Sygnaliści – przepisów brak, a przygotować się trzeba

Do 17 grudnia 2021 Polska miała implementować przepisy Dyrektywy 2019/1937 o ochronie sygnalistów i obsłudze zgłoszeń o nieprawidłowościach. Tak się jednak nie stało. Projekt ustawy wprawdzie wstępnie opracowano, ale po konsultacjach utknął w rządzie i nie trafił jeszcze do Sejmu.

Sygnalistów nie da się odłożyć na potem

Mimo opóźnienia w pracach legislacyjnych, firmę do nowych wymogów należy przygotować już teraz. Spóźnione przepisy będą wprowadzane na gorąco, z krótkim czasem na wdrożenie. Dlatego z myślą o nowym roku warto już dziś zadbać o przygotowanie organizacji, zebranie kompetencji i zapewnienie niezbędnych zasobów.

Niezależnie od tempa prac nad ustawą, działania na tym obszarze stają się wymogiem w obrocie. Są sprawdzane przez partnerów w biznesie w ramach weryfikacji kontrahenta, szczególnie w scenariuszach transgranicznych.

W czym rzecz

Projektowana ustawa ma na celu przyjęcie i uporządkowanie zasad ochrony sygnalistów przed odwetem. Ogólne ramy prawne wynikają w tym względzie z przepisów prawa europejskiego. Diabeł tkwić będzie jednak w szczegółach.

Cel jest jasny: sygnalista ma otrzymać szczególną ochronę prawną przed różnego rodzaju negatywnymi działaniami, jeśli zgłoszenia informacji o nieprawidłowościach dokona w związku ze swoją aktywnością zawodową. Pod pewnymi warunkami będzie mógł skorzystać z ochrony już wtedy, jeżeli nieprawidłowość ujawni od razu publicznie – np. w Internecie. Należy mu natomiast udostępnić specjalne kanały do dokonywania zgłoszeń.

Oprócz zapewnienia sygnaliście ochrony, podstawowym obowiązkiem przedsiębiorcy będzie właśnie utworzenie i obsługa jednego z takich kanałów, na przewidzianych prawem zasadach.  Wymaga to przygotowań na poziomie proceduralnym, organizacyjnym i administracyjnym.

Instrumentalne sygnały

Pod lupę sygnalisty mogą trafić m. in. wewnętrzne sprawy przedsiębiorstw czy relacje między kontrahentami. Zgłoszenie nie musi przy tym ani się potwierdzić, ani wynikać ze szlachetnych pobudek. Przepisy chronią bowiem „dobrą wiarę” sygnalisty. Nie wymagają jednak od niego  dobrych intencji czy działania w poczuciu odpowiedzialności. Wystarczy uzasadnione przekonanie o prawdziwości zarzutów. Sygnalista ma przy tym otrzymać „licencję na naruszenia”. Może ujawniać tajemnice przedsiębiorstwa, wkraczać w dobra osobiste czy łamać zasady ochrony danych osobowych, jeśli to niezbędne dla zgłoszenia.

Zgłaszający zasłuży na ochronę nawet wtedy, jeśli w pierwszym rzędzie będzie chciał po prostu uniknąć zwolnienia z pracy czy odwołania z funkcji. Wystarczy, że jego partykularny interes w uzyskaniu ochrony nie będzie jedyny – tzn. jeśli zgłoszenie choćby częściowo miałoby przysłużyć się ochronie dobra innego rodzaju. Rodzi to ryzyko instrumentalnego dokonywania zgłoszeń, w tym w celu otrzymania dodatkowej ochrony w sporach pracowniczych, korporacyjnych czy handlowych.

Kanały

Na instytucjach państwa spocznie obowiązek zorganizowania tzw. kanału zewnętrznego. Projektowane przepisy zakładają powstanie pewnego rodzaju krajowej centrali przyjmowania informacji o naruszeniach. Rozdzielnią miałby być RPO, przekazujący zgłoszenia według właściwości do docelowych organów (takich jak prezesi UOKiK, UODO itd.).

Obowiązkiem przedsiębiorcy stanie się natomiast utworzenie tzw. kanału wewnętrznego. Wymagane będzie m. in. przyjęcie stosownego regulaminu, wdrożenie procedur, wyznaczenie niezależnego wewnętrznego podmiotu do odbioru zgłoszeń i prowadzenie stosownego rejestru.

Na pierwszy ogień

Takie obowiązki spadną w pierwszej kolejności na przedsiębiorstwa zatrudniające przynajmniej 250 pracowników, oraz na niektóre mniejsze podmioty wskazane z uwagi na rodzaj prowadzonej działalności. Nie przewiduje się przy tym szczególnego vacatio legis. Zwyczajowe 2 tygodnie to jednak zdecydowanie za krótko na koordynację działań reprezentacji pracowników, zarządów, komisji rewizyjnych i rad nadzorczych, o samym wdrożeniu nie mówiąc.

