Już od 25 września 2024 r. zaczną obowiązywać nowe przepisy ustawy o ochronie sygnalistów. Po kilku latach wyczekiwania nastąpił wreszcie moment przyjęcia nowych przepisów w polskim porządku prawnym. Wdrożenie zapisów Dyrektywy o ochronie sygnalistów do legislacji krajów członkowskich UE miało nastąpić już 3 lata temu, do 17 grudnia 2021 r. Mniejsze przedsiębiorstwa (zatrudniające między 50 a 249 pracowników) nowymi przepisami mają zostać objęte do 17 grudnia 2023 r.
Znając przepisy nowej ustawy warto już dziś przygotować swoją organizację do zmian, nie czekając na wrześniowy termin. Od czego zacząć?
Jaki jest cel wdrożenia przepisów o sygnalistach?
Dyrektywa Parlamentu Europejskiego i polska ustawa o ochronie sygnalistów są ważne z kilku powodów:
- Zapewniają ochronę sygnalistów przed represjami ze strony pracodawców i organów publicznych. Nakładają obowiązek ustanowienia kanałów sygnalizacyjnych oraz zapewnienia poufności i anonimowości zgłoszeń.
- Dyrektywa zachęca organizacje do przyjęcia systemów sygnalizacyjnych i wdrożenia polityk zapobiegających nieprawidłowościom w miejscu pracy. Polska ustawa precyzuje te obowiązki. W ten sposób przepisy przyczyniają się do zapobiegania nadużyciom, korupcji i innym nieprawidłowościom, co korzystnie wpływa na gospodarkę i społeczeństwo jako całość.
- Promuje przestrzeganie etycznych standardów w organizacjach. Firmy, które przyjmują systemy sygnalizacyjne, zobowiązują się do przestrzegania etycznych norm w swojej działalności.
- Nowe przepisy ujednolicają standardy dotyczące ochrony osób zgłaszających naruszenia prawa na terenie Unii Europejskiej, co ułatwia i upraszcza działania organizacji operujących na rynku UE.
- Wprowadza sankcje dla organizacji, które nie przestrzegają przepisów. Dzięki nim organizacje mają być bardziej skłonne do przestrzegania przepisów i zapewnienia ochrony sygnalistom.
Kim jest sygnalista?
Sygnalistą może być każda osoba, która w dobrej wierze zgłasza w organizacji nieprawidłowości w kontekście związanym z pracą. Osoby informujące o naruszeniach muszą być w jakiś sposób powiązane z podmiotem, w którym zgłaszają nieprawidłowości. Mogą to być na przykład osoby zatrudnione na podstawie umowy cywilnoprawnej, kontrahenci, byli pracownicy czy nawet osoby rekrutujące się do firmy. Pracownicy firmy, urzędu czy innej instytucji są grupą najbardziej świadomą problemów i anomalii występujących w organizacji, dlatego – według badań – jednym z najskuteczniejszych narzędzi wykrywania nadużyć jest informacja ze struktury wewnętrznej, tzw. podpowiedź płynąca (ang. tip off). Gdyby nie pracownicy znający wewnętrzne funkcjonowanie firmy wiele naruszeń prawa nigdy nie ujrzałaby światła dziennego.
Przykładem naruszeń może być nieprawidłowa ochrona danych osobowych, naruszenia praw konsumentów czy złe praktyki przy zabezpieczeniu systemów IT.
Dlaczego sygnaliści potrzebują ochrony prawnej?
Ochrona osób zgłaszających naruszenia prawa Unii
Osoba zgłaszająca ujawnia informacje odnośnie naruszenia prawa. Nie są to dla przedsiębiorców dobre wizerunkowo informacje. Brak ochrony sprawia, że potencjalni sygnaliści obawiają się zwolnienia z pracy, obniżenia wynagrodzenia lub innych konsekwencji w zakładzie pracy. Dlatego nie zawsze decydują się na zgłaszanie naruszeń w ramach organizacji. W związku z możliwością negatywnych reakcji odwetowych sygnaliści potrzebują ochrony w swoim środowisku pracy. Zgłoszenia sygnalistów musimy traktować jako istotne dla interesu ponadindywidualnego, czyli dla interesu społecznego.
Jak poinformować o naruszeniu prawa?
