Procedura ochrony danych sygnalisty

Procedura ochrony danych sygnalisty

Procedura stanowi integralną część wewnętrznego regulaminu przyjmowania i rozpatrywania zgłoszeń naruszeń prawa, na podstawie ustawy z dnia 20 grudnia 2021 r. o ochronie sygnalistów (Dz.U. 2022 poz. 1590).

I. Zasady ogólne

1. Procedura zostaje ustanowiona w celu zapewnienia należytej ochrony sygnalistów, czyli osób zgłaszających lub publicznie ujawniających informacje o naruszeniach prawa, a także osób, które pomagają im dokonać zgłoszenia. Ochrona obejmuje informacje związane bezpośrednio ze zgłoszeniem.

2. Sygnaliści pełnią niezastąpioną funkcję w społeczeństwie, gdyż ich działania umożliwiają identyfikację nieprawidłowości.

3. Określone w Procedurze mechanizmy mają na celu ograniczenie osobistego ryzyka osoby zgłaszającej nieprawidłowości, w tym negatywnych konsekwencji bezpośrednich lub pośrednich.

4. Dane sygnalisty powinny pozostać poufne i nie mogą być ujawniane w toku postępowania stronom i uczestnikom tego postępowania, bez wyraźnego i jednoznacznego przyzwolenia ze strony sygnalisty.

5. Dostęp do danych sygnalisty może mieć tylko i wyłącznie osoba, która otrzymała upoważnienie do przetwarzania danych osobowych w tym zakresie i została zobligowana do zachowania poufności.

6. Jeżeli zgłoszenie dotyczy innych osób (np. poszkodowanych lub świadków), należy zapewnić ochronę poufności ich tożsamości, na takich samych zasadach jak ochrona danych sygnalisty opisana w Procedurze.

7. Wobec danych sygnalisty stosuje się pseudonimizację, czyli przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

8. Jeżeli możliwe jest przyjmowanie zgłoszeń anonimowych, niedopuszczalne są próby ustalenia tożsamości sygnalisty, na podstawie treści zgłoszenia lub przekazanych przez niego danych do kontaktu.

9. Za zapewnienie ochrony sygnalisty zgodnie z wymaganiami wynikającymi z przepisów ustawy o ochronie sygnalistów, odpowiada najwyższe kierownictwo jednostki.

10. Pracownicy i współpracownicy są zobligowani do stosowania Procedury.

11. Na stronie internetowej jednostki, a w przypadku jej braku, w siedzibie jednostki w widocznym miejscu, zamieszcza się klauzulę informacyjną dla sygnalistów.

12. Klauzula informacyjna jest także przekazywana przy pierwszym kontakcie z sygnalistą.

13. Na stronie internetowej oraz w siedzibie jednostki, w widocznym miejscu publikuje się kanały przyjmowania zgłoszeń oraz zasady notyfikowania o naruszeniach prawa.

14. Osobom wyznaczonym do rozpatrywania zgłoszeń gwarantuje się niezależność w wykonywaniu swoich działań – nie mogą one otrzymywać instrukcji postępowania od żadnej osoby z organizacji.

II. Zasady ochrony danych sygnalisty

1. Dostęp do kanałów zgłaszania nieprawidłowości mają tylko i wyłącznie osoby uprawnione do rozpatrywania zgłoszeń naruszenia prawa.

2. W przypadku zgłoszeń ustnych lub przyjmowania ustnych wyjaśnień, należy zapewnić środki umożliwiające ochronę poufności tożsamości sygnalisty poprzez brak obecności osób postronnych podczas wizyty, wybór pomieszczenia, które nie jest objęte monitoringiem wizyjnym.

3. Tworzy się odrębny rejestr spraw zgłoszonych przez sygnalistów.

4. Dostęp do danych w rejestrze ma tylko i wyłącznie osoba upoważniona do przetwarzania danych sygnalistów.

5. Osoba wyznaczona do przyjmowania zgłoszeń, niezwłocznie po otrzymaniu dokonuje pseudonimizacji danych sygnalisty i nadaje mu identyfikator (np. SGN/2023/07/123), który będzie wykorzystywany podczas postępowania wyjaśniającego.

6. Pseudonimizacja obejmuje wszelkiego rodzaju informacje umożliwiające bezpośrednią lub pośrednią identyfikację sygnalisty, ze szczególnym uwzględnieniem tego, czy sama treść zgłoszenia nie wskazuje na tożsamość sygnalisty.

7. Nie dokonuje się pseudonimizacji danych sygnalisty, jeżeli wyraźnie wyraził zgodę na upublicznienie jego danych.

8. Sygnalistą jest każda osoba, która zgłasza naruszenie prawa, która nie robi tego ze względu na swój własny interes prawny lub obowiązek.

