CORE CONSULTING

Tag: Samorządy

Ustawa o ochronie sygnalistów – znamy założenia do projektu

17 grudnia 2021 r. mija termin na przyjęcie przepisów krajowych implementujących dyrektywę unijną o ochronie sygnalistów[1]. Poznaliśmy istotę rozwiązań, które mają zostać przyjęte w ustawie.

Zakres zgłoszeń

Zakres możliwych zgłoszeń naruszeń prawa przez sygnalistów nie zostanie rozszerzony na inne obszary niż zakłada to dyrektywa. Nie jest zaskoczeniem, że zakres ten będzie jednak obejmował również naruszenie przepisów krajowych (a nie tylko unijnych) z dziedzin określonych w dyrektywie. Dla przypomnienia, są to obszary:

– zamówień publicznych,

– usług, produktów i rynków finansowych,

– zapobiegania praniu pieniędzy i finansowaniu terroryzmu,

– bezpieczeństwa produktów,

– bezpieczeństwa transportu,

– ochrony środowiska,

– ochrony radiologicznej i bezpieczeństwa jądrowego,

– bezpieczeństwa żywności i pasz,

– zdrowia i dobrostanu zwierząt,

– zdrowia publicznego, w tym praw pacjentów i kontroli wyrobów tytoniowych,

– ochrony konsumentów,

– ochrony prywatności i danych osobowych,

– bezpieczeństwa sieci i systemów teleinformatycznych.

Ponadto zakresem dyrektywy objęte są naruszenia mające wpływ na interesy finansowe UE, dotyczące rynku wewnętrznego, w tym naruszenia unijnych zasad konkurencji i pomocy państwa oraz naruszenia krajowych przepisów regulujących opodatkowanie osób prawnych.

Podmioty zobowiązane do wdrożenia procedur

Ważnym założeniem do projektu ustawy jest to, że w sektorze publicznym obowiązek wdrożenia procedur zostanie ograniczony do jednostek zatrudniających co najmniej 50 pracowników. Nasz ustawodawca planuje zatem skorzystać z uprawnienia nadanego mu przez dyrektywę do ograniczenia kręgu podmiotów zobowiązanych.

W obrębie podmiotów z sektora prywatnego nie zakłada się modyfikacji na poziomie krajowym. Zobowiązani do wdrożenia procedur zgłaszania naruszeń będą przedsiębiorcy zatrudniający co najmniej 249 pracowników. Podmioty zatrudniające od 50 do 249 pracowników także będą musiały wdrożyć procedury, ale dopiero pod koniec 2023 r. Co ważne, podmioty działające w sektorze finansowym (m.in. banki, fundusze inwestycyjne, zakłady ubezpieczeń, zakłady reasekuracji, fundusze powiernicze, towarzystwa emerytalne, fundusze emerytalne, domy maklerskie, towarzystwa funduszy inwestycyjnych) będą miały obowiązek stosowania przepisów już w tym roku – niezależnie od liczby zatrudnionych osób.

Niestety na tym etapie założeń do projektu nadal nie wiemy czy i jak należy definiować pojęcie pracownika. Wydaje się, że ustalając stan zatrudnienia trzeba będzie brać pod uwagę również osoby wykonujące zadania na podstawie umów zlecenia.

Sygnaliści

Ustawa ma zapewnić ochronę sygnalistom niezależnie od podstawy i formy świadczenia pracy (umowa o pracę, cywilnoprawna, w ramach własnej działalności gospodarczej, kontrakt menedżerski, wolontariat, staż, praktyka). Ochroną objęte będą również osoby świadczące pracę na rzecz wykonawców, podwykonawców lub dostawców podmiotu, którego dotyczyć będzie zgłoszenie. Za sygnalistów uważani będą również akcjonariusze, wspólnicy oraz członkowie organów osób prawnych oraz byli pracownicy i kandydaci do pracy.

Założenia do projektu ustawy są takie, że sytuacja prawna sygnalisty ma zostać wzmocniona na gruncie ewentualnych postępowań sądowych poprzez odwrócenie ciężaru dowodu. Sygnalista ma mieć prawo do dochodzenia odszkodowania w wysokości nie niższej niż minimalne wynagrodzenie za pracę.

Wewnętrzne procedury

Przewiduje się w ustawie, że procedura zgłaszania naruszeń będzie miała charakter wewnątrzzakładowego aktu prawnego objętego zakresem definicji prawa pracy. Treść procedury będzie zatem przedmiotem uzgodnień z zakładowymi organizacjami związkowymi albo konsultacji z przedstawicielami pracowników.

