Publikacje

Prawo pracy

Ustawa o ochronie sygnalistów a RODO: jakie zmiany trzeba wprowadzić?

Natalia Rutkowska, Młodszy Partner, radca prawny
Kraków, 19.07.2024

Wejście w życie ustawy o ochronie sygnalistów wiąże się z koniecznością dostosowania procedur RODO do nowych wymogów prawnych. Firmy muszą także zdecydować, jakie kanały zgłoszeń będą stosować – czy skorzystają z dedykowanego oprogramowania, czy też wybiorą prostsze rozwiązania, jak zgłoszenia mailowe czy tradycyjne skrzynki na podania. Kolejnym aspektem jest harmonizacja istniejących procedur zgłaszania naruszeń danych osobowych z nowymi wymogami ustawy o sygnalistach. 

Co z procedurami RODO, które już mamy?
Trzeba je zaktualizować o nowe wymogi, a są to w szczególności:
1. komunikaty informacyjne administratora przetwarzanych danych, o których mowa w art. 13 oraz art. 14 i 15 RODO z uwzględnieniem ograniczeń ujawnienia źródła pochodzenia danych,
2. wprowadzenie do rejestru czynności przetwarzania danych procesu zgłoszeń naruszeń prawa przez sygnalistów,
3. wprowadzenie upoważnień do przetwarzania danych osobowych osobom powołanym do obsługi procesu zgłoszeń sygnalistów,
4. sporządzenie oceny ryzyka wraz z oceną skutków przetwarzania danych osobowych, tzw. DPIA dla przyjętych kanałów do zgłoszeń i procedowania naruszeń prawa u administratora,
5. przegląd: 
- procedury reklamacyjnej;
- formularzy kontaktowych strony internetowej;
- formularzy rekrutacyjnych;
- kanałów do realizacji praw RODO;
w celu zapewnienia w nich odpowiedniej informacji o przebiegu i dedykowanych kanałach do zgłoszeń naruszeń prawa u administratora.


Kanały zgłoszeń: jakie mamy opcje?
Firmy informatyczne oferują oprogramowanie podobne do systemów ticketowania przeznaczone do przyjmowania i zarządzania obiegiem zgłoszeń sygnalistów. Decydując się na takie narzędzie:
- warto zweryfikować je pod kątem bezpieczeństwa, np. zapewnienia szyfrowania end-to-end lub weryfikacji miejsca położenia serwerów,
- przewidzieć stałe wydatki na ten cel w firmowym budżecie. 

A jeśli nie chcemy ponosić takich kosztów? Można zastosować prostsze rozwiązania: zgłoszenia mailowe/telefoniczne, tradycyjne skrzynki na podania. One jednak także wymagają odpowiedniego zabezpieczenia przed dostępem osób trzecich lub zniszczeniem. 
 

Ile powinno być procedur do zgłaszania naruszeń?

Kolejna wątpliwość dotyczy sytuacji, w której wdrożyliśmy już procedury RODO związku ze zgłaszaniem naruszeń danych osobowych, a być może jeszcze dodatkowo jako instytucja obowiązana procedurę zgłaszania naruszeń, o której mowa w art. 53 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML), która również przewiduje procedurę zgłaszania naruszeń, uwzględniającą sposób ochrony danych osobowych. Na ile te procedury są niezależne? Są niezależne w tym sensie, że każdą musimy mieć. Czy to znaczy, że musimy mieć trzy odrębne dokumenty, a więc trzy odrębne procedury? Niekoniecznie. Możemy mieć kompleksową procedurę, która zawrze wymogi wszystkich regulacji. Czy jednak warto rezygnować z wcześniejszych procedur, w które nie raz zainwestowaliśmy już sporo pieniędzy i wysiłku w ich wdrożenie, to już inne pytanie. Czasem lepiej je po prostu uzupełnić o nowe wymogi i zapisy dotyczące pierwszeństwa stosowania konkretnych rozwiązań. 
 

Natalia Rutkowska, radca prawny, młodszy partner w Gorazda, Świstuń, Wątroba i Partnerzy adwokaci I radcowie prawni.
 

Natalia Rutkowska

Natalia Rutkowska

Młodszy Partner, radca prawny

Zobacz wszystkie publikacje
Powrót

newsletter

Zapisz się by zawsze być na bieżąco

czytaj więcej...