Dla średnich przedsiębiorstw, zatrudniających od 50 do 249 pracowników, obowiązek zostanie zapewne odsunięty w czasie. Mniejsze podmioty, niekwalifikowane z uwagi na swoją działalność, obowiązek może ominąć zupełnie. Projekt nie odwołuje się jednak do definicji MŚP. Ściśle nawiązuje do kodeksu pracy. Trzeba zatem odrębnie ustalić, jak i na kiedy liczyć zatrudnienie.

Tajemniczy wielbiciel uprzejmie donosi

Otwarta pozostaje kwestia zgłoszeń anonimowych. Przedsiębiorca może się na nie zgodzić na zasadzie opt-in. Musiałby jednak wówczas chronić sygnalistę, którego tożsamości nie zna. Anonimowość będzie także niekiedy już z góry pozorna – bo tożsamość zgłaszającego w realiach danej sprawy może dla wszystkich być oczywista. Wreszcie: zarzuty zgłaszane pod nazwiskiem mają inną wagę. Z drugiej strony, brak akceptacji zgłoszeń anonimowych może skłaniać do szukania ochrony poza przedsiębiorstwem – za pomocą zgłoszeń zewnętrznych, kierowanych wprost do instytucji państwowych.

Kolejny wybór dotyczy objęcia procedurą innych osób niż pracownicy. Ochrony mogą bowiem żądać m. in. także kontraktorzy, dostawcy, wspólnicy, prezesi… – a przepisy taką ochronę niezależnie od procedury im zapewniają. Wyważenie „za” i „przeciw” oraz decyzja, czy powinni korzystać ze ścieżki przewidzianej dla etatowców, należy do przedsiębiorcy.

Tajne przez poufne

Przyjmowanie i obsługa zgłoszeń będą wymagały zastosowania szeregu środków technicznych i organizacyjnych, nakierowanych na zapewnienie poufności i ochronę tożsamości zgłaszającego. Jak jednak w praktyce utrzymać ją w tajemnicy? Osobie, której zarzuca się nieprawidłowości, przysługuje przecież szereg uprawnień, choćby na gruncie RODO – w tym do żądania informacji o źródle dotyczących jej danych.

Przewiduje się również m. in. wymóg rozdzielnego przechowywania zgłoszenia i danych osobowych sygnalisty. Co jednak z podpisanymi zgłoszeniami, które przekazano na piśmie? Co z danymi, które są integralną częścią zgłoszenia, bo znajdują się w jego treści? Wreszcie: jak anonimizować e‑maile na serwerze? Te i inne kwestie z zakresu ochrony danych i bezpieczeństwa informacji także warto przewidzieć już w procedurze.

Przepisy jak rzeszoto

Zgłoszenie trzeba będzie przyjąć, a sygnalistę chronić, jeśli sprawa miałaby dotyczyć przynajmniej jednego z kilkunastu wskazanych w przepisach obszarów. Są to m. in. zamówienia publiczne, usługi finansowe, bezpieczeństwo produktów czy ochrona konsumentów.

Poza nimi pozostają jednak choćby naruszenia prawa pracy czy nierzetelne praktyki w procesie zakupów. Takie dalsze kwestie przedsiębiorca będzie mógł we własnym zakresie dodatkowo uwzględnić w procedurze, wedle uznania. Będzie mógł dzięki temu łatwiej wychwycić i usunąć nieprawidłowości oraz naprawić ich skutki. Trudno, żeby system zarządzania zgodnością był skuteczny, jeśli działać ma tylko wycinkowo. Z drugiej strony: kwestię, czy sygnaliści zgłaszający naruszenia z takich dodatkowych obszarów, spoza ustawy, także mieliby otrzymać ochronę i wyjątkowe uprawnienia, przepisy pozostawiają otwartą.

Przedsiębiorców, którzy do wdrożenia takich procedur byli zobowiązani już wcześniej, tego rodzaju problemy dotykają szczególnie. Trzeba wówczas spełnić wymogi nie jednej, a kilku ustaw, np. przepisów o AML czy o ofercie publicznej. Ich założenia i wymogi nie zawsze dają się jednak łatwo pogodzić.

Do startu, gotowi, start

Mając to na względzie, już teraz warto opracować regulamin, przygotować procedury, przeszkolić personel, poinformować pracowników oraz znaleźć w organizacji miejsce i zasoby na obsługę zgłoszeń. Im wcześniej i solidniej uda się tak przygotować, tym sprawniej będzie można zapewnić docelową zgodność. W szeregu przedsiębiorstw nie ma wyspecjalizowanej funkcji compliance. W takich wypadkach warto upewnić się też, co można powierzyć istniejącym komórkom, a w czym wypada wesprzeć się doświadczeniem z zewnątrz. To dodatkowe obowiązki, a projekt przepisów przewiduje odpowiedzialność karną.

Jeśli jakiekolwiek zagadnienia związane z powyżej przedstawionymi regulacjami wymagają bliższych wyjaśnień lub budzą Państwa wątpliwości, zapraszamy do kontaktu z:

Marcin Maciejak of counsel, adwokat m.maciejak@gessel.pl