- Dwa tryby
- Odrębność i niezależność procedur
- Funkcjonowanie CUW
- Ochrona danych osobowych
- Usunięcie danych
Jednostki samorządu terytorialnego mogą ustalić wspólną procedurę zgłoszeń wewnętrznych na podstawie odpowiednich ustaw ustrojowych poszczególnych szczebli samorządu (czyli gminy, powiatu i województwa) i powołać w tym celu centra usług wspólnych (dalej: CUW). Pozwala im na to art. 28 ust. 5 ustawy z 14 czerwca 2024 r. o ochronie sygnalistów (dalej: u.o.s.).
– Szczególne rozwiązanie dla jednostek samorządu terytorialnego umożliwiające przyjęcie wspólnej procedury zgłoszeń wewnętrznych może być niewątpliwie korzystne – twierdzi Karol Kupień, radca prawny w Kancelarii Radców Prawnych Zygmunt Jerzmanowski i Wspólnicy sp.k. w Poznaniu. I dodaje, że pozwala ono wdrożyć jeden, wspólny kanał komunikacji oraz zapewnić wyspecjalizowane osoby zajmujące się obsługą zgłoszeń. – Bardzo często, szczególnie w mniejszych podmiotach, istotnym problemem może być znalezienie odpowiedniej osoby i umiejscowienie jej w strukturze organizacyjnej w taki sposób, by mogła ona wykonywać swoje obowiązki w sposób niezależny i bezstronny oraz zapewniający brak potencjalnego konfliktu interesów – uważa Karol Kupień. I dodaje, że uzasadnienie do projektu u.o.s. wskazuje na potencjalne korzyści – oszczędności – finansowe zaproponowanego rozwiązania.
Z kolei dr Karolina Rokicka-Murszewska, radca prawny, UMK w Toruniu, podkreśla, że wprowadzenie wspólnej procedury zgłoszeń nie jest obligatoryjne, tzn. jednostki samorządu terytorialnego mogą, ale nie muszą jej wprowadzić, nawet jeśli prowadzą wspólną obsługę w innym zakresie (np. finansowym czy organizacyjnym).
Dwa tryby
– Ustawodawca określa, że w przypadku, gdy JST chce ustalić wspólną procedurę zgłoszeń wewnętrznych, może to zrobić, wykorzystując do tego tzw. centra usług wspólnych tworzone na podstawie odpowiednich przepisów samorządowych ustaw ustrojowych. Tym samym od strony formalnoprawnej odbywać się to będzie w dwojaki sposób – wskazuje Mateusz Karciarz, prawnik w Kancelarii Radców Prawnych Zygmunt Jerzmanowski i Wspólnicy sp.k. w Poznaniu. Jego zdaniem nastąpi to poprzez:
- uwzględnienie wspólnej procedury zgłoszeń w uchwale określającej zakres obowiązków powierzonych jednostce obsługującej (CUW) w ramach wspólnej obsługi jednostek obsługiwanych – w przypadku jednostek organizacyjnych danej JST nieposiadających osobowości prawnej) albo
- uwzględnienie procedury zgłoszeń wewnętrznych w porozumieniu zawartym przez jednostkę obsługującą (CUW) z jednostkami obsługiwanymi, które mają własną osobowość prawną (samorządowe instytucje kultury lub inne samorządowe osoby prawne).
Jednocześnie prawnik wyjaśnia, że chodzi o sytuację, w której dane jednostki, których miałaby dotyczyć wspólna procedura zgłoszeń wewnętrznych, są już objęte obsługą ze strony CUW. – Natomiast jeśli jednostki nie są objęte CUW, to albo należałoby je w pierwszej kolejności objąć taką obsługą (tu warto zauważyć, że obsługą taką może być objęty również sam urząd czy starostwo, a ponadto poszczególne jednostki mogą mieć różny zakres wspólnej obsługi ze strony CUW), albo – w przypadku, gdy w danej JST nie funkcjonuje jeszcze CUW – utworzyć je wyłącznie do prowadzenia wspólnej procedury zgłoszeń wewnętrznych – uważa Mateusz Karciarz.
Z kolei dr Karolina Rokicka-Murszewska zauważa, że niezależnie od rodzaju aktu stanowiącego podstawę ustalenia wspólnej procedury zgłoszeń wewnętrznych należy w nim wymienić wprost wszystkie podmioty objęte wspólną obsługą.
Odrębność i niezależność procedur
Zgodnie z art. 25 ust. 5 u.o.s., ustalając wspólną procedurę zgłoszeń wewnętrznych w ramach wspólnej obsługi, należy zapewnić niezależność i odrębność procedury zgłoszeń wewnętrznych od procedury przyjmowania i rozpatrywania zgłoszeń zewnętrznych, a więc zgłoszeń ustnych lub pisemnych przekazanych organowi publicznemu, obejmujących informacje o naruszeniu prawa. – Przepis ten wprowadza dwa warunki dla samorządów – podkreśla mec. Karol Kupień. – Po pierwsze, wspólna obsługa będzie możliwa jedynie wtedy, jeżeli zapewniona zostanie jej odrębność i niezależność od procedury przyjmowania zgłoszeń zewnętrznych, a więc tylko zgłoszenia wewnętrzne mogą zostać objęte omawianym rozwiązaniem. Obowiązki w zakresie zgłoszeń zewnętrznych muszą być bowiem realizowane indywidualnie przez każdy zobowiązany do tego organ publiczny. Obie te procedury muszą być dla sygnalisty jasne i nie mogą wprowadzać go w błąd. – Po drugie, wymogiem umożliwiającym wprowadzenie wspólnej procedury zgłoszeń wewnętrznych jest zapewnienie jej odrębności i niezależności w zakresie podejmowania działań następczych – tłumaczy Karol Kupień.
WAŻNE Ustawa o ochronie sygnalisty narzuca dwa okresy retencyjności danych – 3-letni w odniesieniu do danych zgromadzonych w rejestrze zgłoszeń wewnętrznych oraz 14-dniowy stosowany wobec danych, które nie mają znaczenia dla ustalenia, czy zgłoszenie stanowi naruszenie prawa.
Zdaniem prawnika oznacza to, że każdy podmiot, mimo objęcia go wspólną procedurą, musi pozostać samodzielny, jeżeli chodzi o podejmowanie decyzji w zakresie potencjalnych konsekwencji związanych z dotyczącymi go zgłoszeniami. – Przedstawiając to obrazowo, można stwierdzić, że sama obsługa zgłoszeń wewnętrznych może być wspólna, jednak finalne działania następcze muszą pozostać wyłącznie w kompetencji konkretnej jednostki – tłumaczy mec. Kupień. Jakie elementy będą wspólne dla jednostek w takim przypadku? Będą to kanały przyjmowania zgłoszeń, informacje przekazywane sygnaliście, czyli informacja zwrotna i potwierdzenie przyjęcia zgłoszenia, oraz wsparcie sygnalisty, np. poprzez informowanie go o procedurze zgłoszeń.
Funkcjonowanie CUW
Przypomnijmy, że co do zasady celem powołania CUW jest integracja procesów obsługowych. Polega ona na ujednoliceniu czynności dotychczas wykonywanych przez każdą z jednostek organizacyjnych samodzielnie. Dotyczyć to może takich obszarów jak rachunkowość czy kadry i płace. Czynności te wykonywane samodzielnie nie tylko zwiększają koszty funkcjonowania jednostek organizacyjnych, ale mogą także powodować trudności w porównywaniu ich działalności w związku z prowadzeniem np. odmiennych polityk rachunkowości. Dzięki CUW ujednolicone są działania obsługowe, co pozwala na ich standaryzację, zarządzanie nimi z jednego miejsca w organizacji, a tym samym ogranicza możliwości pojawienia się błędu. Podstawa utworzenia CUW wynika z:
- art. 10a ustawy z 8 marca 1990 r. o samorządzie gminnym (dalej: u.s.g.),
- art. 6a ustawy z 5 czerwca 1998 r. o samorządzie powiatowym,
- art. 8c ustawy z 5 czerwca 1998 r. o samorządzie województwa.
