EX LEGE outsourcing usług IOD. Szkolenia Rafał Andrzejewski

PROCEDURA OCHRONY SYGNALISTÓW (WHISTLEBLOW)
Kim jest sygnalista?
Jest to obecny, były pracownik, kandydat do pracy, współpracownik, akcjonariusz, udziałowiec, wolontariusz, stażysta, podwykonawca, dostawca czy kontrahent, który zgłasza wszelkie nielegalne, niewłaściwe, nieetyczne, niebezpieczne czy szkodliwe praktyki danego przedsiębiorcy, organu publicznego lub współpracowników, które godzą w prawa zagwarantowane. Jest to taka osoba, które dokonuje zgłoszenia nadużyć i nieprawidłowości w przedsiębiorstwie lub organie państwowym. Aby korzystać z ochrony osoba dokonująca zgłoszenia powinna mieć uzasadnione podstawy, by twierdzić, że zgłaszane przez nią nieprawidłowości są prawdziwe. Nawet jeśli sygnalista zgłosi niedokładne informacje, w dalszym ciągu będzie korzystał z ochrony.
Jak wdrożyć dyrektywę w życie, aby system zgłoszeń funkcjonował skutecznie w Twoim przedsiębiorstwie?

1. Przedsiębiorco, bądź na bieżąco z przepisami prawa. 25 września 2024 wchodzą w życie przepisy o ochronie sygnalistów. Służymy w tym zakresie pomocą.
2. W zależności od formy pracy tj. zdalnej lub stacjonarnej, od rodzaju pracy np. fizycznej czy biurowej, należy dostosować kanał zgłoszeń tak, aby każdy potencjalny sygnalista czuł się komfortowo i bezpiecznie. Za kanał zgłoszeń może posłużyć np. specjalnie dedykowana infolinia lub niemonitorowana skrzynka zgłoszeń z formularzem zgłoszenia dostępnym na stronie internetowej przedsiębiorstwa. Kanał zgłoszeń może być wewnętrzny lub zewnętrzny, duży komfort psychiczny zapewniłby potencjalnemu sygnaliście zewnętrzny kanał zgłoszeń np. stworzony w kancelarii prawnej.
3. Zarówno formularze zgłoszeniowe, jak i cała procedura wyjaśniająca, muszą być napisane, prowadzone, w sposób prosty, przystępny dla każdego, bez zbędnego formalizmu językowego.
4. Każdy z pracowników oraz współpracowników, wolontariuszy czy stażystów, powinien być przeszkolony w przedmiotowym zakresie, natomiast do obsługi zgłoszeń i prowadzenia postępowania wyjaśniającego powinni być wyznaczeni bezstronni, zobowiązani do zachowania poufności, wykwalifikowani pracownicy.
5. Należy wydzielić obowiązki tak, aby każdy wiedział za jaki zakres jest odpowiedzialny. W skład komisji wyjaśniającej mogą wchodzić zarówno osoby zatrudnione w firmie, jak i osoby postronne np. prawnik, doradca, wyspecjalizowany podmiot gospodarczy. Ważnym jest, aby w składzie komisji nie uczestniczyły osoby bezpośrednio dotknięte zgłoszeniem.
W razie pytań, zapraszamy do kontaktu, jednocześnie ułatwimy Państwu wprowadzenie procedury ochrony sygnalistów w życie.

W dniu 24 czerwca 2024 r. w Dzienniku Ustaw opublikowana została ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów, która implementuje do polskiego prawa dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Nowe przepisy zaczną obowiązywać już 25 września 2024 r.
Co do zasady obowiązkowi ustanowienia wewnętrznych kanałów zgłaszania naruszeń maja podlegać podmioty sektora publicznego i prywatnego, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób.
Podmioty działające w sektorze finansowym (np. banki) będą miały obowiązek wdrożenia takich kanałów niezależnie od tego czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników.
Jak możemy pomóc?
• Przygotujemy procedurę zgłoszeń wewnętrznych dostosowaną do Państwa organizacji wraz ze wzorem rejestru zgłoszeń wewnętrznych.
• Przygotujemy lub zaktualizujemy dokumentację związaną z ochroną danych osobowych – nowy proces zgłaszania i obsługi naruszeń, to też nowy proces związany z przetwarzaniem danych osobowych.
• Wesprzemy we wdrożeniu kanałów zgłoszeń; oferujemy kanał informatyczny zapewniający poufność przy dokonywaniu zgłoszeń
• Przeszkolimy kadrę zarządzającą oraz pracowników – w ten sposób zadbamy o pełne i prawidłowe wdrożenie procedury.
• W zależności od Państwa potrzeb, możemy albo pełnić funkcję zewnętrznego Compliance Officera i prowadzić postępowania wyjaśniające od początku do końca.

