Niedługo wejdzie w życie obowiązek wdrożenia procedur zgłaszania naruszeń w firmach i organizacjach na terenie całej unii europejskiej. Analogicznie jak w przypadku RODO Polska będzie musiała uchwalić odpowiednie przepis na poziomie krajowym. Narzuca to detektywa parlamentu europejskiego 2019/1937. Zanim przepisy wejdą w życie mnie jeszcze trochę czasu, konieczne będzie podjęcie szerokich prac przez ustawodawcę.
Prace nad ustawą
Już 1 grudnia 2020 roku ruszono z pierwszymi pracami – został wskazany minister odpowiedzialny z projekt ustawy. Rolę ta miało pełnić Ministerstwo Rozwoju, Pracy i Technologii jednak po jego likwidacji odpowiedzialność przejęło ministerstwo Rodziny i Polityki społecznej. Już w listopadzie udostępniono wstępny projekt ustawy. Wprowadza ona szereg nowych pojęć do polskiego prawodawstwa:
Naruszenie prawa
Samo naruszenie w kontekście omawianej ustawny określono jako „działanie lub zaniechanie mające na celu obejście prawa”. Co istotne wspomniane obejście prawa ma dotyczyć wyłącznie wymienionych w ustawie obszarów:
- zamówień publicznych;
- usług, produktów i rynków finansowych;
- zapobiegania praniu pieniędzy i finansowaniu terroryzmu;
- bezpieczeństwa produktów i ich zgodności z wymogami;
- bezpieczeństwa transportu;
- ochrony środowiska;
- ochrony radiologicznej i bezpieczeństwa jądrowego;
- bezpieczeństwa żywności i pasz;
- zdrowia i dobrostanu zwierząt;
- zdrowia publicznego;
- ochrony konsumentów;
- ochrony prywatności i danych osobowych;
- bezpieczeństwa sieci i systemów teleinformatycznych;
- interesów finansowych Unii Europejskiej;
- rynku wewnętrznego Unii Europejskiej, w tym zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych.
Działanie następcze
Jest to działanie podjęte w skutek zgłoszenia. Mające na celu wyeliminowanie nieprawidłowości oraz podjęcie przewidzianych prawem kroków. Oznacza to więc że będzie istniała konieczność podjęcia konkretnych działań przez organ przyjmujący zgłoszenie. Wyklucza to sytuacje w której zgłoszenia trafiają do niszczarki.
Działanie odwetowe
Działanie bezpośrednie lub pośrednie oraz zaniechanie w skutek zgłoszenia które narusza lub może naruszać prawa zgłaszającego. Dodatkowo ustawa zawiera listę szczególnie istotnych działań które mogą zostać uznane za odwetowe:
- odmowę nawiązania stosunku pracy,
- wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy,
- nie zawarcie umowy o pracę na czas określony po rozwiązaniu umowy o pracę na okres próbny, nie zawarcie kolejnej umowy o pracę na czas określony lub nie zawarcie umowy o pracę na czas nieokreślony, po rozwiązaniu umowy o pracę na czas określony – w sytuacji gdy pracownik miał uzasadnione oczekiwanie, że zostanie z nim zawarta taka umowa,
- obniżenie wynagrodzenia za pracę,
- wstrzymanie awansu albo pominięcie przy awansowaniu,
- pominięcie przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą,
- przeniesienie pracownika na niższe stanowisko pracy,
- zawieszenie w wykonywaniu obowiązków pracowniczych lub służbowych,
- przekazanie innemu pracownikowi dotychczasowych obowiązków pracowniczych,
- niekorzystną zmianę miejsca wykonywania pracy lub rozkładu czasu pracy,
- negatywną ocenę wyników pracy lub negatywną opinię o pracy,
- nałożenie lub zastosowanie środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze,
- wstrzymanie udziału lub pominięcie przy typowaniu do udziału w szkoleniach podnoszących kwalifikacje zawodowe,
- nieuzasadnione skierowanie na badanie lekarskie, w tym badania psychiatryczne, o ile przepisy odrębne przewidują możliwość skierowania pracownika na takie badanie,
- działanie zmierzające do utrudnienia znalezienia w przyszłości zatrudnienia w danym sektorze lub branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego
Dlaczego temat ten jest ważny z punktu widzenia bezpieczeństwa IT?
Ustawa ta jest istotna ze względu na dwie grupy naruszeń jakie można zgłaszać ochronę prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów teleinformatycznych. Przepisy te w połączniu z RODO wymuszą rygorystyczne stosowanie zasad i polityk ochrony danych i bezpieczeństwa sieci. Od tej pory każdy pracownik będzie mógł zgłosić nieprawidłowości w tych obszarach.
Kogo obejmie ustawa?
