Gazeta Podatkowa

Wydawnictwo Podatkowe
środa, 26 stycznia 2022 r.
Gazeta Podatkowa
Wszystko o podatkach, rachunkowości i prawie pracy
Ostatnia aktualizacja: 25.01.2022 r., godz. 13:10 Ilość wizyt z ostatnich 30 dni: 95.050 Biuro Obsługi Klienta: tel. 95 720 85 40 Formularz kontaktowy » Pomoc techniczna »
31 stycznia 2022 r. (poniedziałek) mija termin złożenia do US: PIT-16A, PIT-19A za 2021 r. 31 stycznia 2022 r. (poniedziałek) mija termin złożenia do US: CIT-6R, CIT-6AR, CIT-10Z, CIT-11R za 2021 r. 31 stycznia 2022 r. (poniedziałek) mija termin złożenia do US: PIT-11, PIT-8C, PIT-R, PIT-40A/PIT-11A, PIT-4R, PIT-8AR za 2021 r. 31 stycznia 2022 r. (poniedziałek) mija termin złożenia do US druku ZAW-RD, tj. zawiadomienia o wyborze opodatkowania ryczałtem od dochodów spółek (tzw. estoński CIT) Pobór zaliczek na PIT w 2022 r. - objaśnienia podatkowe (zobacz więcej)
Zamknij X
Wkrótce dodatki
czwartek - 27.01.2022 r.
  • POLSKI ŁAD - ważne zmiany dla firm (wybrane zagadnienia)
poniedziałek - 31.01.2022 r.
  • Nowe przepisy w zakresie zasiłków od 2022 roku
  • Kasy rejestrujące w 2022 roku
czwartek - 03.02.2022 r.
  • Rozporządzenia wykonawcze do ustawy o VAT (stan prawny na 1.02.2022 r.)
poniedziałek - 07.02.2022 r.
  • Rozliczenie inwentaryzacji za 2021 rok
25.01.2022 r. (wtorek) mija termin:
złożenie miesięcznego sprawozdania Rb-FUS, Rb-FEP za grudzień 2021 r. - Prezes ZUS
złożenie miesięcznego sprawozdania Rb-FER za grudzień 2021 r. - Prezes KRUS
26.01.2022 r. (środa) mija termin:
złożenie kwartalnych sprawozdań Rb-Z, Rb-N za IV kwartał 2021 r. - dysponenci środków budżetu państwa trzeciego stopnia, dysponenci środków budżetu (...)
28.01.2022 r. (piątek) mija termin:
złożenie miesięcznych sprawozdań Rb-23, Rb-27, Rb-28, Rb-28NW za grudzień 2021 r. - dysponenci części budżetowych (z wyjątkiem dysponenta części 77)
złożenie miesięcznych sprawozdań Rb-28 Programy, Rb-28NW Programy, Rb-28 Programy WPR, Rb-28UE, Rb-28UE WPR za grudzień 2021 r. - dysponenci części (...)
Ochrona danych osobowych sygnalistów
Źródło: Gazeta Podatkowa nr 100 (1871) z dnia 16.12.2021, strona 18 - Spis treści »
Dział: Wskazówki dla przedsiębiorcy
Autor: Marta Stefanowicz - Wasilewska
Ochrona danych osobowych sygnalistów

Państwa unijne, w tym Polska, zobowiązane zostały do przyjęcia regulacji prawnych związanych ze zgłaszaniem naruszeń, w tym dotyczących ochrony zgłaszających oraz trybu ich zgłaszania oraz podejmowania działań następczych przez pracodawców i organy publiczne. Konieczność wdrożenia takich regulacji podyktowana była brakiem procedur umożliwiających zgłaszanie nieprawidłowości, zwłaszcza w dużych, światowych korporacjach oraz zapewnienia osobom zgłaszającym jak najlepszej ochrony przed mogącymi ich spotkać negatywnymi konsekwencjami.

Sygnaliści a RODO

Osoby pracujące w podmiotach prywatnych i publicznych lub utrzymujące z nimi kontakt z uwagi na swoją działalność zawodową mogą w związku z taką pracą lub działalnością dowiedzieć się o zagrożeniach lub szkodach dla interesu publicznego, a działając jako tzw. sygnaliści, odegrać istotną rolę w ujawnianiu naruszeń. Realizując obowiązek wdrożenia dyrektywy unijnej, polski ustawodawca przygotował projekt ustawy o ochronie osób zgłaszających naruszenia.

Wdrożenie przepisów dotyczących ochrony sygnalistów wiąże się z koniecznością pogodzenia tych regulacji z ochroną danych osobowych, wynikającą z unijnego rozporządzenia o ochronie danych, tj. RODO. Pracodawca otrzymujący zgłoszenie od sygnalisty staje się administratorem danych osobowych zawartych w takim zgłoszeniu. Co za tym idzie, osoba, której dane znalazły się w takim zgłoszeniu, ma szereg uprawnień wynikających z RODO, jak np. prawo żądania informacji o tym, skąd pracodawca otrzymał jej dane. Takim źródłem może być właśnie sygnalista. Czy polskie przepisy zapewnią właściwą ochronę danym osobowym sygnalistów, okaże się w praktyce, jednakże już teraz eksperci zgłaszają zastrzeżenia co do niektórych regulacji.

