• Weronika Wiśniewska-Żurek

Systemy zgłaszania nadużyć whistleblowing i ochrona sygnalistów [2021]

Dyrektywa UE w sprawie ochrony osób zgłaszających naruszenia prawa Unii reguluje obowiązek wdrożenia odpowiedniego systemu informowania o nieprawidłowościach (systemu whistleblowing), który od końca 2021 r. obejmować będzie przedsiębiorstwa zatrudniające powyżej 250 osób a od 2023 r. również te zatrudniające więcej niż 50 pracowników.

Zgłaszanie nadużyć i ochrona sygnalistów
Systemy whistleblowing od końca 2021 r. staną się w firmach obowiązkowe

Dyrektywa nakłada na państwa członkowskie obowiązek wprowadzenia odpowiednich aktów prawnych, które implementować będą postanowienia Dyrektywy w prawie krajowym.

  • Wdrożenie przepisów dotyczących podmiotów zatrudniających powyżej 250 osób powinno odbyć się do 17 grudnia 2021 r.

  • Natomiast przepisów odnoszących się do podmiotów zatrudniających powyżej 50 osób – do 17 grudnia 2023 r.


Jak do tej pory nie został przedstawiony w Polsce żaden projekt ustawy dotyczącej chrony sygnalistów oraz obowiązku wdrożenia systemu whistleblowing’owego i nie zapowiada się na to, abyśmy w najbliższym czasie taki projekt zobaczyli. Ponieważ ustawodawca nie zajął się do tej pory tą kwestią, możemy przygotowywać się na to, że od 17 grudnia 2021 r. wobec przedsiębiorstw zatrudniających powyżej 250 osób, z uwagi na brak odpowiednich aktów prawa krajowego, zastosowanie znajdą bezpośrednio przepisy Dyrektywy.


Na podstawie Dyrektywy, możemy wskazać 3 mechanizmy, w oparciu o które będzie realizowany obowiązek ochrony sygnalistów:

  • systemy wewnętrzne

  • zgłoszenie zewnętrzne do właściwego organu

  • ujawnienie publiczne


Systemy wewnętrzne (wewnątrz firmy)


Z analizy Dyrektywy wynika, że preferowanym przez Ustawodawcę europejskiego kanałem dokonywania zgłoszeń o naruszeniach mają być systemy wewnętrzne wdrożone przez firmy. Innymi słowy europejski Ustawodawca chciałby, aby to same firmy wewnętrznie wdrożyły taki systemy przyjmowania zgłoszeń o nieprawidłowości, który będzie systemem pierwszego wyboru dla sygnalistów.


Zaprojektowanie i uruchomienie takiego systemu, jak również jego dalsza obsługa może odbyć się zarówno wewnętrznie w przedsiębiorstwie (np. w ramach kompetencji danego działu – compliance, działu prawnego, działu HR itd.), jak i być zadaniem zleconym zewnętrznemu podmiotowi świadczącemu usługi w tym zakresie.


Istotnym jest to, aby system ten w efektywny sposób prowadził do rozwiązywania przypadków naruszeń z jednoczesnym poszanowaniem anonimowości sygnalisty i uchronieniem go przed tzw. działaniami odwetowymi.


Dyrektywa nakłada obowiązek zapewnienia możliwości dokonywania zgłoszeń w formie pisemnej lub ustnej, przy czym zgłoszenie ustne może mieć formę telefoniczną lub innych systemów komunikacji głosowej. Na wniosek sygnalisty powinno się również umożliwić dokonania zgłoszenia podczas bezpośredniego spotkania, które należy zorganizować w rozsądnym terminie.


