25 października 2021 r. o godz. 19:30 rozmawialiśmy o projekcie Ustawy o sygnalistach czyli „Projekt z dnia 14 października 2021 r. USTAWA o ochronie osób zgłaszających naruszenia prawa„.
Link to odcinka #4
Przebieg naszej rozmowy:
0:04:54 – Start
0:06:21 – rebranding Facebooka
0:05:33 – wracam do tematu projektu ustawy o sygnalistach
0:09:11 – o sygnalistach w Sprawozdaniu UODO za 2020 r. link: https://uodo.gov.pl/pl/file/3752 strona nr 146
0:10:44 – problem #1 – sygnalista czy podmiot danych zgłasza się do administrator, że „coś” działa nie poprawie, nie koniecznie żąda realizacji swoich praw, czyli nie wiadomo kiedy ktoś jest sygnalistą a kiedy nie, a tożsamość sygnalisty trzeba chronić
0:15:04 – problem #2 – sposoby – kanały przyjmowania zgłoszeń od sygnalistów, co jeśli sygnalista zgłosi innym sposobem niż organizacja ustaliła w regulaminie czy swoich wewnętrznych zasadach
0:21:03 – problem #3 – czy sygnaliści są tylko z wewnątrz organizacji i jak to sprawdzić czy jest sygnalistą i przysługują jej ochrona
0:23:03 – problem #4 – anonimowość sygnalisty, nie widomo czy jest obowiązek weryfikacji tożsamości i co w przypadku gdy jest problem z ustaleniem tej tożsamości – kto otrzymuje ochronę
0:29:23 – problem #5 – wew. potwierdzanie tożsamości w organizacji – ryzyko ujawnienia tożsamości sygnalisty w trakcie poszukiwania – ryzyko ujawnienie tożsamości w trakcie „odpytywania systemu o konkretne dane” w związku z odkładaniem logów systemowych
0:31:43 – problem #6 – czy przeszukując dane, bazy danych, próbując ukryć tożsamość sygnalisty, nie wskażemy na grupę osób jako podejrzanych o zgłaszanie naruszeń prawa?
0:33:10 – problem #7 – jeśli organizacja postanowi nie przyjmować anonimowych zgłoszeń, to co wtedy jeśli jednak wpadnie taki zgłoszenie – czy uwzględniać wiarygodny anonimowe zgłoszenie czy weryfikować tożsamość? – czy nie będzie naruszeniem prawa przyjęcie anonimowego zgłoszenia z perspektywy osoby, której zgłoszenie dotyczy? Ryzyko oczerniania osoby niewinnej.
0:36:35 – problem #8 – czy dane osobowe osób przyjmujących i weryfikujących zgłoszenia maja być jawne?
0:39:27 – problem #9 – udział związków zawodowych w procesach zgłoszeń naruszeń prawa
0:41:04 – problem #10 – powracamy do problemu „byłego parownika” i weryfikacja tożsamości sygnalisty
0:41:53 – problem #11 – progi stosowania przepisów – kto i kiedy musi wdrożyć ochronę sygnalistów i sankcje, które nie są w projekcie opóźnione we wdrożeniu
0:52:01 oraz 1:16:31 – problem #12 – art. 30 ust. 2 projektu ustawy – „rozwiązanie techniczne i organizacyjne” – oddzielanie danych osobowych od treści zgłoszenia – nasze rozważania o zastosowania haszowania i szyfrowania w celu ochrony sygnalistów oraz koperty w kopercie
1:04:39 – problem #13 – jaki jest zakres naruszeń prawa, który może być zgłaszany przez sygnalistę? Czy to jest katalog zamknięty?
1:06:15 – problem #14 – w przypadku outsourcing usług obsługi wniosków sygnalistów problem dostępu osób z zewnątrz do informacji zawartych w systemach wewnętrznych pracodawcy
1:07:36 – problem #15 – kanały zgłoszeń art. 29 ust. 3-5 projektu ustawy – zgłoszenia ustne i pisemne, spotkania osobiste, środki komunikacji elektronicznej – zapewnienie bezpieczeństwa osoby sygnalisty
1:12:34 – problem #16 – zgłaszanie przez pełnomocnika – osoby wspierającej sygnalistę (np. gdy sygnalistą jest osoba niewidoma a pracodawca przyjął, ze zgłoszenie przyjmuje wyłącznie pisemnie)
1:14:41 i 1:18:51 – problem #17 – przekazywanie informacji zwrotnej sygnaliście Dygresja 1:15:09 dot. funkcjonowania skrytek pocztowy – red. Tomek otrzymał magazyn ABI EXPERT, który prenumeruje od samego początki istnienia tego magazynu (polecamy)
1:18:51 – problem #17 c.d. – haszowanie jako sposób na przekazywanie informacji zwrotnej w bezpieczny sposób
1:23:30 – pookazujemy jak haszować informacje za pomocą kalkulatora online 1:26:38 – problem #18 – ryzyko zmuszenia pracownika do ujawnienia tożsamości sygnalisty – rozmawiamy o problemie kierownictwa, które nie jest zainteresowane przestrzeganiem prawa tylko dba bardziej o wizerunek
1:31:23 – problem #19 – ryzyko ujawnienia tożsamości na etapie przyjęcia i rejestrowania korespondencji przychodzącej
1:33:54 – problem #20 – niezależności i obiektywności osób rozpatrujących zgłoszenia sygnalistów
1:36:51 – problem #21 – kogo mogą dotyczyć zgłoszenia? Czy tylko pracodawcy czy także kontrahentów pracodawcy?
1: 40:42 – problem #22 – komunikacja zwrotna z sygnalistą i ryzyko ustalenia tożsamości na podstawie wypowiedzi sygnalisty
1:45:30 – polecamy publikację „legalność pozyskiwania i przetwarzania danych osobowych w sferze publicznej. Aspekty praktyczne” autorstwa Marusza Jabłońskiego i Krzysztofa Wygody – pozdrawiamy i dziękujemy za egzemplarz.
1:46:38 – problem ADO w sektorze publicznym i stanowiska UODO w newsletterze, że WTZ są odrębnymi ADO.
1:48:09 – sprawa skargi z czerwca 2017 r. red. Tomka na pewien bank
1:58:07 – przesyłamy pozdrowienia:)