Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii reguluje ochronę osób, które dokonują zgłoszeń nieprawidłowości i naruszeń, o których uzyskały informacje w kontekście związanym z pracą.
Zgłoszenia nieprawidłowości przez sygnalistę
Sygnalistą, czy jak czytamy w Dyrektywie „osobą dokonująca zgłoszenia” jest w myśl jej przepisów osoba fizyczną, która zgłasza lub ujawnia publicznie informacje na temat naruszeń uzyskane w kontekście związanym z wykonywaną przez nią pracą.
Przepisy dyrektywy przewidują możliwość zgłaszania nieprawidłowości trzema kanałami:
- wewnętrznym (w ramach organizacji, tj. przedsiębiorstwa) – założeniem dyrektywy jest, by zachęcać do składania zgłoszeń tymi kanałami, zanim zostaną skierowane do organów zewnętrznych, jeśli naruszeniu można skutecznie zaradzić wewnątrz organizacji, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych,
- zewnętrznym (do właściwego organu) lub
- w drodze ujawnienia publicznego (w ostateczności, jeśli wcześniej dokonano zgłoszenia wewnętrznego lub zewnętrznego i nie zostały podjęte żadne działania).
Trzeba pamiętać, że ochronie przewidzianej przez dyrektywę 2019/1937 podlegają tylko te osoby zgłaszające, które miały uzasadnione podstawy, by sądzić, że będące przedmiotem zgłoszenia informacje na temat naruszeń są prawdziwe w momencie dokonywania zgłoszenia oraz że informacje takie są objęte zakresem zastosowania dyrektywy; ii) dokonały zgłoszenia wewnętrznego, zewnętrznego lub ujawnienia publicznego zgodnie z dyrektywą (art. 6 dyrektywy 2019/1937).
Wymóg przekonania osoby zgłaszającej naruszenie o prawdziwości zgłaszanych informacji służy wyjęciu spod ochrony osób dokonujących zgłoszenia w złej wierze, zgłoszeń niepoważnych lub stanowiących nadużycie (pkt 32 preambuły). Oznacza to, że osoby, które celowo przekazały nieprawdziwe informacje, nie będą korzystały z ochrony. Osoby zgłaszające naruszenia powinny dokładnie uzasadnić swoje podejrzenia lub twierdzenia, by nie było wątpliwości, że zgodnie z ich stanem wiedzy zgłaszane informacje są najprawdopodobniej prawdziwe, choć osoby te nie mają możliwości zupełnego zweryfikowania ich wiarygodności.
Ochrona sygnalistów procedura
Jednocześnie jednak na pracodawców nakłada się obowiązki związane z zapewnieniem kanałów wewnętrznych zgłoszeń oraz ochroną osoby dokonującej zgłoszenia (sygnalisty). Obejmą one wszystkich pracodawców zatrudniających co najmniej 50 pracowników, niezależnie od tego, czy jest to sfera publiczna, czy prywatna. Dyrektywa przewiduje, że dla podmiotów zatrudniających od 50 do 249 pracowników konieczność wdrożenia obowiązków może być przesunięta do 17 grudnia 2023 r., jednak w przypadku większych pracodawców (250 i więcej pracowników) datą obowiązywania przepisów będzie 17 grudnia 2021 r.
Obowiązkiem pracodawców będzie zatem utworzenie wewnętrznego kanału i opracowanie procedur, przy wykorzystaniu których pracownicy będą mieli możliwość dokonywania zgłoszeń naruszeń. Kanały i procedury dokonywania zgłoszeń tworzone przez pracodawców, powinny umożliwiać pracownikom podmiotu dokonywanie zgłoszeń informacji na temat naruszeń. Mogą one umożliwiać dokonywanie zgłoszeń informacji na temat naruszeń również przez inne osoby, utrzymujące kontakt z podmiotem w kontekście związanym z pracą. Podmioty prawne w sektorze prywatnym i publicznym oraz właściwe organy są zobowiązane do prowadzenia rejestru zgłoszeń oraz przechowywania ich nie dłużej niż jest to konieczne i proporcjonalne (art. 18 dyrektywy 2019/1937). W przypadku zgłoszeń telefonicznych lub ustnych zgłoszenie powinno być udokumentowane nagraniem lub protokołem. Celem powyższej regulacji jest zapewnienie możliwości wykorzystania informacji otrzymanych w drodze zgłoszeń jako dowodu w ramach działań związanych z egzekwowaniem prawa (pkt 86 preambuły). W związku z tym, że dyrektywa nie wyznacza czasu przechowywania zgłoszeń, wskazane jest, by w akcie implementującym wskazać minimalny czas przechowywania danych.