Jeśli chodzi o podstawę prawną przetwarzania danych osobowych sygnalistów, to wydaje się, iż będzie to art. 6 ust. 1 lit. c) RODO, zgodnie z którym przetwarzanie danych osobowych jest zgodne z prawem, jeśli jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Taki obowiązek prawny będzie natomiast wynikał z projektowanej ustawy o ochronie osób zgłaszających naruszenia.

Anonimowość sygnalisty

Art. 6 projektowanej ustawy stanowi, iż zgłaszający podlega ochronie określonej w ustawie, pod warunkiem że miał uzasadnione podstawy sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja o naruszeniu prawa jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa. Dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie będą mogły zostać ujawnione, chyba że za wyraźną zgodą zgłaszającego. Pracodawca, organ publiczny lub organ centralny, który otrzyma zgłoszenie, będzie mógł w celu weryfikacji zgłoszenia oraz podjęcia działań następczych zbierać i przetwarzać dane osobowe osoby, której dotyczy zgłoszenie, nawet bez jej zgody. Jednocześnie podkreśla się, iż art. 14 ust. 2 lit. f) RODO nie znajdzie zastosowania, chyba że zgłaszający działał z naruszeniem wspomnianego art. 6 projektowanej ustawy. Art. 14 RODO określa katalog informacji podlegających przekazaniu osobie, której dane są przetwarzane, w przypadku pozyskania jej danych osobowych w sposób inny niż bezpośrednio od niej. Wspomniany art. 14 ust. 2 lit. f) RODO wskazuje, że jedną z informacji jest podanie źródła pochodzenia danych. Co oczywiste, aby chronić tożsamość sygnalisty, taka informacja w klauzuli informacyjnej nie może się pojawić.

Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia będą musiały być przechowywane przez pracodawcę, organ publiczny lub organ centralny nie dłużej niż przez okres 5 lat od dnia przyjęcia zgłoszenia.

Procedura wewnętrzna

Dyrektywa przewiduje obowiązek ustanowienia wewnętrznych kanałów dokonywania zgłoszeń przez podmioty prawne w sektorze prywatnym i publicznym. Projektowana ustawa określa procedurę zgłoszenia wewnętrznego, która będzie miała, co do zasady, zastosowanie w przypadku pracodawców zatrudniających co najmniej 50 osób. Obowiązkiem takiego pracodawcy będzie ustalenie regulaminu zgłoszeń wewnętrznych, określającego wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych, zgodną z wymogami określonymi w omawianej ustawie. Podmioty działające w sektorze prywatnym zatrudniające co najmniej 50 i mniej niż 250 pracowników będą musiały opracować takie regulaminy do dnia 17 grudnia 2023 r.

Dyrektywa unijna przewiduje, że kanały dokonywania zgłoszeń mogą być także zapewniane zewnętrznie przez osobę trzecią. W takim przypadku warunki funkcjonowania takich kanałów (zabezpieczenia i wymogi) będą miały zastosowanie do osób trzecich, którym będzie powierzona obsługa kanału dokonywania zgłoszeń na rzecz podmiotu. Podmioty prawne w sektorze prywatnym zatrudniające od 50 do 249 pracowników będą mogły dzielić się zasobami w zakresie przyjmowania zgłoszeń i wszelkich prowadzonych postępowań wyjaśniających.

Organizacja przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz związanego z tym przetwarzania danych osobowych będzie musiała uniemożliwiać uzyskanie dostępu do informacji objętej zgłoszeniem nieupoważnionym osobom oraz zapewniać ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby, której dotyczy zgłoszenie. Ochrona poufności powinna dotyczyć informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób. Do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych osób będą mogły być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie pracodawcy. Ponadto osoby te będą zobowiązane do zachowania tajemnicy. Oprócz tego pracodawca będzie zobowiązany stosować rozwiązania techniczne i organizacyjne zapewniające przechowywanie danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmujących zgłoszenie, włączając w to, w odpowiednim przypadku, usunięcie z treści dokumentu lub innego nośnika informacji niezwłocznie po ich otrzymaniu wszystkich danych osobowych zgłaszającego.

Upoważnienie podmiotu innego niż pracownik lub wewnętrzna jednostka organizacyjna pracodawcy będzie wymagało zawarcia umowy, w której pracodawca będzie powierzał wykonywanie czynności z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. Przy czym, co istotne, zawarcie takiej umowy nie uchyli odpowiedzialności pracodawcy za dochowanie obowiązków określonych w omawianej w ustawie, w szczególności w zakresie zachowania poufności, udzielenia informacji zwrotnej oraz podjęcia działań następczych.

Rejestr zgłoszeń

Pracodawca, który będzie prowadził rejestr zgłoszeń wewnętrznych, stanie się administratorem danych zgromadzonych w tym rejestrze. Podmiot wewnętrzny upoważniony przez pracodawcę do przyjmowania zgłoszeń lub podmiot upoważniony do podejmowania działań następczych również będzie mógł zostać upoważniony przez pracodawcę do prowadzenia rejestru. Dane w rejestrze zgłoszeń wewnętrznych będą musiały być przechowane przez okres 5 lat od dnia przyjęcia zgłoszenia.

Rejestr zgłoszeń wewnętrznych powinien zawierać:

- numer sprawy,
- przedmiot naruszenia,
- datę dokonania zgłoszenia wewnętrznego,
- informację o podjętych działaniach następczych,
- datę zakończenia sprawy.
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych osobowych w celu wyświetlenia reklam produktów własnych i klientów reklamowych.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.