Ochrona sygnalistów do tej pory była stosowana w Polsce jako dobra praktyka (wyjątek stanowiły instytucje bankowe, gdzie whistleblowing jest obowiązkowy od 2017 r.). Wiele podmiotów uznało, że budowa bezpiecznego kanału do zgłaszania nieprawidłowości pomoże im w rozwoju.
Stan prawny
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, która musi być implementowana do porządku prawa polskiego stosowną ustawą krajową – termin implementacji 17 grudnia 2021 r.
2. Projekt ustawy o ochronie osób zgłaszających naruszenie prawa – opublikowany i przekazany 18 października 2021 r. przez Ministerstwo Rodziny i Polityki Społecznej do konsultacji publicznych, z terminem ich zakończenia – 17 listopada 2021 r.
Na razie mamy więc tylko projekt ustawy o ochronie sygnalistów. Z uwagi na liczbę zgłoszonych uwag nie było szans, żeby ustawa ukazała się 17 grudnia 2021 r. Pewnie będzie na początku przyszłego roku, a potem jeszcze obowiązuje 14-dniowe vacatio legis. Szkoda, że ustawodawca mający praktycznie dwa lata tak późno rozpoczął prace nad tym dokumentem, że pierwszy jego projekt ukazał się dopiero w październiku br.
Kto to jest sygnalista?
Sygnalista (ang. whistleblower) to osoba, która z uwagi na posiadane informacje dokonuje zgłoszenia zauważonych nieprawidłowości bezpośrednio do swojego pracodawcy bądź do organów ścigania. Co więcej, dla sygnalistów nowe przepisy przewidują wiele uprawnień, a na pracodawcach będzie ciążył obowiązek zapewnienia realizacji tych uprawnień również poprzez przyjęcie odpowiedniej dokumentacji, przeszkolenie pracowników i zapewnienie tzw. bezpiecznych kanałów zgłoszeń nieprawidłowości chroniących poufność danych osobowych sygnalisty.
Sygnalistą może zostać każdy mający wiedzę o naruszeniu prawa w swoim środowisku zawodowym. Jeżeli taka osoba dostrzega przekraczanie przepisów określonych obszarów prawa, może zgłosić wykroczenie, korzystając z jednej z trzech możliwości:
1. bezpośrednio informując pracodawcę (jest to tzw. zgłoszenie wewnętrzne) lub
2. w ramach tzw. zgłoszenia zewnętrznego skierowanego do organów publicznych, np. Rzecznika Praw Obywatelskich, KNF lub
3. skorzystać z tzw. ujawnienia publicznego, czyli w dowolny sposób do nieoznaczonego kręgu odbiorców (np. poprzez mass media czy kanały społecznościowe).
Projektowana ustawa o ochronie sygnalistów będzie kierowana do wszystkich pracodawców, zarówno prywatnych, jak i publicznych. Nowe przepisy przyczyniają się do objęcia osób zgłaszających naruszenie realną ochroną, tak w wymiarze prawnym, jak i organizacyjnym.
Ile jest czasu na wdrożenie procedur?
Przepisy dotyczą odpowiednio:
1. wszystkich pracodawców bez względu na sektor (prywatny/publiczny) zatrudniających co najmniej 50 pracowników,
2. pracodawców zatrudniających poniżej 50 pracowników, jeżeli wykonują działalność w zakresie usług, produktów i rynków finansowych, zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska.
W terminie 14 dni od wejścia w życie nowych przepisów podmioty zatrudniające co najmniej 250 pracowników muszą być w pełni gotowe – szacowany termin to styczeń 2022 r.
Mniejsze organizacje, zatrudniające od 50 do 249 osób, mają dwa dodatkowe lata na wdrożenie nowych przepisów – 17 grudnia 2023 r.
UWAGA:
- 17 grudnia 2021 r. to termin wyłącznie dla ustawodawcy polskiego,
- brak precyzyjnego zapisu sposobu określania liczby pracowników, która determinuje wdrożenie: średniorocznie? Na 17 grudnia 2021 r.?
Jakie są korzyści z wdrożenia przepisów dotyczących sygnalistów?
Jeżeli kierownictwo firmy otrzyma sygnał o tym, że któryś z pracowników działa niezgodnie z prawem, to ma szanse na wyjaśnienie tej sytuacji wcześniej, niż gdyby taką informację dostał od np. klienta.
Pracownicy pierwsi widzą niepokojące sytuacje, ale mogą się obawiać konsekwencji służbowych (69%), ostracyzmu ze strony współpracowników (32%) lub posądzenia o brak poufności (34%).
Jakie naruszenia najczęściej zgłaszamy?
