GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Mity związane z ochroną osób zgłaszających naruszenia

Ręka trzymająca megafon z Mitami vs fakty z głośnia

Mity związane z ochroną sygnalistów

Ochrona osób zgłaszających naruszenia w danej organizacji jeszcze nie została wprowadzona do polskiego porządku prawnego. Wciąż czekamy na przyjęcie projektu ustawy wprowadzającej dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa Unii, a już powstało pełno mitów z tym związanych. Zapewne nie przebijemy liczby RODO-mitów, ale warto już na samym początku z nimi się rozprawić.  

Mit 1 – mechanizm będzie dotyczyć jedynie nielicznych

Rozwiązania te w niedługiej przyszłości będę musiały przyjąć organizacje z sektora prywatnego, które zatrudniają ponad 250 pracowników. W tym samym czasie odpowiednie procedury muszą przyjąć również jednostki samorządu terytorialnego, które zatrudniają powyżej 50 osób. Podmioty z rynku finansowego oraz zajmujące się przeciwdziałaniem praniu pieniędzy i finansowania terroryzmu niezależnie od ilości zatrudnionych osób również w tym samym momencie będą musiały dostosować się do tych przepisów. Wszystkie te podmioty muszą wdrożyć odpowiednie procedury w terminie 14 dni od ogłoszenia ustawy.

 

 

Podmioty z sektora prywatnego, które zatrudniają pomiędzy 50 a 249 pracowników będą miały czas na wdrożenie do 17 grudnia 2023 r. Jedynie podmioty z tego sektora, które zatrudniają mniej niż 50 pracowników nie będą zobowiązane do wdrożenia procedur – pozostawiono im swobodną decyzję w tym zakresie.

Jeżeli mowa o podmiotach prywatnych to jedynie ograniczona liczba organizacja nie będzie musiała wdrożyć procedury. Większość będzie do tego zobowiązana, a jedynie termin wdrożenia może być odroczony w czasie. Warto także zwrócić uwagę, że same ograniczenia dotyczące wielkości organizacji dotyczą kwestii dokumentacji wskazanej w projekcie ustawy, a nie zwalniają mniejszych organizacji z przestrzegania zasad ochrony sygnalistów, których przestrzeganie właśnie najłatwiej wykazać poprzez formalne przyjęcie dokumentacji wskazanej w rozdziale trzecim projektu ustawy.

Jakie rozwiązania wprowadza ustawa dotycząca ochrony sygnalistów?

 

Mit 2 Osoba zgłaszająca naruszenie prawa nie może zostać zwolniona

Pracodawca ma obowiązek zapewnić ochronę osoby zgłaszającej naruszenie przed działaniami odwetowymi. Należy przez to rozumieć bezpośrednie lub pośrednie działanie lub zaniechanie, które jest spowodowane zgłoszeniem lub ujawnieniem publicznym i które narusza lub może naruszyć prawa zgłaszającego lub wyrządza lub może wyrządzić szkodę zgłaszającemu. Osoba zgłaszająca nie może ponieść negatywnych konsekwencji za zgłoszenie nieprawidłowości.

Wobec czego osoba zgłaszająca może zostać zwolniona, a także ponieść inne konsekwencje o ile nie są one związane ze zgłoszeniem przez nią naruszenia. Pracodawca musi kierować się w takim przypadku obiektywnymi kryteriami, które będą stanowić uzasadnienie dla jego działań – tym ważniejsze wydaje się odpowiednie dokumentowanie działań pracodawcy w szczególności jeśli dotyczą one sygnalistów.

 

Mit 3 Sygnalista za nic nie odpowiada

Osoba zgłaszająca powinna informować pracodawców o naruszeniach prawa, które są prawdopodobne. Powinna działać w dobrzej wierze w interesie publicznym lub interesie organizacji.

Jeżeli jej działania wynikają ze złej wiary, stanowią fałszywe zawiadomienia lub osoba dokonywała ich świadoma niezasadności zarzutów, to może ona zostać ponieść konsekwencje również karne.  

Mit 4 Wystarczą nam same dokumenty

Nowe regulacje mają na celu promowanie i rozwój nowej kultury pracy, w której każdy dla którego ważne jest dobro organizacji będzie miał możliwość sygnalizowania negatywnych zjawisk, które stanowią naruszenia prawa. W tym celu nie wystarczy opracowanie samego regulaminu zgłaszania i jego ogłoszenie, konieczne jest bowiem wypracowanie takiego mechanizmu, z którego faktycznie pracownicy będą mogli i chcieli skorzystać.

Obok działań formalnych konieczne może okazać się przeprowadzenie odpowiednich szkoleń i kampanii informacyjnej – wyjaśniających po co i dla kogo system ten jest wdrażany. Bez odpowiedniej komunikacji i aktywnego motywowania pracowników do korzystania z przygotowanego narzędzia, pozostanie ono jedynie tworem teoretycznym i nie pozwoli pracodawcy na wykazanie wdrożenia odpowiednich standardów nawet jeśli wynikają one z formalnie przyjętych procedur.

Mit 5 Strefa wolna od RODO

Obowiązki wynikające z RODO zostały tutaj ograniczone jedynie w niewielkim zakresie. Pracodawca musi przede wszystkim zapewnić bezpieczeństwo danym osobowym, które pozyska w wyniku zgłoszenia. Ponadto jako administrator musi wykonać obowiązki informacyjne wobec osób, których dane przetwarza. Obowiązek wobec osoby, której dotyczy zgłoszenie powinien zostać wykonany zgodnie z art. 14 RODO z wyjątkiem w zakresie informowania o źródle pozyskania danych osobowych.

Ponadto należy pamiętać, że zgłoszenia wewnętrzne będą nowym procesem w organizacji, a więc powinien on zostać przeanalizowany zgodnie z przyjętymi w niej procedurami m.in. privacy by design. Nie można też zapomnieć o obowiązku nadawania upoważnień osobom, które będą przetwarzać dane w tym obszarze.

Mit 6 Zgłaszać można wszystko

Zgodnie z przedstawionym projektem zgłoszenie naruszenia prawa może dotyczyć jedynie:

Katalog ten może – ale nie musi – zostać rozszerzony przez pracodawcę. Ustawodawca pozostawił to jego decyzji. Ponadto, co do zasady zgłoszenie musi zostać dokonane przez konkretną osobę fizyczną, a nie anonimowo. Dopuszczalne jest jednak rozpatrywanie takiego zgłoszenia, ale musi to wynikać z wewnętrznych regulacji organizacji. Jeśli u pracodawcy nie zostanie przyjęte takie rozwiązanie – nie jest zobowiązany pochylać się nad anonimowymi zgłoszeniami.

Mit mitem pogania

Wymienione mity stanowią naszym zdaniem najczęściej spotykane i niepokojące przykłady dezinformacji, które zaburzają obraz ochrony sygnalistów. Liczne publikacje, przyjęcie ustawy i rozpoczęcie wdrażania przepisów powinny jednak przyczynić się do ich stopniowej eliminacji.