Najnowszy, trzeci projekt ustawy o sygnalistach został opublikowany na początku lipca 2022 r. Najprawdopodobniej właśnie w tej formie trafi do Sejmu, a następnie wejdzie w życie. Jakie nowe obowiązki niosą projektowane przepisy?
Podsumowaliśmy najważniejsze zmiany podczas webinarium, do którego można otrzymać dostęp po zarejestrowaniu się pod poniższym linkiem:
Najważniejsze zmiany względem poprzednich projektów ustawy o sygnalistach
Najwięcej zmian wprowadzono w zakresie danych osobowych. Aktualnie, podmiot, który otrzyma żądanie od osoby, której dotyczą zebrane dane osobowe powinien w pierwszej kolejności sprawdzić, czy wniosek o dostęp do danych osobowych[1] został złożony przez osobę, której zgłoszenie dotyczy (zakres przekazywanych danych jest od tego uzależniony), a następnie:
– w ciągu 30 dni udostępnić żądane informacje, w zakresie wymaganym przez RODO. Wyjątek stanowią informacje o sygnaliście – tych danych nie można udostępnić nawet, jeśli osoba zgłaszająca zgadza się na ich ujawnienie
– można wskazać dane sygnalisty maksymalnie w ciągu 3 miesięcy od zakończenia działań następczych w odpowiedzi na wniosek o informację o źródle danych. Jeśli jednak sygnalista nie wyraził zgody na ich ujawienie, nie można udostępnić tych informacji. Jest to bardzo ważna zmiana, która pojawiła się w nowym projekcie.
Lipcowy projekt wprowadził także ujednolicenie okresu retencji danych:
– nowy okres retencji wynosi 15 miesięcy od końca roku, w którym zakończono działania następcze. Termin ten nie dotyczy danych nadmiarowych, czyli takich, które nie są niezbędne do podjęcia działań związanych ze zgłoszeniem – takie dane muszą zostać usunięte w ciągu 14 dni od ustalenia, że nie mają one znaczenia dla rozpatrzenia zgłoszenia;
– o ile nie ma konieczności dalszego przetwarzania danych (np. w postaci zaistnienia podstawy prawnej), po upływnie 15-miesięcznego okresu retencji dane pozyskane w związku ze zgłoszeniem muszą zostać usunięte lub zniszczone.
Współdzielenie zasobów i outsourcing obsługi
Nowa ustawa doprecyzowuje również zasady obsługi zgłoszeń przez kilka podmiotów, w ramach tzw. współdzielonych zasobów. Taką możliwość będą miały jedynie podmioty zatrudniające co najmniej 50, ale nie więcej niż 249 osób. Współdzielenie zasobów może dotyczyć zasobów kadrowych (np. w postaci oddelegowania pracownika do obsługi zgłoszeń organizacji, z którą nawiązana jest współpraca) oraz organizacyjnych (np. w postaci współdzielenia jednego systemu whistleblowingowego). Aby skorzystać z takiego rozwiązania, konieczne będzie zawarcie umowy między podmiotami. Nowością względem poprzednich projektów jest uznanie, że podmioty współdzielące zasoby są odrębnymi administratorami i nie zachodzi między nimi relacja współadministrowania danymi osobowymi. Indywidualna będzie również odpowiedzialność każdego podmiotu za przetwarzanie danych osobowych zgodnie z RODO.
W przypadku outsourcingu obsługi zgłoszeń ustawodawca kładzie szczególny nacisk na konieczność zawarcia umowy o współpracę oraz umowy o powierzenie przetwarzania danych i zabezpieczenie zwrotu i usunięcia danych przez procesora po upływie wskazanych wyżej okresów retencji.
Nowe zasady ochrony danych osobowych związanych ze zgłoszeniami sygnalistów aktualizują również poniższe obowiązki administratora:
– konieczność oceny ryzyka wdrażanego rozwiązania whistleblowingowego przed rozpoczęciem przetwarzania danych osobowych, razem z obowiązkiem oceny skutków przetwarzania tych danych zgodnie z wytycznymi PUODO
– obowiązek aktualizacji dokumentacji związanej z ochroną danych osobowych w organizacji (klauzul informacyjnych, wzorów upoważnień, umów powierzenia przetwarzania, rejestrów itp.).
– nadzór ryzyka związanego z wprowadzonym kanałem zgłoszeń dla sygnalistów.
Zmiany w zakresie pozostałych obszarów ustawy o sygnalistach
Najnowszy projekt ustawy określił także zasadę liczenia liczby osób zatrudnionych w organizacji, na którą składają się nie tylko pracownicy zatrudnieni na umowę o pracę, ale też osoby zatrudnione na umowach cywilnoprawnych (umowach o dzieło, B2B, zlecenie).
Wśród zmian znajduje się także nowy element procedury whistleblowingowej, czyli obowiązkowy system zachęt, skłaniający do jej stosowania.
Ustawodawca doprecyzował również, że konieczność udowodnienia, że dane działanie ma charakter odwetowy względem sygnalisty, leżeć będzie po stronie organizacji, do której zgłoszenie zostało przesłane.
Kiedy nowe obowiązki wejdą w życie?
Ustawa o sygnalistach powinna zacząć obowiązywać w ciągu 2 miesięcy od momentu ogłoszenia jej w Dzienniku Ustaw. Podmioty zatrudniające co najmniej 250 osób będą musiały wdrożyć nowe procedury w terminie kolejnych 2 miesięcy – czas ten został wydłużony o miesiąc względem poprzedniego projektu. Oznacza to, że organizacje będą miały łącznie 4 miesiące na wdrożenie przepisów od dnia publikacji ustawy.
Warto przygotować się na tą konieczność już teraz. Zachęcamy do kontaktu – pomożemy określić indywidualne możliwości, jakie posiada Państwa firma w związku z wdrożeniem rozwiązań dla sygnalistów.
[1] z art. 15 RODO.
Przemysław Gruchała
Senior Associate | Dział prawny