Trzeci projekt ustawy o sygnalistach – jakie przyniósł zmiany dla danych osobowych?

Na początku lipca opublikowano nowy, trzeci już projekt ustawy o sygnalistach. Istnieje duża szansa, że w tym brzmieniu trafi do Sejmu i wejdzie w życie. Warto więc już teraz zapoznać się z obowiązkami, które niosą projektowane przepisy.

 

Co różni lipcowy projekt ustawy od poprzednich?

Pełen katalog zmian oraz sposobu radzenia sobie z nimi w organizacjach omawialiśmy podczas naszego ostatniego webinaru.

Zapisz się i obejrzyj nagranie z webinarium

Poniżej hasłowo przybliżamy najważniejsze zmiany w obszarze danych osobowych, jakie wprowadził nowy projekt względem dotychczasowych wersji:

  • zmieniono nieco zasady realizacji przez administratorów żądań osób, których dotyczą dane. Zgodnie z projektem administrator powinien udostępnić te informacje na żądanie uprawnionego, w zakresie wymaganym przez RODO (w terminie 30 dni), z wyjątkiem informacji o źródle danych (sygnaliście) – danych sygnalisty na tym etapie nie udostępnia się, nawet jeśli sygnalista zgodził się na ich ujawnienie. Maksymalnie do upływu 3 miesięcy od zakończenia działań następczych można uzupełnić odpowiedź skierowaną do uprawnionego i wskazać dane sygnalisty, ale nie dotyczy to sytuacji, gdy sygnalista w ogóle nie zgodził się na ich ujawnienie.
  • w nowym projekcie ujednolicono też okres retencji danych. Zgodnie z projektem wynosi on 15 miesięcy od końca roku, w którym zakończono działania następcze lub działania nimi zainicjowane. Nie dotyczy to jednak danych nadmiarowych, tzn. tych, które nie są niezbędne dla podjęcia działań związanych ze zgłoszeniem. Takie dane należy usunąć w ciągu 14 dni.
  • doprecyzowano zasady współdzielenia zasobów przez kilka podmiotów. Możliwość dzielenia zasobów w nowym projekcie mają te podmioty, które zatrudniają co najmniej 50 i nie więcej niż 249 osób. Współdzielenie może dotyczyć zasobów kadrowych (pracowników obsługujących zgłoszenia) oraz organizacyjnych (np. jednego systemu whistleblowingowego przez kilka podmiotów). Chcąc skorzystać z takiej możliwości, należy pamiętać o zawarciu umowy, która te kwestie ureguluje. Ustawodawca podkreśla tutaj (i jest to zmiana o 180 względem poprzednich projektów), że każdy podmiot uczestniczący w takim współdzieleniu zasobów jest odrębnym administratorem w rozumieniu RODO (nie zachodzi relacja współadministrowania).
  • zaktualizowano zasady outsourcingu obsługi zgłoszeń na zewnątrz. W tym przypadku trzeba pamiętać nie tylko o zawarciu umowy o współpracy z takim podmiotem, ale także o umowie powierzenia przetwarzania danych, w tym zwłaszcza o zabezpieczeniu zwrotu i usunięcia danych przez procesora po zakończeniu przetwarzania (czyli po upływie okresu retencji lub wcześniej, jeśli taka będzie decyzja administratora) – ustawodawca kładzie na to szczególny nacisk w nowym projekcie.

Nowe zasady ochrony danych osobowych związanych ze zgłoszeniami sygnalistów aktualizują szereg „starych” obowiązków administratora – przede wszystkim:

  • wykonania oceny ryzyka danego rozwiązania whistleblowingowego (w tym oceny skutków dla przetwarzania danych zgodnie z wytycznymi Prezesa Urzędu Ochrony Danych Osobowych);
  • aktualizacji dokumentacji związanej z ochroną danych osobowych w organizacji (klauzul informacyjnych, wzorów upoważnień, umów powierzenia przetwarzania, rejestrów itp.);
  • monitorowania ryzyka związanego z wdrożonym rozwiązaniem.

 

Nowe obowiązki – od kiedy?

Nowy projekt ustawy przewiduje, że wejdzie ona w życie w terminie 2 miesięcy od momentu ogłoszenia w Dzienniku Ustaw. Pierwsze podmioty (zatrudniające co najmniej 250 osób), będą musiały wdrożyć procedury w oparciu o nowe przepisy w okresie kolejnych 2 miesięcy (jest to dodatkowy miesiąc względem poprzedniego projektu). Mimo, że daje to łącznie aż 4 miesiące na wdrożenie przepisów w organizacji, warto rozważyć zabezpieczenie tej kwestii już teraz.

Jeśli chcieliby Państwo usłyszeć o możliwościach swojej organizacji związanych z wdrażaniem rozwiązań dla sygnalistów, zachęcamy do kontaktu.

 

Przemysław Gruchała
Senior Associate | Dział prawny
przemyslaw.gruchala@olesinski.com