Regulacje te są analogiczne, jeżeli chodzi o utworzenie CUW i jego funkcjonowanie.
Wspólną obsługę mogą prowadzić urząd gminy, inna jednostka organizacyjna gminy, jednostka organizacyjna związku międzygminnego albo jednostka organizacyjna związku powiatowo-gminnego (czyli tzw. jednostka obsługująca). Rada gminy w odniesieniu do jednostek obsługiwanych, o których powyżej mowa w pkt 1, określa, w drodze uchwały, w szczególności:
- jednostki obsługujące;
- jednostki obsługiwane;
- zakres obowiązków powierzonych jednostkom obsługującym w ramach wspólnej obsługi.
Jednostki obsługiwane, o których powyżej mowa w pkt 2 i 3, mogą – na podstawie porozumień zawartych przez te jednostki z jednostką obsługującą – przystąpić do wspólnej obsługi po uprzednim zgłoszeniu tego zamiaru wójtowi. Zakres wspólnej obsługi musi określić zawarte porozumienie.
Ochrona danych osobowych
Zasady przetwarzania danych sygnalisty określa art. 8 u.o.s. Przepis ten nie reguluje jednak wszystkich kwestii dotyczących ochrony danych osobowych sygnalisty, dlatego należy stosować rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). – W pierwszej kolejności trzeba podkreślić, że dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty – wskazuje Piotr Ziółkowski, radca prawny w Kancelarii Radców Prawnych Zygmunt Jerzmanowski i Wspólnicy sp.k. w Poznaniu.
Wobec powyższego kanały zgłoszeń muszą być zaprojektowane i obsługiwane w bezpieczny sposób oraz muszą zapewniać ochronę poufności tożsamości – zarówno osoby dokonującej zgłoszenia, jak i osoby trzeciej wymienionej w zgłoszeniu, uniemożliwiając uzyskanie do nich dostępu nieupoważnionym członkom personelu. Ochrona poufności i danych osobowych dotyczy informacji, na podstawie których można pośrednio lub bezpośrednio zidentyfikować tożsamość wskazanych osób. Poza tym zagwarantowanie skutecznej ochrony ma wykluczyć ewentualne działania odwetowe oraz niekorzystne skutki wynikające ze zgłoszenia nieprawidłowości.
UWAGA: Ustawa o ochronie sygnalistów przewiduje sankcje za ujawnienie tożsamości osób zgłaszających naruszenia. Kto wbrew przepisom ustawy ujawnia tożsamość sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Usunięcie danych
– Dane osobowe przetwarzane są w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego – tłumaczy Piotr Ziółkowski. Danych osobowych, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie należy zbierać, a w razie przypadkowego zebrania należy jak najszybciej usunąć. Ekspert podkreśla, że usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy. Prawnik wskazuje, że ujawnienie danych osobowych sygnalisty jest dopuszczalne tylko wówczas, gdy jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy. – Podkreślić należy, że przetwarzanie danych osobowych w ramach dyspozycji art. 28 ust. 5 u.o.s. wymaga – zgodnie z art. 28 ust. 3 RODO – przetwarzania ich przez podmiot przetwarzający (jednostkę obsługującą) na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora – wskazuje mec. Piotr Ziółkowski [ramka].
Zakres podmiotowy wspólnej obsługi
Zgodnie z art. 10a u.s.g. gmina może zapewnić wspólną obsługę, w szczególności administracyjną, finansową i organizacyjną tzw. jednostkom obsługiwanym, czyli:
1) jednostkom organizacyjnym gminy zaliczanym do sektora finansów publicznych,
2) gminnym instytucjom kultury,
3) innym zaliczanym do sektora finansów publicznych gminnym osobom prawnym utworzonym na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego. ©℗
Zdaniem prawnika sama treść art. 28 ust. 3 RODO nie stanowi upoważnienia jednostki obsługującej do przetwarzania danych osobowych jednostki obsługiwanej. Przepis ten zawiera jedynie wskazanie instrumentu prawnego upoważniającego jednostkę obsługującą do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną.
