I. Implementacja Dyrektywy o ochronie sygnalistów
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r.
w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii, tzw. dyrektywa o ochronie sygnalistów (dalej jako: Dyrektywa) zobowiązuje Państwa Członkowskie UE do wprowadzenia w życie przepisów ustawowych, wykonawczych i administracyjnych niezbędnych do wykonania dyrektywy do dnia 17.12.2021 r.
Niniejsza Dyrektywa wymienia dziedziny oraz akty prawne, których zgłaszane naruszenia mogą dotyczyć. Są to m.in. zamówienia publiczne, kwestie finansowe i podatkowe, bezpieczeństwo produktów i transportu, ochrona środowiska, ochrona konsumentów i danych osobowych, zdrowie publiczne oraz bezpieczeństwo jądrowe przy czym przepisy krajowe mogą ten zakres rozszerzyć. Wdrożenie do legislacji krajów członkowskich UE zapisów dyrektywy dotyczących dużych przedsiębiorstw (zatrudniających 250 i więcej pracowników) musi nastąpić do 17 grudnia 2021 r. Mniejsze przedsiębiorstwa (zatrudniające między 50 a 249 pracowników) nowymi przepisami mają zostać objęte do 17 grudnia 2023 r.
II. Skutki wdrożenia Dyrektywy
W prawie polskim nie zostało zdefiniowane pojęcie sygnalisty. Powszechnie przyjmuje się, że jest to osoba, która w dobrej wierze zwraca uwagę na zaistniałe w organizacji nieprawidłowości. Sygnalistami zostać mogą:
a. pracownicy niezależnie od podstawy zatrudnienia, w tym osoby samozatrudnione, wolontariusze i stażyści;
b. członkowie struktur korporacyjnych spółki, w tym jej udziałowcy lub akcjonariusze oraz członkowie organów zarządzających i nadzorczych;
c. pracownicy zewnętrznych współpracowników danego podmiotu, tj. wykonawców, podwykonawców oraz dostawców.
Głównym obowiązkiem nałożonym na przedsiębiorców oraz podmioty publiczne wynikającym z przepisów dyrektywy będzie ustanowienie wewnętrznych kanałów i wdrożenie procedur na potrzeby dokonywania zgłoszeń, ich ewidencjonowania i podejmowania działań następczych. Przepisy dyrektywy zakreślają przy tym ramy i wskazują obligatoryjne elementy procedur.
Zgodnie z dyrektywą procedury sygnalizowania powinny obejmować przede wszystkim:
* kanały dla zgłoszeń pisemnych lub ustnych,
* gwarancję bezpieczeństwa oraz integralności zgłaszanych danych,
* możliwość sprawdzenia, poprawienia i zatwierdzenia protokołu poprzez jego podpisanie.
* Ponadto procedury powinny zapewnić poufność sygnalisty i osób wymienionych w zgłoszeniu, udział bezstronnej osoby lub wydziału do badania zgłoszeń i podejmowania działań naprawczych, gwarancję rzetelności badania zgłoszeń oraz działań naprawczych.
Dyrektywa przewiduje, że tożsamość sygnalisty w zasadzie nie może być ujawniona żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania działań następczych (wyjątkiem od tej zasady jest przypadek, gdy ujawnienie jest konieczne w zw. z prowadzonymi przez organy postępowaniami wyjaśniającymi lub sądowymi i prawem do obrony osoby, której dotyczy zgłoszenie).
Za zachowanie sprzeczne z przepisami o ochronie sygnalistów, na przedsiębiorcę będzie mogła zostać nałożona sankcja. Państwo członkowskie będzie miało możliwość samodzielnego określenia kar (które powinny być odstraszające, dotkliwe i skuteczne), jakie będą zastosowane w stosunku do przedsiębiorcy naruszającego przepisy o ochronie sygnalistów. Ponadto dyrektywa zobowiązuje państwa członkowskie do wprowadzenia stosownych sankcji wobec osób i podmiotów, które utrudniają lub próbują utrudniać dokonywanie zgłoszeń, nie zapewniają wymaganej przepisami poufności co do tożsamości sygnalistów, podejmują przeciwko nim działania odwetowe, czy nawet wszczynają przeciwko nim uciążliwe postępowania. Dyrektywa zakreśla również bezwzględne minimum takich środków, z których najbardziej doniosłym pod względem konsekwencji prawnych jest domniemanie odwetowego charakteru działań na szkodę sygnalisty.