Nasuwa się w tym miejscu pytanie, co należy rozumieć przez sformułowanie „bezpośrednie spotkanie” i czy mając na uwadze obecną sytuacje epidemiologiczną, w przypadku złożenia przez sygnalistę takiego wniosku, może ono odbyć się w formie video rozmowy, które w ostatnim czasie stały się popularną formą spotkań, do której już poniekąd przywykliśmy. Wydaje się, że gdy doczekamy się już polskiej ustawy implementującej Dyrektywę, tego rodzaju szczegóły powinny zostać w niej uwzględnione.


Preferowane rozwiązania IT


Regulacje Dyrektywy wydają się być skonstruowane w sposób zachęcający do korzystania z systemów informatycznych, za pośrednictwem których można w sposób anonimowy dokonać zgłoszenia np. poprzez wypełnienie formularza, a następnie obserwować jego status. Jest to również wygodne rozwiązanie dla osób odpowiedzialnych za przyjmowanie zgłoszeń, które będą mogły po otrzymaniu zgłoszenia podejmować odpowiednie czynności wyjaśniające oraz następcze, a także uporządkowywać je za pomocą elektronicznej bazy danych.


Ochrona sygnalisty


Przy projektowaniu oraz obsłudze wewnętrznego systemu zgłaszania nadużyć należy pamiętać o zagwarantowaniu odpowiedniej ochrony sygnaliście oraz informowaniu go o statusie zgłoszenia. Przede wszystkim sygnalistom należy zapewnić odpowiednią ochronę przed negatywnymi konsekwencjami zgłoszenia. Wskazuje się tutaj w szczególności na tzw. „działania odwetowe” ze strony przełożonych, które mogą przybrać formę np. zwolnienia z pracy, degradacji, przeniesienia, obniżenia wynagrodzenia, obcięcia premii czy wstrzymania szkoleń.


Komunikacja z sygnalistą


Ponadto należy pamiętać, że sygnalista powinien zostać poinformowany w rozsądnym terminie o podjętych dotychczas działaniach w sprawie, w której dokonał on zgłoszenia. Ustawodawca europejski wskazuje, że taki „rozsądny termin” nie powinien przekraczać 3 miesięcy od dnia przyjęcia zgłoszenia.


Polityka informacyjna


Istotną kwestią przy projektowaniu systemu whistleblowing’owego, jest także wdrożenie polityki informacyjnej, tak aby każda osoba, która potencjalnie mogłaby uzyskać informacje o naruszeniu przez dany podmiot prawa UE, mogła skorzystać z wewnętrznego kanału zgłaszania nadużyć danego podmiotu.


Warto zauważyć, że w gronie tych osób nie znajdują się tylko pracownicy firmy, ale również np. jej kontrahenci. Zatem polityka informacyjna powinna uwzględniać również konieczność udostępnienia informacji dotyczących wewnętrznego systemu whistleblowing’owego podmiotom trzecim, co można zrobić np. za pośrednictwem strony internetowej.


Zgłoszenie zewnętrzne (do instytucji państwowej)


Sygnalista, oprócz możliwości dokonania zgłoszenia poprzez wewnętrzy system danej firmy, powinien mieć także możliwość skorzystania ze zgłoszenia zewnętrznego tj. do odpowiedniego urzędu państwowego.


Zgodnie z postanowieniami Dyrektywy zgłoszenia można dokonać od razu właśnie w ten sposób lub po uprzednim skorzystaniu z wewnętrznego systemu whistleblowing’owego.

Ustawodawca europejski nałożył na państwa członkowskie obowiązek ustanowienia odpowiednich organów, które będą odpowiedzialne za przyjmowania i przetwarzanie zgłoszeń o nieprawidłowościach. Przykładowo w Niemczech organem tym będzie Urząd ds. RODO. W Polsce wyznaczenie takiego organu powinno odbyć się za pośrednictwem ustawy implementującej przepisy Dyrektywy, a jak zostało to już wspomniane wyżej, o tym żeby takowa miała się pojawić w najbliższym czasie nic nie wiemy.