Na tym etapie zakłada się, że procedura – w wersji minimalnej – będzie musiała obejmować swoim zakresem pracowników. Co za tym idzie, przepisy krajowe mają dawać swobodę podmiotom zobowiązanym w wyborze czy będą chcieli umożliwić skorzystanie z wewnętrznych kanałów zgłoszeń przez np. byłych pracowników, wolontariuszy, stażystów czy też dostawców lub podwykonawców. Należy jednak pamiętać, że brak umożliwienia zgłoszenia kanałem wewnętrznym nie wyłączy możliwości dokonania zgłoszenia przez te osoby w innym trybie tj. zgłoszenia zewnętrznego (do organu centralnego).

Organ centralny – Rzecznik Praw Obywatelskich

Polski ustawodawca chce wyznaczyć na organ centralny Rzecznika Praw Obywatelskich, który będzie udzielał wsparcia sygnalistom i przyjmował zgłoszenia (kanał zewnętrzny). 

Wiemy również, że Rzecznik nie będzie organem rozpatrującym zgłoszenia, a jego rola będzie sprowadzała się do nadania zgłoszeniu właściwego biegu czyli tak faktycznie przekazania sprawy do właściwego organu (w zależności od tego czy konieczne okaże się postępowanie kontrolne, wyjaśniające czy np. złożenie zawiadomienia o przestępstwie). W konsekwencji należy założyć, że ustawa raczej nie będzie zawierała niezależnej procedury postępowania w zakresie merytorycznego rozstrzygania zgłoszeń.

Odrębna ustawa

Nie jest również zaskoczeniem, że z uwagi na szeroki zakres koniecznych do wdrożenia rozwiązań przepisy związane z ochroną sygnalistów zostaną ujęte w formie odrębnej ustawy.

Kary

Z dotychczas opublikowanych informacji nie wynika, jakie kary będą wiązały się z naruszeniem przepisów o ochronie sygnalistów. Dyrektywa wymaga, aby ustawodawca krajowy zapewnił skuteczność stosowania przepisów poprzez wprowadzenie sankcji o charakterze karnym, cywilnym i/lub administracyjnym. Przewidujemy, że podobnie jak w przypadku kar za naruszenie przepisów o ochronie danych osobowych, sankcje te mogą być dotkliwe. Z tego powodu zalecamy nie czekać z decyzją o wdrożeniu wymaganych procedur do ostatniej chwili.

Pamiętajmy, że powyższe założenia są wstępne i mogą ulec zmianie na dalszych etapach. Z niecierpliwością czekamy na projekt ustawy. Zmiany można śledzić tutaj: https://archiwum.bip.kprm.gov.pl/kpr/form/r230343592,Projekt-ustawy-o-ochronie-osob-zglaszajacych-naruszenia-prawa.html

[1] Dyrektywa Parlamentu Europejskiego i Rady UE (2019/1937) z dnia 23 października 2019 w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Dane niechciane

CZYM SĄ I CO Z NIMI ZROBIĆ?

Kiedy mamy do czynienia z „danymi niechcianymi”
Przetwarzanie danych osobowych stanowi pewien proces, który powinien być zaplanowany, mieć swój początek oraz koniec. Zadaniem administratora jest określenie tego, jakie informacje, na jakiej podstawie, w jakim celu i w jaki sposób będą przetwarzane oraz wskazanie, w miarę możliwości, okresu ich przechowywania. Innymi słowy, dane osobowe przetwarzane w ramach organizacji, powinny być przyporządkowane do konkretnego procesu (lub procesów) i nie powinny znajdować się w niej przez przypadek. W praktyce zdarza się jednak, że organizacja wchodzi w posiadanie danych osobowych wbrew własnej woli. Pojawiają się wówczas kwestie problemowe – co z takimi danymi zrobić, jak je przetwarzać, czy należy spełnić obowiązek informacyjny. Przykładem otrzymania takich danych jest otrzymanie wiadomości e-mail zawierającej CV, podczas gdy nie jest prowadzona rekrutacja, a placówka nie jest zainteresowana zatrudnianiem nowego pracownika. Inną sytuacją jest składanie przez pracownika wniosku do ZFŚS i załączanie kserokopii dokumentów np. wypisu ze szpitala. Takie dane określa się właśnie mianem „danych niechcianych”.

JEŚLI ADMINISTRATOR PODEJMIE DECYZJĘ O USUNIĘCIU BĄDŹ ZNISZCZENIU DANYCH NIECHCIANYCH, WÓWCZAS NIE BĘDZIE ZOBLIGOWANY DO SPEŁNIENIA OBOWIĄZKU INFORMACYJNEGO WOBEC OSOBY, KTÓRA PRZEKAZAŁA DANE WBREW JEGO WOLI.