Zgodnie z ustawą o ochronie sygnalistów, sygnaliści mają trzy możliwości zgłoszenia naruszenia prawa unii oraz krajowego:
Zgłoszenia wewnętrzne
Zacznijmy od zgłoszeń wewnętrznych sygnalistów. Założeniem dyrektywy i polskich przepisów jest, aby o naruszeniach prawa osoby zgłaszające informowały w pierwszej kolejności organizację. A ta powinna być pierwszym ogniwem mającym zająć się sytuacją, ocenić ją i doprowadzić do jej wyjaśnienia. To najbezpieczniejsza i najwygodniejsza droga, także z punktu widzenia interesu pracodawcy, ale tylko wtedy, gdy zapewniona jest prawidłowa ochrona sygnalistów.
Zgłoszenie zewnętrzne
Jeśli wewnętrzne działanie organizacji nie wywoła podjęcia działań następczych, wówczas sygnalista może wykonać zgłoszenie zewnętrzne, czyli zgłoszenie do właściwych organów spoza organizacji. Zgodnie z dyrektywą w każdym z państw członkowskich UE musi być organ lub instytucja, która przyjmowała będzie te zgłoszenia. W Polsce powierzono tę rolę Rzecznikowi Praw Obywatelskich.
RPO w ustawie wyznaczony został jako organ przyjmujący i rozstrzygający zgłoszenia zewnętrzne. W tej roli będzie miał obowiązek zapewnienia ochrony sygnalistom, ale także podejmowania działań następczych, czyli działań polegających na weryfikacji zgłoszenia i komunikacji z sygnalistą.
Ujawnienie publiczne
Ostatnią możliwością jest ujawnienie publiczne, czyli przekazanie przez sygnalistę do wiadomości publicznej informacji o nieprawidłowości.
Kiedy sygnalista może skorzystać z ujawnienia publicznego?
W sytuacji, gdy podejmowanie działań następczych w wyniku zgłoszenia wewnętrznego lub zewnętrznego nie daje zamierzonych efektów sygnalista ma prawo ujawnić informację do wiadomości publicznej. Może to nastąpić na przykład za pośrednictwem mediów społecznościowych oraz tradycyjnych.
Jak zachować poufność w procedurze zgłaszania naruszeń?
Jedną z kluczowych zasad ważnych w procedurze zgłaszania nieprawidłowości jest zapewnienie poufności danych. Jak ją zagwarantować?
- Kluczowe jest zapewnienie bezpiecznych kanałów komunikacyjnych, czyli taka konstrukcja narzędzi i kanałów, aby umożliwiały bezpieczne i poufne zgłaszanie nieprawidłowości. Ważne jest, aby stosować narzędzia z wysokim poziomem bezpieczeństwa.
- Wskazuje się, aby narzędzia optymalnie zapewniały usuwanie metadanych z dokumentów (załączników), aby złączniki były szyfrowane zgodnie ze standardem AES256, czy też aby adres IP zgłoszenia nie był zapisywany
- Dane sygnalistów oraz zgłoszenia są przechowywane powinny być w odseparowanych bazach danych, a transmisja danych powinna być zabezpieczona protokołem SSL (TLS).
- Informacje zgłaszane przez sygnalistów muszą być traktowane jako poufne i nie mogą być udostępniane osobom trzecim, które nie są zaangażowane w proces rozpatrywania zgłoszenia.
- Organizacje muszą również pamiętać o zapewnieniu ochrony danych osobowych sygnalistów. Powinny one stosować odpowiednie procedury związane z przetwarzaniem danych osobowych.
- Anonimizacja – w przypadkach, gdy jest to konieczne, można stosować anonimizację, aby chronić dane sygnalistów. To znaczy, że informacje identyfikujące sygnalistę są usuwane lub zastępowane przez anonimowy identyfikator.
- Proces rozpatrywania zgłoszeń powinien być prowadzony w sposób transparentny, a sygnalista musi być informowany o postępie prac oraz decyzjach podjętych w ich sprawie.
Rola prawników w rozpatrywaniu zgłoszeń i ochronie sygnalistów
Każda organizacja może indywidualnie zdecydować w którym miejscu firmy lub poza nią umiejscowić proces przyjmowania i analizy zgłoszeń sygnalistów. Mogą to być działy HR, Compliance, Departamenty prawne itp. Polska ustawa i dyrektywa europejska stawiają wysokie wymogi co do takich wewnętrznych podmiotów, wymagając by były bezstronne i niezależne.