Jak pokazują statystyki – najczęściej zgłaszamy: niewłaściwe traktowanie pracowników (49%), naruszenie przepisów prawa pracy (33%), działania na szkodę firmy (27%), nieprawidłowości finansowe (24%), korupcja (14%).
Co nam grozi za nieustanowienie wewnętrznej procedury w organizacji?
Przepis art. 60 projektu ustawy wprowadza sankcję karną, przewidując karę grzywny, karę ograniczenia wolności albo pozbawienia wolności do lat 3.
To bardzo niebezpieczny przepis karny, który pojawi się nad głowami kierownictwa już za chwilę.
Kto powinien wchodzić w skład zespołu projektowego?
Specjaliści z zakresu HR, RODO, Compliance oraz osoby wyznaczone do przyjmowania zgłoszeń i ich rozpatrywania (podejmowanie działań następczych).
Jaką dokumentację będziemy potrzebować?
- Regulamin zgłoszeń wewnętrznych określający wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowanie działań następczych,
- Wzór rejestru zgłoszeń nieprawidłowości,
- Wzór zgłoszenia nieprawidłowości,
- Wzór zgłoszenia działań odwetowych,
- Zasady wyboru i sposobu pracy podmiotów przyjmujących i rejestrujących zgłoszenia.
Co oznacza wdrożenie ochrony sygnalistów z perspektywy rozporządzenia RODO?
Przetwarzanie danych sygnalistów wiąże się z nowym procesem przetwarzania danych osobowych i dlatego ten proces wymaga:
- zapisu w Rejestrze Czynności Przetwarzania – aktualizacja RCP,
- spełnienia obowiązku informacyjnego (art. 13 i 14 RODO),
- wyłączenia art. 15 RODO,
- przekazania stosownych upoważnień do przetwarzania danych,
- ustalenia okresów retencji danych,
- wykonanie Analizy ryzyka/DPIA – Systemy służące do zgłaszania nieprawidłowości (whistleblowing) zostały wskazane przez UODO jako te, które wymagają wykonania oceny skutków dla ochrony danych osobowych (DPIA), w myśl art. 35 RODO,
- weryfikacji umowy powierzenia – w przypadku korzystania z zewnętrznej platformy zgłoszeniowej,
- stosowania zasady minimalizacji przy przetwarzaniu danych osobowych,
- przestrzeganie zasady Privacy by designe.
Podsumowanie
Wdrożenie systemu ochrony sygnalistów to znaczące wyzwanie, zwłaszcza jeżeli proces wdrażania ma być realny, a nie pozorny i chaotyczny. Dlatego warto znać odpowiedzi na pytania: jakie ryzyka wiążą się z procesem przetwarzania danych sygnalistów i innych osób wskazanych w zgłoszeniu? Jak chcemy zapewnić ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby, której dotyczy zgłoszenie?
Jaka jest odpowiedzialność karna sygnalisty za podanie nieprawdziwych informacji? Czy organizacja będzie przyjmować zgłoszenia anonimowe?
Założenie, że mechanizm będzie dotyczyć jedynie nielicznych organizacji, to mit.
W przypadku podmiotów prywatnych tylko pewna ograniczona ich liczba będzie musiała wdrożyć procedury. Większość będzie do tego zobowiązana, a jedynie termin wdrożenia może być odroczony w czasie.
Warto także zwrócić uwagę, że same ograniczenia dotyczące wielkości organizacji dotyczą kwestii dokumentacji wskazanej w projekcie ustawy, a nie zwalniają mniejszych organizacji z przestrzegania zasad ochrony sygnalistów, których przestrzeganie właśnie najłatwiej wykazać poprzez formalne przyjęcie dokumentacji wskazanej w Rozdziale III projektu ustawy.
Podobnym mitem jest stwierdzenie, że wystarczy nam sama dokumentacja.
Nie wystarczy opracowanie samego regulaminu zgłaszania i jego wdrożenie, konieczne jest bowiem wypracowanie takiego mechanizmu, z którego faktycznie pracownicy będą mogli i chcieli skorzystać. Niezbędne będą odpowiednie szkolenia i kampania informacyjna.
Warto też zwrócić uwagę na rolę systemu IT przy realizacji omawianego projektu.
Można mieć bardzo dobrze przygotowaną i wdrożoną dokumentację, a w praktyce okaże się, że nasze rozwiązania informatyczne nie są przystosowane do prawidłowej realizacji tego zadania, co w dobie cyfryzacji wszystkich procesów biznesowych może uniemożliwić prawidłowe wdrożenie i stosowanie zapisów ustawowych.
Teresa Grabowska
TG – Doradztwo i Zarządzanie
