W dobie narastającej świadomości organizacji dotyczącej etyki oraz przejrzystości i zgodności działania z przepisami prawa i określonymi standardami, rola sygnalistów, tj. osób ujawniających nieprawidłowości w podmiotach sektora prywatnego i publicznego, zyskuje na znaczeniu. Ich działania często prowadzą do wykrycia lub przeciwdziałania istotnym nadużyciom i stwarzają konieczność wprowadzenia mniejszych lub większych zmian. Należy jednak zwrócić uwagę na paradoks sytuacji sygnalistów, którzy mimo pełnienia roli katalizatorów pozytywnych dla organizacji zmian, często narażeni są na represje mogące niekorzystnie odbić się na ich karierze zawodowej oraz życiu prywatnym. W odpowiedzi na te wyzwania Unia Europejska ustanowiła dyrektywę mającą na celu ochronę tych – co do zasady -odważnych i uczciwych osób. W niniejszym artykule skoncentrujemy się na wymaganiach tej dyrektywy, stanu jej wdrożenia w różnych państwach członkowskich UE, ze szczególnym uwzględnieniem sytuacji w Polsce oraz na krokach, jakie organizacje powinny podjąć, aby dostosować się do nowych zmian prawnych regulujących tę sferę działań.
Spis treści:
- Czym jest dyrektywa o ochronie sygnalistów
- W jakich krajach UE obowiązuje
- Wdrożenie dyrektywy o sygnalistach w Polsce
- Jak przygotować się do wdrożenia dyrektywy o ochronie sygnalistów
- Podsumowanie
Czym jest dyrektywa o ochronie sygnalistów?
Dyrektywa ue o ochronie sygnalistów (UE) 2019/1937 (dalej dyrektywa lub dyrektywa o sygnalistach) stanowi przełomowy akt prawny, mający na celu przede wszystkim zwiększenie skuteczności w ujawnianiu i przeciwdziałaniu naruszeniom prawa w podmiotach sektora publicznego i prywatnego poprzez zapewnienie mechanizmów ochrony sygnalistów przekazujących informację o naruszeniach i zagrożeniach. Co istotne dyrektywa o sygnalistach obejmuje wszystkie podmioty publiczne (chyba że dany kraj członkowski UE zastosuje dozwolone dyrektywą wyłączenia) oraz podmioty prywatne, na rzecz których wykonuje pracę co najmniej 50 osób (nie tylko osoby zatrudnione na umowę o pracę, ale także np. zleceniobiorcy).
Dyrektywa o sygnalistach skupia się na kilku kluczowych obszarach:
- Po pierwsze, dyrektywa o sygnalistach nakłada na państwa UE obowiązek ochrony sygnalistów przed wszelkimi formami odwetu, w tym między innymi przed zwolnieniem, obniżeniem wynagrodzenia czy nękaniem w miejscu pracy. Co istotne, ochroną prawną mogą zostać objęte nie tylko osoby zatrudnione w danym podmiocie, ale także osoby spoza tego podmiotu, które w jakiś sposób są z nim związane, np. byli pracownicy, stażyści, osoby w rekrutacji, udziałowcy, osoby wykonujące pracę na rzecz podmiotu np. u podwykonawcy czy dostawcy.
Co do zasady sygnaliści będą objęci ochroną, jeżeli dokonają zgłoszenia prawdziwego naruszenia prawa w obszarach wskazanych w prawie krajowym implementującym wymogi dyrektywy (m.in. naruszenia prawa w zakresie zamówień publicznych, usług i produktów finansowych, ochrony środowiska, ochrony konsumentów, podatków czy RODO), bez względu na motywację ich działania. - Po drugie, dyrektywa wymaga od krajów członkowskich utworzenia skutecznych, bezpiecznych i poufnych, kanałów zgłaszania naruszeń, zarówno wewnętrznych, jak i zewnętrznych. Kanały te mogą być ustne lub pisemne, np. w postaci skrzynek mailowych, skrzynek wrzutowych, systemów elektronicznych czy linii telefonicznych. Niezależnie od wybranej formy, kanał ten ma zapewnić bezpieczeństwo w tym poufność przetwarzanych informacji. Warto także wspomnieć, że zgodnie z dyrektywą o sygnalistach wewnętrzne kanały zgłaszania naruszeń mogą być obsługiwane w ramach własnych zasobów organizacji, jak również przez podmiot zewnętrzny, przy zachowaniu określonych warunków. W przypadku podmiotów zatrudniających od 50 do 249 pracowników (pracownik rozumiany w szerszym kontekście, jako osoba wykonująca pracę na rzecz organizacji) możliwe jest także dzielenie się zasobami w zakresie przyjmowania i obsługi zgłoszeń.
- Po trzecie, podmioty obowiązane do wdrożenia wymagań dyrektywy muszą ustanowić procedury dotyczące przyjmowania zgłoszeń naruszeń oraz prowadzenia działań następczych (w tym wyjaśniających) w związku z tymi zgłoszeniami. Dyrektywa unijna o ochronie sygnalistów zawiera minimalne wymagania co do obowiązkowych elementów takiej procedury.
