Dnia 25 września 2024 roku weszła w życie ustawa o ochronie sygnalistów, uchwalona w wykonaniu Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.
Ustawie od początku towarzyszył szereg kontrowersji, m.in. związku ze zgłaszanymi przez przedstawicieli pracodawców wątpliwościami co do tego, czy przedsiębiorstwom dano wystarczająco długi czas na przygotowanie się do funkcjonowania w nowym otoczeniu prawnym. Nie uniknięto również dyskusji o treść możliwych zgłoszeń, co znalazło swój wyraz w wykreśleniu punktu dot. możliwości zgłaszania naruszeń przepisów prawa pracy przez Senat.
Poświęciliśmy ochronie sygnalistów wiele uwagi, analizując kwestie takie jak zagadnienie wdrożenia nowych regulacji w firmie, kim w ogóle w rozumieniu aktualnych przepisów jest sygnalista (ang. whistleblower), czy też metodyka sporządzania regulaminu zgłoszeń w sposób zgodny z przepisami – omówienie wszystkich tych wątków znajduje się na naszym blogu.
Niniejszy wpis dotyczy tematyki dedykowanych platform informatycznych do obsługi sygnalistów. Omawiamy podstawy prawne stosowania tego rodzaju systemów, na co zwracać uwagę, jeżeli rozważa się skorzystanie z takiej platformy, a także jakie koszty i korzyści mogą z tego wynikać.
Podstawy prawne
Ustawa w art. 25 pozwala na powierzenie przyjmowania zgłoszeń zewnętrznym podmiotom. To samo dotyczy ich przekazywania, weryfikacji i dalszego kontaktu z sygnalistą; podmiot zewnętrzny może także prowadzić rejestr zgłoszeń, o którym mowa w art. 29; wszystko pod warunkiem zawarcia umowy powierzenia, o której mowa poniżej.
Choć ustawa nie przewiduje wymogu zorganizowania systemu informatycznego do obsługi sygnalistów, dostawcy usług IT szybko przygotowali odpowiednie propozycje dla firm. Korzystanie z dedykowanej dla obsługi zgłoszeń platformy, poza zapewnieniem zgodności z przepisami o ochronie sygnalistów, niesie natomiast korzyści w postaci usprawnienia procesu przyjmowania, sprawdzania, monitorowania i rejestrowania zgłoszeń. Tego typu rozwiązanie z jednej strony powoduje, że nie trzeba się martwić o techniczne kwestie związane z organizacją procedury, z drugiej strony powinno zapewniać przejrzystość i bezpieczeństwo informacji o dokonanych zgłoszeniach.
Umowa powierzenia a RODO
Bezpieczeństwo i integralność danych osobowych nabierają ogromnego znaczenia w warunkach, w których zdalne przetwarzanie, przekazywanie, czy nawet sprzedawanie tego rodzaju danych mogą odbywać się w ułamkach sekundy, często bez wiedzy osób, których te dane dotyczą. To samo dotyczy jednak informacji poufnych – dotykających rozwiązań związanych z funkcjonowaniem przedsiębiorstwa. Niezależnie od ustawy, która stawia nacisk na zapewnienie poufności danych przekazywanych za pośrednictwem zgłoszeń, bezpieczeństwo danych powinno stanowić priorytet dla przedsiębiorcy.
Przede wszystkim należy zawrzeć z podmiotem zewnętrznym odpowiednią umowę (art. 28 ustawy), w której przedsiębiorca powierza temu podmiotowi przyjmowanie zgłoszeń wewnętrznych. W takiej umowie trzeba zastrzec poufność danych dotyczących przedsiębiorstwa.
Na podstawie ustawy umowa ta musi określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych, o których mowa w art. 28 ust. 3 RODO. Między innymi stanowi, że:
- osoby upoważnione do przetwarzania danych osobowych muszą być zobowiązane do zachowania tajemnicy lub podlegać ustawowemu obowiązkowi zachowania tajemnicy;
- podmiot zewnętrzny podejmuje wszelkie środki wymagane do zapewnienia bezpieczeństwa danych, zdolności do przywrócenia dostępu do danych w razie incydentu, regularnie ocenia skuteczność środków służących zapewnieniu bezpiecznego przetwarzania;
- biorąc pod uwagę charakter przetwarzania, podmiot zewnętrzny w miarę możliwości pomaga wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw do dostępu, sprostowania i usunięcia danych;
- po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usługodawca usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
- usługodawca udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.
