17 grudnia 2021 r. to termin, w którym polski ustawodawca ma obowiązek wprowadzenia przepisów ustawowych, wykonawczych i administracyjnych w celu implementacji do polskiego porządku prawnego Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej „dyrektywa”). Zdecydowana większość polskich podmiotów prawnych ma więc niecałe dwa lata na przygotowanie się do spełnienia nałożonych przez nią wymogów. Jedynie w przypadku podmiotów prywatnych, które zatrudniają od 50 do 249 pracowników, czas na implementację dyrektywy został wydłużony dwukrotnie – do 17 grudnia 2023.
Zakres zastosowania dyrektywy
Przepisom o ochronie tzw. sygnalistów podlegać będą podmioty prawne z sektora publicznego – z wyjątkiem gmin zamieszkanych przez mniej niż 10 tys. mieszkańców, a także podmioty z sektora prywatnego - z wyjątkiem tych zatrudniających mniej niż 50 pracowników. Podmioty prawne działające w sektorze finansowym zostały natomiast poddane dyrektywie niezależnie od tego czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników. Wszystkie wskazane podmioty prawne będą miały obowiązek ustanowienia procedur, rozwiązań prawnych i organizacyjnych oraz wdrożenia narzędzi spełniających wymagania Dyrektywy. Pracodawcy prywatni zatrudniający mniej niż 50 pracowników oraz gminy zamieszkane przez mniej niż 10 tys. mieszkańców mogą również zostać objęte nowymi regulacjami przez ustawodawcę krajowego, który ma jednak w tym zakresie pozostawioną pełną swobodę.
Czytaj w LEX: UE nakazuje chronić sygnalistów >
Definicja sygnalisty
Dyrektywa wskazuje definicję tzw. sygnalisty, która może zostać rozszerzona przez ustawodawcę krajowego przy implementacji Dyrektywy do krajowego porządku prawnego. Zatem zgodnie z Dyrektywą sygnalistą jest osoba dokonująca zgłoszenia, pracująca w sektorze prywatnym lub publicznym, która uzyskała informacje na temat naruszeń w kontekście związanym z pracą, niezależnie od tego, czy stosunek pracy trwa, ustał, czy dopiero ma zostać nawiązany.
Dyrektywa obejmuje swoją ochroną również inne niż sygnalistów osoby, których wspólną cechą jest, że są istotne dla dokonania zgłoszenia nieprawidłowości przez sygnalistę lub mają z nim bezpośredni związek, a w związku z tym mogą być narażone na negatywne konsekwencje związane ze zgłoszeniem. Mogą to być osoby pomagające w jego dokonaniu, współpracownicy czy krewni sygnalisty, a nawet podmioty prawne będące powiązane z osobą dokonującą zgłoszenia, które mogą doświadczyć działań odwetowych.
Czytaj w LEX: Dyrektywa o ochronie sygnalistów – perspektywy dla sektora bankowego >
Jakich naruszeń dotyczy dyrektywa?
W celu uzyskania uprawnień wynikających z Dyrektywy warto znać jej zakres przedmiotowy, chociaż jest on zakresem minimalnym i może zostać rozszerzony przez ustawodawcę krajowego przy implementacji Dyrektywy do krajowego porządku prawnego. Obejmuje on naruszenia przepisów z takich dziedzin, jak np. handel, zamówienia publiczne, transport, zdrowie publiczne, ochrona konsumentów, prywatności i danych osobowych, czy też usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu.
Czytaj w LEX: Szewczyk Helena, Ochrona prawna pracowników-sygnalistów (uwagi de lege lata i de lege ferenda) >
Utworzenie kanałów zgłoszeń nieprawidłowości przez sygnalistów
W praktyce dostosowanie się do wymogów dyrektywy oznaczać będzie między innymi:
- utworzenie przez podmioty prywatne (np. przedsiębiorców, spółki prawa handlowego itd.) oraz przez podmioty publiczne (np. jednostki samorządu terytorialnego, urzędy, spółki komunalne itp.) wewnętrznych kanałów zgłoszeń informacji dotyczących naruszeń prawa
przez sygnalistów, - zapewnienie sygnalistom możliwości korzystania z zewnętrznych kanałów dokonywania zgłoszeń dotyczących naruszeń prawa,
- utworzenie procedur reagowania na zgłoszenia sygnalistów i udzielania im informacji zwrotnej: Dyrektywa przewiduje obowiązek reakcji na zgłoszenia sygnalistów i podjęcia działań następczych w ciągu 3 miesięcy (ewentualnie 6 miesięcy w należycie uzasadnionych przypadkach dla kanałów zewnętrznych).
Jak wskazano w preambule dyrektywy, osobom dokonującym zgłoszenia zwykle przychodzi łatwiej dokonywanie zgłoszeń wewnętrznych, chyba że istnieją powody, dla których wolą dokonać zgłoszenia zewnętrznego. Badania empiryczne wykazują, że większość sygnalistów dokonuje zgłoszeń wewnętrznych w ramach organizacji, w której pracują. […] Jednocześnie osoba dokonująca zgłoszenia powinna mieć możliwość wyboru najwłaściwszego kanału do tego celu w zależności od indywidualnych okoliczności danej sprawy.
W związku z powyższym dyrektywa wskazuje na wewnętrzne kanały zgłaszania nieprawidłowości przez sygnalistów, jako na pierwsze i najważniejsze źródło informacji o naruszeniach.
Wewnętrzne kanały, czyli takie, które znajdują się wewnątrz podmiotu prywatnego w sektorze prywatnym lub publicznym, to infrastruktura umożliwiająca ustne lub pisemne przekazanie informacji na temat naruszeń w obrębie tegoż podmiotu. Zgłoszenie zewnętrzne, dokonywane za pomocą kanałów zewnętrznych, to z kolei ustne lub pisemne przekazanie informacji na temat naruszeń właściwym organom. Chodzi o organy sądowe, regulacyjne lub nadzorcze mające kompetencje w odnośnych szczególnych dziedzinach lub organy o bardziej ogólnych kompetencjach na poziomie centralnym w ramach państwa członkowskiego, organy ścigania, organy antykorupcyjne lub rzeczników praw obywatelskich. Dyrektywa wskazuje, że co do zasady, osoby dokonujące zgłoszenia powinny być zachęcane do korzystania w pierwszej kolejności z wewnętrznych kanałów dokonywania zgłoszeń, jeżeli mogą z takich kanałów korzystać i rozsądnie oczekiwać, że zgłoszenie dokonane w taki sposób będzie skuteczne.
Działania następcze z kolei to te podjęte przez odbiorcę zgłoszenia lub właściwy organ w celu oceny prawdziwości zarzutów oraz, w stosownych przypadkach, w celu zaradzenia naruszeniu będącemu przedmiotem zgłoszenia, w tym poprzez takie działania, jak dochodzenie wewnętrzne, postępowanie wyjaśniające, wniesienie oskarżenia, czy tez działania podejmowane w celu odzyskania środków lub zamknięcia procedury.
Czytaj w LEX:
Sygnalista uprawniony jest do otrzymania informacji zwrotnych dotyczących planowanych lub podjętych działań następczych związanych z obsługą jego zgłoszenia. Takimi działaniami mogą być np. przekazanie sprawy do innego organu, czy też zakończenie procedury np. z braku wystarczających dowodów. Informację zwrotną sygnalista powinien otrzymać od wyznaczonej uprzednio, bezstronnej osoby w rozsądnym, nieprzekraczającym trzech miesięcy od potwierdzenia otrzymania zgłoszenia terminie.
Środki ochrony
Potencjalni sygnaliści często rezygnują ze zgłaszania zastrzeżeń lub podejrzeń z obawy przed działaniami odwetowymi. W 2019 r. Fundacja im. Stefana Batorego przeprowadziła sondaż na temat stosunku Polaków do tematyki wsparcia i ochrony sygnalistów. Z sondażu wynika, że znaczna część badanych antycypuje negatywne reakcje otoczenia na działania sygnalisty. Istnieje wobec tego uzasadniona potrzeba objęcia sankcjami karnymi osób, które podejmują wobec pracowników ujawniających nieprawidłowości w miejscu pracy działania odwetowe.