EX LEGE SZKOLENIA PRAWNICZE, OUTSOURCING USŁUG IOD
RAFAŁ ANDRZEJEWSKI
AD REM SZKOLENIA PRAWNICZE
ul. Jurowiecka 19/147, 15-101 Białystok,
NIP:9661722551, REGON:369806355
tel. 504-976-690, 511-047-472

www.exlegeiod.pl

PRACA ZDALNA OD 7.04.2023-NOWE REGULACJE

Nowelizacja Kodeksu pracy, która weszła w życie 7 kwietnia, uchyla dotychczasowe przepisy dotyczące telepracy. Praca zdalna będzie mogła być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą.

Trzy rodzaje pracy zdalnej:
1. "Właściwa" praca zdalna - całkowicie lub częściowo wykonywaną poza zakładem pracy, przy czym miejsce jej wykonywania musi zostać uzgodnione z pracodawcą.
2. Praca zdalna wykonywana na polecenie pracodawcy - wydawana wyłącznie na czas określony i z przyczyn obiektywnych, losowych i niezależnych od pracodawcy.
3. Okazjonalna praca zdalna - wykonywana maksymalnie do 24 dni w roku na wniosek pracownika.
"Dopuszczenie pracownika do pracy zdalnej zależne jest od złożenia przez niego stosownego wniosku i oświadczenia o posiadaniu warunków lokalowych i technicznych do wykonywania pracy zdalnej"
Tryb wprowadzenia:
Zasady wykonywania pracy zdalnej określa się w porozumieniu zawieranym między pracodawcą i zakładową organizacją związkową" lub organizacjami związkowymi, jeśli jest ich więcej. Natomiast gdy u danego pracodawcy nie działają zakładowe organizacje związkowe, to "określa on zasady wykonywania pracy zdalnej w regulaminie po konsultacji z przedstawicielami pracowników".
Ministerstwo Rodziny i Polityki Społecznej wyjaśniło, że dopuszczalne jest także zawarcie indywidualnego porozumienia z pracownikiem określającego zasady wykonywania pracy zdalnej. Jak podał resort, porozumienie z pracownikiem może zostać zawarte, gdy nie zostało zawarte porozumienie zakładowe (lub wydany regulamin).

Praca zdalna - wysokość dodatku
Przy wdrożeniu pracy zdalnej najbardziej kłopotliwe wydaje się ustalenie wysokości tak zwanego dodatku za pracę zdalną, czyli kosztów, które są niezbędne do świadczenia pracy zdalnej oraz bezpośrednio z nią związane. Kodeks pracy zobowiązuje pracodawców do pokrycia jedynie kosztów energii elektrycznej oraz usług telekomunikacyjnych.

Praca zdalna zlecona przez pracodawcę
W pewnych przypadkach pracodawca może również polecić, a nie uzgodnić z pracownikiem, wykonywanie pracy zdalnej. Jak podał resort rodziny, pracodawca ma taką możliwość w określonych sytuacjach:
- w okresie obowiązywania stanu nadzwyczajnego, stanu zagrożenia epidemicznego albo stanu epidemii oraz w okresie 3 miesięcy po ich odwołaniu, - w okresie, w którym zapewnienie przez pracodawcę bezpiecznych i higienicznych warunków pracy w dotychczasowym miejscu pracy pracownika nie jest czasowo możliwe z powodu działania siły wyższej (np. zniszczenie miejsca pracy na skutek powodzi).
Pracodawca nie może jednak zlecić takiej pracy, jeżeli pracownik nie ma odpowiednich warunków lokalowych i technicznych. Przed zmianą formuły pełnienia obowiązków pracownik musi przekazać pracodawcy specjalne oświadczenie w tym zakresie.
Zapraszamy na szkolenia z przedmiotowej tematyki wraz ze wzorami dokumentów.

PROJEKT USTAWY O SYGNALISTACH

Przedstawiamy wybrane zagadnienia, które znalazły się w projekcie:

Sygnalistą może być m. in.:

1) pracownik (także były pracownik),

2) osoba ubiegająca się o zatrudnienie, która uzyskała informację o naruszeniu prawa w procesie rekrutacji lub negocjacji poprzedzających zawarcie umowy,

3) osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej,

4) przedsiębiorca,

5) akcjonariusz lub wspólnik,

6) członek organu osoby prawnej,

7) osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej,

8) stażysta,

9) wolontariusz.

Pracodawca zostanie zobowiązany do ustalenia regulaminu zgłoszeń wewnętrznych, który określi w szczególności (I) wewnętrzną procedurę zgłaszania naruszeń prawa oraz (II) podejmowania działań następczych;
Regulamin zgłoszeń wewnętrznych będzie musiał zostać uzgodniony z pracownikami lub związkami zawodowymi i będzie stanowił źródło prawa pracy;
Regulamin zgłoszeń wewnętrznych będzie musiał określać m. in.:

1) podmiot wewnętrzny upoważniony przez pracodawcę do przyjmowania zgłoszeń,

2) sposoby przekazywania zgłoszeń,

3) obowiązek potwierdzenia zgłaszającemu przyjęcia zgłoszenia w terminie 7 dni od dnia jego otrzymania,

