Każdy pracodawca zatrudniający minimum 50 pracowników będzie musiał określić procedurę przyjmowania i rozpoznawania zgłoszeń naruszenia prawa. Ma to związek z ochroną sygnalistów. Taki dokument powinien także określać podmiot wewnętrzny upoważniony przez pracodawcę do przyjmowania zgłoszeń. To jednak nie wszystko. Pracodawca musi zapewnić nie tylko przyjęcie, ale też rozpoznanie zgłoszenia wewnętrznego (tzw. działania następcze). Do takich działań należy m.in. weryfikacja zgłoszenia i dalsza komunikacja z sygnalistą. Innymi słowy, należy określić organizację:
Ochrona sygnalistów – kogo trzeba będzie wyznaczyć do obsługi zgłoszeń naruszeń
Przepisy dotyczące ochrony sygnalistów nadal nie weszły w życie w Polsce. Prędzej czy później jednak tak się stanie. Wówczas pracodawcy będą musieli mieć przygotowane procedury przyjmowania zgłoszeń naruszenia prawa. Sprawdź, czy takie zgłoszenia będzie mógł obsługiwać inspektor ochrony danych.
Kogo najlepiej wyznaczyć do obsługi zgłoszeń
- przyjmowania i weryfikacji zgłoszeń,
- podejmowania działań następczych oraz
- związanego z tym przetwarzania danych osobowych.
Procedura zgłaszania naruszeń może przewidywać, że działania następcze będzie podejmował:
- pracownik lub współpracownik administratora,
- niezależny organizacyjnie podmiot.
Zapamiętaj!
Do obsługi zgłoszenia sygnalisty najlepiej upoważnić osobę, która zna specyfikę zgłoszonego problemu i środowisko pracy sygnalisty. Nawet pozornie nieistotna informacja może bowiem zdradzić tożsamość sygnalisty osobom, które dobrze ją znają. Chodzi tu przykładowo o współpracowników.
Obsługujący zgłoszenia musi mieć odpowiednie upoważnienie
Obsługujący zgłoszenia naruszenia prawa będzie przetwarzał dane osobowe znajdujące się w tych zgłoszeniach. Z tego względu powinien zostać w odpowiednim zakresie upoważniony do przetwarzania danych.
Natomiast, jeśli obsługą zajmie się zewnętrzny podmiot, wówczas należy z nim zawrzeć umowę powierzenia przetwarzania danych. Zawarcie takiej umowy nie zwalnia pracodawcy z odpowiedzialności m.in. za zachowanie poufności, udzielenie informacji zwrotnej oraz podjęcie działań następczych.
Ochrona sygnalistów zgłaszających naruszenia ochrony danych
W projekcie ustawy, która w przyszłości wejdzie w życie, przewidziano zgłaszanie naruszeń prawa także w zakresie ochrony danych osobowych. Czy zatem inspektor ochrony danych jest właściwą osobą do obsługi takich zgłoszeń? Zauważmy, że do zadań IOD należy m.in. monitorowanie przestrzegania RODO i innych przepisów dotyczących ochrony danych.
Zapamiętaj!
IOD sprawdza też, czy w organizacji przestrzegane są np. wewnętrzne polityki bezpieczeństwa.
To rodzi ryzyko wystąpienia konfliktu interesów. Naturalną rolą inspektora jest dążenie do tego, by nie dochodziło do naruszeń ochrony danych. Inspektorowi zależy więc na tym, by takich naruszeń nie było. Tym samym wyznaczenie IOD do obsługi zgłoszeń nie jest dobrym rozwiązaniem.
Źródło:
projekt ustawy o ochronie osób zgłaszających naruszenia prawa
Podobne artykuły
Aktualny numer Pokaż listę wydań »
Numer 275 Maj 2024 r.
Dostępny w wersji elektronicznej
Redaktor Portalu
Zapisz się na newsletter