Postanowienia umowy w ich konkretnym kształcie muszą odpowiadać specyfice przetwarzania w związku z przyjmowaniem zgłoszeń.
Unikanie ryzyka
Należy pamiętać, że powierzenie przyjmowania, weryfikowania i udzielania informacji zwrotnej zewnętrznemu podmiotowi nie zwalnia z odpowiedzialności za odpowiednią realizację tych obowiązków.
Dobrą praktyką będzie z pewnością zabezpieczenie się przed odpowiedzialnością związaną z naruszeniem przepisów RODO i ustawy o ochronie sygnalistów, a także potencjalną szkodą spowodowana wyciekiem danych:
- zobowiązanie dostawcy usługi informatycznej do ponoszenia odpowiedzialności za naruszenia obowiązków wynikających z ustawy w ramach jego działalności, na przykład poprzez zastrzeżenie kar umownych w odpowiedniej wysokości za każdy przypadek naruszenia czy wysokiej kary umownej za wyciek danych;
- zobowiązanie usługodawcy do przedłożenia stosownych upoważnień do przetwarzania danych i zobowiązań do zachowania poufności informacji o przedsiębiorstwie usługodawcy dotyczących pracowników, którymi posługuje się w związku z realizacją usługi, na wezwanie usługobiorcy;
- dbałość o zgodność platformy z dokumentami sporządzonymi w ramach opracowywania regulaminu zgłoszeń obowiązującego w firmie – o dostosowanie platformy do procedury;
- odpowiednie zredagowanie umowy powierzenia przyjmowania zgłoszeń, tak aby jasno określała prawa i obowiązki odpowiadające treści art. 28 ust. 3 RODO.
Koszty i korzyści
Jeżeli chodzi o koszty korzystania z takiej usługi, wahają się one od kilkudziesięciu do kilkuset złotych w abonamencie miesięcznym, w zależności od dostawcy usługi, jej zakresu, a także liczby pracowników w firmie.
Według badania przeprowadzonego z udziałem przedstawicieli polskich przedsiębiorstw i organizacji związkowych, system elektroniczny obsługiwany przez firmę zewnętrzną stanowi najbardziej rzetelny i wiarygodny kanał komunikacji dla zgłaszania naruszeń*. Okazuje się, że respondenci dwa razy częściej są skłonni zaufać elektronicznemu, zewnętrznemu systemowi zgłaszania naruszeń, niż systemowi wewnętrznemu, nie mówiąc o służbowym mailu (ten kanał komunikacji został jednogłośnie uznany za niewiarygodny przez 434 ankietowanych).
Posłużenie się zewnętrznym elektronicznym systemem zgłaszania naruszeń posłuży zatem budowaniu kultury szczerości i transparentności w firmie. Ustawa nie nakłada obowiązku skorzystania z niego, jednak w świetle wspomnianego badania dobór odpowiedniego kanału komunikacji nie stanowi jedynie technicznego szczegółu, a najprawdopodobniej będzie mieć znaczący wpływ na funkcjonowanie procedury w praktyce.
To powoduje, że skorzystanie z usług zewnętrznego podmiotu, oferującego elektroniczny system zgłaszania naruszeń, staje się atrakcyjną alternatywą dla „tradycyjnie” pomyślanych kanałów komunikacji, niesprzyjających w ogólnym odbiorze działalności whistleblowerów i bezpieczeństwu danych.
*„Zgłaszanie naruszeń prawa w organizacjach jako realizacja celów dyrektywy o ochronie sygnalistów. Raport z badań, dobre praktyki, rekomendacje dla działań na poziomie krajowym”, Warszawa 2023, s. 133 i n.