Sygnalistów wspierać mają dodatkowo rozwiązania polegające na tymczasowej ochronie ich praw (np. zakaz rozwiązywania stosunku pracy w toku procesu) oraz ustawowe wyłączenia odpowiedzialności za zgłoszenia, które ze względu na formę lub treść mogą nosić znamiona zniesławienia, naruszenia praw autorskich lub naruszenia przepisów o ochronie poszczególnych kategorii informacji poufnych. Korzystne dla sygnalistów rozwiązania prawne w praktyce okażą się istotnym wyzwaniem dla pracodawców. Zapewnienie spółce maksymalnego bezpieczeństwa na wypadek sporu z pracownikiem roszczącym sobie status sygnalisty w wielu przypadkach wymagać będzie bowiem gruntownego przeorganizowania trybu postępowania i dokumentacji procesów decyzyjnych w organizacji, w szczególności w sferze kadrowej.
III. Jakie zmiany czekają przedsiębiorców?
Dostosowanie lub utworzenie w strukturach wewnętrznych kanałów i procedur zgłaszania nieprawidłowości to jedno z najważniejszych wyzwań, z jakimi zmierzyć się będą musieli przedsiębiorcy po implementacji Dyrektywy.
Wewnętrzne kanały zgłoszeniowe powinny być skonstruowane tak, aby chroniły tożsamość sygnalisty przed ujawnieniem osobom spoza dedykowanego zespołu merytorycznego. Oznacza to nie tylko poufność komunikacji z sygnalistą, ale także planowanie czynności wyjaśniających w taki sposób, aby nie na prowadzać osób trzecich na źródło zgłoszenia, a także zapewnienie bezpiecznego przechowywania i archiwizowania dokumentacji zgłoszeń. Ponadto, umiejscowienie kanałów zgłoszeniowych i osób odpowiedzialnych za ich obsługę w organizacji powinno zapewniać rozpatrywanie zgłoszeń w warunkach bezstronności. Obsługa wewnętrznych kanałów zgłoszeniowych wiąże się z obowiązkami informacyjnymi przedsiębiorcy wobec sygnalisty. Dyrektywa wymaga, aby sygnalista otrzymał potwierdzenie złożonego zawiadomienia w terminie siedmiu dni, natomiast w terminie trzech miesięcy pracodawca powinien przekazać informację o podjętych lub planowanych działaniach następczych wraz z ich uzasadnieniem. Przedsiębiorca powinien ponadto prowadzić rejestr otrzymanych zgłoszeń, niezależnie od wyniku ewentualnych dalszych czynności wyjaśniających.
IV. Podsumowanie
System zgłaszania nadużyć nazywany sygnalizacją (ang. whistleblowing) oraz tryb prowadzenia wewnętrznych postępowań wyjaśniających stanowią elementy systemu zarządzania zgodnością (ang. compliance management system). System taki to ogół działań kierownictwa organizacji podejmowanych w celu minimalizowania ryzyka występowania nieprawidłowości oraz wczesnego wykrywania ich i zarządzania sytuacjami kryzysowymi wywołanymi nieprawidłowościami. Na compliance składają się w szczególności pisemne procedury, polityki, wytyczne – dokumenty opisujące sposób postępowania osób związanych z daną organizacją w poszczególnych obszarach jej działalności. Zagadnienie compliance, choć od kilku lat obecne w polskim języku gospodarczym czy ekonomicznym, powoli toruje sobie drogę do aktów prawnych i języka prawnego. Obowiązujące przepisy prawne w niektórych przypadkach zobowiązują pewne podmioty gospodarcze do wdrożenia takiego systemu (obowiązek taki został np. nałożony na banki i wiele innych instytucji finansowych)1. Dyrektywa faworyzuje wprawdzie korzystanie z kanałów wewnętrznych przed sięgnięciem po dalej posunięte metody ujawniania nieprawidłowości, jednakże ostateczna decyzja o doborze kanału zgłoszeniowego należeć będzie do sygnalisty. To na przedsiębiorcach spocznie zatem ciężar kształtowania procedur wewnętrznych i kultury korporacyjnej w sposób zachęcający sygnalistów do wewnętrznego raportowania nieprawidłowości tak, aby ograniczyć ryzyka prawne i reputacyjne związane z udostępnieniem wrażliwych informacji organom publicznym lub mediom. Dyrektywa akcentuje także możliwość zlecania obsługi systemów zgłoszeniowych zaangażowanym do tego celu podmiotom zewnętrznym (można outsourcingować kanały sygnalizowania).