- Po czwarte, do przyjmowania i obsługi zgłoszeń będą mogli mieć dostęp tylko upoważnieni pracownicy wyznaczeni przez pracodawcę. Będą oni obowiązani do między innymi zachowania poufności przetwarzanych w ramach prowadzonych czynności informacji, w tym danych osobowych. Warto zaznaczyć, że dotychczasowe projekty ustawy implementującej pozwalały na przyjmowanie zgłoszeń przez podmioty zewnętrzne, z którymi podmiot obowiązany podpisze stosowne umowy (tzw. outsourcing usług). Co ciekawe, taki podmiot zewnętrzny nie byłby upoważniony do prowadzenia działań następczych (w tym czynności wyjaśniające).
- Po piąte, podmiot obowiązany musi zapewnić bezstronność i rzetelność prowadzonych czynności wyjaśniających, a także rejestrację wszystkich zgłoszeń. Ponadto dane osobowe pozyskane ze zgłoszeń oraz w toku działań następczych powinny być przetwarzane zgodnie z RODO.
- Po szóste, na podmiotach obowiązanych będą ciążyły obowiązki informacyjne wobec sygnalistów w postaci:
- potwierdzenia sygnaliście przyjęcia zgłoszenia w terminie 7 dni od jego otrzymania,
- przekazania sygnaliście informacji zwrotnej dotyczącej jego zgłoszenia w czasie nieprzekraczającym 3 miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do sygnalisty, 3 miesięcy od upływu 7 dni od dokonania zgłoszenia.
- Po siódme, Państwa członkowskie są zobowiązane do ustanowienia skutecznych sankcji (w tym karnych) w szczególności za utrudnianie dokonywania zgłoszeń, podejmowanie działań odwetowych wobec sygnalistów, naruszenie poufności ich tożsamości, a także za dokonanie przez sygnalistę fałszywego zgłoszenia lub publicznego ujawnienia. Dotychczasowe projekty ustawy implementującej przewidywały również sankcje za brak lub niewłaściwe ustanowienie procedur wewnętrznych.
W jakich krajach UE obowiązuje
Dyrektywa o ochronie sygnalistów jest wiążąca dla wszystkich 27 państw członkowskich Unii Europejskiej. Każde z tych państw jest zobowiązane dostosować swoje prawo krajowe do wymogów dyrektywy. Proces ten różnił się w zależności od kraju, od już istniejących mechanizmów ochrony sygnalistów oraz specyfiki prawnej danego państwa. Niektóre państwa, takie jak np. Francja, miały już wcześniej rozbudowane systemy ochrony sygnalistów (SAPIN2). Inne państwa, jak Polska, musiały dokonać znaczniejszych zmian w swoim prawodawstwie.
Termin wejścia w życie krajowych przepisów ustawowych niezbędnych do wykonania Dyrektywy upłynął 17 grudnia 2021 r. Z tym terminem wymaganiami dyrektywy unijnej o sygnalistach powinny zostać objęte wszystkie podmioty sektora publicznego oraz sektora prywatnego zatrudniających co najmniej 250 osób. Pozostałe podmioty prywatne, tj. te zatrudniające od 50 do 249 osób powinny dostosować się do wymagań dyrektywy do 17 grudnia 2023 r.
Po okresie opóźnień większość członków Unii Europejskiej wdrożyła przepisy Dyrektywy o ochronie sygnalistów do krajowych przepisów prawa. Jednak opóźnienia we wdrażaniu Dyrektywy o ochronie sygnalistów skłoniły Komisję Europejską w lutym 2023 r. do skierowania sprawy przeciwko ośmiu państwom członkowskim, w tym przeciw Polsce, do Trybunału Sprawiedliwości Unii Europejskiej.
Na dzień 15 stycznia 2024 r. tylko Polska i Estonia nie wdrożyły jeszcze dyrektywy.
Wdrożenie dyrektywy o sygnalistach w Polsce
Należy podkreślić, że do chwili obecnej Polska nie posiada kompleksowego uregulowania dotyczącego ochrony sygnalistów. Obecne przepisy koncentrują się głównie na sektorze finansowym. Brak systemowej regulacji prawnej, jak również ugruntowanej praktyki oraz standardów ochrony sygnalistów stwarza wiele problemów nie tylko dla osób zgłaszających naruszenia, ale także dla skutecznego ujawniania nadużyć. Warto również zaznaczyć, że w Polsce zgłaszanie nieprawidłowości często kojarzy się negatywnie z donoszeniem, co wynika z historycznych uwarunkowań. Zmiana tego postrzegania w społeczeństwie i organizacjach będzie procesem czasochłonnym.
Wielu przedsiębiorstw i instytucji publicznych nie docenia istotnej roli sygnalistów w zapobieganiu nieprawidłowościom, co częściowo jest skutkiem powyższej percepcji. Dodatkowo, liczne nowe wymogi prawne (np. przeciwdziałanie praniu pieniędzy) często przyciągają większą uwagę niż kwestie whistleblowingu.
