Tradycyjnie ten merytoryczny mail powinien być na Twojej skrzynce w piątek. Ale w piątek wysyłałem informacje o „tajnej” przedsprzedaży mojego poradnika wdrożenia „sygnalistów”.

I bardzo dziękuję pierwszym klientom!! 😊 Bardzo dziękuję!!

A jeśli nie wiesz o co chodzi z poradnikiem to odwiedź tę stronę: LINK DO PRZEDSPRZEDAŻY. I dołącz do pierwszych klientów.

Teraz trwa przedsprzedaż kierowana tylko do odbiorców tego newslettera.

Cena zdecydowanie nie będzie już niższa.

Poradnik będzie dostarczony na Twojego maila do 10.01.2022 r.

I jeszcze jedna ważna rzecz. W najbliższy piątek o 10.00 zapraszam na webinar poświęcony: „Praktycznie o wdrożeniu sygnalistów”.

Termin: piątek 10.12 o godzinie 10.00

Link:DOŁĄCZ

Zapisuję się na webinar

📌 Co w dzisiejszym wydaniu?

Ufff, a teraz wracamy do mocnej merytoryki ⬇

Dziś zajmiemy się kwestią rejestru zgłoszeń wewnętrznych.

Proponowane przez projektodawców ustawy o ochronie osób dokonujących zgłoszenia naruszenia prawa można uznać za dalece nieprecyzyjne, a w niektórych sytuacjach wręcz pozbawione sensu.

Zanim podzielę się z Wami moimi spostrzeżeniami jak powinien zostać zorganizowany rejestr zgłoszeń wewnętrznych, chciałbym wskazać, że w mniejszym zakresie będę analizował zapisy dotyczące rejestru zgłoszeń zewnętrznych jakie prowadzić mają organy publiczne, ograniczając się jedynie do kilku uwag o charakterze ogólnym.

Zacznijmy od tego, że ustawa w art. 34 ust. 1 wskazuje, że pracodawca prowadzi rejestr zgłoszeń wewnętrznych oraz jest administratorem danych zgromadzonych w tym rejestrze. W odniesieniu do rejestrów zgłoszeń zewnętrznych odpowiednikiem tego jest art. 51 ust. 1 projektowanej ustawy.

🔍 Rejestr zgłoszeń – obowiązkowy, czy nie?

Pierwsze pytanie, jakie można postawić, to czy prowadzenie rejestru jest obowiązkowe, czy nie jest?

Literalne brzmienie przepisu „pracodawca prowadzi” mogłoby sugerować, że taki obowiązek został nałożony, jednakże na próżno szukać jakiejkolwiek sankcji za brak takiego rejestru. Ani przepisy karne nie formułują sankcji za nieprowadzenie przez pracodawcę rejestru zgłoszeń wewnętrznych, ani przepisy odnoszące się do regulaminu zgłoszeń wewnętrznych, którego brak zagrożony jest sankcją karną nie wskazują, aby elementem regulaminu był rejestr zgłoszeń wewnętrznych.

Przypomnę, że normatywną treść regulaminu zgłoszeń wewnętrznych wyznacza projektowany art. 29 ust. 1 projektu ustawy, który nie wymienia rejestru zgłoszeń wewnętrznych jako obowiązkowego elementu tegoż regulaminu.

Nie można moim zdaniem obowiązku prowadzenia rejestru zgłoszeń wewnętrznych wywodzić z innych nałożonych na organizacje obowiązków, takich jak obowiązek potwierdzenia zgłaszającemu przyjęcia zgłoszenia (rt.. 29 ust. 1, pkt 4), czy obowiązek przekazania zgłaszającemu informacji zwrotnej, o której mowa w punkcie 8 przytoczonego artykułu.

Ponadto obowiązku takiego nie nakłada art. 30 projektu, skąd inąd ważny dla kwestii prowadzenia rejestru, ale o tym za chwilę.

💡 Upoważnienie do prowadzenia rejestru
Jeśli spojrzymy na zapisy dotyczące regulaminu zgłoszeń zewnętrznych, to można zastanawiać się nad treścią art. 51 ust. 2, wskazującego, że organ centralny oraz organ publiczny może upoważnić pracownika urzędu obsługującego ten organ do prowadzenia rejestru zgłoszeń zewnętrznych.