Jak dalej postąpić?
Pamiętajmy, że to administrator decyduje o tym jakie dane osobowe przetwarza – część z tych danych pojawia się w organizacji na podstawie przepisów prawa (np. w przypadku zatrudnienia pracowników), a część z nich w wyniku działalności administratora (np. na podstawie zgody na otrzymywanie newslettera lub umowy na wykonanie usługi). Nie można natomiast niejako zmusić daną organizację do administrowania naszymi danymi osobowymi np. przesyłając CV w wiadomości e-mail lub przekazując nadmiarową dokumentację. W przypadku otrzymania takich „nadprogramowych” danych osobowych administrator ma prawo po prostu je usunąć, jako że są one dla niego zbędne. W tym przypadku też, nie ma konieczności aby spełniać obowiązek informacyjny wobec osoby, która przekazała swoje dane.

TAK ZWANE: „DANE NIECHCIANE” NALEŻY PO PROSTU USUNĄĆ BĄDŹ ZNISZCZYĆ.

PODSUMOWUJĄC:
Wiadomości e-mail zawierające dane niechciane należy pozostawiać bez odpowiedzi oraz usunąć je ze skrzynki.
Natomiast w przypadku dokumentów zwrócić je właścicielowi bądź (jeśli są to kserokopie) zniszczyć.

Przetwarzanie danych osobowych ucznia w procesie nauki zdalnej

Nauka zdalna stawia przed systemem oświaty nowe wyzwania, zarówno w zakresie formy jej prowadzenia, wykorzystywanych narzędzi, jak i weryfikacji pracy uczniów. Pamiętajmy jednak, że ta nadzwyczajna sytuacja nie zwalnia placówek z przestrzegania zasad ochrony danych osobowych.

Podstawy przetwarzania danych uczniów przy wykorzystaniu metod kształcenia na odległość

Wynikiem obecnej sytuacji oraz obowiązku prowadzenia nauki w trybie zdalnym, jest poszukiwanie przez jednostki oświatowe nowych sposobów komunikacji pomiędzy nauczycielami, a uczniami. Wymaga to wykorzystania nowych narzędzi – takich jak platformy, aplikacje czy portale społecznościowe. Bardzo często konieczne jest założenie każdemu z uczniów indywidulanego konta w wybranym programie, czy aplikacji co wiąże się z przekazywaniem danych osobowych. W związku z tym, może pojawić się pytanie, czy szkoła powinna uzyskać zgodę rodziców na takie przetwarzanie. Warto pamiętać, że placówka przetwarza dane osobowe wykonując zadania realizowane w interesie publicznym (art. 6 ust. 1 lit e RODO), do których należy świadczenie usług edukacyjnych i opiekuńczo – wychowawczych.

Dlatego też, zgoda na przetwarzanie danych osobowych nie znajdzie tutaj zastosowania – ponieważ świadczenie tych usług nie ma charakteru dobrowolnego, a obowiązkowy. Obowiązek realizowania zadań jednostek z wykorzystaniem metod i technik kształcenia na odległość, lub w inny odpowiedni sposób, został uregulowany w rozporządzeniu Ministra Edukacji Narodowej z dnia 11 marca 2020 r. w sprawie czasowego ograniczenia funkcjonowania jednostek systemu oświaty w związku z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19.

Wybór stosowanych narzędzi powinien być jednak rozsądny – należy przeanalizować transparentność wybranych aplikacji oraz, w miarę możliwości, korzystać z jak najmniejszej ich ilości tak, aby nie mnożyć kont zakładanych uczniom, a dane udostępniać jak najmniejszej liczbie podmiotów.

Pamiętajmy, że przetwarzanie danych osobowych uczniów na podstawie interesu publicznego obejmuje tylko te dane, które są niezbędne do osiągnięcia tego celu. Przykładowo do założenia konta i skutecznego kontaktowania się z uczniem wystarczy jego imię, nazwisko oraz klasa – wizerunek będzie stanowił dane nadmiarowe. Co nie znaczy, że szkoła w ogóle nie może go wykorzystywać.

Wizerunek ucznia – czy potrzebna jest zgoda?

O ile zadania z matematyki, czy biologii łatwo sprawdzić na podstawie przesłanych przez uczniów rozwiązań zadań, o tyle niełatwa jest weryfikacja zadań plastycznych, technicznych, czy tez wykonania ćwiczeń w ramach domowych zajęć z wychowania fizycznego. Wyzwaniem jest również utrzymanie poczucia wspólnoty uczniów i nauczycieli.