Przewiduje się, że jej implementacji towarzyszyć będą znaczne trudności adaptacyjne tak wśród kadr zarządzających, jak i wśród pracowników. Efektywne procedury wewnętrznego raportowania nieprawidłowości stanowią nieodzowny element skutecznego systemu zarządzania ryzykiem w każdej organizacji. Udostępnienie sygnalistom bezpiecznej i wiarygodnej ścieżki raportowania wewnętrznego pozwala na dużo szybszą, a w konsekwencji skuteczniejszą reakcję i podjęcie działań zaradczych w sytuacji ekspozycji spółki na ryzyka prawne lub straty reputacyjne, prowadząc w dalszej kolejności do znacznych oszczędności finansowych w sferze zarządzania ryzykiem.
Pracodawców czeka zatem przygotowanie kanałów do dokonywania zgłoszeń i opracowanie odpowiednich procedur, a także wyznaczenie osób odpowiedzialnych za przyjmowanie zgłoszeń i działania następcze. Niezbędne będzie także przeprowadzenie szkoleń i akcji informacyjnej dla pracowników. Bardzo istotny jest aspekt edukacyjny i budowanie w pracownikach przekonania, że sygnalizowanie problemów nie jest „skarżeniem”, lecz wpływa na poprawę bezpieczeństwa funkcjonowania pracodawcy. Ponadto warto przekonywać, że zgłoszenie wewnętrzne jest lepszym rozwiązaniem niż zgłoszenie zewnętrzne – zgłoszenie zewnętrzne zawsze wiąże się z ryzykiem wyciągnięcia konsekwencji przez organ. By uchronić się przed nałożeniem przez sąd sankcji pracodawca będzie musiał dostosować się do wymogów ustawy i wykazać bieżące dochowywanie należytej staranności przeciwdziałania zaistnieniu czynu karanego. Może to zrobić poprzez przeprowadzenia analizy zgodności z:
* regulacjami ryzyka wystąpienia nieprawidłowości,
* weryfikację odpowiednich polityk i procedur,
* wdrożenie kanałów umożliwiających anonimowe zgłaszanie przypadków nieprawidłowości („whistleblowing”) oraz
* przeprowadzanie regularnych audytów.
Podsumowując, to od kierownictwa danej organizacji zależy, w jak licznych obszarach działalności powinien funkcjonować system sygnalizacji i prowadzenia postępowania wewnętrznego. Na decyzję tę powinna mieć wpływ realna ocena obszarów ryzyka nieprawidłowości oraz stwierdzonych dotychczas uchybień. Rekomendowane jest, aby procedura sygnalizacyjna obejmowała możliwie szeroki zakres nieprawidłowości. Definicja powinna uwzględniać wszystkie możliwe uchybienia przepisom, regulacjom i zasadom, które mogą powodować zagrożenie dla interesu osobistego, organizacji albo porządku publicznego. Uwzględniając powyższe uwagi, za nieprawidłowość należy uznać takie zachowanie (działanie lub zaniechanie), które jest sprzeczne z przepisami prawa, regulacjami wewnętrznymi albo aprobowanymi zasadami etycznymi, niezależnie od tego, przez kogo jest podejmowane i w jakim celu, jeżeli może zagrozić interesom prywatnym, publicznym lub interesowi organizacji. Skuteczny system sygnalizacji powinien umożliwiać pracownikom i innym osobom zgłoszenie każdego niepokojącego zjawiska, które potencjalnie może stanowić nieprawidłowość2 .
Zarządzeniem Prezesa Rady Ministrów z dnia 1 grudnia 2020 r. prace nad implementacją unijnej Dyrektywy o ochronie sygnalistów przekazano do resortu rozwoju, pracy i technologii.
Na implementację Dyrektywy Parlamentu Europejskiego i Rady (UE) nr 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii Państwa Członkowskie UE mają czas do 17 grudnia 2021 r. W marcu 2021 r. został powołany przez Ministra Zespół ds. przygotowania regulacji. Dotychczas Polska nie opublikowała jeszcze żadnych oficjalnych informacji bo dalszych działaniach projektodawczych. Proces implementacji Dyrektywy rozpoczęło już 21 z obowiązanych 27 krajów Unii Europejskiej.
Dr Marlena Wach – Radca Prawny
Konsultacje: Justyna Bójko – Radca prawny, Partner Zarządzający
1 Damian Tokarczyk, Whistleblowing i wewnętrzne postępowania wyjaśniające, WKP 2020 – monografia, LEX.
2 Tokarczyk Damian, Whistleblowing i wewnętrzne postępowania wyjaśniające, Opublikowano: WKP 2020, monografia, LEX