Wymogi

Ustawa o ochronie sygnalistów z dnia 14 czerwca 2024 r. (dalej ustawa), wdrażająca unijną dyrektywę o 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, nakłada na określone podmioty prawne obowiązek ustanowienia procedury zgłoszeń wewnętrznych. Procedura ta ma na celu ochronę osób zgłaszających nieprawidłowości oraz umożliwienie rozwiązania problemów na poziomie organizacyjnym, zanim sprawa trafi do organów państwowych. Ustawodawca szczegółowo określa w art. 23–28 ustawy wymagane elementy tej procedury, w tym zapewnienie poufności, przejrzystości postępowania oraz ochrony sygnalistów przed działaniami odwetowymi.

Ustawa w art. 25 ust. 1 precyzuje, że procedura zgłoszeń musi obejmować m.in. poufne kanały zgłoszeniowe oraz wyznaczenie osób lub jednostek odpowiedzialnych za przyjmowanie i analizę zgłoszeń. Zbyt skomplikowane lub trudno dostępne kanały komunikacji mogą sprawić, że pracownicy będą rezygnować z ich użycia, wybierając zgłoszenia zewnętrzne, co naraża organizację na większe ryzyko kontroli zewnętrznej.

Wykonalność procedury – szkolenia i jasność komunikacji

Procedura zgłoszeń wewnętrznych powinna być klarowna i łatwo zrozumiała dla wszystkich pracowników. Art. 24 ust. 5 ustawy wymaga, by treść procedury była dostępna dla pracowników oraz przekazywana w sposób dostosowany do praktyk danej organizacji. Oznacza to, że organizacje powinny rozważyć nie tylko samo wprowadzenie dokumentu, ale także efektywne wdrożenie szkoleń, które wyjaśnią pracownikom, czym jest zgłoszenie wewnętrzne, jak można go dokonać oraz jakie korzyści przynosi to zarówno organizacji, jak i pracownikowi. Możliwe formy szkoleń mogą obejmować warsztaty, e-learning, a także materiały informacyjne dostępne online lub w formie fizycznej.

JEŚLI POTRZEBUJESZ WSPARCIA W PRZYGOTOWANIU I WDROŻENIU PROCEDURY ZGŁOSZEŃ WEWNĘTRZNYCH >>> office@jds.com.pl

Kolejnym elementem zwiększającym wykonalność procedury jest jasna komunikacja o braku tolerancji dla działań odwetowych. Art. 6 ustawy zapewnia sygnalistom ochronę przed działaniami odwetowymi, jednak aby przepis ten mógł skutecznie działać w praktyce, pracownicy muszą mieć pełne zrozumienie zasad tej ochrony oraz środków przysługujących sygnalistom.

Wdrożenie procedury zgłoszeń wewnętrznych musi uwzględniać specyfikę organizacji, aby była ona wykonalna i zgodna z przepisami. Niewłaściwe wdrożenie może prowadzić do naruszenia przepisów ustawy o ochronie sygnalistów jak również ogólnego rozporządzenia o ochronie danych, RODO, narażając organizację na sankcje oraz roszczenia ze strony pracowników.

Ryzyko naruszenia prawa

Przykładem naruszenia prawa w wyniku błędnego wdrożenia może być sytuacja, gdy procedura nie gwarantuje poufności sygnalisty, co jest kluczowym wymogiem ustawy (art. 26 ust. 1). Jeśli osoba zgłaszająca naruszenia zostanie ujawniona, organizacja nie tylko traci zaufanie pracowników, ale również może być odpowiedzialna za brak ochrony przed działaniami odwetowymi, co grozi sankcjami i procesami o odszkodowanie.

Z kolei przykładem naruszenia, który dodatkowo skutkuje naruszeniem przepisów o ochronie danych osobowych w kontekście nieprawidłowo wdrożonej procedury zgłoszeń wewnętrznych może być sytuacja, w której zgłoszenie sygnalisty nie jest właściwie zabezpieczone, a dostęp do niego ma zbyt szeroki krąg osób w organizacji.

Załóżmy, że zgłoszenie jest składane elektronicznie, ale system nie posiada odpowiednich zabezpieczeń lub nie ogranicza dostępu do danych tylko do wyznaczonych osób odpowiedzialnych za prowadzenie postępowań wyjaśniających. W rezultacie informacje o tożsamości sygnalisty mogą zostać przypadkowo ujawnione innym pracownikom. Takie zaniedbanie stanowi naruszenie RODO  w zakresie poufności danych i naraża organizację na sankcje ze strony Prezesa UODO oraz roszczenia odszkodowawcze sygnalisty za naruszenie prywatności i brak ochrony przed działaniami odwetowymi.

Poprawne wdrożenie procedury zgłoszeń wewnętrznych musi więc obejmować techniczne i organizacyjne środki ochrony danych, aby zgłoszenia były dostępne wyłącznie dla uprawnionych osób, zgodnie z przepisami ustawy o ochronie sygnalistów i RODO.

Dostosowanie procedury do realiów organizacji, jej regularny przegląd i odpowiednie szkolenia dla pracowników zwiększają szansę na jej skuteczność i zgodność z wymogami prawnymi, minimalizując ryzyko prawne i organizacyjne.

r.pr. Julia Kamińska-Kasjaniuk

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl