Wczoraj (7.07.2022 r.), na stronie Rządowego Centrum Legislacji, pojawił się kolejny, trzeci już projekt ustawy o ochronie osób zgłaszających naruszenia prawa (pierwszy projekt z 14.10.2021 r., drugi z 6.04.2022 r.).

• Co się zmieniło w stosunku do poprzedniego projektu? Poniżej znajdziesz część  naszych uwag i przemyśleń w zakresie najistotniejszych zmian. Zaznaczamy, że to jest nasze spojrzenie, więc nie musisz się z tym w jakiś szczególny sposób identyfikować.  
• Do definicji organu publicznego dodano także terenowe organy administracji rządowej.

• Z definicji „osoby powiązanej ze zgłaszającym” wykreślono świadka – no cóż, świadek, mimo jego istotnej roli, zawsze ma najgorzej.  

• Zakres przedmiotowy zgłoszeń powiększył się o interesy finansowe jednostki samorządu terytorialnego… i słusznie.  

• Doprecyzowano treść art. 8 ust. 4, wskazując, że zebrane dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia należy usunąć w ciągu 14 dni od chwili ustalenia, że nie są one przydatne dla sprawy. Wiemy więc, jaki przedział czasu kryje się za słowem „niezwłocznie”, no i życzymy dobrej zabawy z usuwaniem danych np. z dokumentów papierowych, czy maili.  

• Zabawa z okresami przetwarzania danych osobowych trwa w najlepsze. Zgodnie z nowym projektem:
  
  1) RPO może przechowywać dane osobowe przetwarzane w związku z przyjęciem zgłoszenia zewnętrznego oraz dokumenty związane z tym zgłoszeniem przez okres 12 miesięcy „PO ZAKOŃCZENIU ROKU KALENDARZOWEGO, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych”,
  
  2) podmiot prawny oraz organ publiczny mogą przechowywać dane osobowe przetwarzane w związku z przyjęciem zgłoszenia zewnętrznego oraz podjęciem działań następczych, a także dokumenty związane z tym zgłoszeniem przez okres 15 miesięcy „PO ZAKOŃCZENIU ROKU KALENDARZOWEGO, w którym zakończono działania następcze lub zakończeniu postępowań zainicjowanych tymi działaniami”.
  
  … zaraz, zaraz (nie chodzi nam o dwa duże zarazki ), a co z okresem przetwarzania danych w zgłoszeniach wewnętrznych?! Czyżby ctrl+c, a następnie ctrl+v?
  
  Dobrze, że okres przetwarzana danych osobowych odnosi się wreszcie do postępowań zainicjowanych działaniami następczymi, ale czy te postępowania są tożsame z „postępowaniami prawnymi” wskazanymi w definicjach? Domyślamy się, że tak, ale czy powinniśmy się opierać na domysłach?
  
  Niestety jeszcze nie kończymy tego wątku. Projektodawca wskazał, że przepisy archiwalne nie mają zastosowania do ww. przepisów dot. przetwarzania danych osobowych ze zgłoszenia, które należy zniszczyć razem z dokumentami po upływie okresu przetwarzania. No cóż, rozumiemy usuwanie danych osobowych, ale wiedza archiwalna dot. samych zgłoszeń i opisanych w nich modus operandi oraz okoliczności może być bardzo cenna z perspektywy późniejszych działań następczych. Oczywiście nie mówimy o kategorii archiwalnej „A”.
  
  cdn.