Najnowsza wersja projektu została opublikowana w dniu 11 stycznia br. na stronie Rządowego Centrum Legislacji.
Mając na uwadze skierowany do Przewodniczącego Stałego Komitetu Rady Ministrów wniosek o pilne rozpatrzenie projektu z pominięciem etapu uzgodnień, opiniowania, konsultacji publicznych oraz rozpatrzenia przez Komitet do Spraw Europejskich już teraz należy podjąć działania w celu opracowania rozwiązań zapewniających skuteczność oraz poufność zgłaszania nieprawidłowości w organizacji.
Szczególną uwagę należy poświęcić zgodności przyjętych rozwiązań z wymogami rozporządzenia RODO.
Obowiązki informacyjne RODO
W związku z obsługą zgłoszeń administratorzy danych osobowych zobowiązani będą do przekazywania szeregu informacji osobom, których dane osobowe będą przetwarzane - nie tylko sygnaliście, ale również innym osobom objętym zgłoszeniem. Biorąc pod uwagę, że jedną z kluczowych kwestii związanych z ochroną sygnalistów, jest zapewnienie poufności ich tożsamości, powyższe może być źródłem istotnych wątpliwości.
Aktualny projekt przewiduje wprowadzenie wyłączeń w zakresie obowiązku informacyjnego dotyczącego źródła pozyskania danych osobowych, tj. obowiązku określonego w art. 14 ust. 2 lit. f) oraz art. 15 ust. 1 lit. g) RODO. Zaznaczyć należy jednak, że wprowadzenie bezterminowego ograniczenia obowiązków informacyjnych stanowiło przedmiot zastrzeżeń ze strony UODO, który wskazywał na niedopuszczalność takiego rozwiązania, nie można zatem wykluczyć dalszych zmian w tym zakresie.
Retencja danych osobowych
Podmioty przyjmujące zgłoszenia powinny pamiętać, że postępowanie z danymi zgromadzonymi w związku ze zgłoszeniem powinno być zgodne z zasadą minimalizacji danych. Przetwarzanie danych osobowych powinno odbywać się zatem w zakresie niezbędnym do weryfikacji zgłoszenia i podjęcia działań następczych. Po upływie okresu retencji zebrane dane osobowe powinny zostać usunięte, a dokumenty związane ze zgłoszeniem zniszczone. Okres retencji ulegał wielokrotnym zmianom w toku prac legislacyjnych, a wg. ostatniej wersji projektu wynosi 3 lata liczone po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Wyjątek mają stanowić dane osobowe przetwarzane przez Rzecznika Praw Obywatelskich w związku z przyjęciem zgłoszenia zewnętrznego – w tym przypadku okres retencji wynosi 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.
DPIA dla systemów whistleblowingowych
Podkreślenia wymaga, że zgodnie z komunikatem Prezesa UODO, systemy whistleblowingowe ujęte zostały w wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz ten obejmuje rodzaje przetwarzania mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powyższe oznacza, że przed rozpoczęciem przetwarzania administrator danych osobowych powinien wykonać tzw. DPIA (Data Protection Impact Assessment) w zakresie procedury obsługi zgłoszeń, zgodnie z wymogami art. 35 RODO.
Czytaj więcej:
Obsługa zgłoszeń sygnalistów przez IOD
Mając na uwadze, że procedura zgłoszeń wewnętrznych powinna określać m.in. jednostkę upoważnioną do przyjmowania zgłoszeń oraz podejmowania działań następczych, zwrócić należy uwagę na stanowisko UODO w sprawie możliwości powierzenia tych zadań inspektorowi ochrony danych (IOD). Wskazano w nim, że co prawda przepisy RODO dopuszczają możliwość wykonywania innych zadań i obowiązków przez IOD, jednak nie mogą one powodować powstania konfliktu interesów. Każdy podmiot powinien zatem dokonać analizy czy połączenie tych funkcji nie spowoduje niemożności pogodzenia „wykonywania zadań IOD z realizacją innych zadań”. Dokonując powyższej oceny należy wziąć pod uwagę nie tylko ryzyko wystąpienia konfliktu interesów na płaszczyźnie merytorycznej, ale również rozważyć czy obciążenie nowymi obowiązkami nie wpłynie na możliwość realizacji przez IOD jego dotychczasowych zadań. Ryzyko wystąpienia konfliktu interesów powinno być stale monitorowane. Należy ponadto pamiętać, że przepisy RODO wymagają, by IOD podlegał bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
Opóźnienia we wdrożeniu unijnej dyrektywy
W związku z brakiem terminowego wdrożenia dyrektywy o ochronie sygnalistów w styczniu 2022 r. Komisja Europejska wezwała Polskę do usunięcia uchybienia, w lipcu 2022 r. wystosowała uzasadnioną opinię, a w marcu 2023 r. wniosła przeciwko Polsce skargę. Mimo, że działania te nie doprowadziły dotychczas do przejęcia krajowej ustawy, nie należy zwlekać z przygotowaniami do wdrożenia odpowiednich procedur.
O tym jak przygotować się do ustawy o sygnalistach - https://kancelarierp.pl/jak-przygotowac-sie-do-wdrozenia-ustawy-o-sygnalistach/.
Pomoże to ograniczyć nie tylko ryzyko chaosu organizacyjnego, z którym niektórzy przedsiębiorcy mierzyli się po wejściu w życie przepisów RODO, ale również ewentualnych sankcji za brak terminowego ustanowienia kanałów zgłoszeń.
Tomasz Kamiński, Adwokat, Wspólnik w Krzysztof Rożko i Wspólnicy Kancelaria Prawna
Katarzyna Okoń, Aplikantka radcowska w Krzysztof Rożko i Wspólnicy Kancelaria Prawna
Kancelaria jest zrzeszona w sieci Kancelarie RP działającej pod patronatem dziennika „Rzeczpospolita”.