tego ile osób zatrudniamy, będziemy musieli  wdrożyć ochronę sygnalistów. Są to przypadki organizacji „z branży” chociażby ochrony środowiska, transportu i wszystkich podmiotów, które są podmiotami obowiązanymi na gruncie AML. Czyli wbrew pozorom katalog może być szerszy niż się na pierwszy rzut oka wydaje. I to właśnie szarszy już na samym początku. Bo to, że za jakiś czas, za kilkanaście miesięcy WSZYSTKIE podmioty powyżej 50ciu pracowników będą musiały stosować ochronę sygnalistów to już praktycznie jest przesądzone.

– Czy ja ten proces mogę w jakiś sposób mogę wyoutsourcować? Załóżmy, że jestem przedsiębiorcą zatrudniającym ponad 250 osób i nie mam działu compliance. Albo jestem dyrektorem szkoły zatrudniającej 50ciu nauczycieli i pracowników administracyjnych… To pytanie czy ja mogę sobie ten proces wygodnie wyoutsourcować  na zewnątrz? A jeżeli tak, to czym się powinienem kierować przy podejmowaniu decyzji komu mogę go wyoutsourcować?

– Bardzo podobnie jak na gruncie RODO. Czyli mogę wyoutsourcować na zewnątrz zarówno proces przyjmowania i rozpatrywania zgłoszeń.

Ale muszę to zrobić na rzecz podmiotu, który będzie spełniał kryteria wskazane w przepisach. Przede wszystkim niezależność. Dyrektywa i ustawa krajowa dopuszczają taką możliwość, ale to nie może być osoba przypadkowa, moglibyśmy powiedzieć „z ulicy”. Chociażby z tego względu, że jeżeli dojdzie do incydentu na gruncie RODO to ja wyobrażam sobie wtedy ryzyko kontroli i konieczności wykazania, że ten podmiot zewnętrzny spełniał odpowiednie kryteria. Chociażby wynikające z konieczności ochrony prywatności w fazie projektowania.

Czyli jak projektujemy procesy ochrony sygnalistów, to akurat ten proces będzie na tyle specyficzny, że aspekt personelu i osób, które będą rozpatrywały czy przyjmowały te zgłoszenia będzie niezwykle ważny.

Jednocześnie wyoutsourcowanie z całą pewnością będzie ułatwiało nam odseparowanie tego zgłoszenia od organizacji. Czyli w jakimś sensie wykluczymy część ryzyk związanych z tym, że np. ktoś w naszej organizacji chciałby uzyskać informację, kto jest w danym przypadku sygnalistom.

– A jeżeli będzie to np. zewnętrzny system, to taka możliwość będzie zablokowana…

– Na pewno, tak.

– Mirku, przechodząc do podsumowania, uzupełnij mnie proszę jeżeli coś bym pominął. W ramach podsumowania przygotowałem krótkie „orędzie” do słuchaczy i widzów pt.: „co powinienem/powinnam zrobić w związku z nadchodzącymi zmianami 17 grudnia 2021 r.”?

Po pierwsze powinienem sprawdzić czy w ogóle podlegam pod obowiązek wynikający z ustawy czy dyrektywy. Czyli czy mieszczę się w tych kryteriach, 50+ dla sektora publicznego i 250+ dla firm prywatnych. A jeżeli się nie mieszczę się w tych kryteriach, to czy może mimo to warto byłoby się tym tematem zająć (oceniam ryzyko wystąpienia tego typu zgłoszeń jako wysokie)?

Jeżeli odpowiedź na pytanie postawione w ramach etapu pierwszego brzmi: tak, to powinienem zająć się wdrożeniem w swojej organizacji: regulaminu, procedury, bezpiecznego kanału komunikacji i RODOwskiej oceny ryzyka, DPIA oraz aktualizacji RCP.

– Dokładnie tak. Jeszcze bym tylko dodał na koniec, że czasem to też będzie wymagało przeglądu innych procedur jak chociażby procedur reklamacyjnych.

Nie możemy wykluczyć, że np. sygnalista nie wiedząc dokładnie, gdzie ma dokonać zgłoszenia, wykorzysta kanał, który typowo jest wykorzystywany właśnie przez osoby zgłaszające reklamacje w naszej organizacji. Także taki ogólny przegląd procedur to byłby jeszcze jeden dodatkowy element.

– …albo np. kanał związany z realizacją praw RODO.

– Oczywiście. Wyobraźmy sobie, że pisze człowiek, że mamy niewystraczające zabezpieczenia w naszych systemach. Być może jest to były pracownik. Nie jest to roszczenie. Nie zgłasza w tym momencie chęci realizacji swoich praw jak dostęp do danych. Być może właśnie tego typu zgłoszenia powinniśmy traktować jako zgłoszenia sygnalistów, o ile oczywiście jest to osoba wskazana w katalogu wynikającym z przepisów.

– Mirku, dziękuję Ci bardzo za odpowiedzi na moje pytania. I za cały wywiad. Masa praktycznej i użytecznej wiedzy. Dlatego mam propozycję: moglibyśmy się spotkać, np. za pół roku i spojrzeć tak z perspektywy 6 miesięcy na to jak dyrektywa, jak polska ustawa jest stosowana w praktyce. I mógłbyś się wtedy podzielić z nami doświadczeniami: „6 miesięcy po” – najciekawsze przykłady z jakimi miałeś do czynienia, opisać to co działa, co nie działa. Co Ty na to?

– Jasne, super! Dzięki za zaproszenie.

– Rewelacja! Jesteśmy umówieni. Jeszcze raz dziękuję Ci bardzo za ten #wywIOD, a z Wami drodzy słuchacze – żegnam się! 😊