W dniu 26 listopada 2019 r. została opublikowana Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii, zwana też potocznie Dyrektywą o sygnalistach. Zobowiązuje ona kraje członkowskie UE do implementacji jej wymogów – w ramach przepisów krajowych – do 17 grudnia 2021 r. W tym terminie wymogi dyrektywy mają objąć wszystkie podmioty prawne sektora publicznego, a także podmioty prawne sektora prywatnego zatrudniające od 250 pracowników. Dwa lata później, tj. do 17 grudnia 2023 r. przepisy unijne obejmą również podmioty prawne w sektorze prywatnym zatrudniające od 50 do 249 pracowników.
Należy pamiętać, że dyrektywa mówi o tzw. standardzie minimum, tj. określa minimalne obowiązki podmiotów obowiązanych. Jak ostatecznie będą wyglądały przepisy w zakresie ochrony sygnalistów w Polsce, dowiemy się dopiero wówczas, kiedy polski ustawodawca zaimplementuje przedmiotową dyrektywę do polskiego porządku prawnego.
W niniejszym artykule, autorzy wskazują na najistotniejsze elementy bezpiecznych i efektywnych kanałów zgłaszania nieprawidłowości stanowiących jeden z fundamentów skutecznego systemu dla sygnalistów w każdej organizacji. Jest to o tyle ważne, że w przypadku braku w organizacji skutecznego systemu dla sygnalistów lub jego pozorności, sygnalista – zgodnie z przepisami dyrektywy – może dokonać zgłoszenia nieprawidłowości poza organizację do wyznaczonych do tego celu instytucji państwa lub np. do mediów. Nietrudno się domyślić, że zewnętrzne zgłoszenia mogą przynieść organizacji poważne problemy zarówno natury prawnej jak i wizerunkowej.
Choć omawiana dyrektywa UE nie opisuje jak takie kanały powinny wyglądać i jakie powinny posiadać funkcjonalności, to jednak daje nam pewne wskazówki w tym zakresie.
Po pierwsze, dyrektywa wymaga od podmiotów obowiązanych wdrożenia kanałów umożliwiających dokonywanie zgłoszeń na piśmie lub ustnie. Zgłoszenia ustne można przekazywać np. poprzez dedykowaną linię telefoniczną oraz – na wniosek osoby dokonującej zgłoszenia – bezpośrednio osobie, która została wyznaczona przez organizację do przyjmowania takich zgłoszeń (np. oficer compliance, oficer ds. etyki, etc.). Natomiast zgłoszenia pisemne można dokonywać np. za pośrednictwem poczty elektronicznej (e-mail), poczty tradycyjnej (np. list, przesyłka kurierska), formularza elektronicznego (np. platforma online), czy też skrzynki wrzutowej.
Po drugie, dyrektywa wymaga zapewnienia poufności osobom zgłaszającym oraz osobom wymienionym w zgłoszeniach. Co ciekawe, kwestię zapewnienia anonimowości sygnalistom dyrektywa pozostawia do decyzji krajom członkowskim, no chyba, że takie przepisy zostały już w danym państwie UE wdrożone (patrz np. wymogi w sektorze bankowym, finansowym). Na czym polega różnica między anonimowością a poufnością? W omawianym przypadku poufność oznacza, że dane zidentyfikowanego sygnalisty nie powinny być udostępniane lub ujawniane nieuprawnionym osobom lub podmiotom. Natomiast w przypadku anonimowości niemożliwa jest identyfikacja tożsamości jednostki. Co więc lepiej chroni sygnalistów przed działaniami odwetowymi? W ocenie autorów anonimowość znacznie lepiej zabezpiecza zgłaszającego naruszenie m.in. przed represjami, ponieważ organizacja nie wie, kto dokonał zgłoszenia. Jest to tym bardziej istotne gdyż w naszej kulturze sygnalista jest często utożsamiany z kapusiem, donosicielem, a nie z bohaterem, który ujawnia nieprawidłowości zagrażające zarówno samej organizacji, jak i jej pracownikom.
Natomiast w przypadku poufności cały ciężar odpowiedzialności za ochronę danych zidentyfikowanego sygnalisty spoczywa na barkach osób przyjmujących zgłoszenia i prowadzących czynności wyjaśniające w związku z przekazanym zgłoszeniem. Co więcej, zgodnie z zapisami dyrektywy, dopuszcza się możliwość ujawnienia tożsamości osoby dokonującej zgłoszenia wtedy, gdy takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa Unii lub prawa krajowego w kontekście postępowań wyjaśniających prowadzonych przez organy lub w kontekście postępowań sądowych, w szczególności w celu zagwarantowania prawa do obrony osobom, których dotyczy zgłoszenie. Taki stan rzeczy może zniechęcić część osób przed dokonaniem zgłoszenia pod swoim nazwiskiem, co zwiększa ryzyko, że dana nieprawidłowość lub zagrożenia nie zostaną wykryte odpowiednio wcześnie.