9. Jeżeli wewnętrzne procedury pozwalają na przekazywanie anonimowych zgłoszeń, od sygnalisty nie żąda się dodatkowych danych osobowych, niż te które zostały przez niego wskazane w przekazanym zgłoszeniu, nawet jeżeli nie pozwalają one na jednoznaczną identyfikację.

10. Jeżeli wewnętrzne procedury określają zakres danych wymagany do skutecznego zgłoszenia naruszenia prawa, taka informacja jest komunikowana na stronie internetowej jednostki oraz przekazywana sygnaliście w odpowiedzi zwrotnej na przekazane zgłoszenie, wraz z 7 dniami na uzupełnienie danych oraz konsekwencją niepodania danych.

11. Zakazane jest stosowanie jakichkolwiek działań odwetowych wobec sygnalisty.

12. Udział w procesie rozpatrywania mogą brać tylko bezstronne osoby, które zostały zobligowane do zachowania poufności, także po ustaniu stosunku pracy lub zakończeniu współpracy.

13. Zapewnia się ochronę dokumentacji dotyczącej zgłoszeń oraz postępowań następczych:

1. dane papierowe są przechowywane w szafie zamykanej na klucz, do której dostęp mają tylko osoby upoważnione do przetwarzania danych związanych z postępowaniami;

2. dostęp do systemów, w których są przetwarzane dane, jest ograniczony do uprawnionych użytkowników, a każde działanie na danych (dostęp, edycja, usuwanie, itp.) jest rejestrowane;

3. dane przekazywane drogą elektroniczną są wcześniej zaszyfrowane i/lub pseudonimizowane;

4. dane po ustaniu przydatności są usuwane bezpowrotnie z systemów, a dane papierowe niszczone w niszczarce.

14. Na wszystkich etapach postępowania wyjaśniającego zamiast danych sygnalisty jest stosowany przypisany identyfikator.

15. W postępowaniu należy odwołać się do numeru sprawy (SGN/2023/07/123), pod którą zostało zarejestrowane zgłoszenie od sygnalisty, a nie sprawy, której dotyczy zgłoszenie naruszenia.

16. Danych sygnalisty nie ujawnia się na wniosek stron lub uczestników postępowania wyjaśniającego.

17. Sygnalista jest informowany o okolicznościach, w których ujawnienie jego tożsamości stanie się konieczne, np. w razie wszczęcia postępowania karnego.

18. Danych sygnalisty nie zamieszcza się w rozdzielnikach dokumentów związanych z postępowaniem wyjaśniającym, ani w korespondencji mailowej.

19. Jeżeli zgłoszenie wpłynie innym, niż zatwierdzony do przyjmowania zgłoszeń kanałem, osoba która je otrzyma jest zobligowana niezwłocznie przekazać je do osoby upoważnionej do rozpatrywania zgłoszeń i usunąć wszelkie jej kopie (np. z poczty e-mail).

20. Dane sygnalisty mogą być ujawnione tylko we wskazanych okolicznościach:

1. uprawnionym organom, w związku z prowadzonym postępowaniem;

2. na wniosek i za zgodą sygnalisty.

III. Dodatkowe zasady dotyczące rozpatrywania zgłoszeń dotyczących postępowań prowadzonych w oparciu o przepisy Kodeksu postępowania administracyjnego

1. Osoba otrzymująca zgłoszenie, rejestruje wniosek jako odrębną sprawę, z sygnaturą SGN/KPA/2023/07 dla zgłoszeń sygnalistów, aby zminimalizować ryzyko ujawnienia danych sygnalisty na dalszych etapach postępowania.

2. Sygnalista nie staje się stroną postępowania administracyjnego w rozumieniu przepisów Kodeksu postępowania administracyjnego, w sprawie toczącej się na skutek otrzymanego od niego zgłoszenia.

3. Na skutek zgłoszenia otrzymanego od sygnalisty jest wszczynane postępowanie z urzędu zgodnie z Kodeksem postępowania administracyjnego.

4. Sygnalista nie jest uczestnikiem ani stroną wszczętego postępowania.

5. Stroną postępowania wszczętego z urzędu w związku ze zgłoszeniem otrzymanym od sygnalisty staje się podmiot wszczynający to postępowanie.

6. Dane sygnalisty nie są ujawnianie w żadnym z dokumentów związanych z postępowaniem.

7. W postępowaniu można odwołać się do numeru sprawy (SGN/KPA/2023/07), pod którą zostało zarejestrowane zgłoszenie od sygnalisty, bez ujawniania danych sygnalisty.

8. Danych sygnalisty nie ujawnia się na wniosek stron lub uczestników postępowania.

9. Danych sygnalisty nie zamieszcza się w rozdzielnikach dokumentów związanych z postępowaniem.

10. Sygnalista jest informowany o przebiegu i wyniku postępowania, które zostało wszczęte na skutek jego zgłoszenia, w zakresie w jakim informacja stanowi informację publiczną w ramach sprawy zarejestrowanej w związku z przekazanym przez niego zgłoszeniem.