No i stało się to, co było nieuniknione. W ciągu najbliższych dwóch lat sygnaliści (osoby informujące o nadużyciach) zostaną objęci w każdym z krajów członkowskich UE systemową ochroną prawną. Jak zakres tej ochrony będzie wyglądał w Polsce, dowiemy się dopiero po wdrożeniu do krajowego porządku prawnego przepisów, najprawdopodobniej o randze ustawowej. Przepisy te będą musiały uwzględniać wymogi dyrektywy PEiR w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii, ale też mogą być też bardziej szczegółowe.

Poniżej – w telegraficznym skrócie – parę kwestii dotyczących wymogów dyrektywy:

PODMIOTY OBOWIĄZANE: (1) podmioty prawne w sektorze prywatnym oraz wszystkie (2) publiczne podmioty prawne (ppp), w tym podmioty znajdujące się pod ich kontrolą ppp (podmioty zatrudniające powyżej 50 pracowników, gminy powyżej 10 000 mieszkańców) (3) inne podmioty, jeżeli ustawodawca tak zadecyduje.

PRZEDMIOT ZGŁOSZENIA SYGNALISTY: (1) zamówienia publiczne; (2) usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu; (3) bezpieczeństwo produktów; (4) bezpieczeństwo transportu; (5) ochrona środowiska; (6) ochrona radiologiczna i bezpieczeństwo jądrowe; (7) bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt; (8) zdrowie publiczne; (9) ochrona konsumentów; (10) ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych; (11) naruszenia zasad konkurencji i zasad pomocy państwa; (12) nadużycia podatkowe

TRZY DROGI ZGŁASZANIA NIEPRAWIDŁOWOŚCI: (1) kanały wewnętrzne (preferowane), (2) do organów państwa, (3) publicznie.

WYMOGI W ZAKRESIE ZARZĄDZANIA ZGŁOSZENIAMI: (1) bezpieczne kanały przyjmowania zgłoszeń, (2) potwierdzanie przyjęcia zgłoszenia, (3) podejmowanie działań następczych z należytą starannością, (4) przekazywanie informacji zwrotnych sygnaliście, (5) dostępność procedur zgłaszania, (6) zapewnienie poufności zgłaszającemu, (7) rejestrowanie zgłoszeń i ich retencja, (zarządzanie danymi osobowymi zgodnie z RODO.

KTO MOŻE ZOSTAĆ OBJĘTY OCHRONĄ: (1) obecni i byli pracownicy (w tym służba cywilna szczebla krajowego/lokalnego); (2) osoby w procesie rekrutacji; (3) udziałowcy, akcjonariusze, członkowie niewykonawczy; (4) wolontariusze i stażyści; (5) osoby pracujące pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców; (6) osoby pomagające sygnaliście lub z nim związane i narażone na odwet; (7) inne, wskazane w dyrektywie.

ZASADY OCHRONY SYGNALISTY: (1) zakaz działań odwetowych, w tym. m.in. w formie: zawieszenia, przymusowego urlopu bezpłatnego, zwolnienia, degradacji lub wstrzymania awansu, przekazania obowiązków, obniżenia wynagrodzenia, zmiany godzin pracy, wstrzymania szkoleń, wystawienia negatywnej opinii, zastosowania jakiejkolwiek kary dyscyplinarnej, nagany lub innej kary, w tym finansowej, przymusu, zastraszania, mobbingu lub wykluczenia, dyskryminacji, niekorzystnego lub niesprawiedliwego traktowania, skierowania a badania psychiatryczne, etc; (2) dostęp do kompleksowych informacji i pomocy prawnej; (3) brak odpowiedzialności za uzasadnione okolicznościami ujawnienie informacji prawnie chronionych; (4) odszkodowanie z tytułu poniesionych szkód i utraconych korzyści; (5) ciężar dowodu po stronie osoby działającej na szkodę sygnalisty.

KARY za: (1) utrudnianie dokonywania zgłoszeń, (2) działania odwetowe lub uciążliwe postępowania przeciwko zgłaszającym, (3) naruszanie obowiązku zachowania poufności tożsamości osób dokonujących zgłoszenia.

Co w takim razie zrobić? Są dwa najprostsze wyjścia, tj.:

ROZWIĄZANIE NR 1
Zacząć w sposób spokojny, planowy i rozsądny wdrażać wymogi dyrektywy, nie czekając na polskiego ustawodawcę, który – jak w przypadku implementacji RODO – może wdrażać krajowe prawo na ostatnią chwilę. Trzeba pamiętać, że prawo krajowe musi uwzględniać wymogi ww. dyrektywy, więc podjęte wcześniej działania na pewno nie pójdą na marne. Działając w taki sposób: (1) w spokoju przygotujemy organizację, w tym ludzi na zmiany prawne; (2) mamy szansę poprawić komunikację w organizacji i zbudować lub udoskonalić kulturę organizacyjną, co może pozytywnie wpłynąć na wzajemne zaufanie, efektywne identyfikowanie problemów i zarządzanie nimi oraz doskonalenie całej organizacji by sprawniej osiągać cele biznesowe; (3) spokojnie wybrać fachowych doradców lub stworzyć kompetentny zespół ludzi, którzy przeprowadzą organizację przez niezbędne zmiany, co z pewnością obniży koszty wdrożenia (tylko czy to jest koszt, czy raczej inwestycja w bezpieczeństwo firmy?); z każdym miesiącem zbliżającym nas do wejścia w życie przepisów dyrektywy będzie powstawało coraz więcej “fachowych”, “profesjonalnych” firm doradczych, które będą chciały zarobić na naiwności lub ufności podmiotów – RODO było tego znakomitym przykładem, ale czy zostaną z tego wyciągnięte właściwe wnioski?

ROZWIĄZANIE NR 2
Nie robić nic! Korzystając z przykładu RODO, skoro w organizacji do tej pory nie wdrożono wymogów tego Rozporządzenia UE (lub wdrożono “z przymrużeniem oka”) i nic się nie stało, to w sumie po co wdrażać system dla sygnalistów? Jak nie będzie systemu, to nie będzie zgłoszeń i nie będzie problemu (argument nierzadko przytaczany przez managerów w kontekście projektu ustawy o odpowiedzialności podmiotów zbiorowych). Niniejsze podejście do problemu opiera się na tzw. apetycie na ryzyko, tzn. poziomie (wielkości) ryzyka, które organizacja jest w stanie zaakceptować dążąc do realizacji swoich celów strategicznych. Oczywiście, przy takim podejściu droga do celu odbywa się także z naruszeniem prawa, nie wspominając o standardach etycznych! Należy jednak pamiętać, że w przypadku braku lub nieudolności wewnętrznych kanałów zgłoszeniowych, sygnalista będzie mógł przekazać informację organom ścigania lub mediom i – jeżeli jego postępowanie będzie wypełniało wymogi prawne – zostanie objęty szeroką ochroną prawną. W takiej sytuacji organizacja narażona jest na ryzyko działania w trybie zarządzania kryzysowego, który może kosztować znacznie więcej niż samo wdrożenie wymogów (nie wspominając o kwestach wizerunkowych).

QUO VADIS Organizacjo?