• e-nform
  • Ochrona sygnalistów w organizacji – jak sobie pościelisz, tak się wyśpisz.

Ochrona sygnalistów w organizacji – jak sobie pościelisz, tak się wyśpisz.

13 grudnia, 2021

blog:

Ochrona sygnalistów w organizacji – jak sobie pościelisz, tak się wyśpisz.

Paolo Coelho w „Czarownicy z Portobello” napisał „Ile dasz, tyle otrzymasz, czasem z najbardziej niespodziewanej strony”, Klaudiuszowi Appiuszowi Cekusowi przypisuje się słowa: „Każdy jest kowalem własnego losu”, a w Księdze Ozeasza w Starym Testamencie możemy znaleźć powiedzenie „Kto sieje deszcz, zbiera burzę.” Co łączy te słynne cytaty? Tytuł niniejszego artykułu jest ich parafrazą i w kontekście wdrażania w organizacji systemu ochrony sygnalistów wskazuje, że sukces lub porażka tego systemu zależy od podejścia organizacji, a w szczególności od jej decydentów. 

Kierownictwo organizacji obowiązanej do wdrożenia wymogów dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej Dyrektywa dot. ochrony sygnalistów) oraz ustawy implementującej te wymogi do polskiego porządku prawnego (dalej ustawa implementująca) ma do wyboru trzy główne drogi, którymi może podążyć, tj.:

  1. zlekceważenie nowych wymogów prawnych,
  2. wdrożenie wymogów na minimalnym, wymaganym poziomie,
  3. implementację wymogów w sposób rzetelny i zaangażowany.

Pierwsze podejście będzie wynikało między innymi z ignorancji, braku wyobraźni i odpowiedzialności za organizację i jej interesariuszy wewnętrznych i zewnętrznych, ze swoiście pojmowanej oszczędności lub będzie wyrazem infantylnego buntu przeciwko kolejnym, narzucanym przez państwo wymogom prawnym. Ta opcja wydaje się być mocno ryzykowna, choć nie można wykluczyć, że część organizacji nią podąży. 

Druga droga związana jest minimalistycznym podejściem wielu organizacji do implementacji wymogów prawa. W tym przypadku kierownictwo zazwyczaj analizuje nowe przepisy z perspektywy potencjalnych sankcji i zagrożeń dla organizacji i wdraża takie procesy, które mają na celu redukcję zagrożeń związanych brakiem dostosowania się do tychże przepisów. Z dotychczasowych obserwacji życia społeczno-gospodarczego Polski można założyć, że taki sposób działania będzie najbardziej popularny wśród podmiotów zarówno sektora publicznego jak i prywatnego. 

Najbardziej pożądanym wyborem z perspektywy otoczenia wewnętrznego i zewnętrznego organizacji jest – co jest zrozumiałe – trzecia droga, którą podążą podmioty świadome idei stojącej za wymogami unijnej dyrektywy oraz widzące w niej szansę zarówno na stworzenie bezpiecznego środowiska pracy, jak również na doskonalenie organizacji i wzmacnianie jej kultury organizacyjnej. Dla takich podmiotów budowanie skutecznego systemu zgłaszania naruszeń i ochrony sygnalistów (whistleblowing system) to przede wszystkim korzyści takie jak:

  1. szybka identyfikaca naruszeń i zagrożeń,
  2. minimalizacja strat (finansowych, wizerunkowych),
  3. minimalizacja kosztów,
  4. doskonalenie procesów,
  5. budowa wizerunku etycznej i odpowiedzialnej organizacji.

Niestety perspektywa korzyści będzie atrakcyjna tylko dla firm i instytucji publicznych, które wybiorą trzecią drogę. Dla pozostałych firm motywatorem do ewentualnego działania będą potencjalne zagrożenia związane z brakiem lub niewłaściwie wdrożonym systemem dla sygnalistów. Do takich zagrożeń zaliczyć możemy w szczególności:

  1. Sankcje przewidziane przez ustawodawcę za naruszenie ustanowionych reguł prawnych. Sama dyrektywa dot. ochrony sygnalistów domaga się od Państw członkowskich ustanowienia i stosowania wobec osób fizycznych lub prawnych skutecznych, proporcjonalnych i odstraszających sankcji za:
  1. utrudnianie lub usiłowanie utrudniania dokonywania zgłoszeń;
  2. działania odwetowe lub uciążliwe działania wobec sygnalistów;
  3. naruszenie poufności tożsamości sygnalistów;
  4. świadome przekazanie przez sygnalistę nieprawdziwych informacji o naruszeniu.

W tym kontekście należy także dodać, że pierwszy projekt ustawy implementującej, który został opublikowany 18 października 20221 r. przewidywał także sankcje za brak ustanowienia wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych jak również za ustanowienie procedury naruszającej wymagania prawne w tym zakresie. Co więcej nasz polski ustawodawca, za wszystkie powyższe naruszenia przewidział kary w postaci grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat 3.