Zatem, dopóki ustawa implementująca nie wejdzie w życie, sygnaliści w Polsce będą mieli tylko jeden podstawowy kanał do zgłaszania nadużyć – wewnętrzne systemy podmiotu, w którym do tego naruszenia doszło.


Ujawnienie publiczne (np. Twitter lub prasa)


Dyrektywa wskazuje jeszcze jeden kanał whistleblowing’owy, jakim jest ujawnienie publiczne. Sygnalista może z niego skorzystać w przypadku, gdy:

  • dokonał on zgłoszenia wewnętrznego i zewnętrznego lub od razu zgłoszenia zewnętrznego, ale w rozsądnym terminie nie podjęto żadnych odpowiednich działań, lub

  • ma on uzasadnione podstawy, aby sądzić, że naruszenie to może stanowić bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, albo że w przypadku skorzystania z kanału zewnętrznego grozić mu będą działania odwetowe lub z uwagi na szczególne okoliczności istnienie niewielkie prawdopodobieństwo skutecznego zaradzenia temu naruszeniu (np. dowody mogą ulec zniszczeniu).


Zaistnienie wskazanych wyżej okoliczności jest o tyle istotne, że w sytuacji dokonania zgłoszenia publicznego są one warunkiem dla możliwości objęcia ochroną sygnalisty.


Dyrektywa nie wskazuje, co należy rozumieć przez „ujawienie publiczne”, a zatem można stwierdzić, Ustawodawca europejski pozostawił tą kwestie do doprecyzowania państwom członkowskim w implementujących aktach prawnych. W braku takiej ustawy lub jej projektu w Polsce, możemy zakładać, że za ujawnienie publiczne zostanie uznane opublikowanie informacji o naruszeniu w prasie lub telewizji, jak również w mediach społecznościowych np. na Twitterze.


Jakie kroki podjąć?


Podstawowymi działaniami jakie powinny podjąć podmioty, które zostaną objęte obowiązkiem wdrożenia systemu whistleblowing’owego z pewnością będą:

  1. utworzenie wewnętrznych kanałów komunikacji, które umożliwią poufne i bezpieczne przyjmowanie zgłoszeń

  2. wskazanie osób odpowiedzialnych za weryfikację zgłoszeń

  3. opracowanie działań wyjaśniających, procedury działań następczych oraz sposobu informowania zgłaszającego o podjętych czynnościach

  4. wdrożenie polityki informacyjnej - udostępnienie pracownikom oraz podmiotom zewnętrznym informacji o wdrożonych kanałach zgłaszania naruszeń oraz o sposobach korzystania z nich


Niezależnie od pojawienia się w Polsce ustawy implementującej Dyrektywę, podmioty zatrudniające 250 lub więcej osób muszą pamiętać, że od 17 grudnia 2021 r. będą objęte obowiązkiem ochrony sygnalistów. Warto jak najwcześniej zająć się wdrażaniem odpowiedniego systemu wewnętrznego – samodzielnie lub przy pomocy podmiotu zewnętrznego. Już teraz można znaleźć oferty projektowania systemu informatycznego dostosowanego do potrzeb klienta oraz jego późniejszej obsługi.


Przy wdrażaniu systemu wewnętrznego można posiłkować się systemami wdrażanymi w innych państwach oraz obserwować ich działania mające na celu implementację przepisów Dyrektywy. Jednocześnie należy pamiętać, o śledzeniu na bieżąco poczynań polskiego Ustawodawcy i gdy pojawi się już projekt odpowiedniej ustawy dot. ochrony sygnalistów – zrewidować swoje działania oraz dopasować je do nowych przepisów.



Autor:

Weronika Wiśniewska-Żurek, młodszy prawnik w KorusLegal - w kancelarii zajmuje się kwestiami związanymi z compliance oraz tworzeniem systemów zgłaszania nadużyć


--

Masz pytanie - zapraszamy do kontaktu: +48 32 728 11 00 lub legal@koruslegal.pl