Nad projektem Ustawy o ochronie osób zgłaszających naruszenia prawa[1], a który ma po raz pierwszy ponadbranżowo i kompleksowo uregulować sytuację prawną sygnalistów w Polsce i wprowadzić obowiązki whistleblowingowe[2] dla przedsiębiorców i podmiotów publicznych, współpracowały Ministerstwo Rodziny i Polityki Społecznej, Ministerstwo Sprawiedliwości, Ministerstwo Rozwoju i Technologii, Ministerstwo Finansów oraz Członek Rady Ministrów Koordynator Służb Specjalnych. Wskazano, że przyjęcie projektu przez Radę planowane jest na IV kwartał 2021 r. Termin implementacji dyrektywy mija 17.12.2021 r., ale nie jest pewne, że do tego czasu ustawa wejdzie w życie, a ustawodawcy uda się przyjąć przepisy zgodnie z harmonogramem czasowym UE. Pierwsza kontrowersja dotyczy właśnie tego, że w procesie konsultacji do złożenia uwag do projektu zaproszono tylko kilka podmiotów. Aktualnie projekt znajduje się w fazie opiniowania.

Pisma procesowe z zakresu prawa pracy z objaśnieniami. Skonfiguruj Twój System Legalis! Sprawdź

Kto, co i jak może zgłosić?

Ustawa zakłada, że sygnalistą może zostać prawie każda osoba mająca wiedzę o naruszeniu prawa w swoim środowisku zawodowym. Zgłoszenia może dokonać m.in.: pracownik (w tym niegdysiejszy lub osoba w procesie rekrutacji), osoba współpracująca z organizacją na kontrakcie B2B, wolontariusz i stażysta czy osoba w randze członka organu osoby prawnej.

Bycie sygnalistą oznacza możliwość objęcia reżimem ochronnym przed działaniami odwetowymi. Ochrona ma przysługiwać przede wszystkim przed: zwolnieniem, zmianą warunków zatrudnienia na mniej korzystne i wszelką formą mobbingu i dyskryminacji, które byłyby formą represji w związku ze zgłoszeniem.

Aby zostać sygnalistą, należy zgłosić naruszenie prawa unijnego bądź krajowego we wskazanych przez ustawodawcę obszarach; są to m.in.: zamówienia publiczne, bezpieczeństwo produktów, ochrona konsumentów i konkurencji, ochrona prywatności i bezpieczeństwo danych osobowych, AML, ochrona środowiska czy zdrowie publiczne. Z mocy ustawy wyłączone zostały natomiast sprawy indywidualne, co pozwala przenieść zgłoszenia np. z zakresu mobbingu i dyskryminacji do osobnej ścieżki procedowania, prostszej niż ta, którą kształtuje ustawa. Projektodawca dopuszcza jednak, aby w drodze regulacji wewnętrznych zobowiązane do posiadania rozwiązań whistleblowingowych podmioty rozszerzały katalog naruszeń, o których sygnalista może powiadomić, włączając w to naruszenia zasad wynikających z procedur wewnętrznych czy zasad etycznych.

O nieprawidłowości w kontekście związanym z pracą sygnaliści mogą powiadomić na drodze:

  • zgłoszenia wewnętrznego – swoją organizację,
  • zgłoszenia zewnętrznego ‒ organ centralny lub właściwe organy publiczne,
  • ujawnienia publicznego – opinię publiczną za pośrednictwem mediów tradycyjnych lub społecznościowych.

Organem centralnym odpowiedzialnym za przyjmowanie zgłoszeń zewnętrznych został, zgodnie z zapowiedzią, Rzecznik Praw Obywatelskich. Poza organem centralnym ustawa definiuje także organy publiczne. W projekcie z nazwy wymieniony został tylko Prezes UOKiK w zakresie zasad konkurencji i ochrony konsumentów, ale wydaje się, że organów publicznych przyjmujących zgłoszenia zewnętrzne będzie więcej – odpowiednio w zakresach swoich kompetencji. Niepowołanie nowego organu, a przypisane nowych zadań RPO było dla wielu zaskoczeniem. Spodziewano się raczej odrębnego urzędu ds. ochrony sygnalistów, np. na wzór rozwiązań przyjętych na Słowacji lub w innych państwach członkowskich. Istnieje bowiem wątpliwość czy rola RPO w tym zakresie nie sprowadzi się wobec tego do „sortowania” zgłoszeń i przekazywania ich właściwym merytorycznie organom.