Wobec powyższego istotne jest, że Dyrektywa nakazuje wprowadzenie specjalnych środków ochrony, zabezpieczających sygnalistów przed negatywnymi konsekwencjami zgłoszenia takimi jak degradacja w pracy, wstrzymanie awansu, zawieszenie, czy też zwolnienie. Dyrektywa przewiduje również wprowadzenie środków wsparcia dla sygnalistów (m.in. pomoc prawną i psychologiczną czy też ułatwienia w kontaktach z odpowiednimi organami), środki ochrony osób, których dotyczy zgłoszenie oraz narzuca na państwa członkowskie obowiązek ustanowienia sankcji wobec osób, które m.in. utrudniają dokonywanie zgłoszeń, podejmują działania odwetowe lub naruszają obowiązek zachowania poufności tożsamości osób dokonujących zgłoszenia.
Należy podkreślić, że środki ochrony nie przysługują sygnalistom bezwarunkowo. Aby byli nimi objęci, zobligowani są do spełnienia pewnych warunków. Przede wszystkim, powinni mieć uzasadnione podstawy, by sądzić, że informacje, które zgłaszają są prawdziwe w momencie dokonywania zgłoszenia i że są objęte zakresem stosowania Dyrektywy. Warunkiem objęcia ochroną jest również dokonanie zgłoszenia zgodnie z procedurą przewidzianą w Dyrektywie. Sygnalista zobowiązany jest do zachowania odpowiedniej kolejności zgłaszania informacji (zgłoszenie wewnętrzne powinno być dokonane przed zgłoszeniem zewnętrznym), a także, w przypadku tzw. ujawnienia publicznego, oznaczającego podanie do wiadomości publicznej informacji na temat naruszeń, sygnalista powinien mieć uzasadnione podstawy, by sądzić, że naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie dla interesu publicznego lub, w przypadku dokonania zgłoszenia zewnętrznego, że grozić mu będą działania odwetowe albo że istnieje niewielkie prawdopodobieństwo skutecznego zaradzenia naruszeniu ze względu na szczególne okoliczności sprawy.
Poufność i anonimowość
Dyrektywa kładzie nacisk na zapewnienie sygnaliście anonimowości. Bez wyraźnej zgody jego tożsamość nie może być ujawniona nikomu, kto nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania działań następczych. Jedynym odstępstwem od tej zasady jest sytuacja, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa UE lub prawa krajowego i dotyczy prowadzonych przez organy krajowe postępowań wyjaśniających lub sądowych.
Sygnaliści w innych przepisach
Do tej pory w Polsce nie obowiązywały przepisy, które w regulowałyby pozycję prawną sygnalistów oraz tryb i sposoby zgłaszania naruszeń prawa. Regulacje sektorowe natomiast dotyczą przede wszystkim instytucji finansowych oraz instytucji obowiązanych na gruncie przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Podstawami tych obowiązków były odpowiednio – Rozporządzenie Ministra Rozwoju i Finansów z 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach (wydane na podstawie art. 9f ust. 1 oraz art. 128 ust. 6 ustawy z 29 sierpnia 1997 r. - Prawo bankowe), Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej „Ustawa”), która dotyczy tylko określonych rodzajów podmiotów. Są nimi m.in. banki, oddziały banków zagranicznych, oddziały instytucji kredytowych, SKOKi, krajowe instytucje płatnicze, firmy inwestycyjne oraz inne podmioty wymienione w art. 2 pkt. 1 Ustawy. W ostatnim czasie projektowane były ogólne regulacje dotyczące sygnalistów – w ustawie o jawności życia publicznego oraz nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Projekty te nie uzyskały statusu obowiązującego. Należy się spodziewać jednak, że ustawodawca krajowy prawdopodobnie powróci lub nawiąże do wspomnianych projektów ustaw przy implementacji Dyrektywy do polskiego porządku prawnego, a więc przed datą 17 grudnia 2021 r.
Ochrona danych osobowych
Każdy podmiot, który podlega Dyrektywie zobowiązany jest również do przestrzegania obowiązków i zapewnienia sygnalistom praw wynikających z aktów prawa traktujących o ochronie danych osobowych. Przetwarzanie tych danych, ich wymiana lub przekazywanie przez organy, powinny następować zgodnie z art. 17 Dyrektywy, czyli mając na względzie takie akty prawa jak m.in. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO). Dane, które w sposób oczywisty nie są istotne dla rozpatrywania danego zgłoszenia nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki.
