Organizacje zobowiązane na mocy ustawy z dnia 14.06.2024 r. o ochronie sygnalistów do wdrożenia procedury zgłoszeń wewnętrznych mają jednoczesny obowiązek prowadzenia rejestru zgłoszeń wewnętrznych. Rejestr taki prowadzić powinny również podmioty, które nie mają formalnego obowiązku przyjęcia procedury, ale dobrowolnie tę procedurę przyjęły.
Wpisu do rejestru zgłoszeń wewnętrznych dokonuje się na podstawie zgłoszenia wewnętrznego, które sygnalista kierować może ustnie lub pisemnie (w tym także drogą elektroniczną).
Ustawa reguluje precyzyjnie zakres informacji jakie winny znaleźć się w rejestrze, a mianowicie:
- numer zgłoszenia;
- przedmiot naruszenia prawa;
- dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;
- adres do kontaktu sygnalisty;
- data dokonania zgłoszenia;
- informacja o podjętych działaniach następczych;
- data zakończenia sprawy.
Treść tego rejestru jest zatem swoistą wizytówką podmiotu prawa zobligowanego do obsługi zgłoszeń sygnalistów, bowiem szeroki zakres podlegających rejestracji informacji wymusza rzetelne i dogłębne pochylenie się nad przedmiotem zgłoszenia.
Warto pamiętać, iż na gruncie ochrony danych osobowych podmiot prawny jest administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych. W przypadku, gdyby podmiot prawny zdecydował się powierzyć prowadzenie rejestru podmiotowi zewnętrznemu, zajdzie konieczność zawarcia umowy powierzenia przetwarzania danych osobowych na podstawie art. 28 ogólnego rozporządzenia o ochronie danych (RODO).
Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Należyta obsługa zgłoszeń dokonywanych przez sygnalistów wymaga przygotowania odpowiedniej klauzuli informacyjnej uwzględniającej wymogi art. 13 RODO.
Data publikacji: 01.07.2024