Oczywiście ochrona poufności nie powinna mieć zastosowania w przypadku, gdy osoba dokonująca zgłoszenia celowo ujawniła swoją tożsamość w kontekście ujawnienia publicznego. Nie wyłącza to jednak ochrony przed działaniami odwetowymi.
W kontekście anonimowości, trzeba również zauważyć, że może zostać ona z różnych względów utracona przez sygnalistę. W takiej sytuacji, jeżeli dokonał on wcześniej anonimowego zgłoszenia lub anonimowego ujawnienia publicznego zgodnie z wymogami dyrektywy, powinien być objęty ochroną przed odwetem, a jego dane objęte poufnością, no chyba że zostały upublicznione.
Podsumowując kwestie anonimowości i poufności, zdaniem autorów niniejszego artykułu w Polsce powinny być wprowadzane systemy zgłaszania nieprawidłowości, w tym naruszeń naruszenia prawa, które zapewniają anonimowość, ponieważ jest to skuteczniejszy środek ochrony sygnalisty oraz bardziej zachęca do przekazywania zgłoszeń.
Po trzecie, dyrektywa wymienia podstawowe wymogi w zakresie pozyskiwania i zarządzania zgłoszeniami od sygnalistów, z których większość ma istotne znaczenie w kontekście funkcjonalności kanałów zgłoszeniowych, tj.:
- bezpieczne kanały zgłoszeniowe zarządzane przez upoważnione osoby i zapewniające poufność osobom zgłaszającym oraz innym osobom, których dotyczą zgłoszenia,
- potwierdzenie zgłaszającemu przyjęcia zgłoszenia w terminie siedmiu dni od jego otrzymania,
- przekazanie informacji zwrotnych sygnaliście (do 3 miesięcy od potwierdzenia otrzymania zgłoszenia),
- rejestrowanie i retencja wszystkich zgłoszeń,
- przetwarzanie danych osobowych zgodnie z RODO.
Zapewnienie bezpieczeństwa sygnalistom i przetwarzanym informacjom, w tym danym osobowym sygnalistów oraz innych osób wymienionych w zgłoszeniach, to fundament każdego skutecznego systemu dla sygnalistów. Niniejsze bezpieczeństwo obejmuje cały proces przetwarzania informacji (przyjęcie, wyjaśnianie i zakończenie zgłoszenia), w tym odnosi się do środków organizacyjnych, technologicznych, prawnych i kadrowych. Każdy wdrożony przez organizację kanał zgłoszeniowy powinien zostać zweryfikowany w tym zakresie, m.in. w ramach DPIA, co wynika z wytycznych Prezesa Urzędu Ochrony Danych Osobowych. Niezwykle istotna jest w tym zakresie kwestia dostępu do systemu i poszczególnych zgłoszeń. Należy rozważyć czy wszyscy operatorzy systemu whistleblowingowego powinni mieć dostęp do wszystkich przychodzących zgłoszeń, np. czy inspektor ochrony danych poza zgłoszeniami incydentów bezpieczeństwa powinien zapoznawać się i rozpatrywać zgłoszenia dotyczące np. korupcji, czy innych naruszeń prawa.
Kolejna kwestia, to zapewnienie poprzez kanały zgłoszeniowe dwustronnej komunikacji z sygnalistą, umożliwiającej:
1) przekazanie sygnaliście potwierdzenia przyjęcia zgłoszenia w ciągu 7 dni,
2) przekazanie informacji zwrotnej o podjętych działaniach w ciągu 3 miesięcy, jak również
3) pozyskiwanie dodatkowych informacji istotnych dla efektywnego wyjaśniania zgłoszenia.
W przypadku systemu poufnego (dane sygnalisty są znane), komunikacja z osobą zgłaszającą nie powinna stanowić problemu, co nie będzie już takie proste w systemie zapewniającym anonimowość. W tym drugim przypadku najbardziej efektywne będą elektroniczne kanały zgłoszeniowe w postaci poczty elektronicznej oraz platform online, choć ten pierwszy kanał co do zasady nie zapewnia anonimowości.
