Wszystko wskazuje na to, że z końcem I kw. 2024 r. uda się wreszcie uchwalić ustawę o ochronie osób zgłaszających naruszenia prawa (tzw. ustawa o sygnalistach). Jednoznacznych przepisów oczekują nie tylko prywatne i publiczne podmioty prawne, ale przede wszystkim pracownicy i osoby mogące uzyskać ochronę prawną przynależną sygnalistom.
Zgodnie z delegacją wynikającą ze zobowiązań międzynarodowych, zapisy Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa UE powinny być stosowane już od 2021 r., a w przypadku podmiotów zatrudniających od 50 do 249 osób od grudnia 2023 r. Jedynie dwa kraje, w tym Polska, wciąż nie przyjęły przepisów wykonawczych.
Pojawiające się w dyskusji publicznej doniesienia o kolejnych projektach ustawy o ochronie sygnalistów wywołują wśród pracodawców, w tym także zakładów ubezpieczeń i brokerów ubezpieczeniowych, obawy o ostateczny kształt przedmiotowych przepisów.
Niektórzy z nich, działający w ramach międzynarodowych grup kapitałowych, już teraz tworzą wewnętrzne procedury ochrony sygnalistów. Zazwyczaj kierują się przy tym dobrymi praktykami obszaru zapewnienia zgodności (compliance) oraz rozwiązaniami prawnymi przyjętymi w krajach właścicieli lub w swoich grupach kapitałowych.
Jeden miesiąc – czy wystarczy?
Zauważalna jest także inna grupa pracodawców, z całą pewnością są wśród nich zakłady i brokerzy ubezpieczeniowi, podchodzących z ostrożnością do wdrożenia rozwiązań opisanych projektem ustawy. Odraczają oni wdrożenie rozwiązań w swoich organizacjach, jako że ostatni projekt ustawy z 8 stycznia 2024 r. ponownie wydłużył okres jej wejścia w życie.
Wydłużenie do miesiąca okresu przewidzianego na wdrożenie postanowień ustawy nie powinno uśpić jednak czujności, gdyż, jak wynika z mojej praktyki, nie jest to de facto czas wystarczający na prawidłowe zrealizowanie wszystkich wymagań. Efektywność zaimplementowanych w pośpiechu rozwiązań budzi uzasadnione obawy, także organów nadzorczych i regulujących rynek ubezpieczeniowy w Polsce.
Doświadczenia międzynarodowe pokazują, że najskuteczniejszą metodą wdrożenia wymagań określonych w przepisach dotyczących sygnalistów jest strategia:
- szczegółowej analizy rozwiązań compliance;
- wyboru formy, kanałów i narzędzi (platform) do zgłaszania naruszeń;
- wyznaczenia niezależnego (nieobarczonego ryzykiem konfliktu interesów) zespołu prowadzącego postępowania wyjaśniające (następcze);
- przygotowania i uzgodnienia niezbędnej dokumentacji procesu ochrony sygnalistów, w tym wymaganych procedur i rejestrów oraz przeprowadzenia kampanii edukacyjnej.
Jak nietrudno się domyślić, na wdrożenie strategii według tego schematu potrzeba znacznie więcej czasu niż zaledwie miesięczne vacatio legis.
Własne zasoby czy outsourcing?
Zakres koniecznych do podjęcia działań jest szeroki, często wykraczający poza możliwości organizacyjne, kompetencje i doświadczenie podmiotów rynku ubezpieczeniowego. Być może właśnie dlatego projekt ustawy zakłada udział podmiotów zewnętrznych – na zasadzie outsourcingu opisanego odrębną umową – w realizowanych działaniach wdrożeniowych i operacyjnych.
Katalog możliwych do delegowania podmiotowi zewnętrznemu spraw obejmuje m.in. przyjmowanie od sygnalistów zgłoszeń oraz podejmowanie działań następczych w ramach postępowania wyjaśniającego, mającego na celu ocenę prawdziwości informacji zawartych w zgłoszeniu oraz przeciwdziałanie naruszeniu prawa, a także przygotowanie i zastosowanie rekomendacji będących wynikiem prowadzonego postępowania następczego.
Skuteczna ochrona, czyli jaka?
W swojej praktyce zauważam, że organizując proces ochrony sygnalistów, wiele organizacji za jedno z większych wyzwań uważa wybór kanału komunikacji z sygnalistami. Rozwiązania prawne dopuszczają organizację systemu zgłoszeń dokonywanych ustnie, np. telefonicznie, w tym za pośrednictwem nagrywanej linii telefonicznej lub innego rejestrowanego systemu komunikacji głosowej lub ustnie „do protokołu”, a także pisemnie, w formie papierowej lub elektronicznej.
W wielu krajach europejskich szczególną popularnością cieszą się elektroniczne platformy zgłoszeń przypadków naruszenia prawa, przy czym narzędzie to winno być bezpieczne, elastyczne, proste w zarządzaniu, implementacji i obsłudze, zawierające moduły komunikacji z sygnalistą i członkami zespołu prowadzącego postępowanie wyjaśniające oraz moduł raportowy, a przede wszystkim wspomagać proces ochrony sygnalistów w pełnym zakresie.
Warto pamiętać, że integralną częścią procesu ochrony sygnalistów jest konieczność zapewnienia transparentności prowadzonych działań, ale także regularny monitoring przestrzegania prawa i obowiązujących regulacji, w tym wymagań określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, także RODO).
Dlatego też, przyjmując rozwiązania technologiczne, zakłady ubezpieczeń i brokerzy ubezpieczeniowi muszą pamiętać, by stosowane przez nich rozwiązania zapewniały bezpieczeństwo techniczne i organizacyjne gromadzonych danych, gwarantowały anonimowość sygnalistom oraz umożliwiły spełnienie wszelkich wymagań wynikających z planowanych rozwiązań prawnych opisujących proces ochrony osób zgłaszających naruszenia prawa.
Wdrażając proces ochrony sygnalistów, należy skoncentrować się na specyfice wyzwań stojących przed branżą, w której działają, zakresie prowadzonej działalności oraz na indywidualnych potrzebach biznesowych. Wszak każdy proces, także ochrony sygnalistów, by był skuteczny, musi być prosty i zrozumiały, co w konsekwencji pozwoli na budowanie zaufania na linii organizacja – pracownik – klient, a także zapewni możliwość szybkiego reagowania na sytuacje dotknięte nawet potencjalnym ryzykiem naruszenia prawa.
Grzegorz Leśniewski
ekspert w firmie M3M, odpowiadającej za zabezpieczenie danych w takich firmach, jak PGE, AXA, Rankomat, Idea Bank