Kodeks pracy. Komentarz + Aneks do specustawy Regulacje Covid-19 w prawie pracy – bieżąca aktualizacja w Systemie Legalis Sprawdź

Jakie obowiązki i na kogo nałoży ustawa?

Chociaż celem regulacji jest przede wszystkim ochrona osób zgłaszających, wprowadza ona również szereg obowiązków dla podmiotów w sektorze prywatnym i publicznym, aby mogła się realizować w praktyce. Duzi przedsiębiorcy (zatrudniający od 250 pracowników) i podmioty administracji publicznej po upływie 14-dniowego vacatio legis będą zobowiązane posiadać rozwiązania wewnętrzne (system whistleblowing) umożliwiające bezpieczne, poufne lub anonimowe zgłaszanie nieprawidłowości. Należy nie tylko stworzyć bezpieczne kanały sygnalizowania, ale też efektywnie zapoznać pracowników z zasadami ich funkcjonowania. Otrzymane zgłoszenia właściwy, niezależny i kompetentny podmiot w organizacji powinien procedować na zasadach określonych w ustawie, udzielać sygnaliście informacji zwrotnych w ustalonych terminach, podejmować działania następcze (wyjaśniające i naprawcze) oraz prowadzić rejestr zgłoszeń. Ten sam obowiązek spocznie na średnich przedsiębiorcach (50-249 pracowników) od grudnia 2023 roku.

Przepisy karne

Jednym z większych zaskoczeń, jakie przyniósł projekt ustawy, było brzmienie przepisów karnych. Wprowadzają one ryzyko poniesienia odpowiedzialności osobistej do 3 lat pozbawienia wolności za:

  • nieustanowienie lub niewłaściwe ustanowienie wewnętrznych procedur zgłaszania,
  • utrudnianie dokonywania zgłoszeń,
  • podejmowanie działań odwetowych wobec sygnalistów czy
  • naruszenie poufności tożsamości sygnalisty.

Kontrowersyjne jest jednak to, że projekt nie precyzuje bezpośrednio, kto miałby tę odpowiedzialność ponieść. Należy więc założyć, że byłoby to najwyższe kierownictwo oraz zgodnie z zakresami obowiązków odpowiednie funkcje w organizacji (np. przedstawiciele działu prawnego lub HR). W tej perspektywie tym istotniejszy wydaje się być właściwy podział obowiązków w procesie ustanawiania systemu i jego późniejszej obsługi.

Jednak największym zaskoczeniem wydaje się być propozycja identycznej sankcji za dokonywanie fałszywych zgłoszeń przez sygnalistów. Odpowiedzialność jak najbardziej powinna być po obu stronach, a ochrona nie powinna być bezwarunkowa. Jednak wykazanie złej wiary sygnalisty może być w praktyce bardzo trudne, a sam przepis w swojej surowości może stanowić jedynie dużą barierę dla sygnalizowania i kształtowania kultury transparentności w polskich firmach.

