Polski ustawodawca finalizuje prace nad Implementacją Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23.10.2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: ,,Dyrektywa”).

W dniu 18.10.2021 r. pojawił się na stronach Rządowego Centrum Legislacji, przygotowany przez Ministra Rodziny i Polityki Społecznej, projekt ustawy o ochronie osób zgłaszających naruszenia prawa. Aktualnie projekt został przesłany do opiniowania, ale już teraz można wskazać, że przewiduje on:

Vacatio legis ograniczone do 14 dni. Tylko tak krótki okres stwarza możliwość, aby ustawa weszła w życie do 17.12.2021 r., który to termin jest narzucony Dyrektywą;

Zasadę, że przedsiębiorcy zatrudniający przynajmniej 250 pracowników zobowiązani będą do wdrożenia nowych przepisów jeszcze w 2021 r. Pracodawcy z sektora prywatnego zatrudniający minimum 50 pracowników mają czas do 17.12.2023 r.;

Możliwość outsourcowania zarówno procesu przyjmowania zgłoszeń, jak i podejmowania działań następczych;

Obowiązek konsultowania regulaminu zgłoszeń wewnętrznych z zakładową organizacją związkową;

Wejście w życie regulaminu zgłoszeń wewnętrznych po upływie 2 tygodni od dnia podania go do wiadomości pracowników w sposób przyjęty u danego pracodawcy oraz obowiązek zapoznania każdego pracownika z treścią regulaminu zgłoszeń wewnętrznych przed dopuszczeniem go do pracy.

Ważną kwestią jest również to, że w projekcie zostały rozstrzygnięte dwie główne wątpliwości, które pojawiły się jeszcze przed publikacją projektu ustawy, a dotyczące postanowień RODO w kontekście ochrony danych osobowych osoby dokonującej zgłoszenia oraz osoby, której dotyczy zgłoszenie.

Projekt ustawy przewiduje po pierwsze, że przetwarzanie danych osobowych osoby, której dotyczy zgłoszenie, może odbywać się bez zgody tej osoby. Po drugie, administrator tych danych nie będzie musiał informować osoby, której dotyczy zgłoszenie, o źródle pochodzeniach danych, chyba że okaże się, iż zgłaszający działał w złej wierze.

Przetwarzanie danych osobowych będzie oczywiście musiało się odbywać zgodnie z RODO, a administrator danych będzie musiał zapewnić ich poufność – te elementy wynikały już wcześniej z dyrektywy. Okres przechowywania danych określono na maksymalnie 5 lat od dnia przyjęcia zgłoszenia.

Istotnym elementem ochrony tożsamości osób w ramach systemu zgłaszania nieprawidłowości jest dopuszczenie do procesu przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych, wyłącznie takich osób, które posiadają pisemne upoważnienie pracodawcy.