Ustawa o ochronie sygnalistów nakłada na przedsiębiorców nowe obowiązki. Nie brakuje obecnie opracowań, dotyczących zakresu uchwalonych przepisów, celu ich wdrożenia i innych aspektów praktycznych czy prawnych nowej ustawy.
Celem niniejszej publikacji jest analiza nowych wymagań w aspekcie ściśle praktycznym.
Z czasem wyklaruje się bowiem orzecznictwo, które pozwoli na doprecyzowanie interpretacji powodujących obecnie wątpliwości. A takich troszkę się pojawiło. Dotyczą one np. kwestii sposobu obliczania ilości osób świadczących pracę lub usługi na rzecz przedsiębiorstwa. Wątpliwości dotyczą także tworzenia procedur dotyczących zgłoszeń wspólnie przez grupy kapitałowe czy konsultacji regulaminów z przedstawicielami pracowników lub związkami zawodowymi.
Niezależnie powyższych problemów, firma, której personel (zarówno pracownicy jak i osoby zaangażowane w ramach umów cywilnoprawnych) przekracza 50 osób zobowiązana jest do wdrożenia nowych przepisów.
Sama nowa ustawa wymaga, aby w firmie objętej zakresem ustawy, przygotowany został regulamin dotyczący przyjmowania zgłoszeń wewnętrznych, czyli tych, które są zgłaszane przez personel firmy w ramach samej organizacji oraz wzory dokumentów do obsługi tego procesu – np. rejestr zgłoszeń wewnętrznych.
Zapewne w niedługim czasie dostępne będą wzory tych dokumentów, przygotowane przez profesjonalnych prawników. Pojawią się także oferty na proste ich wdrożenie w organizacji. Tutaj jednak należy zwrócić uwagę, że obowiązku wynikającego z ustawy w większości nie da się prawidłowo wdrożyć przez zastosowanie gotowego, prostego wzoru dokumentów.
Przede wszystkim należy ustalić proces zarówno przyjmowania i weryfikacji zgłoszeń sygnalistów w organizacji jak i ich dalszego procedowania. Osobom zgłaszającym zapewnić należy ochronę na poziomie wymaganym przepisami. Nie można też przeoczyć zagadnień związanych z tworzeniem, archiwizacją i usuwaniem dokumentów wytworzonych w tym procesie. To wszystko musi zostać zrealizowane przy zapewnieniu odpowiedniej ochrony sygnalistów – także co do ich tożsamości, zgodnie z wymaganiami opisanymi w ustawie.
Trudno w tej sytuacji znaleźć jeden standard dokumentacji, który możliwy będzie do zastosowania we wszystkich firmach. Proces powinien uwzględniać istniejące kanały obiegu informacji i ścieżki decyzyjne. Dlatego w pierwszej kolejności należy zbudować odpowiedni proces w organizacji, uwzględniający jej specyfikę, a dopiero po jego wypracowaniu – opisać ten proces w ramach właściwej procedury czy regulaminu.
Nie zamyka to jednak tematu wdrożenia przepisów.
Bardzo ważnym obszarem, który z pewnością będzie wymagał zmian jest ochrona danych osobowych.
Należy dokonać szeregu niezbędnych zmian, ściśle związanych z nowo ustanowionymi procesami, które w zależności od sposobu realizacji obowiązków wynikających z RODO może wymagać:
- zmiany polityki bezpieczeństwa danych osobowych
- uzupełnienia klauzul informacyjnych,
- aktualizacji Rejestru Czynności Przetwarzania
- przygotowania i zawarcia umów powierzenia przetwarzania danych w przypadku, gdy część zagadnień dotyczących przyjmowania i obsługi zgłoszeń zostanie powierzona zewnętrznym firmom (co jest dopuszczalne),
- przygotowanie ogólnej analizy ryzyk dla czynności przetwarzania związanych z nowym procesem (PIA),
- w uzasadnionych przypadkach – a w tym wypadku ze względu na poziom ryzyka jest wysoce prawdopodobne, iż będzie to konieczne w większości organizacji - przygotowanie oceny skutków dla ochrony danych (DPIA),
- przygotowanie procedur dotyczących sposobu przechowywania dokumentacji dotyczącej komunikacji z sygnalistami i zasad retencji tak wygenerowanych danych.
Niezależnie od powyższych zagadnień, wdrażając przepisy dotyczące sygnalistów należy przeanalizować obowiązującą dokumentację w obszarze tzw. wewnętrznych źródeł prawa. W szczególności istnieje dość duże prawdopodobieństwo, iż uzupełnienia wymagać będzie:
Podsumowując – wdrożenie ustawy o ochronie sygnalistów wiąże się z koniecznością co najmniej:
Jak wskazano powyżej, wdrożenie nowych przepisów wymaga szerszego podejścia, nie ograniczającego się wyłącznie do napisania i przyjęcia w trybie przyjętym w przedsiębiorstwie jednej nowej procedury. Jest to działanie wpływające na szereg istniejących już procesów i wymagające co najmniej ich przeglądu i aktualizacji.