4) maksymalny termin na przekazanie zgłaszającemu informacji zwrotnej, nieprzekraczający 3 miesięcy od potwierdzenia przyjęcia zgłoszenia,

5) opis działań następczych podejmowanych w celu weryfikacji informacji o naruszeniach prawa,

6) środki jakie mogą zostać zastosowane w przypadku stwierdzenia naruszenia prawa;

Pracodawca będzie miał obowiązek prowadzenia rejestru zgłoszeń wewnętrznych;
Ograniczenie możliwości postawienia sygnaliście zarzutu z powodu dokonania zgłoszenia lub ujawnienia publicznego;
Sygnaliści będą chronieni m. in. przed procesami cywilnymi o zniesławienie, odszkodowanie lub naruszenie dóbr osobistych;
Zakazane będzie szykanowanie sygnalistów.
Wobec sygnalisty-pracownika nie będzie można stosować działań odwetowych z powodu dokonania zgłoszenia takich jak m.in.:

1) wypowiedzenie stosunku pracy,

2) obniżenie wynagrodzenia za pracę,

3) wstrzymanie awansu albo pominięcie przy awansowaniu,

4) przeniesienie na niższe stanowisko pracy lub zawieszenie w wykonywaniu obowiązków;

5) nałożenie lub zastosowanie środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze;

Postanowienia umów o pracę i innych aktów objętych prawem pracy oraz czynności cywilnoprawnych w zakresie, w jakim bezpośrednio lub pośrednio wyłączają lub ograniczają prawo do dokonania zgłoszenia będą nieważne;
Warunkiem otrzymania statusu sygnalisty i uprawnień z tego wynikających będzie dokonanie przez sygnalistę zgłoszenia zgodnie z zasadami wynikającymi z ustawy;
Co do zasady sygnalista będzie w pierwszej kolejności zobowiązany do dokonania tzw. zgłoszenia wewnętrznego, czyli poinformowania kompetentnej osoby lub komórki wewnątrz organizacji;
Przepisom ustawy od momentu wejścia w życie ustawy podlegać będą podmioty sektora publicznego, a także te z sektora prywatnego, które zatrudniają co najmniej 250 pracowników;
Podmioty sektora prywatnego zatrudniające co najmniej 50 pracowników będą podlegać ustawie od 17 grudnia 2023 roku;
Zasadą będzie, że tożsamość osoby dokonującej zgłoszenia wewnętrznego w ramach organizacji będzie chroniona jako poufna, ale nie anonimowa;
Pracodawca będzie mógł przewidzieć zgłoszenie anonimowe w regulaminie zgłoszeń wewnętrznych, ale będzie to jego uprawnienie, nie obowiązek;
Osoba odpowiedzialna za przetwarzanie zgłoszeń będzie musiała mieć pisemne upoważnienie pracodawcy i być zobowiązana do poufności;
Przedsiębiorcy zatrudniający co najmniej 50, lecz nie więcej niż 249 pracowników, będą mogli współdzielić zasoby służące do przyjmowania i weryfikacji zgłoszeń na podstawie pisemnej umowy;
Sygnalista będzie mógł zgłosić naruszenie bezpośrednio Rzecznikowi Praw Obywatelskich lub innemu kompetentnemu organowi (tzw. zgłoszenie zewnętrzne). Zgłoszenia zewnętrznego będzie można również dokonać z pominięciem etapu wewnętrznego;

OBOWIĄZKI PRACODAWCÓW W ZWIĄZKU Z SYGNALISTAMI

Nadal trwają intensywne prace nad ustawą o ochronie osób zgłaszających naruszenia prawa, która stanowi wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, czyli tzw. dyrektywy o sygnalistach.
Ustawa jest już na etapie opiniowania, a przepisy chroniące sygnalistów, zgodnie z wymaganiami dyrektywy, powinny wejść w życie najpóźniej 17 grudnia 2021 r.

Jakie obowiązki czekają pracodawców?
1. Od chwili wejścia w życie ustawy:
− wszyscy pracodawcy w sektorze prywatnym i publicznym, niezależenie od stanu zatrudnienia, będą musieli zapewniać sygnalistom ochronę, stosować się do zakazu działań odwetowych wobec sygnalistów oraz zakazu utrudniania dokonywania zgłoszeń (np. przez stosowanie w umowach tzw. „klauzul kneblujących”),
− wewnętrzną procedurę przyjmowania i weryfikacji zgłoszeń będą musieli posiadać:
• pracodawcy z sektora prywatnego zatrudniający co najmniej 250 pracowników,
• pracodawcy z sektora publicznego zatrudniający co najmniej 50 pracowników,
• pracodawcy wykonujący działalność w zakresie usług, produktów i rynków finansowych oraz zajmujące się zapobieganiem praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwem transportu i ochroną środowiska, niezależnie od stanu zatrudnienia.