Dyrektywa 2019/1937 w art. 16 i 17 przewiduje szczegółowe regulacje w zakresie zachowania poufności i przetwarzania danych osobowych. Tożsamość osoby zgłaszającej naruszenie oraz wszelkie informacje pozwalające na jej identyfikację powinny być znane tylko osobom obsługującym system sygnalizacji, chyba że sygnalista wyrazi zgodę na ujawnienie jego tożsamości (art. 16 ust. 1 dyrektywy 2019/1937). W drodze odstępstwa ujawnienie tożsamości sygnalisty jest możliwe tylko w wyjątkowych sytuacjach przewidzianych w prawie unijnym lub krajowym (art. 16 ust. 2 dyrektywy 2019/1937).
Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych, muszą obejmować następujące elementy:
- kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu;
- potwierdzenie osobie dokonującej zgłoszenia przyjęcia zgłoszenia w terminie siedmiu dni od jego otrzymania;
- wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do podejmowania działań następczych w związku ze zgłoszeniami, przy czym może to być ta sama osoba lub ten sam wydział, które przyjmują zgłoszenia, które będą komunikować się z osobą dokonującą zgłoszenia i w stosownych przypadkach zwracać się do osoby dokonującej zgłoszenia o dalsze informacje oraz przekazywać jej informacje zwrotne;
- podejmowanie z zachowaniem należytej staranności tzw. działań następczych (działania podjęte przez odbiorcę zgłoszenia lub właściwy organ w celu oceny prawdziwości zarzutów zawartych w zgłoszeniu oraz, w stosownych przypadkach, w celu zaradzenia naruszeniu będącemu przedmiotem zgłoszenia, w tym poprzez takie działania, jak dochodzenie wewnętrzne, postępowanie wyjaśniające, wniesienie oskarżenia, działania podejmowane w celu odzyskania środków lub zamknięcie procedury) przez wyznaczoną osobę lub wyznaczony wydział;
- podejmowanie z zachowaniem należytej staranności działań następczych, jeżeli prawo rajowe przewiduje takie działania, w odniesieniu do zgłoszeń anonimowych;
- rozsądny termin na przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia;
- zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów zgodnie z art. 10 oraz w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii.
Kanały dokonywania zgłoszeń muszą umożliwiać dokonywanie zgłoszeń na piśmie lub ustnie. Zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej oraz na wniosek osoby dokonującej zgłoszenia, za pomocą bezpośredniego spotkania zorganizowanego w rozsądnym terminie.
Ochrona sygnalistów procedura - obowiązki przedsiębiorców
Dyrektywa pozostawia do decyzji państw członkowskich kwestię dopuszczalności zgłoszeń anonimowych zarówno w ramach kanałów wewnętrznych, jak i zewnętrznych (art. 6 ust. 2 pkt 34 preambuły). Anonimowość zgłoszeń jest jedną z najbardziej kontrowersyjnych kwestii. Bezimienni sygnaliści mogą czuć się bezkarni, co może skłaniać do zgłaszania informacji nieprawdziwych w celu uzyskania osobistych korzyści. Z tego powodu zgłoszenia anonimowe z reguły traktowane są jako mniej wiarygodne. Dodatkowo pojawia się problem skontaktowania się z osobą dokonującą zgłoszenia w celu uzyskania dodatkowych informacji w przedmiocie zgłoszonej sprawy lub przekazania informacji zwrotnej. Rozwiązaniem w tym zakresie są narzędzia technologiczne z kodami identyfikacyjnymi przypisywanymi sygnalistom, umożliwiające kontakt z anonimowym informatorem.
Reasumując przed przedsiębiorcami kolejne wyzwanie, które, jeśli nie zostaną wdrożone mogą się spotkać RESTRYKCYJNYMI SANKCJAMI. Zgodnie bowiem z art. 23 Dyrektywy: Państwa członkowskie ustanawiają skuteczne, proporcjonalne i odstraszające sankcje stosowane wobec osób fizycznych lub prawnych, które:
- utrudniają lub usiłują utrudniać dokonywanie zgłoszeń;
- podejmują działania odwetowe wobec osób, o których mowa w art. 4;
- wszczynają uciążliwe postępowania przeciwko osobom, o których mowa w art. 4;
- dopuszczają się naruszeń obowiązku zachowania poufności tożsamości osób dokonujących zgłoszenia, o którym to obowiązku mowa w art. 16.
Ale też w tym samym artykule (ust. 2) czytamy:
Państwa członkowskie wprowadzają przepisy przewidujące skuteczne, proporcjonalne i odstraszające sankcje dla osób dokonujących zgłoszenia, wobec których ustalono, że świadomie dokonały zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji. Państwa członkowskie wprowadzają również przepisy przewidujące, zgodnie z prawem krajowym, środki odszkodowawcze za szkodę wynikającą z takiego zgłoszenia lub ujawniania publicznego.
