W lipcu br. odbyło się kolejne spotkanie Ekspertów w ramach Salonu Compliance – czyli nowej inicjatywy JBW, której celem jest m.in. diagnozowanie braków i słabości regulacji sektora publicznego i prywatnego, prowadzenie dyskusji z przedstawicielami strony publicznej, a także utworzenie platformy do dyskusji dla praktyków w zakresie ich potrzeb. W związku z poruszoną tematyką przepisów dotyczących praw sygnalistów serdecznie zapraszamy do zapoznania się artykułem naszych Ekspertów, w którym odpowiadamy na pytania związane z celem dyrektywy, pracami związanymi z jej implementacją oraz ochroną praw sygnalistów.
Terminy związane z implementacją Dyrektywy o ochronie praw sygnalistów
Do 16 grudnia 2021 r. do polskiego porządku prawnego powinna zostać implementowana Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, tzw. dyrektywa o ochronie sygnalistów (Dyrektywa). Dyrektywa ta zacznie obowiązywać dnia 17 grudnia 2021 r. Oznacza to, że co najmniej w przypadku pracodawców zatrudniających 250 i więcej pracowników, datą początkową obowiązywania przepisów będzie 17 grudnia 2021 r. Dyrektywa przewiduje możliwość przesunięcia do 17 grudnia 2023 r. wdrożenia obowiązków dla podmiotów zatrudniających od 50 do 249 pracowników.
Obowiązek ochrony sygnalistów dotyczyć będzie wszystkich przedsiębiorców zatrudniających powyżej 50 pracowników, jednak kryterium to nie obowiązuje, jeżeli dany przedsiębiorca objęty jest zakresem stosowania jednego z aktów unijnych wymienionych w załączniku nr I do dyrektywy. Odnosi się to m. in. do regulacji dotyczących aspektów finansowych, czy AML (przeciwdziałanie praniu pieniędzy i terroryzmowi), podmiotów, które w ramach swojej działalności biorą udział w przetargach na zamówienia publiczne lub wykorzystują środki unijne. Wówczas przedsiębiorca ma być objęty obowiązkami wdrożenia wymogów ochrony sygnalistów, niezależnie od liczby zatrudnianych pracowników. Dodatkowo, dyrektywa wyraźnie zachęca ustawodawcę krajowego do rozszerzenia obowiązków również na inne obszary prawa i szerszy zakres przedsiębiorców. Zatem zostanie to doprecyzowane w polskiej ustawie implementującej Dyrektywę.
Co jest celem dyrektywy i czego ona dotyczy
Celem Dyrektywy jest wprowadzenie standardu ochrony prawnej dla osób, które przekazują informację o nieprawidłowościach zauważonych w przedsiębiorstwie. Wprowadzenie zinstytucjonalizowanej ochrony sygnalistów na poziomie UE ma służyć lepszemu egzekwowaniu prawa i interesowi publicznemu. Wymogi wynikające z Dyrektywy będą musiały się elementem programu compliance w przedsiębiorstwie. Powinna zostać wdrożona nie tylko procedura regulująca zgłaszanie naruszeń ale także należy ją ujednolicić z już obowiązującymi procedurami oraz wdrożyć proces umożliwiający anonimowe zgłaszanie naruszeń i wyznaczyć jednostkę, która będzie koordynować ten proces. Przeprowadzone także powinny być szkolenia i wdrożona komunikacja wewnętrzna i zewnętrzna na temat procedury zgłaszania. Ponadto proces powinien być audytowany i też raportowany. Te wszystkie elementy wymagają przemyślenia, opracowania i wdrożenia, zatem zdecydowanie warto pomyśleć o tym już teraz.
Prace nad implementacją Dyrektywy do prawa polskiego
Ministerstwo Rozwoju, Pracy i Technologii prowadzi prace nad projektem odrębnej ustawy dedykowanej ochronie sygnalistów i transponującej Dyrektywę do prawa krajowego. Przeprowadzenie konsultacji społecznych planowane jest w trzecim kwartale bieżącego roku 2021. Termin na jej wdrożenie upływa za 4 miesiące. Na podstawie treści samej Dyrektywy znamy jednak zakres podmiotowy i przedmiotowy oraz minimalne standardy wdrożenia regulacji. Procedura anonimowego zgłaszania naruszeń wprowadzona została nowelizacją ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, zatem podmioty obowiązane, do których ta ustawa ma zastosowanie, będą musiały ujednolicić oba te procesy ze wskazaniem, w jaki sposób realizowane będą oba obowiązki.
Kim jest Sygnalista i czego dotyczyć może zgłoszenie
Sygnalista (ang. whistleblower) zdefiniowany został w pkt. 1 preambuły Dyrektywy jako osoba działająca dla organizacji (publicznej lub prywatnej) w kontekście związanym z pracą, zgłaszająca zagrożenia lub szkody dla interesu publicznego. Sygnalistą będzie mógł być każdy, kto dokona zgłoszenia – pracownik, współpracownik (zleceniobiorca, samozatrudniony), akcjonariusz, wspólnik, członek organu zarządzającego, nadzorującego, czy pracownik podwykonawcy.
Kanały zgłaszania nieprawidłowości: tworzone w przedsiębiorstwach skuteczne i wydajne oraz bezpieczne dla sygnalistów sposoby zgłaszania nieprawidłowości. Dyrektywa wprowadza podział kanałów na: kanały wewnętrzne, które mają być pierwszym wyborem w przypadku zgłaszania nieprawidłowości oraz kanały zewnętrzne rozumiane jako możliwość dokonywania zgłoszeń do właściwych organów (organy sądowe, regulacyjne, nadzorcze, ścigania, antykorupcyjne, czy też Rzecznik Praw Obywatelskich) oraz ujawnienia publiczne (medialne). Wdrożone procedury muszą zapewnić poufność oraz brak możliwości identyfikacji osoby sygnalisty. Zgłoszenia nieprawidłowości mogą być dokonywane w sposób anonimowy pisemnie lub ustnie. Zgłoszenie ustne może być dokonywane telefonicznie lub za pośrednictwem innych wdrożonych w organizacji systemów komunikacji głosowej, ale także na wniosek sygnalisty, w wyniku bezpośredniego spotkania zorganizowanego w rozsądnym terminie. W przypadku zgłoszeń pisemnych, niezależnie od wyboru formy komunikacji: tj. skrzynka pocztowa, dedykowany adres email, system informatyczny, musi ona spełniać kryteria anonimowości i poufności.
Zgłoszenie może dotyczyć: naruszenia aktów prawnych z następujących dziedzin: zamówień publicznych, usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa produktów i ich zgodności z wymogami, bezpieczeństwa transportu, ochrony środowiska, ochrony radiologicznej i bezpieczeństwa jądrowego, bezpieczeństwa żywności i pasz, zdrowia i dobrostanu zwierząt, zdrowia publicznego, ochrony konsumentów, ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych. Zakres naruszeń może zostać rozszerzony przez przepisy krajowe.
Obowiązek reakcji na zgłoszenie: Dyrektywa określa obowiązek podjęcia działań następczych po zgłoszeniu i przekazania informacji zwrotnej do sygnalisty w rozsądnym terminie (zasadniczo trzech miesięcy dla kanałów wewnętrznych, ewentualnie sześciu miesięcy w uzasadnionych przypadkach dla kanałów zewnętrznych).
Nowe obowiązki przedsiębiorców: (i) wdrożenie procesu i (ii) zapewnienie realnej ochrony sygnaliście
Wdrożenie procesu:
Dyrektywa wprowadza wiele obowiązków w zakresie ochrony sygnalistów, jak m.in. konieczność stworzenia bezpiecznych kanałów informacji, wdrożenie procedur np. postępowań wyjaśniających i ustanowienie szerokiej ochrony przed działaniami odwetowymi. Obowiązkiem przedsiębiorcy będzie nie tylko wprowadzenie rzeczywistej możliwości anonimowego zgłoszenia naruszeń, ale i realizacja obowiązku ochrony sygnalisty. W tym celu przedsiębiorcy będą musieli wdrożyć:
– nowe procedury/polityki/regulaminy zgłaszania naruszeń i uspójnienie ich z już obowiązującymi;
– systemy zabezpieczeń dla zachowania anonimowości sygnalisty;
– nowy kanał informowania wraz z powołaniem osoby/zespołu odpowiedzialnego za przyjmowanie zgłoszeń, weryfikacji i przeprowadzanie postępowań wyjaśniających;
– opracować system raportowania oraz ewidencji zgłoszeń wewnętrznych;
– zapewnić systematyczny audyt i monitoring wew. procesu i jego efektywności, wdrażać działania naprawcze;
– zakomunikować proces wewnętrznie w przedsiębiorstwie oraz na zewnątrz na stronie;
– przeszkolić osoby wspierające proces;
– podjęcie działań budujących zaufanie co do transparentności, bezpieczeństwa, ochrony danych, rzetelności, integralności, skuteczności i bezpieczeństwa wdrożonego procesu zgłaszania naruszeń.
Wymagać to będzie gruntownego przeanalizowania regulaminów obowiązujących w danym przedsiębiorstwie i opracowania procedur postępowania. Skład zespołu powołanego do przyjmowania i rozpatrywania zgłoszeń powinien być dość szeroki pod wzg. merytorycznym i automatycznie z danego procesu powinni być wykluczeni przełożeni jak i podwładni sygnalistów. Skład zespołu może być dedykowany do określonego rodzaju zgłoszeń ale też konieczne jest zapewnienie stałych przedstawicieli, np. Compliance Officer, Dyrektor Personalny, Pełnomocnik ds. Etyki czy prawnik. Wstępny proces weryfikacji albo także cały proces obsługi zgłoszeń może być zlecony na zasadach outsourcingu podmiotowi dającemu gwarancję poufności i ochrony danych, np. kancelarii prawnej.
Ważne aby proces był bezpieczny, aby przekonywał pracowników, że warto korzystać z tej drogi informowania o nieprawidłowościach, niż eskalować zgłoszenie na zewnątrz.
Ochrona dla sygnalistów:
Dyrektywa przyznaje sygnalistom szeroką ochronę od zakazu ujawniania tożsamości (bez wyraźniej zgody zainteresowanego) oraz innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość zgłaszającego, poprzez środki ochrony przed odwetem w stosunkach pracy (np. zakaz zwolnienia z pracy, zakaz degradacji, zakaz przymusowego urlopu bezpłatnego, zakaz zmiany miejsca pracy, zakaz obniżenia wynagrodzenia, zakaz zmiany godzin pracy, zakaz wstrzymania szkoleń, zakaz negatywnej oceny wyników pracy, zakaz zastosowania środków dyscyplinarnych) i w innych stosunkach prawnych (np. zakaz wcześniejszego rozwiązania umowy ze zleceniobiorcą), aż po naprawienie szkody związanej z utratą dochodu w efekcie dokonania zgłoszenia. Zakres instrumentów ochrony ma charakter otwarty. Ponadto ochroną mają być objęci nie tylko sygnaliści, ale też osoby im pomagające (współpracownicy, członkowie rodziny).
Aby korzystać z ochrony na mocy Dyrektywy, osoby dokonujące zgłoszenia powinny mieć uzasadnione podstawy, by sądzić, w świetle okoliczności i informacji, jakimi dysponują w momencie zgłaszania, że zgłaszane przez nie kwestie są prawdziwe. Wymóg ten wyznacza właściwe granice prawne i stanowi jednocześnie zabezpieczenie przed zgłoszeniami dokonywanymi w złej wierze, niepoważnymi lub stanowiącymi nadużycie. Oznacza to, że osoby, które w momencie zgłaszania celowo i świadomie przekazały błędne lub wprowadzające w błąd informacje, nie korzystają z ochrony.
Sankcje za utrudnianie działań sygnalistów
Państwa członkowskie zobligowane są na poziomie krajowym do ustanowienia skutecznych, proporcjonalnych i odstraszających sankcji stosowanych wobec osób fizycznych lub prawnych, które utrudniają lub usiłują utrudniać dokonywanie zgłoszeń, podejmują działania odwetowe wobec sygnalistów, wszczynają uciążliwe postępowania przeciwko sygnalistom a także dopuszczają się naruszeń obowiązku zachowania w poufności tożsamości osób dokonujących zgłoszenia.
Korzyści dla przedsiębiorców
Dobre wdrożenie tego procesu pozwoli na to aby dane przedsiębiorstwo samo poradziło sobie z nieprawidłowościami i umożliwi wyciąganie z nich wniosków, usprawni procedury i procesy w organizacji. Można w ten sposób zapobiec wielu poważnym kryzysom organizacyjnym, w tym także wizerunkowym przedsiębiorstwa.
Zapraszamy do kontaktu w celu omówienia szczegółów regulacji i jej wpływu na Państwa przedsiębiorstwo.
Dr Marlena Wach – radca prawny
Justyna Bójko – Radca prawny, Partner Zarządzający