2. Od 17 grudnia 2023 r.:
− pracodawcy w sektorze prywatnym zatrudniający od 50 do 249 pracowników będą musieli posiadać wewnętrzną procedurę przyjmowania i weryfikacji zgłoszeń.
Z kolei pracodawcy zatrudniający mniej niż 50 pracowników będą mogli ustalić procedurę przyjmowania i weryfikacji zgłoszeń dobrowolnie.

Jak się przygotować?
Wszyscy pracodawcy powinni:
− dokonać weryfikacji liczby pracowników (tj. pracowników w rozumieniu Kodeksu pracy oraz pracowników tymczasowych w rozumieniu ustawy o zatrudnianiu pracowników tymczasowych),

− dokonać weryfikacji dotychczas stosowanych umów i dokumentów pod kątem ich zgodności z ustawą (np. umów o pracę, umów o zachowaniu poufności, polityk antymobbingowych, kodeksów etyki).

Dodatkowo, pracodawcy objęci obowiązkiem ustanowienia wewnętrznej procedury zgłoszeń powinni:
− wyłonić przedstawicieli pracowników – o ile brak jest zakładowych organizacji związkowych,
− opracować wymagany przepisami ustawy regulamin zgłoszeń wewnętrznych,
− przeprowadzić konsultacje treści regulaminu z zakładową organizacją związkową, a przypadku jej braku – z przedstawicielami pracowników,
− ustalić bezpieczny wewnętrzny kanał zgłoszeń ustnych lub pisemnych – w tym zakresie zdecydować też jaka infrastruktura – narzędzie będzie do tego wykorzystywane (np. system zgłoszeń elektronicznych),
− dokonać czynności wymaganych przez RODO - m.in. rozpoznać czynność przetwarzania i uzupełnić rejestr czynności przetwarzania, dokonać analizy ryzyka, zaprojektować system zgłoszeń wewnętrznych zgodnie z zasadą uwzględniania ochrony danych w fazie projektowania (data protection by design)
− wyznaczyć bezstronne osoby lub komórki odpowiedzialne za przyjmowanie i procedowanie zgłoszeń lub zawrzeć umowy z podmiotem zewnętrznym dot. podejmowana w imieniu pracodawcy działań następczych, w tym weryfikacji zgłoszeń i dalszej komunikacji ze zgłaszającymi,
− sporządzić upoważnienia dla osób wyznaczonych do przyjmowania zgłoszeń oraz przeszkolić je w jaki sposób obsługiwać zgłoszenia,
− zaimplementować opracowane procedury w organizacji oraz przeszkolić pracowników w jaki sposób korzystać z wewnętrznego kanału zgłoszeń,
− opracować wzory dokumentów do przyjmowania i rozpatrywania zgłoszeń,
− założyć i prowadzić rejestr zgłoszeń.

Projekt ustawy przewiduje sankcje karne za naruszenie przepisów ustawy. Utrudnianie dokonania zgłoszenia naruszenia prawa, podejmowanie działań odwetowych wobec sygnalisty lub naruszenie obowiązku zachowania jego tożsamości w poufności, a także zaniechanie ustanowienia wewnętrznej procedury naruszeń prawa i podejmowania działań następczych będzie podlegać grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