Ustawa początkowo ma dotyczyć pracodawców zatrudniających od 250 pracowników. Jednak z początkiem roku 2023 dostosować będą się do niej musiały także podmioty zatrudniające już 50 pracowników. Co istotne za wspomniane przepisy stosuje się w stosunku do:
- pracownika, także w przypadku, gdy stosunek pracy już ustał,
- osoby ubiegającej się o zatrudnienie, która uzyskała informację o naruszeniu prawa w procesie rekrutacji lub negocjacji poprzedzających zawarcie umowy,
- osoby świadczącej pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej,
- przedsiębiorcy,
- akcjonariusza lub wspólnika,
- członka organu osoby prawnej,
- osoby świadczącej pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej,
- stażysty,
- wolontariusza
Kanały zgłoszeń
Aby sygnalista miał możliwość dokonania zgłoszenia podmioty powołane do ich przyjmowania muszą udostępnić odpowiednie kanały komunikacji. Udostępniony projekt ustawny przewiduje 3 główne kanały zgłaszania nieprawidłowości:
Zgłoszenie wewnętrzne
W pierwszej kolejności zgłoszenia należy dokonać wewnątrz organizacji w której pracuje sygnalista. Pracodawca będzie zobowiązany udostępnić kanał zgłaszania nieprawidłowości. W praktyce będzie to więc powiadomienie przełożonego np. ustnie, telefonicznie, mailem itp. Pracodawca jednak nie ma obowiązku przyjmowania zgłoszeń anonimowych.
Zgłoszenie zewnętrzne
Kolejnym etapem jest zgłoszenie zewnętrzne, czyli powiadomienie odpowiednich organów, właściwych ze względu na charakter sprawy. Aby ułatwić proces zgłaszania naruszeń głównym organem do którego można się zwrócić będzie Rzecznik Praw Obywatelskich. Jego zadaniem będzie przekazanie naruszenia do odpowiedniej instytucji.
Ujawnienie publiczne
W sytuacji kiedy obydwa poprzednie kanały zawiodą będzie możliwość ujawnienia publicznego nieprawidłowości. Oznacza to więc usankcjonowanie prawne „przecieków” do mediów. Należy jednak mieć na względzie bezwzględną konieczność wykorzystania pozostałych kanałów komunikacji.
Anonimowość zgłaszającego
O ile ustawodawca nie wymaga dopuszczenia anonimowych zgłoszeń wewnętrznych to jednak wymaga aby pracodawca chronił tożsamość zgłaszającego. Wyklucza to więc możliwość w której cały zakład pracy pozna tożsamość zgłaszającego i przypnie mu łatkę „donosiciela”. Za ujawnienie tożsamości zgłaszającego będzie grozić do 3 lat pozbawienia wolności.
Konsekwencje prawne
Kluczowym aspektem są konsekwencje prawne za dokonywanie działań odwetowych. Z podejmowanie wspomnianych działań ma bowiem grozić do 3 lat pozbawienia wolności, jej organicznie lub grzywna. Takie same sankcje grożą też za nie ustanowienie wewnętrznej procedury zgłaszania naruszeń.
Sceptycyzm
Organizacje zrzeszające pracodawców zwracają uwagę na bardzo szeroki zakres działań jakie mogą zostać uznane za odwetowe. W przedstawionej w tym artykule liście znajdują się takie kontrowersyjne zapisy jak nie zawarcie umowy o prace po okresie próbnym, brak awansu czy szkoleń. Należy też pamiętać że wspomniana lista nie wyczerpuje katalogu działań odwetowych ponieważ wspominany zapis dopuszcza też indywidualną kwalifikacje działań odwetowych według przytoczonej definicji.
Pole do nadużyć
Tak szeroka kwalifikacja działań odwetowych stwarza duże pole do nadużyć. Nie trudno sobie wyobrazić sytuacje w której pracownik źle wywiązujący się ze swojej pracy może dokonać zgłoszenia w celu zapewnienia sobie ochrony jaką ma gwarantować ustawa. To bowiem po stronie pracodawcy będzie leżała konieczność udowodnienia że kierował się obiektywnymi kryteriami.
Powiązane posty:
Czy Twoja firma potrzebuje polityki ochrony danych?
Polityka ochrony danych nie musi być kolejnym „martwym” dokumentem w firmie, do którego zagląda się wyłącznie przed kontrolą UODO. Jeśli zostanie dobrze opracowana i będzie uwzględniała specyfikę działania przedsiębiorstwa, może pomóc w sprawnym, zgodnym z przepisami przetwarzaniem danych osobowych na co dzień. Jakie zasady obowiązują przy tworzeniu polityki ochrony danych?
Administracja serwerami Windows, Linux – firma – oferta i ceny.
Jednym z najważniejszych elementów pracy przedsiębiorstwa są serwery. Na co dzień wiele osób nie dostrzega jak ważne role pełnią one w firmie. Dopiero problemy i awarie uświadamiają nas o tym, że powinno zadbać się również o tę część infrastruktury w organizacji. Serwisowanie, aktualizacja, utrzymanie odpowiedniej wydajności i sprawności, czy też zapewnienie bezpieczeństwa to zadania, na które może zabraknąć czasu lub odpowiednich kompetencji w zespole – warto wówczas skorzystać z pomocy firmy informatycznej.