Przetwarzanie danych osobowych w procesie whistleblowing

Dyrektywa bardzo zdawkowo dotyka tematu ochrony danych osobowych, nakazując zgodność przetwarzania z RODO, dając jednak upoważnienie krajom członkowskim do stopniowego ograniczenia jego stosowania, jeśli byłoby to konieczne ze względu na cel Dyrektywy. Szczególnie wrażliwa była kwestia informowania osoby, której dotyczy zgłoszenie, o źródle pochodzenia danych osobowych, która nakazywałaby wskazywanie personaliów sygnalisty, co niweczyłoby ideę poufności zgłoszeń. Ustawodawca pochylił się nad tą kwestią i wyłączył ten obowiązek, zapewniając możliwość przetwarzania danych osoby, której dotyczy zgłoszenie, nawet bez jej zgody. Ograniczenie takie dla procesów whistleblowingowych zdaje się zrozumiałe, rekomendowane było już zaraz po wejściu w życie RODO w wytycznych Europejskiego Inspektora Ochrony Danych, ale dopiero teraz uzyskało potwierdzenie w przepisie.

Z kolei szeroko dyskutowane jest założenie, że dane osobowe przechowywane w związku ze zgłoszeniem można przetwarzać wyłączenie przez okres 5 lat. Skąd wynika taki czas, nie wiadomo. W najlepszym interesie organizacji byłoby jednak przechowywanie informacji przez okres zgodny na przykład z terminem przedawnienia wybranych przestępstw. Najprostszym przykładem jest zgłoszenie przez sygnalistę potencjalnego naruszenia o charakterze korupcyjnym. Nawet w przypadku negatywnej weryfikacji zgłoszenia organizacja może chcieć przechowywać takie informacje dłużej, na wypadek konieczności tłumaczenia się z podjętych w procesie wyjaśniającym działań. W praktyce widzimy bowiem, że takie sprawy procedowane są przez organy ścigania latami. Interakcja z organami w takiej sytuacji, szczególnie gdy ma miejsce po latach, może być sprawniejsza, a organizacja ma dzięki temu więcej argumentów na wykazanie należytej staranności w zakresie podjętej w sprawie reakcji i prewencji na przyszłość. Prawdopodobne jest, że okres ten zostanie jeszcze zmieniony w toku prac legislacyjnych.

Zaangażowanie przedstawicieli pracowników

Regulamin zgłoszeń wewnętrznych pracodawca ma ustalić w drodze konsultacji z zakładową organizacją związkową albo przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy, jeśli u pracodawcy nie działa zakładowa organizacja związkowa. W związku z tym stworzenie i wdrożenie wewnętrznej procedury musi się odbyć przy czynnym i udokumentowanym udziale przedstawicieli pracowników. To motywuje wiele organizacji do przyspieszenia działań wdrażających lub aktualizujących zasady funkcjonowania systemów whistleblowing w ich strukturach, aby zdążywszy przed przyjęciem ustawy, uniknąć obowiązku konsultacji.

W obecnym brzmieniu projekt ustawy wciąż wprowadza wiele pytań o to, jak w praktyce bezpiecznie i zgodnie z przepisami zrealizować nowe obowiązki. Miejscami przepisy są nie tylko zaskakujące i kontrowersyjne w kontekście najlepszych standardów rynkowych, ale wręcz niekonsekwentne, choćby w warstwie terminologicznej. Wdrażając więc odpowiednie regulacje wewnętrzne, warto skorzystać ze wskazówek, jakie dają nam wytyczne benchmarków whistleblowingowych. Sięgnijmy po whistleblowingową normę ISO 37002[3] czy standardy GPW dla spółek notowanych. Zorganizowanie swoich systemów zgodnie z takimi wytycznymi dodatkowo wzmacnia naszą argumentację, że dochowaliśmy w tym działaniu należytej staranności.

Ponadto mając na uwadze krótkie vacatio legis, od chwili przyjęcia ustawy czasu na podjęcie działań będzie bardzo niewiele. Warto zainteresować się tym tematem już teraz, szczególnie ze względu na sankcje karne czy konieczność konsultacji z przedstawicielami pracowników.

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Wypróbuj! Sprawdź

[1] Projekt ustawy o ochronie osób zgłaszających naruszenia prawa, opatrzony numerem UC101.

[2] Whistleblowing – z ang. dosłownie: dmuchanie w gwizdek, popularnie: zgłaszanie nieprawidłowości.

[3] ISO 37002 Whistleblowing Management System.

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →