W dzisiejszym wpisie podsumuje, jakie dokumenty trzeba sporządzić bądź na bieżąco aktualizować w związku z wdrożeniem przepisów o sygnalistach.
Z tego wpisu dowiesz się:
– Czy trzeba sporządzić procedurę zgłaszania naruszeń?
– Czy trzeba prowadzić rejestr zgłoszeń wewnętrznych?
– Czy trzeba sporządzić odrębną klauzulę informacyjną RODO?
I. Procedura zgłoszeń wewnętrznych
Procedurę czy też Regulamin zgłoszeń wewnętrznych mają obowiązek sporządzić „podmioty prawne w sektorze prywatnym i publicznym”.
Myślę, że większość czytelników bloga należy do sektora prywatnego. W przypadku sektora prywatnego obowiązek ten dotyczy podmiotów prawnych w sektorze prywatnym, które zatrudniają co najmniej 50 pracowników według stanu na dzień 1 stycznia lub 1 lipca danego roku (przy czym pojęcie „zatrudnienia” jest rozumiane szeroko i obejmuje także pracę na umowach cywilnoprawnych).
Innymi słowy, obowiązek wprowadzenia procedury/regulaminu na pewno dotyczy pracodawców i zleceniobiorców.
Procedura lub Regulamin zgłoszeń wewnętrznych mają, jak sama nazwa wskazuje, regulować to, w jaki sposób mają być dokonywane zgłoszenia naruszenia prawa w ramach danego przedsiębiorstwa, oraz w jaki sposób te zgłoszenia będą weryfikowane i załatwiane.
II. Rejestr zgłoszeń wewnętrznych
Zgodnie z przepisami, podmiot prawny:
– prowadzi rejestr zgłoszeń wewnętrznych oraz
– jest administratorem danych osobowych zgromadzonych w prowadzonym rejestrze zgłoszeń wewnętrznych.
W tym rejestrze wpisy będą dokonywane na podstawie dokonanego zgłoszenia wewnętrznego.
W rejestrze musi być miejsce na odnotowanie m.in.: przedmiotu naruszenia, danych osobowych sygnalisty, daty dokonania zgłoszenia, daty zakończenia sprawy.
Co ważne, dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych będą przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Po tym czasie dane będzie trzeba usunąć z rejestru.
III. Klauzula informacyjna RODO
Do przetwarzania danych osobowych związanych ze zgłoszeniem w ramach wewnętrznego kanału zgłoszeń stosuje się przepisy RODO.
Z racji tego, że, przykładowo, pracodawca będzie administratorem danych osobowych zawartych w rejestrze zgłoszeń wewnętrznych, trzeba rozważyć umieszczenie o tym odpowiednich informacji:
– w procedurze/regulaminie zgłoszeń wewnętrznych,
– w odpowiedzi na dokonanie zgłoszenia, ewentualnie,
– w klauzuli informacyjnej RODO, jaką przekazuje się do umowy o pracę.
Dostrzegam trzy takie możliwości.
Mam nadzieję, że po uchwaleniu ustawy pojawią się stanowiska Ministerstwa Rodziny, Pracy i Polityki Społecznej bądź Urzędu Ochrony Danych Osobowych, które wskażą preferowane miejsce informowania o zasadach przetwarzania danych osobowych w związku ze zgłoszeniem wewnętrznym.
Mam nadzieję, że ten artykuł okazał się przydatny, i rzeczowy, i że przybliżyłam obowiązki związane z ochroną sygnalistów. Jeśli zaś poszukujesz wsparcia we wdrożeniu przepisów dotyczących sygnalistów, możesz oczywiście się do nas odezwać.
Napisz komentarz