Niestety cały czas czekamy na ustawę o ochronie sygnalistów, ale nie zmienia to faktu, że warto mieć przygotowany przynajmniej zarys zmian jakie trzeba będzie wprowadzi c, a to: Wdrożenie mechanizmów związanych z procesem zgłaszania nieprawidłowości wskazuje jako najbardziej domyślny sposób informowania o nieprawidłowościach, zgodnie z postanowieniami dyrektywy 2019/1937, tzw. ścieżkę wewnętrzną.
Zatem pierwszy obszar, który stanowi podwaliny whistleblowingu, to odpowiednio skonstruowana polityka zgłaszania nieprawidłowości oraz procedura prowadzenia wewnętrznych postępowań wyjaśniających. Trzeba tu zaznaczyć, iż musi ona uwzględnią już istniejące w organizacji procedury takie jak np. procedura AML (przeciwdziałanie praniu brudnych pieniędzy), i oczywiście musi zostać „wpięta” z system RODO, ze względu na obowiązkową ochronę danych osobowych – z projektu ustawy: „Pracodawca stosuje rozwiązania techniczne i organizacyjne zapewniające przechowywanie danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmujących zgłoszenie, włączając w to, w odpowiednim przypadku, usunięcie z treści dokumentu lub innego nośnika informacji niezwłocznie po ich otrzymaniu wszystkich danych osobowych zgłaszającego”.
Ochrona poufności i tożsamości sygnalistów
Sposoby przekazywania zgłoszeń powinny zapewniać ochronę poufności tożsamości osoby zgłaszającej oraz osób wymienionych w treści zgłoszenia, a także uniemożliwiać dostęp do tych danych przez podmioty do tego nieupoważnione.
Kanały przekazywania zgłoszeń mogą stanowić, o ile spełniają wskazane powyżej przesłanki:
- dedykowany zgłoszeniom adres mailowy lub infolinia,
- dedykowana aplikacja przewidziana do przyjmowania zgłoszeń i kontaktu z sygnalistom,
- ewentualnie inne narzędzia jak np. fax lub skrzynka umieszczona w ogólnodostępnym dla pracowników miejscu nieobjętym monitoringiem.
Zgodnie z postanowieniami dyrektywy 2019/1937 podmiot wdrażający system whistleblowingowy zobowiązany jest do wyznaczenia bezstronnej osoby lub struktury, która będzie odpowiedzialna za przyjmowanie raportów od sygnalistów, prowadzenie wewnętrznych postępowań wyjaśniających oraz podejmowanie działań następczych, natomiast w uzasadnionych przypadkach będzie podejmować kontakt zwrotny do sygnalisty.
Kolejnym aspektem jest ten związany z edukacją wewnętrzną oraz szkoleniami. Dla skutecznego wdrożenia systemu zgłaszania nieprawidłowości niezbędne jest jasne przedstawienie jego celu w organizacji, zapoznanie pracowników z jego działaniem, przedstawienie mechanizmów ochrony osób zgłaszających, a także osób wskazanych w zgłoszeniu oraz narzędzi pozwalających na poufność całego procesu oraz zachowanie bezstronności osób odpowiedzialnych za obsługę zgłoszeń.
Przechodząc do szczegółowych regulacji trzeba wskazać, iż zarówno dyrektywa 2019/1937, jak i projekt polskiej ustawy o ochronie osób zgłaszających nieprawidłowości dotyczy następujących zakresów:
Art. 1. Ustawa reguluje:
- warunki objęcia ochroną pracowników oraz innych osób zgłaszających lub publicznie ujawniających informacje o naruszeniach prawa;
- środki ochrony pracowników oraz innych osób zgłaszających lub publicznie ujawniających informacje o naruszeniach prawa;
- regulamin zgłoszeń wewnętrznych określający wewnętrzną procedurę zgłaszania naruszeń prawa stosowany przez pracodawcę;
- zgłaszanie naruszeń prawa organowi publicznemu lub organowi centralnemu;
- zasady publicznego ujawnienia naruszenia prawa;
- organy właściwe w sprawach zgłaszania naruszeń prawa i udzielania wsparcia.
Art. 3. 1. Naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa dotyczące:
- zamówień publicznych;
- usług, produktów i rynków finansowych;
- zapobiegania praniu pieniędzy i finansowaniu terroryzmu;
- bezpieczeństwa produktów i ich zgodności z wymogami;
- bezpieczeństwa transportu;
- ochrony środowiska;
- ochrony radiologicznej i bezpieczeństwa jądrowego;
- bezpieczeństwa żywności i pasz;
- zdrowia i dobrostanu zwierząt;
- zdrowia publicznego;
- ochrony konsumentów;
- ochrony prywatności i danych osobowych;
- bezpieczeństwa sieci i systemów teleinformatycznych;
- interesów finansowych Unii Europejskiej;
- rynku wewnętrznego Unii Europejskiej, w tym zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych.