Warto zastanowić się nad zaangażowaniem do przyjmowania i oceny zgłoszeń sygnalistów zewnętrznej kancelarii prawnej. Dlaczego? Oto kilka aspektów, w których prawnicy pomagają w rozpatrywaniu zgłoszeń sygnalistów:
- Prawnicy pomagają w ocenie zgłoszenia sygnalisty i określeniu, czy dotyczy ono rzeczywistego naruszenia przepisów prawa.
- Gwarantują również, że działania podjęte w związku z sygnałem są zgodne z obowiązującymi przepisami prawa, w tym z przepisami dotyczącymi ochrony danych osobowych i prawa pracy.
- Prawnik może pomóc w przygotowaniu takiej odpowiedzi na zgłoszenie, która jest spójna z przepisami prawa i polityką organizacji.
- Pomagają w zapewnieniu, że sygnalista jest chroniony przed represjami i restrykcjami ze strony organizacji lub społeczeństwa.
- W przypadku poważnych nieprawidłowości lub naruszeń prawa, prawnicy pomagają w współpracy z organami ścigania i wdrożeniu odpowiednich środków.
- Zewnętrzni prawnicy pomagają również w monitorowaniu, czy organizacja przestrzega swojej polityki w zakresie sygnalizowania nieprawidłowości i podejmuje odpowiednie działania w związku ze zgłoszeniami.
Jak przygotować organizację do wdrożenia procedur o sygnalistach?
Rozpoznanie potrzeb i plan wdrożenia
Dobrym pomysłem na początek przygotowywania firmy do wdrożenia przepisów o sygnalistach jest spotkanie z zarządem lub działem HR w celu rozpoznania potrzeb danej organizacji. Takie spotkanie pozwoli zmapować wyzwania, jakie stoją przed konkretną organizacją, uspójni wiedzę w organizacji i nakreśli plan wdrożenia przepisów.
Rewizja aktualnych procedur
Warto również pamiętać, że jeśli w danej organizacji obowiązują już odpowiednie procedury zgłaszania nieprawidłowości, należy je przeanalizować pod kątem nowych obowiązków. W szczególności w zakresie terminów i sposobu przyjmowania zgłoszeń.
Regulamin zgłaszania naruszeń
Kolejnym krokiem jest opracowanie i ustanowienie regulaminu wewnętrznych zasad zgłaszania, który określi procedury zgłaszania naruszeń prawa. Treść takich regulaminów należy przygotować w zgodzie z aktualnymi przepisami ustawy. Dlatego już teraz warto uczyć pracowników, jak wygląda dobre zgłoszenie ewentualnych nieprawidłowości.
Rejestr zgłoszeń wewnętrznych
Pamiętajmy także o konieczności prowadzenia rejestru zgłoszeń wewnętrznych. W tym celu można opracować własną wewnętrzną dokumentację lub skorzystać ze specjalistycznych rozwiązań dostępnych na rynku. Warto wcześniej przygotować się do tego obowiązku.
Narzędzie do przyjmowania zgłoszeń
Warto rozważyć wdrożenie narzędzia do przyjmowania zgłoszeń, które spełnia wszystkie wymagania określone w dyrektywie. Priorytetem jest zagwarantowanie poufności, anonimowości i bezpiecznego kanału do dalszej komunikacji z sygnalistą. Narzędzie jest niezależne od organizacji, co zapewnia jego bezstronność, a umiejscowienie na zewnętrznych serwerach zwiększa jego niezawodność.
Istotnym jest, aby narzędzie posiadało funkcję analityki, dzięki czemu zebrane dane mogą być wykorzystane do analizy i podejmowania działań na przyszłość. Dodatkowo, dostępna jest opcja dostosowania narzędzia do wewnętrznych procedur organizacji, co umożliwia jego łatwe wdrożenie i integrację z już istniejącymi systemami.
Obsługa zgłoszeń sygnalistów
Do weryfikacji zgłoszeń warto powołać zespół, który będzie podejmował decyzje o dalszych krokach. Pierwszym etapem weryfikacji powinien być bezstronny podmiot wewnętrzny lub zewnętrzny prawnik, który obiektywnie oceni znaczenie zgłoszenia i zaproponuje plan działania. Jest to kluczowe dla całego procesu obsługi zgłoszeń, a w konsekwencji – do poprawnego wdrożenia nowych przepisów i uniknięcia odpowiedzialności karnej.
Artykuł został zaktualizowany 30 lipca 2024 roku.