RODO A SYGNALIŚCI
Przy wdrażaniu wewnętrznego systemu sygnalizowania o nieprawidłowościach niezwykle ważne jest zapewnienie, aby dane osobowe wszystkich uczestników postępowania – sygnalisty, sprawców lub ewentualnych świadków opisanego w zgłoszeniu naruszenia ‒ były należycie chronione, a ich prawa przestrzegane. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: dyrektywa) wskazuje wprost na wymóg stosowania RODO.
Ochronie muszą podlegać dane nie tylko sygnalisty, lecz także innych uczestników postępowania wyjaśniającego. Podmiot je prowadzący pełni bowiem funkcję ich administratora.
Mając na uwadze motyw 82 dyrektywy ochrona poufności tożsamości osoby dokonującej zgłoszenia podczas trwania procesu dokonywania zgłoszenia i w toku postępowań wyjaśniających uruchomionych na skutek danego zgłoszenia jest jednym z zasadniczych środków ex ante zapobiegających działaniom odwetowym. Zgodnie zaś z art. 53 ust. 4 i 7 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML ‒ w brzmieniu obowiązujący od 31 października 2021 r.) procedura anonimowego zgłaszania naruszeń powinna określać sposób ochrony danych osobowych pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych, a także termin usunięcia danych osobowych zawartych w zgłoszeniu.
Konieczne staje się więc dostosowanie wewnętrznych procedur służących zgłaszaniu nieprawidłowości do przewidzianych w RODO takich zasad, jak przejrzystość, rzetelność, legalność, celowość, rozliczalnośc+ć czy minimalizacji danych.
Osoby upoważnione
W obrębie poruszanego zagadnienia administratorem danych osobowych jest podmiot, który wdraża system do zgłaszania nieprawidłowości i prowadzi wewnętrzne postępowanie wyjaśniające. Dane osobowe mogą przetwarzać administrator, podmiot działający na podstawie upoważnienia administratora i osoby upoważnione przez podmiot przetwarzający. Dlatego należy zwrócić uwagę na kwestie organizacyjne ochrony ddanych osobowych, co powinno znaleźć odzwierciedlenie w wewnętrznej procedurze dotyczącej systemu zgłaszania nieprawidłowości poprzez wskazanie wprost osób upoważnionych do przetwarzania w imieniu administratora danych osobowych. Równie ważne są kwestie techniczne, jak rzetelne zabezpieczenie serwerów i ustanowienie silnych, systematycznie zmienianych haseł dostępu. Okres budowania i wdrażania wewnętrznego systemu zgłaszania nieprawidłowości warto więc wykorzystać do audytu obowiązujących polityk ochrony danych osobowych.
Legalność przetwarzania
Wiemy, że przetwarzanie danych osobowych musi odbywać się zgodnie z RODO, należy wskazać na warunki, które muszą być spełnione, aby przetwarzanie danych osobowych było dopuszczalne. Na podstawie art. 6 RODO są nimi:
• zgoda osoby, której dane dotyczą, wyrażona na przetwarzanie danych osobowych w jednym lub większej liczbie celów,
• niezbędność do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
• niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze,
• niezbędność do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
• niezbędność do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
• niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Podstawą prawną przetwarzania danych osobowych w wewnętrznych procedurach whistleblowingowych, zarówno danych dotyczących sygnalisty, jak i sprawcy naruszenia lub ewentualnych świadków opisanego w zgłoszeniu naruszenia, są niezbędność realizacji obowiązku prawnego administratora i jego prawnie uzasadniony interes. Jest to wprost związane z obowiązkiem ustanowienia wewnętrznych kanałów i procedur do zgłaszania nieprawidłowości oraz obowiązkiem prowadzenia wewnętrznych postępowań wyjaśniających.
Obowiązek informacyjny
Pozyskując dane osobowe w trakcie postępowania wyjaśniającego, pamiętać należy, że przepisy RODO nie pozwalają na wyłączenie obowiązku informacyjnego wobec osoby, która przekazuje swoje dane osobowe. Zakres obowiązku informacyjnego zdefiniowany został w art. 13 RODO i obejmuje konieczność podania informacji:
• identyfikującej administratora i pozwalającej się z nim skontaktować,
• pozwalającej się skontaktować z inspektorem ochrony danych,
• dotyczącej celów przetwarzania danych osobowych i podstaw prawnych i przetwarzania,
• o tym, jaki prawnie usprawiedliwiony cel stanowi podstawę przetwarzania danych,
• o odbiorcach lub kategoriach odbiorców danych,
• dotyczących przetwarzania danych do państwa trzeciego bądź organizacji międzynarodowej i związanych z tym wymogach.
Szczególnie istotny będzie cel przetwarzania danych osobowych, stanowiący granicę dopuszczalności przetwarzania danych osobowych, który powinien zostać zdefiniowany w procedurze dotyczącej wewnętrznych postępowań wyjaśniających. Oczywistym na gruncie zarówno dyrektywy, jak i ustawy AML celem przetwarzania danych osobowych jest przeprowadzenie wewnętrznego postępowania wyjaśniającego, ustalenie okoliczności, w jakich doszło lub mogło dojść do naruszenia, lub wreszcie wyciągnięcie konsekwencji prawnych w stosunku do sprawców naruszenia. Okres przetwarzania danych osobowych sygnalisty nie powinien być dłuższy, niż jest to konieczne dla celów zgłoszenia naruszenia i przeprowadzenia postępowania. Obowiązek informacyjny dotyczy także osób, których dane zostaną pozyskane nie bezpośrednio od osoby, której dotyczą – osoby, której zarzuca się nieprawidłowe zachowanie czy świadków takiego naruszenia. W odniesieniu do tych uczestników wewnętrznego postępowania wyjaśniającego obowiązek informacyjny reguluje art. 14 RODO, który pozwala na niewykonanie obowiązku informacyjnego, gdy jego wykonanie mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą.
Rządowe Centrum Legislacji 18 października 2021 r. opublikowało projekt ustawy o ochronie osób zgłaszających naruszenia prawa, wdrażającej dyrektywę 2019/1937 do polskiego porządku prawnego.
Przygotuj swój podmiot na nowe przepisy! Zapewniamy wewnętrzne kanały komunikacji dla sygnalistów – portal internetowy, infolinię oraz dedykowany adres e-mail w naszej domenie. Oferujemy również pełną obsługę w zakresie wdrożenia procedur oraz usługę w zakresie pośrednictwa w kontakcie z sygnalistami wraz z raportowaniem.
Oferujemy różnorodne kanały zgłaszania nieprawidłowości i ich obsługę przez nasz wykwalifikowany zespół
EX LEGE SZKOLENIA PRAWNICZE, OUTSOURCING USŁUG IOD RAFAŁ ANDRZEJEWSKI
ul. Jurowiecka 19/147, 15-101 Białystok, NIP:9661722551
Kontakt:
Rafał Andrzejewski
+48 504-976-690,
[email protected]; [email protected]
Małgorzata Kuc-Wiśniewska
+48 784037658
[email protected]
Anna Bułkowska
+48 511047472
[email protected]
Więcej na stronie:

Szkolenia – EX LEGE IOD Szkolenia Jednym z  zadań Inspektora Ochrony Danych Osobowych ( IOD) , o której mowa w RODO, jest zapoznanie osób przetwarzających dane osobowe  z przepisami w zakresie ochrony danych osobowych . W przypadku nie wyznaczenia ( IOD) obowiązek edukowania osób przetwarzających dane osobowe spoc...