Biorąc pod uwagę, że zgłoszenia będą zawierały dane osobowe zarówno sygnalistów, jak również potencjalnych sprawców i świadków naruszeń, system zgłoszeniowy musi umożliwiać skuteczne i zgodne z prawem zarządzanie danymi osobowymi, w tym ich anonimizację w przypadkach określonych przez RODO (tzw. dane wrażliwe, upływ okresu przetwarzania danych, ustanie celu przetwarzania danych). Co istotne, usuwanie danych osobowych nie powinno być jednoznaczne z usunięciem pozostałych treści zgłoszenia, które mogą być niezbędne do jego wyjaśnienia.
Mając na uwadze dobre praktyki i doświadczenia odnoszące się do systemów whistleblowingowych, powinny one także umożliwiać:
- przekazywanie przez sygnalistów załączników z jednoczesnym usuwaniem z nich metadanych,
- powiązywanie ze sobą zgłoszeń z uwagi na zbieżny podmiot lub przedmiot zainteresowania, co ułatwia analizę problemu i gromadzenie w tym zakresie informacji,
- dokumentowanie prowadzonych przez operatorów systemu czynności wyjaśniających,
- tworzenie raportów statystycznych obrazujących funkcjonowanie systemu i jego efektywność,
- bezpieczne przetwarzanie informacji przez osoby, które udzielają operatorom systemu pomocy w ich wyjaśnianiu,
- filtrowanie zgłoszeń z uwzględnieniem różnego typu danych (np. rodzaj zgłoszenia, status zgłoszenia, czas prowadzenia czynności etc.).
W przypadku wdrażania profesjonalnych platform whistleblowingowych online, które zapewniają największą skuteczność w zakresie efektywnego przetwarzania informacji pochodzących ze zgłoszeń od sygnalistów, należy także mieć na uwadze ich utrzymanie techniczne, w tym serwis oraz modyfikacje, uwzględniające np. zmieniające się otoczenie prawne (nowe funkcjonalności) czy też technologiczne (bezpieczeństwo informacji) oraz zwiększone potrzeby organizacji w zakresie skutecznego i bezpiecznego przetwarzania danych.
Podsumowując, na implementację wymogów dyrektywy dot. ochrony sygnalistów pozostało TYLKO kilkanaście miesięcy (w przypadku średnich przedsiębiorców 3 lata), a w Polsce nie wiadomo nawet jakie ministerstwo będzie za to odpowiedzialne. Bez względu na to, autorzy niniejszego artykułu przekonani, że wdrożenie w organizacji systemu dla sygnalistów powinno być podyktowane racjonalnym i odpowiedzialnym działaniem ukierunkowanym na zapewnienie organizacji bezpiecznego i stabilnego funkcjonowania. Przecież dobrze funkcjonujące systemy whistleblowingowe pozwalają na wczesne wykrywanie naruszeń i zagrożeń, eliminując lub minimalizując tym samym szkody dla organizacji. Jeżeli organizacja nie będzie traktowała wdrożenia systemu dla sygnalistów jako inwestycję w swoje bezpieczeństwo, a raczej jako kolejny narzucony prawem obowiązek generujący koszty, to zwiększa się ryzyko, że taki system może stanowić zagrożenie dla organizacji (dokonywanie zgłoszeń zewnętrznych). Co więcej, dyrektywa wymaga od państw członkowskich ustanowienia skutecznych, proporcjonalnych i odstraszających sankcji wobec osób fizycznych lub prawnych, które:
- utrudniają lub usiłują utrudniać dokonywanie zgłoszeń;
- podejmują działania odwetowe wobec sygnalistów;
- wszczynają uciążliwe postępowania przeciwko sygnalistom;
- dopuszczają się naruszeń obowiązku zachowania poufności tożsamości sygnalistów.
Mając to na uwadze stosunek ryzyk do korzyści wynikających w rzetelnego wdrożenia systemu dla sygnalistów, warto jak najszybciej i z uwagą pochylić się nad tym zagadnieniem.
Szanowni Państwo – rozpoczęło się odliczanie, wdrożenia czas zacząć
AUTORAMI SĄ
- Rafał Hryniewicz – Prezes Zarządu E-nform Sp. z o.o – www.enform.pl, ekspert w obszarze whistleblowingu
- Radca Prawny Paweł Bronisław Ludwiczak – Kancelaria Radcy Prawnego Paweł Ludwiczak produkt – ekspert m.in. w zakresie Compliance – www.ludwiczak-radcaprawny.pl