Takie upoważnienie może wynikać z:
- uchwały w sprawie wspólnej obsługi jednostek podjętej przez radę gminy na podstawie art. 10b ust. 2 u.s.g. – w przypadku jednostek organizacyjnych gminy zaliczanych do sektora finansów publicznych lub
- porozumień zawartych z jednostką obsługującą na podstawie art. 10b ust. 3 u.s.g. – w przypadku gminnych instytucji kultury oraz innych zaliczanych do sektora finansów publicznych gminnych osób prawnych utworzonych na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
– Upoważnienie to może także wynikać z umowy powierzenia przetwarzania danych zawartej pomiędzy jednostką obsługiwaną a jednostką obsługującą – tłumaczy Piotr Ziółkowski. Ekspert dodaje, że zarówno uchwała rady gminy, jak i porozumienie czy umowa, o których wyżej mowa, muszą spełniać wymagania określone w art. 28 ust. 3 RODO.
Administrator danych
Podmiot prawny, który otrzyma zgłoszenie, na gruncie RODO wystąpi w roli administratora i będzie uprawniony do przetwarzania danych osobowych sygnalisty, jak i danych innych osób ujawnionych w zgłoszeniu czy w trakcie postępowania wyjaśniającego. Podstawę takiego przetwarzania będą stanowić odpowiednio:
- art. 6 ust. 1 lit. e RODO (w odniesieniu do zwykłych danych osobowych),
- art. 9 ust. 1 lit. g RODO (w odniesieniu do szczególnych kategorii danych osobowych) oraz
- art. 10 RODO (w odniesieniu do danych dotyczących wyroków skazujących i czynów zabronionych).
Należy zatem przyjąć, iż zgodnie z RODO przetwarzanie danych osobowych jest niezbędne do wykonania zadania realizowanego w interesie publicznym (w przypadku zwykłych danych osobowych) oraz ze względów związanych z ważnym interesem publicznym (w przypadku szczególnych kategorii danych osobowych).
Przestrzeganie wymogów
Projektując procedurę zgłoszeń wewnętrznych, należy pamiętać o następujących zasadach ochrony danych osobowych, według których należy:
- zapewnić zgodność procedury z prawem, rzetelność i przejrzystość;
- zapewnić spełnienie zasady minimalizacji danych i stosowania odpowiednich okresów ich przechowywania (system zgłaszania naruszeń musi umożliwiać archiwizację lub usunięcie danych osobowych, które w oczywisty sposób nie są istotne dla postępowania w konkretnym przypadku lub nie są już wymagane; archiwizacja lub usunięcie danych powinny nastąpić bez zbędnej zwłoki);
- prowadzić ewidencję każdego otrzymanego zgłoszenia, zgodnie z zasadą rozliczalności RODO, zasadą integralności, poufności i bezpieczeństwa (system zgłaszania naruszeń musi umożliwiać bezpieczne nimi zarządzanie najlepiej zautomatyzowane), identyfikowalność;
- zadbać o przejrzyste i jasne informowanie osób, których dane będą przetwarzane, o zasadach przetwarzania ich danych w procesie zgłaszania nieprawidłowości (art. 13 i 14 RODO);
- zapewnić możliwość realizacji praw osób, których dane dotyczą, w tym określić możliwe ich odroczenia i ograniczenia (odpowiadając na żądania dostępu do danych osobowych, nie ujawniać danych osobowych innych stron);
- stosować adekwatne do ryzyka i wymogów prawa organizacyjne i techniczne środki bezpieczeństwa w celu zapewnienia poufności, integralności i dostępności danych, w szczególności poufności lub anonimowości sygnalistów oraz wszystkich innych zaangażowanych osób;
- określić właściwe okresy przechowywania.