Po pierwsze, nie wiadomo w jakiej formie miałoby zostać dokonane stosowne upoważnienie i – proszę zwrócić uwagę na brzmienie art. 30 ust. 2, który wskazuje, że do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie pracodawcy. I choć prowadzenie samego rejestru nie jest wymienione jako czynność wymagająca pisemnego upoważnienia, to w przypadku rejestru zgłoszeń wewnętrznych przetwarzanie danych osobowych w rejestrze, bez względu na jego formę i sposób prowadzenia, będzie wymagało pisemnego upoważnienia.

I po drugie, nie ma uzasadnienia do tego, aby w zakresie prowadzenia rejestrów, zarówno wewnętrznych jak i służących zgłoszeniom zewnętrznych, minimalne wymogi co do zakresu gromadzonych danych i wymogi formalne co do upoważnienia do prowadzenia rejestru były identyczne.

Warto w tym miejscu dodać, że zakres gromadzonych w rejestrze danych jest nieco szerszy w przypadku rejestru zgłoszeń zewnętrznych niż w przypadku rejestru zgłoszeń wewnętrznych.

Uważni czytelnicy projektu ustawy z pewnością dostrzegą także błąd w postaci niewłaściwego odesłania, z jakim mamy do czynienia w art. 48 ust. 2 projektu, gdyż odesłanie powinno nastąpić do art. 51, a nie, jak mylnie wskazano, do art. 55.

❓ Czy warto prowadzić rejestr zgłoszeń wewnętrznych?

Kończąc te nieco teoretyczne uwagi, zanim wskażę kilka praktycznych rekomendacji co do prowadzenia rejestru zgłoszeń wewnętrznych, rozważmy czy skoro samo prowadzenie rejestru nie jest obowiązkowe, a jak twierdzę powyżej takiego obowiązku nie ma, to czy jednak prowadzenie go jest uzasadnione i jakie mogą z tego wynikać korzyści.

Pośrednio wrócę do podnoszonego wyżej brzmienia art. 30 projektu, który, w dużym uproszczeniu nakazuje właściwe postępowanie z danymi uzyskanymi w związku z otrzymanym zgłoszeniem. I nawet jeśli pominiemy niedoskonałości samego projektu i spojrzymy na kwestie projektowanych przepisów z perspektywy regulacji o ochronie danych osobowych (RODO, w samej rzeczy) to wiemy, że sposób i procesy przetwarzania danych osobowych gromadzonych i przetwarzanych w związku z dokonanym zgłoszeniem, korzystać będą z ochrony nie tyle na gruncie samej ustawy o ochronie sygnalistów, ale przede wszystkim z ochrony udzielanej na podstawie przepisów o ochronie danych osobowych.

Na marginesie pamiętajmy, że projekt przewiduje sankcję karną za naruszenie obowiązku zachowania poufności tożsamości osoby, która dokonała zgłoszenia. Nie mniej projektując rejestr zgłoszeń wewnętrznych należy w moim przekonaniu kierować się przede wszystkim metodami w zakresie bezpieczeństwa przetwarzania danych osobowych, jakie wypracowano na gruncie przepisów o ochronie danych osobowych.

Pozwoli to wyeliminować ryzyko związane z przetwarzaniem danych osobowych gromadzonych w rejestrze niezgodnie z RODO. I druga uwaga odnosząca się do tej kwestii, którą należy mocno podkreślić, a o czym zdaje się zapominać projektodawca, to fakt, że ochrona poufności tożsamości i wynikające z tego obowiązki, powinny być rozciągnięte nie tylko na osobę sygnalisty i osoby, których dotyczy zgłoszenie ale także na osoby, które pomagają sygnaliście.

O tym, że jednak warto prowadzić rejestr zgłoszeń wewnętrznych świadczy także to, że w dużej mierze będzie on właściwy do wykazania przebiegu zgłoszonego naruszenia, podejmowanych czynności oraz działań następczych, co w pewnych okolicznościach może być nie tyle bardzo pomocne, co dodatkowo umożliwi pracodawcy wykazanie należytej staranności, a o to przedsiębiorcy powinni zawsze zabiegać.