Ochrona tajemnic prawnie chronionych
Szczególną uwagę przy wdrożeniu ochrony sygnalistów, powinny naszym zdaniem zwrócić te podmioty prywatne i publiczne, które w swojej działalności przetwarzają informacje objęte tajemnicami prawnie chronionymi.
Będą to w pierwszej kolejności wszyscy przedsiębiorcy, dla których podstawą działalności jest oparcie jej na tajemnicach firmy, takich jak zastrzeżone rozwiązania technologiczne, szczególnie chroniona własność intelektualna oraz poufne dane i informacje. Dla takich podmiotów, jak np. zaawansowane technologicznie podmioty produkcyjne, instytucje finansowe, właściciele baz danych, szczególnie istotne będzie opracowanie narzędzi i procedur zgodnych z Dyrektywą, które nie będą stanowić istotnego ryzyka dla ujawnienia tajemnicy przedsiębiorstwa. Podobnie wyjątkową uwagę przy wdrażaniu Dyrektywy będą musiały zwrócić te podmioty sektora publicznego, które posiadają lub przetwarzają informacje objęte ochroną informacji niejawnych, ochroną tajemnicy sędziowskiej lub ochroną charakterystyczną dla organów ścigania i innych podmiotów występujących w postępowaniach karnych. Szczególne wymogi będą musiały również spełnić wszelkie podmioty, zarówno publiczne jak i prywatne, które w swojej działalności korzystają z tajemnicy zawodowej, w tym tajemnicy medycznej.
Wszystkie wyszczególnione wyżej podmioty powinny wdrożyć szczególnie bezpieczne i technicznie zaawansowane narzędzia zgłaszania nieprawidłowości przez sygnalistów, tak aby spełniając niejednokrotnie bardzo daleko idące wymagania Dyrektywy, nie narazić na ryzyko naruszenia tajemnic prawnie chronionych.
W przypadku wszystkich podmiotów objętych Dyrektywą istotne będzie po pierwsze wprowadzenie narzędzia służącego do anonimowego zgłaszania nieprawidłowości (aspekt technologiczny) oraz procedur regulujących zgłaszanie nieprawidłowości w danym podmiocie, w szczególności dotyczących kanału wewnętrznego zgłaszania nieprawidłowości (aspekt prawny). Najlepszym rozwiązaniem może okazać się bezpieczne, cyfrowe narzędzie techniczne, które pozwala na zgodne z regulacjami dotyczącymi ochrony danych osobowych raportowanie nieprawidłowości za pomocą poufnych kanałów dokonywania zgłoszeń, właściwie zabezpieczonych i odpornych na wyciek danych.
Najnowsza dyrektywa o ochronie sygnalistów, to jeden z przykładów nowych regulacji prawnych, które – odmiennie niż to dotychczas bywało – wymagają od objętych nią podmiotów zwrócenia uwagi nie tylko na same przepisy prawa i ich zastosowanie w pisemnych procedurach, ale również na nowoczesne i bezpieczne rozwiązania technologiczne. Bez tych ostatnich dostosowanie danej organizacji do wymogów dyrektywy nie wydaje się możliwe.
Ochrona sygnalistów wkrótce stanie się powszechnym wymogiem w krajach Unii Europejskiej w tym w Polsce – zarówno w sektorze prywatnym, jak i publicznym. Dyrektywa o ochronie sygnalistów to jasny i ważny sygnał dla ustawodawców krajowych oraz dla większości podmiotów sektora prywatnego i publicznego w poszczególnych krajach, także w Polsce. Bez odpowiednich narzędzi, w tym rozwiązań technologicznych, osiągnięcie celu wydaje się trudne. A czasu, co pokazuje grafika, zostało już niewiele.
Szczegółowe terminy na wdrożenie poszczególnych kanałów
17 grudnia 2021 roku:
-
podmioty publiczne, kanały wewnętrzne i zewnętrzne, z tym że, Polska może podjąć decyzję o zwolnieniu z tego obowiązku gminy mającej mniej niż 10 000 mieszkańców lub podmiotów zatrudniających mniej niż 50 pracowników Polska może podjąć;
-
podmioty prywatne zatrudniające powyżej 249 pracowników.
17 grudnia 2023 roku:
-
podmioty prywatne zatrudniające od 50 do 249 pracowników.
Adam Kwiecień jest menedżerem w zespole Forensic w Deloitte
Olga Wąsowska jest konsultantem w zespole Forensic w Deloitte