Upoważnienie administratora
Ustanawiając procedurę przyjmowania zgłoszeń, podmiot prawny lub organ publiczny wyznacza komórkę organizacyjną lub osobę (osoby) odpowiedzialną za przyjmowanie zgłoszeń oraz prowadzenie działań następczych (art. 25 u.o.s.). Osoby, które na podstawie procedury zostaną upoważnione do przyjmowania lub weryfikacji zgłoszeń (bezpośrednio lub pośrednio, np. poprzez wskazanie nazwy stanowiska lub funkcji), powinny uzyskać pisemne upoważnienie administratora do przetwarzania danych osobowych (art. 29 i art. 32 ust. 4 RODO). Zasada ta odnosi się też do zewnętrznych ekspertów uczestniczących w prowadzeniu działań następczych. Upoważnienie powinno określać zakres, cel i czas, w jakim dana osoba zostaje upoważniona do przetwarzania danych osobowych.
Co w umowie
Umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:
1) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
2) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
3) podejmuje wszelkie środki wymagane na mocy art. 32 RODO, dotyczące bezpieczeństwa przetwarzania danych;
4) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego;
5) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
6) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO, dotyczących zapewnienia bezpieczeństwa przetwarzania danych;
7) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
8) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.©℗
Zasadą jest, że poza administratorem oraz osobami upoważnionymi do przyjmowania zgłoszeń i prowadzenia działań następczych nikt nie powinien pozyskiwać (przetwarzać) danych osobowych sygnalistów ani innych osób uczestniczących w działaniach następczych lub wymienionych w zgłoszeniu. Artykuł 8 u.o.s. wprowadza następujące wyjątki od tej zasady, tj. warunki umożliwiające ujawnienie danych osobowych sygnalisty innym osobom. Można ujawnić dane osobowe:
- w takim zakresie, w jakim nie rodzi to ryzyka ujawnienia tożsamości sygnalisty;
- za wyraźną i dobrowolną zgodą sygnalisty – po poinformowaniu, komu, w jakim zakresie i celu dane mają być udostępnione;
- gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie, np. na żądanie policji, prokuratora lub sądu.
Obowiązkowe rejestry
Jak wynika z art. 30 RODO, obowiązkiem każdego administratora danych jest prowadzenie rejestru czynności przetwarzania, w ramach którego musi odnotowywać wszystkie procesy przetwarzania. W takim rejestrze zamieszcza się m.in. informacje:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO, dokumentacja odpowiednich zabezpieczeń;
- planowane terminy usunięcia poszczególnych kategorii danych – jeżeli jest to możliwe;
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO – jeżeli jest to możliwe.
Ponadto, zgodnie z art. 29 u.o.s. podmiot prawny jako administrator danych zobowiązany jest prowadzić rejestr zgłoszeń wewnętrznych albo upoważnić do tego może wewnętrzną jednostkę organizacyjną lub wyznaczona osobę w trybie art. 25 ust. 1 pkt 1 lub 3 u.o.s. Otrzymanie zgłoszenia od sygnalisty uruchamia wpis do rejestru zgłoszeń wewnętrznych. ©℗
Polecamy: „Sygnaliści w biurze rachunkowym”
Polecamy: „Sygnaliści w firmie. Przewodnik dla pracodawcy”
Polecamy: „Sygnaliści w administracji publicznej. Procedura dla pracodawcy”
Podstawa prawna
Podstawa prawna:
art. 8, art. 28 ust. 5 ustawy z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. poz. 928)
art. 5, art. 6 ust. 1 lit. e, art. 9 ust. 1 lit. g, art. 10, art. 13, art. 14, art. 28 ust. 3, art. 29 i art. 32 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L nr 119 poz. 1)
art. 10a ustawy z 8 marca 1990 r. o samorządzie gminnym (t.j. Dz.U. z 2024 r. poz. 609, ost.zm. poz. 721)
art. 6a ustawy z 5 czerwca 1998 r. o samorządzie powiatowym (t.j. Dz.U. z 2024 r. poz. 107)
art. 8c ustawy z 5 czerwca 1998 r. o samorządzie województwa (t.j. Dz.U. z 2024 r. poz. 566)