W Polsce opublikowana już kilka projektów ustaw, które mają na celu regulację sygnalizowania nieprawidłowości i ochronę sygnalistów, jednak ich ostateczna forma i data implementacji pozostają na ten czas nieznane.
Jak przygotować się do wdrożenia dyrektywy o ochronie sygnalistów
Fakt, że nie mamy jeszcze uchwalonej ustawy implementującej, a nawet ostatecznego kształtu projektu tej ustawy nie oznacza, że organizacja nie może wdrażać skutecznego systemu zgłaszania naruszeń, uwzględniającego ochronę osób, które o tych naruszeniach informują. Choć sam proces wdrażania skutecznego systemu zgłoszeniowego mógłby być tematem odrębnego artykułu (i będzie), to poniżej przedstawimy wykaz tych elementów, na które organizacja powinna zwrócić uwagę chcąc rzetelnie zaimplementować system do obsługi sygnalistów:
- Zaangażowanie kierownictwa organizacji we wdrożenie systemu – kierownictwo musi dawać przykład właściwych zachowań, egzekwować stosowanie się do przyjętych norm, podejmować konsekwentne, transparentne decyzje, zapewniać zasoby.
- Zaangażowanie pracowników w proces wdrożeniowy – jeżeli chcesz by pracownicy korzystali z systemu, zaangażuj ich w jego wdrożenie, pokaż korzyści, jakie niesie dla nich i dla organizacji.
- Podejście procesowe do wdrożenia – należy przeanalizować i zmodyfikować wszystkie te procesy, które powinny uwzględniać w swoich procedurach wdrażany system.
- Podział ról i odpowiedzialności osób w systemie – za obsługę systemu muszą odpowiadać wiarygodne, obiektywne i rzetelne osoby, cieszące się zaufaniem pracowników.
- Wybór skutecznych i bezpiecznych kanałów zgłoszeniowych – kanał komunikacji to jeden z najistotniejszych fundamentów systemu dla sygnalistów i powinien zapewniać co najmniej poufność, bezpieczeństwo informacji i efektywność ich przetwarzania, a także intuicyjność obsługi.
- Opracowanie procedury zgłoszeniowej – proces dokonywania zgłoszenia i zarządzania nim powinien być transparentny, więc należy go opisać w całości i w możliwie najprostszy sposób.
- Zapewnienie efektywnej komunikacji i edukacji – jeśli system dla sygnalistów ma być skuteczny, to należy zadbać, aby wszyscy pracownicy nie tylko się o nim dowiedzieli, ale także zrozumieli, w jakim celu został wdrożony i jakie korzyści wnosi także dla nich.
- Efektywne zarządzanie zgłoszeniami – to nie tylko ich przyjmowanie i rejestrowanie, ale także ich efektywna analiza, weryfikacja, skuteczny dialog z sygnalistą, gromadzenie dowodów, wyciąganie wniosków z ustaleń i wspieranie procesu decyzyjnego.
- Bezpieczeństwo danych – system – jako proces – może gromadzić wiele „wrażliwych” informacji w tym tajemnice przedsiębiorstwa i dane osobowe, więc należy zapewnić im bezpieczeństwo na różnych płaszczyznach i wszystkich etapach.
- Faktyczna ochrona sygnalistów – ochrona sygnalistów to nie frazesy w politykach, procedurach czy kodeksach, ale konkretne, faktyczne działania organizacji na rzecz bezpieczeństwa tych osób.
Podsumowanie
Dyrektywa UE o ochronie sygnalistów, stanowi znaczący krok w kierunku zwiększenia przejrzystości i odpowiedzialności organizacji w sektorze publicznym i prywatnym państw Unii Europejskiej. Zobowiązuje ona państwa członkowskie do wprowadzenia jednolitych standardów ochrony dla osób zgłaszających naruszenia prawne, zapewniając im bezpieczeństwo i chroniąc przed odwetem, a tym samym zwiększając skuteczność w ujawnianiu naruszeń prawa i zapobieganiu im.
Dzięki temu dyrektywa promuje kulturę otwartości i uczciwości, zachęcając do zgłaszania nieprawidłowości i wspierając przejrzystość w działaniach organizacji w Polsce i Unii Europejskiej.
Warto podkreślić, że przepisy dyrektywy o sygnalistach są na tyle szczegółowe, że na ich podstawie z powodzeniem można wdrażać systemy zgłaszania naruszeń w organizacjach, nie czekając na ustawę implementującą. Dzięki temu możemy wcześniej rozpocząć proces wdrożeniowy i korygować cały proces, bazując na swoich obserwacjach i informacjach zwrotnych z otoczenia wewnętrznego organizacji. Po uchwaleniu przez Sejm ustawy implementującej wdrożony system będzie wymagał jedynie korekcji, ale będzie już działał.
Ponadto powinniśmy pamiętać, że nieprawidłowości i zagrożenia nie czekają na przepisy prawa, tylko są immanentnym elementem funkcjonowania każdej organizacji. Im szybciej wdrożymy skuteczny system zgłaszania naruszeń, tym szybciej zminimalizujemy ryzyka w tym zakresie.