SYGNALIŚCI

Po dwóch latach od przyjęcia unijnej Dyrektywy o ochronie sygnalistów i braku informacji co do postępów prac nad implementacją przepisów do polskiego porządku prawnego długo wyczekiwany projekt ustawy trafił do wykazu prac legislacyjnych Rady Ministrów. W niektórych artykułach zgodnie z przewidywaniami jest prawie dosłownym powtórzeniem przepisów Dyrektywy, w innych je doprecyzowuje. Aktualnie projekt znajduje się w fazie opiniowania.
Kto będzie obsługiwał zgłoszenia?
Pracodawca jest zobowiązany do wyznaczenia osoby do obsługi wniosków. Osoba musi spełniać odpowiednie kwalifikacje np. niezależność, wiedz itp. Ponadto taki administrator wniosków będzie zobowiązany do raportowania swoich wyników.

Komu będzie przysługiwała ochrona?
Ochrona będzie przysługiwała osobom zgłaszającym naruszenie niezależnie od podstawy i formy świadczenia pracy, w tym także osobom świadczącym pracę na rzecz podmiotów, z którymi pracodawca utrzymuje relacje gospodarcze, jak wykonawcy, podwykonawcy lub dostawcy oraz akcjonariuszom, wspólnikom oraz członkowie organów osoby prawnej. Ochroną zostaną również objęte osoby, których stosunek pracy ustał lub dopiero ma zostać nawiązany.

Jakie będą kanały zgłoszeń?
Wewnętrzne kanały zgłoszeń, zewnętrzne kanały zgłoszeń do odpowiednich organów państwa oraz ujawnienie publiczne.

Kto, co i jak może zgłosić?
Ustawa zakłada, że sygnalistą może zostać prawie każda osoba mająca wiedzę o naruszeniu prawa w swoim środowisku zawodowym. Zgłoszenia może dokonać m.in.: pracownik (w tym niegdysiejszy lub osoba w procesie rekrutacji), osoba współpracująca z organizacją na kontrakcie B2B, wolontariusz i stażysta czy osoba w randze członka organu osoby prawnej.
Bycie sygnalistą oznacza możliwość objęcia reżimem ochronnym przed działaniami odwetowymi. Ochrona ma przysługiwać przede wszystkim przed: zwolnieniem, zmianą warunków zatrudnienia na mniej korzystne i wszelką formą mobbingu i dyskryminacji, które byłyby formą represji w związku ze zgłoszeniem.
O nieprawidłowości w kontekście związanym z pracą sygnaliści mogą powiadomić na drodze:
• zgłoszenia wewnętrznego – swoją organizację,
• zgłoszenia zewnętrznego ‒ organ centralny lub właściwe organy publiczne,
• ujawnienia publicznego – opinię publiczną za pośrednictwem mediów tradycyjnych lub społecznościowych.
Organem centralnym odpowiedzialnym za przyjmowanie zgłoszeń zewnętrznych został, zgodnie z zapowiedzią, Rzecznik Praw Obywatelskich. Poza organem centralnym ustawa definiuje także organy publiczne. W projekcie z nazwy wymieniony został tylko Prezes
Przepisy karne
Jednym z większych zaskoczeń, jakie przyniósł projekt ustawy, było brzmienie przepisów karnych. Wprowadzają one ryzyko poniesienia odpowiedzialności osobistej do 3 lat pozbawienia wolności za:
• nieustanowienie lub niewłaściwe ustanowienie wewnętrznych procedur zgłaszania,
• utrudnianie dokonywania zgłoszeń,
• podejmowanie działań odwetowych wobec sygnalistów czy
• naruszenie poufności tożsamości sygnalisty.
Kontrowersyjne jest jednak to, że projekt nie precyzuje bezpośrednio, kto miałby tę odpowiedzialność ponieść. Należy więc założyć, że byłoby to najwyższe kierownictwo oraz zgodnie z zakresami obowiązków odpowiednie funkcje w organizacji (np. przedstawiciele działu prawnego lub HR). W tej perspektywie tym istotniejszy wydaje się być właściwy podział obowiązków w procesie ustanawiania systemu i jego późniejszej obsługi.
Jednak największym zaskoczeniem wydaje się być propozycja identycznej sankcji za dokonywanie fałszywych zgłoszeń przez sygnalistów. Odpowiedzialność jak najbardziej powinna być po obu stronach, a ochrona nie powinna być bezwarunkowa. Jednak wykazanie złej wiary sygnalisty może być w praktyce bardzo trudne, a sam przepis w swojej surowości może stanowić jedynie dużą barierę dla sygnalizowania i kształtowania kultury transparentności w polskich firmach.
Zaangażowanie przedstawicieli pracowników
Regulamin zgłoszeń wewnętrznych pracodawca ma ustalić w drodze konsultacji z zakładową organizacją związkową albo przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy, jeśli u pracodawcy nie działa zakładowa organizacja związkowa. W związku z tym stworzenie i wdrożenie wewnętrznej procedury musi się odbyć przy czynnym i udokumentowanym udziale przedstawicieli pracowników. To motywuje wiele organizacji do przyspieszenia działań wdrażających lub aktualizujących zasady funkcjonowania systemów whistleblowing w ich strukturach, aby zdążywszy przed przyjęciem ustawy, uniknąć obowiązku konsultacji.

