Polska ustawa o ochronie osób zgłaszających naruszenia praw
W ramach prowadzonej współpracy w zakresie obsługi „RODO”, poniżej przedstawiamy najistotniejsze informacje dotyczące ustawy o ochronie osób zgłaszających naruszenia prawa (tzw: ustawa o sygnalistach).
Dlaczego przez polskiego ustawodawcę procedowana jest ustawa o sygnalistach?
- Zgodnie z obowiązującym prawem państwa członkowskie Unii Europejskiej zobligowane są do implementacji dyrektyw. Implementacja następuje w drodze ustawy.
- Zgodnie z brzmieniem Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L 305 z 26.11.2019, str. 17 oraz Dz. Urz. UE L 347 z 20.10.2020, str. 1). , państwa członkowskie, w tym Polska, miały wdrożyć ww. dyrektywę do dnia 17 grudnia 2021 r.
- Dyrektywa tym różni się od rozporządzenia (np. „RODO”), że potrzebna jest ustawa państwa członkowskiego, która implementuje przepisy owej dyrektywy do porządku prawnego państwa członkowskiego. Innymi słowy – np. „RODO” wiązało wprost od początku, natomiast do dyrektywy konieczna jest polska ustawa, która obecnie znajduje się w fazie opiniowania.
- Przepisy dyrektywy nie są zatem wiążące, przynajmniej do czasu wejścia w życie polskiej ustawy o sygnalistach.
- Aktualny projekt opatrzony jest datą 6 kwietnia 2022 r. Poniżej przesyłamy link przekierowujący na stronę zawierającą opis przebiegu prac legislacyjnych w kontekście przedmiotowej ustawy
https://www.legislacja.gov.pl/projekt/12352401/katalog/12822857#12822857
Kogo dotyczyć będzie owa ustawa?
- Ustawa obejmować będzie swym zakresem podmioty publiczne (w tym JST) oraz prywatne zatrudniające powyżej 50 osób.
- Dyrektywa w art. ust. 9 przyznała możliwość ustawodawcy do zdecydowania w treści ustawy, że obowiązek wdrożenia procedury wewnętrznej obsługi zgłoszeń nie będzie dotyczyć gmin, w których liczba mieszkańców jest niższa, niż 10.000 osób.
- W obecnym projekcie ustawy (art. 23 ust. 3) ustawodawca polski rzeczywiście ustalił takowe zwolnienie z przedmiotowego obowiązku. Jednakże w dalszym ciągu organ publiczny, czyli np. burmistrz/wójt/prezydent miasta (generalnie każdy organ wykonawczy JST) już na podstawie Dyrektywy winien wdrożyć procedurę zewnętrzną. Jednak obowiązek prawny oraz ostateczny kształt wymogów dotyczących owej procedury zostanie dopiero określony w uchwalanej ustawie o sygnalistach.
Zakres spraw
Zgłoszenia objęte zakresem ustawy o sygnalistach obejmują swym zakresem poniższe dziedziny (według obecnego kształtu projektu ustawy o sygnalistach).
Chodzi o zgłoszenie działań lub zaniechań niezgodnych z prawem lub mających na celu obejście prawa w zakresie:
- zamówień publicznych;
- usług, produktów i rynków finansowych;
- przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;
- bezpieczeństwa produktów i ich zgodności z wymogami;
- bezpieczeństwa transportu;
- ochrony środowiska;
- ochrony radiologicznej i bezpieczeństwa jądrowego;
- bezpieczeństwa żywności i pasz;
- zdrowia i dobrostanu zwierząt;
- zdrowia publicznego;
- ochrony konsumentów;
- ochrony prywatności i danych osobowych;
- bezpieczeństwa sieci i systemów teleinformatycznych;
- interesów finansowych skarbu państwa Rzeczypospolitej Polskiej oraz Unii Europejskiej;
- rynku wewnętrznego Unii Europejskiej, w tym unijnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych
Obowiązki podmiotów zobowiązanych do obsługi zgłoszeń
Do podstawowych obowiązków podmiotów, których dotyczy ustawa o sygnalistach należy wdrożenie procedury wewnętrznej oraz (uwaga dotycząca organów publicznych i Rzecznika Praw Obywatelskich) procedury zewnętrznej obsługi zgłoszeń o nieprawidłowościach w zakładzie pracy przez osoby fizyczne będące:
- pracownikiem,
- pracownikiem tymczasowym,
- osobą świadczącą pracę na innej podstawie, niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej,
- przedsiębiorcą,
- akcjonariuszem lub wspólnikiem,
- członkiem organu osoby prawnej,
- osobą świadczącą pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej,
- stażystą,
- wolontariuszem,
- praktykantem.
Podmioty, których dotyczy ustawa o sygnalistach winny sporządzić powyższe procedury w sposób zapewniający maksymalny stopień ochrony osób dokonujących zgłoszeń (zakaz działań odwetowych, itp.). Zapewnienie bezpieczeństwa takim osobom stanowi nadrzędny cel, przyświecający ustawodawcy unijnemu (a zatem cel, który winien uwzględnić również polski ustawodawca).
