Wdrożenie procedury ochrony sygnalistów wiąże się z obowiązkiem prowadzenia rejestru zgłoszeń wewnętrznych. Rejestr może być prowadzony w dowolnej formie, tj. elektronicznej lub papierowej. Kluczowe jest zapewnienie jego poufności.
Każdy podmiot prawny, który wdroży procedurę zgłoszeń wewnętrznych, ma obowiązek prowadzenia rejestru. Istotne jest przy tym to, że podmiot ten (prywatny lub publiczny) jest jednocześnie administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych. Wpisu do tego rejestru dokonuje się na podstawie zgłoszenia wewnętrznego, czyli ustnego lub pisemnego zgłoszenia do podmiotu prawnego informacji o naruszeniu prawa.
W rejestrze powinny znaleźć się co najmniej takie informacje jak:
Są to obligatoryjne elementy rejestru określone w art. 29 ust. 4 ustawy o ochronie sygnalistów (Dz. U. z 2024 r. poz. 928), które są drogowskazem dla określenia wzorcowego rejestru (patrz tabela). Nie ma przeszkód, by podmiot prawny poszerzył rejestr o swoje własne rubryki, np. dotyczącą wskazania osób prowadzących działania następcze. Za takie uważa się działania podjęte przez podmiot prawny lub organ publiczny w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem zgłoszenia.
W procedurze zgłoszeń wewnętrznych podmiot prawny może ustalić, że anonimowe zgłoszenia o naruszeniu prawa będą rozpatrywane i będą wobec nich podejmowane następne kroki, tj. postępowania wyjaśniające oraz działania następcze. W takiej sytuacji podmiot prawny jest zobowiązany prowadzić rejestr zgłoszeń wewnętrznych, z tym że niektóre jego rubryki nie zostaną uzupełnione, tj. te dotyczące danych osobowych sygnalisty i jego adresu do korespondencji.
Numer zgłoszenia | Przedmiot naruszenia prawa | Dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie | Adres do kontaktu sygnalisty | Data dokonania zgłoszenia | Informacja o podjętych działaniach następczych | Data zakończenia sprawy |
... | ... | ... | ... | ... | ... | ... |
Podmiot prawny prowadzący rejestr zgłoszeń wewnętrznych ma obowiązek zagwarantować, że związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwia nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem. Ma obowiązek zapewnić ochronę poufności sygnalisty, osoby, której dotyczy zgłoszenie oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób, o czym mowa w art. 27 ust. 1 ustawy o ochronie sygnalistów. Zatem udostępnienie rejestru może wiązać się bezpośrednio z naruszeniem obowiązku zapewnienia poufności, co ma swoje konsekwencje. Ujawnienie tożsamości sygnalisty, osoby pomagającej w zgłoszeniu lub osoby powiązanej z sygnalistą jest bowiem zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.
Każdy wpis do rejestru musi mieć swoją podstawę w zgłoszeniu wewnętrznym. Ustawodawca nie określa, w jakiej formie rejestr ten ma być prowadzony. Można więc przyjąć dowolność w tym temacie. Rejestr może być prowadzony w wersji elektronicznej lub papierowej. Ważne jest, że dane osobowe oraz pozostałe informacje w rejestrze trzeba przechowywać przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Taki wymóg określa art. 29 ust. 5 powołanej ustawy.
Rejestr zgłoszeń wewnętrznych prowadzi podmiot prawny, o czym mowa w art. 29 ust. 1 pkt 1 ustawy. Z tym że na gruncie art. 29 ust. 2 ustawy podmiot prawny może upoważnić wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej do prowadzenia rejestru zgłoszeń wewnętrznych. Innym rozwiązaniem jest upoważnienie do prowadzenia rejestru zgłoszeń wewnętrznych przez bezstronną wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej upoważnione przez podmiot prawny do podejmowania działań następczych.
W sytuacji gdy procedura zgłoszeń wewnętrznych określa podmiot zewnętrzny, upoważniony przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych, rejestr może być prowadzony przez podmiot zewnętrzny. W oparciu o art. 28 ust. 1 ustawy upoważnienie podmiotu zewnętrznego wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzenia przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczenia informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. W ujęciu tego przepisu prowadzenie przez podmiot zewnętrzny rejestru zgłoszeń ma praktyczne zastosowanie, gdyż podstawą wpisu do rejestru jest zgłoszenie wewnętrzne, które jest znane podmiotowi zewnętrznemu. Skoro podmiot zewnętrzny, np. kancelaria prawna, został upoważniony przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych, to może prowadzić też rejestr zgłoszeń, co jest powiązane z zapewnieniem poufności danych w nim zawartych. Spór, czy podmiot zewnętrzny jest uprawniony do prowadzenia rejestru, jest w zasadzie bezcelowy, ponieważ kluczem do prowadzenia tego rejestru jest zapewnienie poufności informacji w nim zawartych.
|