AUDYTY KRI
Usługa adresowana do instytucji publicznych
KRÓTKA INFORMACJA O AUDYCIE
Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności nakłada na rejestry publiczne i wymiany informacji w postaci elektronicznej oraz systemy teleinformatyczne minimalne wymagania jakie powyższe systemu muszą spełnić. W rozporządzeniu nałożony został również obowiązek okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Audyt musi odbywać się nie rzadziej niż raz na rok.
(..."każdy podmiot publiczny zobowiązany jest do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok (§ 20 ust.2 pkt 14). " ...)
Omawiane Rozporządzenie to akt wykonawczy do Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne
KOGO DOTYCZY ROZPORZĄDZENIE KRI ?
Rozporządzenie dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Powinni się dostosować do niego:
• Urzędy Miast i Gmin;
• Starostwa Powiatowe;
• jednostki organizacyjne, np. szkoły, przedszkola, MOPS/GOPS, PCPR, biblioteki, ośrodki kultury;
• podmioty publiczne, np. sądy, stowarzyszenia, kluby sportowe, organizacje rządowe.
KORZYŚCI DLA PODMIOTU
• Pewność zgodności posiadanych systemów i bezpieczeństwa z wymaganiami prawnymi
• Spełnienie wymogów ustawowych
• Eliminacja negatywnych uwag przeprowadzanych przez jednostki nadrzędne
• Znajomość mocnych i słabych stron posiadanej infrastruktury oraz systemów informatycznych
• Minimalizacja ryzyka

CO OBEJMUJE PRZEPROWADZANY PRZEZ NAS AUDYT ?
audyt jest przeprowadzany w obszarach (zakres podstawowy wymagany Rozporządzeniem):
• Polityki bezpieczeństwa i aspektów prawnych,
• Organizacji bezpieczeństwa informacji,
• Zarządzania aktywami,
• Bezpieczeństwa fizycznego, kontroli dostępu i zarządzenia incydentami,
• Zarządzania systemami i sieciami.
• Utrzymania systemów informatycznych,
• Ciągłości działania,
• Analizy ryzyka,
• Zgodności z KRI i RODO
• Przygotowania i przedstawienia sprawozdania z audytu,
• Przekazania propozycji ewentualnych działań naprawczych
JAKIE SĄ KOSZTY PRZEPROWADZENIA AUDYTU W PODMIOCIE PUBLICZNYM ?
Koszt przeprowadzenia audytu jest określony indywidualnie w zależności od warunków zapewnienia bezpieczeństwa informacji i wielkości podmiotu. Nasz audyt w zakresie podstawowym jest przeprowadzony zdalnie. Dzięki temu oraz współpracy z podmiotem przy zbieraniu danych audytowych, koszty zostały znacząco zmniejszone, a wymóg wskazany w Rozporządzeniu - spełniony.
JAKIE SĄ WYTYCZNE DOTYCZĄCE PRZEPROWADZENIA AUDYTU ?
Aby ułatwić podmiotom publicznym realizację nałożonych na nie zadań, Departament Informatyzacji MAC i Departament Audytu Sektora Finansów Publicznych MF przygotowały wspólne stanowisko dotyczące zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji. W dokumencie stwierdzono, że intencją autorów rozporządzenia w sprawie systemów teleinformatycznych było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania.

KONTROLE NIK
W maju 2019r NIK przeprowadził szereg kontroli pod kątem bezpieczeństwa danych. Poddane zostały weryfikacji bezpieczeństwo danych w urzędach gmin, miast i starostwach. W opinii NIK, "nie jest możliwe zapewnienie wysokiego poziomu ochrony danych osobowych bez zachowania właściwego bezpieczeństwa informacji w systemach informatycznych". Wnioski i wytyczne prezentuje NIK na swojej stronie internetowej.
W 2019r i 2020r NIK przeprowadził w szereg kontroli pod kątem ePUAP. Bezpieczeństwo informacji w oparciu o rozporządzenie KRI oraz wymóg audytu w ocenie NIK był kluczowy.

