This article is also available in Polish.

On what basis will it be possible to authorise a third party to carry out duties under the Whistleblower Act?

Under the Whistleblower Act, management of whistleblower reports can be contracted out to a third party. This includes report receipt and acknowledgment, provision of feedback and provide  communication policy regarding internal reporting procedures.

Furthermore, the contract must specify the detailed rights and duties of the external entity related to the processing of personal data.

Doubts arise as to whether the authorisation of an external entity also covers the follow-up actions referred to in Article 25(1)(3) of the draft Act. The reference in the provision governing the authorisation of an external entity refers only to Article 25(1)(1) of the draft Act. Moreover the activities listed in that provision do not directly cover follow-up actions, unlike the provision governing the sharing of resources. Therefore, time will tell how this provision will be applied in practice.

What is a notification register and what information should it contain?

The legal entity will be required to maintain a register of internal reports, which must contain the following information: (i) report number, (ii) subject of the violation, (iii) personal data of the whistleblower and the person to whom the report relates, necessary for the identification of these individuals, (iv) contact address of the whistleblower, (v) date the report is made, (vi) information on the follow-up actions taken, (vii) date of case closure.

The personal data and other information in the internal reports register are stored for a period of 3 years after the end of the calendar year in which the follow-up actions were completed or after the conclusion of proceedings initiated by these actions.

Our experts are here to answer your questions or provide further guidance on the whistleblowing legislation.

Upoważnienie podmiotu zewnętrznego i rejestr zgłoszeń wewnętrznych

Na jakiej podstawie będzie można upoważnić podmiot zewnętrzny do wykonywania obowiązków wynikających z ustawy o sygnalistach?

Upoważnienie podmiotu zewnętrznego wymaga zawarcia umowy, w celu realizacji obowiązków nałożonych projektowaną Ustawą, tj. powierzenia obsługi przyjmowania zgłoszeń, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji dot. procedury zgłoszeń wewnętrznych.

Ponadto, umowa będzie musiała określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych. 

Wątpliwości rodzi fakt, czy upoważnienie podmiotu zewnętrznego obejmuje także działania następcze, o których mowa w art. 25 ust. 1 pkt 3 projektu ustawy. Odesłanie w przepisie regulującym upoważnienie podmiotu zewnętrznego odnosi się bowiem jedynie do art. 25 ust. 1 pkt 1 projektu ustawy. Ponadto czynności wymienione w tym przepisie nie obejmują wprost działań następczych, w przeciwieństwie do przepisu regulującego dzielenie się zasobami. Dlatego czas pokaże jak ten przepis będzie stosowany w praktyce.

Czym jest rejestr zgłoszeń wewnętrznych i jakie informacje powinien zawierać?

Podmiot prawny będzie zobowiązany do prowadzenia rejestru zgłoszeń wewnętrznych, który będzie musiał zawierać następujące informacje: (i) numer zgłoszenia, (ii) przedmiot naruszenia, (iii) dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób, (iv) adres do kontaktu sygnalisty, (v) datę dokonania zgłoszenia, (vi) informację o podjętych działaniach następczych, (vii) datę zakończenia sprawy.

Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. 

W przypadku jakichkolwiek pytań lub wątpliwości odnośnie projektu ustawy o ochronie sygnalistów nasi eksperci służą pomocą.