Co powinno znaleźć się w procedurze wewnętrznej i zewnętrznej
Przedmiotowe procedury winny obejmować w szczególności następujące zagadnienia:
- zapewnienie ochrony przed nieuprawnionym dostępem do danych;
- zapewnienie integralności danych;
- określenie zasad bezpieczeństwa przetwarzanych danych, w tym danych osobowych;
- określenie zasad zgłaszania naruszenia ochrony danych osobowych;
- zapewnienie rozliczalności;
- ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób;
- uniemożliwienie uzyskania dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom;
- zapewnienie ochrony poufności tożsamości zgłaszającego, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu;
- wewnętrzną jednostkę organizacyjną, osobę w ramach struktury organizacyjnej podmiotu prawnego lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń;
- sposoby przekazywania zgłoszeń przez zgłaszającego wraz z jego adresem do kontaktu;
- bezstronną, wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, upoważnione do podejmowania działań następczych, włączając w to weryfikację zgłoszenia i dalszą komunikację ze zgłaszającym, w tym występowanie o dodatkowe informacje i przekazywanie zgłaszającemu informacji zwrotnej; rolę tę może pełnić wewnętrzna jednostka organizacyjna lub osoba, o których mowa w pkt 1, jeżeli zapewniają bezstronność;
- obowiązek potwierdzenia zgłaszającemu przyjęcia zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że zgłaszający nie podał adresu do kontaktu, na który należy przekazać potwierdzenie;
- obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych przez jednostkę organizacyjną lub osobę, o których mowa w pkt 3;
- maksymalny termin na przekazanie zgłaszającemu informacji zwrotnej, nieprzekraczający 3 miesięcy od potwierdzenia przyjęcia zgłoszenia lub, w przypadku nieprzekazania potwierdzenia, o którym mowa w pkt 4, 3 miesięcy od upływu 7 dni od dnia dokonania zgłoszenia, chyba że zgłaszający nie podał adresu do kontaktu, na który należy przekazać informację zwrotną;
- zrozumiałe i łatwo dostępne informacje na temat dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich lub organów publicznych oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.
Wymagania wobec podmiotu w kontekście zgłoszeń wewnętrznych
- Prowadzenie rejestru zgłoszeń wewnętrznych.
- Do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych podmioty dopuszczają wyłącznie pisemne upoważnienie podmiotu prawnego.
- Sporządzenie procedury zgłoszeń wewnętrznych, o której mowa w poprzednim punkcie.
Wymagania wobec podmiotu w kontekście zgłoszeń zewnętrznych
Organ publiczny (organ wykonawczy JST):
- Dokonuje wstępnej weryfikacji zgłoszenia zewnętrznego;
- Przyjmuje zgłoszenie zewnętrze – w przypadku gdy zgłoszenie dotyczy naruszeń w dziedzinie należącej do zakresu działania tego organu;
- Przekazuje zgłoszenie zewnętrzne niezwłocznie, nie później jednak niż w ciągu 14 dni od dnia dokonania zgłoszenia, do organu publicznego właściwego do podjęcia działań następczych – w przypadku gdy zgłoszenie dotyczy naruszeń w dziedzinie nienależącej do zakresu działania tego organu oraz informuje o tym zgłaszającego;
- Podejmuje działania następcze;
- Przekazuje zgłaszającemu informację zwrotną;
- Odstępuje od przekazania zgłoszenia, jeżeli zgłoszenie nie dotyczy informacji o naruszeniu prawa;
- Informuje zgłaszającego o odstąpieniu od przekazania zgłoszenia, podając ustalenia ze wstępnej weryfikacji zgłoszenia.
Rola Inspektora Ochrony Danych
- Nowe przepisy nie nakładają na Inspektorów Ochrony Danych obowiązku pełnienia roli punktu kontaktowego, do którego mają wpływać zgłoszenia od osób fizycznych. Podmiot zobligowany jest do wyznaczenia takiej osoby w sposób odrębny.
- Inspektor zapewnia podmiotowi wsparcie merytoryczne w celu zapewnienia zgodności z przepisami prawa ochrony danych osobowych (np. w prowadzeniu rejestrów wynikających z „RODO”, sporządzeniu klauzul informacyjnych, analizie ryzyka, konsultacji tekstu procedury, itp.).
- Osoba wybrana do pełnienia funkcji punktu kontaktowego winna posiadać kompetencje umożliwiające odnajdywanie się w przedmiocie zgłoszenia oraz ich weryfikację i obsługę w kontekście proceduralnym.
PODSUMOWANIE
- Polska ustawa o ochronie sygnalistów nie weszła w życie, zatem na ten moment brak obowiązku posiadania procedur wewnętrznych i zewnętrznych – powstanie on z dniem wejścia w życie przedmiotowej ustawy.
- Zważywszy na treść ww. Dyrektywy, organy wykonawcze JST zostaną w uchwalonej ustawie zobligowane do posiadania procedury zewnętrznej.
- Oznacza to, że organy te mogą, według własnego wyboru, podjąć kroki mające na celu wdrożenie procedury zewnętrznej już teraz lub zaczekać na finalne brzmienie polskiej ustawy o sygnalistach – mając jednak na uwadze, że okres vacatio legis czyli czas na wdrożenie może być stosunkowo krótki. Stąd wydaje się, że najbardziej optymalnym rozwiązaniem będzie wdrożenie procedury zewnętrznej (sporządzenie wzoru) już teraz (na podstawie Dyrektywy), natomiast ewentualną modyfikację można dokonać po wejściu w życie ww. ustawy.