Trzeci projekt ustawy o sygnalistach – jakie przyniósł zmiany dla danych osobowych?
Na początku lipca opublikowano nowy, trzeci już projekt ustawy o sygnalistach. Istnieje duża szansa, że w tym brzmieniu trafi do Sejmu i wejdzie w życie. Warto więc już teraz zapoznać się z obowiązkami, które niosą projektowane przepisy.
Co różni lipcowy projekt ustawy od poprzednich?
Pełen katalog zmian oraz sposobu radzenia sobie z nimi w organizacjach omawialiśmy podczas naszego ostatniego webinaru.
Poniżej hasłowo przybliżamy najważniejsze zmiany w obszarze danych osobowych, jakie wprowadził nowy projekt względem dotychczasowych wersji:
- zmieniono nieco zasady realizacji przez administratorów żądań osób, których dotyczą dane. Zgodnie z projektem administrator powinien udostępnić te informacje na żądanie uprawnionego, w zakresie wymaganym przez RODO (w terminie 30 dni), z wyjątkiem informacji o źródle danych (sygnaliście) – danych sygnalisty na tym etapie nie udostępnia się, nawet jeśli sygnalista zgodził się na ich ujawnienie. Maksymalnie do upływu 3 miesięcy od zakończenia działań następczych można uzupełnić odpowiedź skierowaną do uprawnionego i wskazać dane sygnalisty, ale nie dotyczy to sytuacji, gdy sygnalista w ogóle nie zgodził się na ich ujawnienie.
- w nowym projekcie ujednolicono też okres retencji danych. Zgodnie z projektem wynosi on 15 miesięcy od końca roku, w którym zakończono działania następcze lub działania nimi zainicjowane. Nie dotyczy to jednak danych nadmiarowych, tzn. tych, które nie są niezbędne dla podjęcia działań związanych ze zgłoszeniem. Takie dane należy usunąć w ciągu 14 dni.
- doprecyzowano zasady współdzielenia zasobów przez kilka podmiotów. Możliwość dzielenia zasobów w nowym projekcie mają te podmioty, które zatrudniają co najmniej 50 i nie więcej niż 249 osób. Współdzielenie może dotyczyć zasobów kadrowych (pracowników obsługujących zgłoszenia) oraz organizacyjnych (np. jednego systemu whistleblowingowego przez kilka podmiotów). Chcąc skorzystać z takiej możliwości, należy pamiętać o zawarciu umowy, która te kwestie ureguluje. Ustawodawca podkreśla tutaj (i jest to zmiana o 180 względem poprzednich projektów), że każdy podmiot uczestniczący w takim współdzieleniu zasobów jest odrębnym administratorem w rozumieniu RODO (nie zachodzi relacja współadministrowania).
- zaktualizowano zasady outsourcingu obsługi zgłoszeń na zewnątrz. W tym przypadku trzeba pamiętać nie tylko o zawarciu umowy o współpracy z takim podmiotem, ale także o umowie powierzenia przetwarzania danych, w tym zwłaszcza o zabezpieczeniu zwrotu i usunięcia danych przez procesora po zakończeniu przetwarzania (czyli po upływie okresu retencji lub wcześniej, jeśli taka będzie decyzja administratora) – ustawodawca kładzie na to szczególny nacisk w nowym projekcie.
Nowe zasady ochrony danych osobowych związanych ze zgłoszeniami sygnalistów aktualizują szereg „starych” obowiązków administratora – przede wszystkim:
- wykonania oceny ryzyka danego rozwiązania whistleblowingowego (w tym oceny skutków dla przetwarzania danych zgodnie z wytycznymi Prezesa Urzędu Ochrony Danych Osobowych);
- aktualizacji dokumentacji związanej z ochroną danych osobowych w organizacji (klauzul informacyjnych, wzorów upoważnień, umów powierzenia przetwarzania, rejestrów itp.);
- monitorowania ryzyka związanego z wdrożonym rozwiązaniem.
Nowe obowiązki – od kiedy?
Nowy projekt ustawy przewiduje, że wejdzie ona w życie w terminie 2 miesięcy od momentu ogłoszenia w Dzienniku Ustaw. Pierwsze podmioty (zatrudniające co najmniej 250 osób), będą musiały wdrożyć procedury w oparciu o nowe przepisy w okresie kolejnych 2 miesięcy (jest to dodatkowy miesiąc względem poprzedniego projektu). Mimo, że daje to łącznie aż 4 miesiące na wdrożenie przepisów w organizacji, warto rozważyć zabezpieczenie tej kwestii już teraz.
Jeśli chcieliby Państwo usłyszeć o możliwościach swojej organizacji związanych z wdrażaniem rozwiązań dla sygnalistów, zachęcamy do kontaktu.
Przemysław Gruchała
Senior Associate | Dział prawny
przemyslaw.gruchala@olesinski.com