Co z tymi sygnalistami? – pierwsze kary i trzecia odsłona projektu ustawy o ochronie sygnalistów.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, obowiązuje już od 17 grudnia 2021 r. Do dziś jednak (25.07.2022) w polskim porządku prawnym nie pojawiła się doprecyzowująca wymagania Dyrektywy ustawa.

Do trzech razy sztuka

Zaskoczeniem mogą okazać się zmiany, które pojawiły się pomiędzy pierwszą, drugą oraz najnowszą, trzecią odsłoną ustawy o ochronie sygnalistów.  Została ona opublikowana 7 lipca 2022 r. na stronie Rządowego Centrum Legislacji. Jeśli więc już opracowałeś procedurę zgłaszania nieprawidłowości może czekać Cię jej aktualizacja.

Najistotniejsze zmiany w nowej trzeciej odsłonie ustawy o ochronie osób zgłaszających naruszenia prawa.

• Okres retencji – Dane osobowe oraz pozostałe informacje w rejestrze nieprawidłowości mają być przechowywane przez okres 15 miesięcy po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub po zakończenia postępowań zainicjowanych tymi działaniami.
• Dłuższy okres przejściowy – Dla podmiotów, na rzecz których pracę wykonuje co najmniej 250 osób, okres przejściowy wynosi 2 miesiące. Podmioty zatrudniające co najmniej 50 lecz nie więcej niż 250 osób, zobowiązane będą do ustalenia procedury zgłaszania naruszeń do 17 grudnia 2023 roku.
• Organy publiczne – Terenowe organy administracji rządowej wskazano jako organy publiczne. Usunięto Komendanta Głównego Straży Pożarnej.
• Naruszenie dóbr osobistych – Zastąpiono wskazanie nadszarpnięcia reputacji sygnalisty w mediach społecznościowych szerszym określeniem odnoszącym się do naruszeniem jego dobór osobistych.
• Bezpieczna forma zgłoszenia – Procedura zgłaszania naruszeń powinna adresować sposób bezpiecznego i niepozostawiającego śladów dokonania zgłoszenia w systemie informatycznym (możliwość zapewnienia prywatności sygnalisty).

Włoski organ nadzorczy nałożył administracyjną karę pieniężną na szpital publiczny i dostawcę systemu dotyczącego systemu zgłaszania naruszeń, który szpital wykorzystywał

Włoski organ nadzorczy nałożył administracyjną karę pieniężną na szpital publiczny. Kara została nałożona, ze względu na brak dostosowania procesu zgłaszania naruszeń do wymagań RODO. Szczegóły dotyczące przyczyny nałożenia kary zarówno na dostawcę systemu jak i szpital odnajdziesz tutaj: https://edpb.europa.eu/. Dziś nie będę skupiał się na temat przyczyny przyznania wspomnianej kary, a na wskazaniu elementów, o których powinniśmy pamiętać projektując proces zgłaszania naruszeń zgodnie z RODO.

• Czy służby IT, mogą zidentyfikować sygnalistę. Zastanów się czy do kanału zgłoszeń, który wykorzystujesz nie mają dostępu służby IT w twojej organizacji (np. dedykowana skrzynka e-mail), lub czy nie potrafią (np. na podstawie ruch sieciowego) zidentyfikować osoby dokonującej zgłoszenia.
• Czy zaktualizowałeś RCP i opracowałeś klauzule informacyjną. Pamiętaj, że nowo wdrażana czynności przetwarzania powinna zostać uwzględniona w rejestrze czynności przetwarzania, a osobom, których dane będziesz zbierał należy przekazać klauzule informacyjną.
• Ocena skutków dla ochrony danych osobowych. Zanim uruchomisz proces zgłaszania naruszeń wykonaj DPIA a jej wyniki uzgodnij ze swoim IOD.
• Zweryfikuj swojego dostawce.  Jeśli do zgłaszania naruszeń wykorzystujesz system informatyczny dostarczany przez podmiot zewnętrzny, pamiętaj by uregulować obszar powierzenia przetwarzania danych osobowych. Zweryfikuj czy firma jest faktycznie bezpieczna. To Ty za nią odpowiadasz jako administrator. Zapoznaj się z usługą audytu>>>

Pamiętaj!

Jeśli temat sygnalistów spędza Ci sen z powiek skontaktuj się z nami:

• Zapewniamy bezpieczny i dedykowany kanał zgłoszeń.
• Pomagamy we wdrożeniu wymagań związanych z ochroną sygnalisty i procesem obsługi zgłoszenia.
• Opracowujemy procedurę zgłoszeń i ochrony sygnalisty.
• Prowadzimy analizę DPIA w zakresie przetwarzanych danych osobowych.

BLUE energy chętnie pomoże Państwu we wszystkich aspektach związanych z danymi osobowymi – usługa audytu wymagań RODO

Czytaj o karach UODO