Pracodawca może rozszerzyć katalog zgłaszanych nieprawidłowości
Pracodawca może dodatkowo ustanowić zgłaszanie w zakładzie pracy innych naruszeń niż naruszenia, o których mowa w ust. 1, w tym dotyczących obowiązujących u tego pracodawcy regulacji wewnętrznych lub standardów etycznych.
W tym kontekście projekt ustawy o ochronie osób zgłaszających nieprawidłowości zawiera następujące obowiązki pracodawcy (zakres tych obowiązków pozostaje zasadniczo w zgodzie z treścią dyrektywy 2019/1937) i nadkłada następujące obowiązki:
- Pracodawca ustala regulamin zgłoszeń wewnętrznych, określający wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych,
- Regulamin zgłoszeń wewnętrznych pracodawca ustala po konsultacji (nie mamy tu obowiązku uzgodnień, a więc procedura będzie szybsza) z przedstawicielami pracowników, wyłonionymi w trybie przyjętym u danego pracodawcy – jeżeli u pracodawcy nie działa zakładowa organizacja związkowe. (wchodzi w życie w życie po upływie 2 tygodni od dnia podania go do wiadomości pracowników w sposób przyjęty u danego pracodawcy).
- Pracodawca jest obowiązany zapoznać pracownika z treścią regulaminu zgłoszeń wewnętrznych przed dopuszczeniem go do pracy.
- Regulamin zgłoszeń wewnętrznych określa w szczególności:
- podmiot wewnętrzny upoważniony przez pracodawcę do przyjmowania zgłoszeń;
- sposoby przekazywania zgłoszeń;
- informację, czy wewnętrzna procedura obejmuje przyjmowanie zgłoszeń anonimowych;
- niezależny organizacyjnie podmiot, upoważniony do podejmowania działań następczych, włączając w to weryfikację zgłoszenia i dalszą komunikację ze zgłaszającym, w tym występowanie o dodatkowe informacje i przekazywanie zgłaszającemu informacji zwrotnej;
- obowiązek potwierdzenia zgłaszającemu przyjęcia zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że zgłaszający nie podał adresu, na który należy przekazać potwierdzenie;
- obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych przez upoważniony podmiot, o którym mowa wyżej;
- działania następcze podejmowane przez pracodawcę w celu zweryfikowania informacji o naruszeniach prawa oraz środki, jakie mogą zostać zastosowane w przypadku stwierdzenia naruszenia prawa;
- maksymalny termin na przekazanie zgłaszającemu informacji zwrotnej, nieprzekraczający 3 miesięcy od potwierdzenia przyjęcia zgłoszenia lub w przypadku nieprzekazania potwierdzenia zgłaszającemu, 3 miesięcy od upływu 7 dni od dokonania zgłoszenia;
- zrozumiałe i jednoznaczne informacje na temat trybu dokonywania zgłoszeń zewnętrznych do organów publicznych oraz w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.
Ochrona sygnalistów procedura - bezstronność weryfikacji zgłoszeń
Ustanawiając wewnętrzną procedurę, pracodawca zapewnia bezstronność weryfikacji zgłoszeń. Sposoby przekazywania zgłoszeń, obejmują przynajmniej możliwość dokonywania zgłoszeń na piśmie lub ustnie. Zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej oraz na wniosek zgłaszającego, za pomocą bezpośredniego spotkania zorganizowanego w terminie 7 dni od dnia otrzymania zgłoszenia.
Organizacja przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz związanego z tym przetwarzania danych osobowych uniemożliwia uzyskanie dostępu do informacji objętej zgłoszeniem nieupoważnionym osobom oraz zapewnia ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby, której dotyczy zgłoszenie. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.
Pracodawca stosuje rozwiązania techniczne i organizacyjne zapewniające przechowywanie danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmujących zgłoszenie, włączając w to, w odpowiednim przypadku, usunięcie z treści dokumentu lub innego nośnika informacji niezwłocznie po ich otrzymaniu wszystkich danych osobowych zgłaszającego.
Ochrona sygnalistów - rejestr zgłoszeń wewnętrznych
Pracodawca:
- prowadzi rejestr zgłoszeń wewnętrznych;
- jest administratorem danych zgromadzonych w tym rejestrze.
- Wpisu do rejestru zgłoszeń wewnętrznych dokonuje się na podstawie zgłoszenia wewnętrznego.
W rejestrze zgłoszeń wewnętrznych gromadzi się następujące dane:
- numer sprawy;
- przedmiot naruszenia;
- datę dokonania zgłoszenia wewnętrznego;
- informację o podjętych działaniach następczych;
- datę zakończenia sprawy.
Dane w rejestrze zgłoszeń wewnętrznych są przechowane przez okres 5 lat od dnia przyjęcia zgłoszenia.
Autor: Monika Jurkiewicz, radca prawny.