Wyniki kontroli:
UM Grajewo, z dnia 18.08.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Hajnówka, z dnia 18.08.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Augustów, z dnia 31.07.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Knurów, z dnia 6.11.2020r. - dokument pokontrolny
UM Łomża, z dnia 31.07.2020r. - dokument pokontrolny
UM Myszków, z dnia 6.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UMiG Pszczyna, z dnia 12.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UMiG Czechowice-Dziedzice, z dnia 6.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UMiG Swarzędz, z dnia 24.07.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Oborniki, z dnia 13.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Śrem, z dnia 2.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Wolsztyn, z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Białogard z dnia 2.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Gryfino z dnia 2.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Wałcz z dnia z 3.09.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Police z dnia z 4.11.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Aleksandrów Łódzki z dnia z 19.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Opoczno z dnia 12.10.2020r. - dokument pokontrolny
UM Długołęka z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Oleśnica z dnia 21.10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Zgorzelec z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
UM Oława z 10.2020r. - w dokumencie pokontrolnym stwierdzono nieprawidłowości...
Czy PAŃSTWA podmiot wypełnia co roku obowiązek przeprowadzenia audytu Bezpieczeństwa Informacji zgodnie z Rozporządzeniem KRI ? Zachęcamy do kontaktu. Wycena kosztów zlecenia jest bezpłatna.
Uzupełnieniem audytu KRI może być audyt bezpieczeństwa danych osobowych RODO o którym mówi art. 24 i 32 RODO. Zlecenie przeprowadzenia obydwu audytów jest uzasadnione oraz korzystniejsze cenowo

OPIS USŁUGI AUDYTU
1. Audyt przeprowadzany jest na podstawie i zgodnie z wymaganiami Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012r. poz. 526).
2. Zasady przeprowadzenia proponowanego audytu oparte są na wytycznych zawartych w dokumencie „Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji'
3. Proponowany audyt spełnia wymagania dotyczące wyboru osób prowadzących audyt w zakresie bezpieczeństwa informacji. Zgodnie z wytycznymi zawartymi w dokumencie „Wspólne stanowisko …” , są to: odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego.
4. Proponowany audyt sytemu bezpieczeństwa informacji, zgodnie z wytycznymi zawartymi w dokumencie „Wspólne stanowisko …”, będzie przeprowadzony w oparciu o 14 kryteriów zawartych w § 20 ust. 2 Rozporządzenia
5. Metodyka audytu polega na ocenie stanu przestrzegania wymagań Rozporządzenia w oparciu o Załącznik nr 1 do Wytycznych dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań publicznych (Ankieta dotycząca działania systemów teleinformatycznych używanych do realizacji zadań publicznych)
6. Ocena będzie dokonywana poprzez gromadzenie dowodów zgodności w postaci oględzin dokumentacji oraz odbierania oświadczeń składanych przez osoby poddane audytowi.
7. Na podstawie zebranych informacji, zakończenie audytu skutkuje przygotowaniem i przedstawieniem sprawozdania z audytu. W przypadku stwierdzenia obszarów wymagających doskonalenia, sprawozdanie zawierać będzie propozycje ewentualnych działań naprawczych.
8. Audyt obejmuje sprawdzenie wykonania obowiązków w zakresie :
1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
a) zagrożenia bezpieczeństwa informacji,
b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami
8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych
13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób,
umożliwiający szybkie podjęcie działań korygujących;
14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
OFERUJEMY TAKŻE SZKOLENIA Z BEZPIECZEŃSTWA INFORMACJI I RODO
Spełnienie obowiązku z przeprowadzenia obligatoryjnego szkolenia z zasad bezpieczeństwa dla pracowników Państwa jednostki (na podst. § 20 ust. 2, pkt. 6 Rozporządzenia KRI) oraz szkolenia z zakresu ochrony danych osobowych( art. 39 ust.1 lit b RODO)
W sprawie organizacji audytu prosimy o kontakt:
EX LEGE SZKOLENIA PRAWNICZE, OUTSOURCING USŁUG IOD RAFAŁ ANDRZEJEWSKI
ul. Jurowiecka 19/147, 15-101 Białystok, NIP:9661722551
oddziały: Kraków, Poznań, Łódź, Rzeszów
Kontakt:
Rafał Andrzejewski
+48 504-976-690,
[email protected]
Małgorzata Kuc-Wiśniewska
+48 784037658
[email protected]
Anna Bułkowska +48 511047472 [email protected]

Więcej na stronie:

Szkolenia – EX LEGE IOD Szkolenia Jednym z  zadań Inspektora Ochrony Danych Osobowych ( IOD) , o której mowa w RODO, jest zapoznanie osób przetwarzających dane osobowe  z przepisami w zakresie ochrony danych osobowych . W przypadku nie wyznaczenia ( IOD) obowiązek edukowania osób przetwarzających dane osobowe spoc...