Rozwiązaniem tej sytuacji stało się dokumentowanie pracy uczniów przez rodziców za pomocą zdjęć, które następnie przesyłane są do nauczycieli – często znajdują się na nich również sami uczniowie. Czynność przesyłania fotografii nie budzi zastrzeżeń (jest to udokumentowanie zrealizowanych zadań), jednak zdarza się, że zostają one umieszczone na stronie internetowej szkoły lub na profilu na portalu Facebook. Pamiętajmy jednak, że przetwarzanie wizerunku na publicznych stronach nie jest niezbędne do osiągnięcia celu, jakim jest edukacja w trybie zdalnym. Dlatego też, takie przetwarzanie nie znajdzie oparcia w realizacji interesu publicznego i w tym przypadku niezbędna będzie zgoda rodzica na wykorzystanie wizerunku.

Nauczyciel zamieszczający fotografie powinien zatem zweryfikować, czy i w jakim zakresie została ona wyrażona. Zgoda ta powinna wskazywać w swej treści na jakich stronach lub portalach szkoła może zamieścić wizerunek. Dlatego też, jeśli w ramach nauki zdalnej placówka zaczęła korzystać z nowego narzędzia np. założyła fanpage na wspomnianym już portalu Facebook i zamierza zamieszczać tam zdjęcia uczniów – niezbędne będzie wcześniejsze zebranie zgód na takie przetwarzanie.

Podobnie – jeśli na fotografii znajduje się rodzic dziecka – takie wykorzystanie wizerunku będzie wymagało jego zgody.

Mając na uwadze, że zebranie zgody w formie pisemnej w obecnych warunkach jest w praktyce niemożliwe, dopuszczalne i wskazane jest zbieranie zgód za pośrednictwem komunikacji elektronicznej (e-mail, dziennik elektroniczny). Zgoda taka może mieć charakter jednorazowy („Czy mogę zamieścić zdjęcie Piotrka z lekcji WF-u na naszym profilu na Facebook’u?”), jak też może mieć charakter ogólny (na wszystkie tego rodzaju działania). W przypadku zgody ogólnej sugerujemy wykorzystać wzór zgody opracowany przez Inspektora Ochrony Danych (poprzez przeklejenie jej treści odpowiednio do wiadomości e-mai / dziennika elektronicznego z prośbą o potwierdzenie przez rodziców).

Podsumowanie

Pamiętajmy, że przetwarzanie danych osobowych przez placówkę odbywa się w celu realizacji procesu nauki zdalnej – realizacji interesu publicznego (art. 6 ust.1 lit e RODO). Niemniej, placówka powinna przetwarzać tylko te dane które są niezbędne do tego celu – zgodnie z zasadą minimalizacji.

Natomiast przetwarzanie wizerunku w celu jego wykorzystania w mediach społecznościowych lub na stronie internetowej nie jest konieczne do realizacji tego celu i musi być oparte na zgodzie (art. 6 ust. 1 lit. a RODO), która swym zakresem obejmuje stronę internetową, portal lub platformę, na której placówka zamierza umieścić zdjęcia.

Klauzula informacyjna jednostki samorządowej [case study]

Problem:

Klient samorządowy, z uwagi na specyfikę swojej działalności, w głównej mierze przy realizacji swoich zadań, wykorzystuje formularze. W codziennej pracy ilość dokumentów jest znacząca, co powoduje, że jednostki niejednokrotnie borykają się z problemem ich przechowywania, a następnie archiwizacji. Klient stanął przed problemem zwiększenia tej ilości, z uwagi na konieczność realizacji obowiązku informacyjnego w formie rozbudowanej klauzuli informacyjnej. Bez wątpienia element ten wymagał zaadresowania i wsparcia z naszej strony.

Rozwiązanie:

Uprościliśmy cały proces poprzez uzupełnienie formularzy i innych pism (wychodzących) o skróconą wersję klauzuli informacyjnej (obejmującą nazwę i siedzibę administratora, dane IODO, jak również informację dotyczącą dostępności klauzuli – sekretariat oraz link do strony www, na której zasady przetwarzania danych są dostępne w pełnej wersji). Dzięki temu klient realizuje obowiązki wynikające z RODO, bez ryzyka ich pominięcia (niezałączenia klauzuli w formie odrębnego dokumentu), jak również znacząco zmniejszył ilość wytwarzanych dokumentów.