Planowane wdrożenie regulacji prawnych związanych z Dyrektywą w sprawie ochrony osób zgłaszających naruszenia prawa Unii oraz projektem krajowej ustawy znanej potocznie jako – ustawa o sygnalistach, wzbudzają sporo kontrowersji, dyskusji oraz niestety, podobnej jak w okresie wejścia w życie przepisów o ochronie danych osobowych i wymagań RODO fali półprawd i zwykłych prymitywnych oszustw.

System Ochrony Danych osób dokonujących zgłoszenia naruszenia prawa w Polsce na tą chwilę nie jest uregulowany, przepisami krajowymi, które wynikać powinny z właściwej w tym zakresie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1973 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Dyrektywa nie jest aktem prawnym o charakterze wykonawczym, jak np. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. U. E. L 119/1 z 4 maja 2016 r.) – zwane potocznie RODO, do którego realizacji postanowień jest zobowiązany wymieniany w niej organ publiczny lub prywatny. Dyrektywa jest zbiorem wytycznych w określonym zakresie, swoistą wykładnią do opracowania wewnętrznych regulacji krajowych dotyczących jej zapisów.

Na chwilę obecną nie ma wewnętrznego krajowego uregulowania tego zakresu. Dostępny jest jedynie projekt Ustawy o ochronie osób zgłaszających naruszenia prawa ( potocznie – ustawa o sygnalistach ). Co warto zauważyć wdrożenie tego aktu prawnego, zgodnie z podanym odnośnikiem, zastąpi ustawę z dnia 15 lipca 1987 r. o Rzeczniku Praw Obywatelskich.

Obowiązek ustanowienia wewnętrznych kanałów dokonywania zgłoszeń wynikających z art. 8 Dyrektywy, nakłada wymóg zapewnienia przez podmioty zarówno sektorów publicznych jak i prywatnych, kanałów i procedur na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych. Co ważne wdrożone rozwiązania powinny być skonsultowane i wdrożone w porozumieniu z tzw. Partnerami społecznymi, np. funkcjonującymi w zakładzie związkami zawodowymi. Zgodnie z wykładnią prawną Dyrektywy zawartą w art. 8 obowiązek ten posiadają:

1.Podmioty prawne w sektorze prywatnym, które zatrudniają co najmniej 50 pracowników, z zastrzeżeniem wyłączenia progu dla podmiotów związanych zgodnie z wymienionymi w części I.B i II załącznika – usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu.

2.Podmioty prawne w sektorze publicznym, w tym podmioty będące własnością lub znajdujące się pod kontrolą takich podmiotów.

Według Dyrektywy uregulowania krajowe mogą zwolnić gminy liczące mniej niż 10000 mieszkańców lub podmioty zatrudniające mniej niż 50 pracowników.

Nieco inaczej wykładnię prawną obowiązku ustanowienia kanału zgłoszeń wewnętrznych precyzuje projekt właściwej dla dyrektywy regulacji krajowej – Ustawy o ochronie osób zgłaszających naruszenia prawa. Zawarte tam zapisy nie dzielą podmiotów na sektor prywatny i państwowy, przedstawiając następujące uwarunkowania:

1.Obowiązki określone w przepisach ustawy stosuje się do pracodawców zatrudniających co najmniej 50 pracowników.

2.Próg o którym mowa w pkt.1 nie ma zastosowania dla pracodawców wykonujących działalność w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska – wymienionymi w części I.B i II załącznika do Dyrektywy.

Od kiedy obowiązują przepisy ?

Państwa członkowskie wprowadzają w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania Dyrektywy do dnia 17 grudnia 2021 r.

Na podstawie zastosowanych odstępstw od tego zapisu i okresu przejściowego na wypełnienie obowiązku dla podmiotów w sektorze prywatnym, przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania Dyrektywy, mają zostać wprowadzone do dnia 17 grudnia 2023 r.

Warto natomiast zauważyć że w obu unormowaniach zarówno Dyrektywie jak i projekcie Ustawy Pracodawcy mogą się dzielić zasobami w zakresie przyjmowania i weryfikacji zgłoszeń oraz podejmowania działań następczych, oczywiście przy zachowaniu zgodności wykonywanych czynności z ustawą. Warunek ten dotyczy:

1.Pracodawców w sektorze prywatnym  zatrudniających od 50 do 249 pracowników,

2.Pracodawców w sektorze publicznym będących jednostkami organizacyjnymi gminy, pod warunkiem zapewnienia ich odrębności i niezależności od zewnętrznych procedur dokonywania zgłoszeń.

Jeśli potrzebujesz konsultacji lub bezpośredniego wsparcia w zakresie doradztwa, opracowania dokumentacji lub przygotowania odrębnego systemu dla zgłoszeń wewnętrznych oraz ich obsługi – skontaktuj się z nami. Dysponujemy dedykowaną platformą zgłoszeniową oraz zespołem specjalistów, który zapewni zgodną z prawem obsługę zgłoszeń zgodną z Ustawą o Sygnalistach.

Opracowanie / Marek Mróz

Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych

Niniejszy wpis nie jest sponsorowany. Poniżej zamieszczamy ciekawe linki afiliacyjne do wartościowych książek o ochronie danych osobowych. Dokonując z nich zakupu, wesprzesz rozwój naszego poradnika. Dziękujemy.

Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,

Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,

Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,

Informatyka Śledcza – kupisz tutaj,

Profesjonalne testy penetracyjne – kupisz tutaj.