Projekt ustawy w sprawie naruszeń ochrony danych osobowych

18 października został opublikowany projekt polskiej ustawy implementującej dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii ("Dyrektywa").
Duzi pracodawcy (zatrudniający co najmniej 250 pracowników) powinni wdrożyć ochronę sygnalistów od 17 grudnia, czyli już za niecałe dwa miesiące. Warto zatem śledzić postępy prac legislacyjnych, aby dobrze przygotować się do wdrożenia proponowanych regulacji.

Zakres stosowania Ochrony Danych Osobowych

W pierwszej kolejności należy zwrócić uwagę, że polski ustawodawca zdecydował się na rozszerzenie katalogu naruszeń podlegających zgłoszeniu. Zgłaszanie będzie obejmowało naruszenia prawa w obszarach wymienionych w dyrektywie. Będą to zamówienia publiczne, usługi, produkty, rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu. Bezpieczeństwo produktów, bezpieczeństwo transportu, ochrona środowiska, bezpieczeństwo radiacyjne i jądrowe, bezpieczeństwo żywności, zdrowie zwierząt, zdrowie publiczne, ochrona konsumentów, ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informatycznych. Przy czym zakresem zgłaszania objęte będą nie tylko działania (lub zaniechania) stanowiące naruszenie prawa unijnego (zgodnie z dyrektywą), ale również prawa polskiego.

Polskie przepisy dotyczące ochrony danych

Podobnie jak Dyrektywa, polskie przepisy będą przewidywały trzy kanały notyfikacji: wewnętrzny (notyfikacja wewnątrz firmy); zewnętrzny (notyfikacja do organów państwowych) oraz publiczny (ujawnienie naruszeń w mediach). Co do zasady, niezależnie od trybu wybranego przez sygnalistę, będzie on podlegał ochronie (choć pewne ograniczenia będą dotyczyły ujawnienia publicznego).
Ochrona danych osobowych w firmach
Podmioty publiczne oraz prywatne zatrudniające co najmniej 50 osób oraz instytucje finansowe (w tym ostatnim przypadku bez względu na liczbę zatrudnionych) będą docelowo zobowiązane do wdrożenia wewnętrznych procedur. Mniejsze podmioty będą mogły wprowadzić takie rozwiązania na zasadzie dobrowolności.

Projekt ustawy

Projekt wskazuje, że wewnętrzna procedura powinna określać: komórki lub podmioty organizacyjne odpowiedzialne za przyjmowanie i rozpatrywanie zgłoszeń, sposoby zgłaszania naruszeń, a także terminy na dokonanie określonych czynności.
W projekcie przewidziano wymóg, aby jednostka odpowiedzialna za przetwarzanie zgłoszeń była niezależna, jednak nie określono ścisłych warunków, które muszą być spełnione, aby zagwarantować taką niezależność. Wszystkie osoby zaangażowane w przetwarzanie zgłoszeń będą musiały posiadać pisemne upoważnienie do wykonywania tych czynności, jak również będą zobowiązane do zachowania poufności.

Regulacje a Kodeks Pracy

Wiadomo już także, że wewnętrzne regulacje w tym zakresie będą miały charakter wewnątrzzakładowego prawa pracy w rozumieniu Kodeksu Pracy i będą podlegały konsultacjom z działającymi w zakładzie pracy związkami zawodowymi, a w przypadku braku związków zawodowych, z przedstawicielami pracowników.
Kwestia liczby przedstawicieli pracowników może mieć znaczenie w przypadku, gdy w zakładzie pracy nie działają związki zawodowe. W projekcie wyraźnie użyto w tym przypadku liczby mnogiej. W wielu firmach funkcjonuje jednak reprezentacja jednoosobowa. Dla poprawności realizacji może okazać się konieczne dołożenie przynajmniej jednej osoby.
Warto również zweryfikować zakres umocowania reprezentacji pracowniczej. Może się bowiem okazać, że uzgodnienie procedury ochrony sygnalistów wykracza poza to upoważnienie.

Publiczne ujawnianie informacji

Kanał wewnętrzny i zewnętrzny będą zasadniczo równorzędne, tzn. osoba zgłaszająca przypadki naruszenia nie będzie musiała wyczerpać kanału wewnętrznego, aby wszcząć procedurę przed Pełnomocnikiem. Sytuacja będzie jednak inna w przypadku publicznego ujawniania informacji. Osoba, która nie dokona najpierw zgłoszenia wewnętrznego lub zewnętrznego, nie będzie mogła skorzystać z ochrony przewidzianej dla osób zgłaszających przypadki naruszenia. Od tej reguły mogą jednak istnieć pewne wyjątki.