  1. Zgłoszenia przez sygnalistów naruszeń z pominięciem kanału wewnętrznego. Taka sytuacja może być bardzo niebezpieczna dla organizacji, gdyż w przypadku przekazania przez sygnalistę informacji o naruszeniu do instytucji państwa właściwych do przyjmowania takich zgłoszeń lub w przypadku publicznego ujawnienia przez niego takich informacji, organizacja traci kontrolę nad danym problemem i zamiast nim skutecznie zarządzać, musi reagować na działania otoczenia zewnętrznego (np. czynności organów ścigania, informacje pojawiające się w mediach). Taka sytuacja może zarówno doprowadzić do nałożenia sankcji na organizację (np. w związku z ujawnionymi incydentami w zakresie przetwarzania danych osobowych) i jej pracowników, jak również boleśnie uderzyć w jej wizerunek.
  2. Zgłoszenia fikcyjnych nadużyć. W przypadku źle wdrożonego lub niewłaściwie zarządzanego systemu zgłaszania nieprawidłowości i ochrony sygnalistów (inaczej: system whistleblowingowy) może on służyć nieuczciwym osobom jako narzędzie do manipulacji. Za pośrednictwem ustanowionych w organizacji kanałów zgłoszeniowych mogą bowiem być przekazywane fałszywe informacje mające na celu wywarcie mylnego wrażenia o określonych osobach w organizacji i zaszkodzenia im. Takie zgłoszenia przy nieodpowiedzialnym zarządzaniu mogą nie tylko zaszkodzić uczciwym osobom, ale także angażować siły i środki organizacji do weryfikacji nieprawdziwych informacji.
  3. Utrata lub naruszenie poufności wrażliwych dla organizacji informacji. Wdrażając system whistleblowingowy należy mieć świadomość, że będą w nim gromadzone informacje o charakterze wrażliwym. Po pierwsze, zgłoszenia mogą (i zapewne będą) zawierać dane osobowe samych sygnalistów, jak również potencjalnych sprawców („potencjalnych”, ponieważ wymaga to potwierdzenia), świadków czy osób lub podmiotów pokrzywdzonych. Po drugie, w zgłoszeniu mogą pojawić się szczególne kategorie danych osobowych (np. informacje o orientacji seksualnej, wyznawanej religii, preferencjach politycznych czy stanie zdrowia osób), co do których przetwarzania organizacja może nie mieć zarówno podstaw prawnych, jak również faktycznych.  Po trzecie, zgłoszenia – co do zasady – będą dotyczyły zdarzeń nieprzyjemnych czy też problematycznych dla organizacji, w tym w szczególności nieprawidłowości. 

Jeżeli więc informacje o takich nieprawidłowościach – w związku z brakiem należytej ochrony tychże informacji w całym cyklu ich przetwarzania – dotarłyby do otoczenia zewnętrznego podmiotu, np. w ramach publikacji medialnej, to – podobnie jak w punkcie 2 – mogłoby to:

  1. spowodować negatywne skutki wizerunkowe dla organizacji, 
  2. sprowokować np. organy ścigania czy nadzoru do podjęcia stosownych działań (np. śledczych lub kontrolnych), a także
  3. zrujnować zaufanie do całego systemu zarówno otoczenia wewnętrznego jak i zewnętrznego organizacji.

Świadomość korzyści i zagrożeń związanych z wdrożeniem lub brakiem wdrożenia systemu whistleblowingowego w istotnym stopniu będzie kształtowała postawy osób decyzyjnych (przynajmniej ich część), a w konsekwencji wpływała na wybór drogi jaką podąży organizacja w tym zakresie. Należy jednak podkreślić, że decyzja o wdrożeniu takiego systemu to dopiero początek jej drogi. Od dalszych decyzji managementu oraz osób odpowiedzialnych za działania wdrożeniowe i operacyjne będą zależały bezpieczeństwo, efektywność i skuteczność systemu. 

Na jakie więc elementy systemu whistleblowingowego należy zwrócić szczególną uwagę, by przynosił on korzyści, a nie generował lub intensyfikował różnego rodzaju ryzyka?

Jedna z pierwszych decyzji będzie dotyczyła kanałów zgłaszania naruszeń. Oprócz ich liczby i rodzajów, istotny będzie także ich charakter, tj. poufność lub anonimowość.
W przypadku wdrożenia poufnego systemu zgłaszania naruszeń, tożsamość osoby zgłaszającej jest znana osobom odbierającym zgłoszenie i prowadzącym działania następcze. Konieczność ujawnienia przez sygnalistę swoich danych osobowych, mimo że objęte są one ochroną przed dostępem osób nieupoważnionych, będzie zniechęcała wiele osób do zgłaszania nieprawidłowości, co po stronie organizacji zwiększa obszar niewiedzy w zakresie potencjalnych zagrożeń lub naruszeń. Z drugiej zaś strony, system poufny minimalizuje ryzyko pojawienia się zgłoszeń nieprawdziwych, gdyż raczej mało prawdopodobne jest, że ktoś podpisze się własnym nazwiskiem pod fałszywym zgłoszeniem. Natomiast kanały anonimowe będą budziły większe zaufanie wśród potencjalnych sygnalistów, gdyż uniemożliwiają identyfikację tożsamości osób zgłaszających. Dla wielu osób zasady ochrony sygnalistów określone w powszechnie obowiązujących przepisach prawa lub w wewnętrznych aktach normatywnych mogą być niewystarczające do podjęcia decyzji o zgłoszeniu nadużycia. Po drugie, sygnalista anonimowy nie ryzykuje ewentualnego udziału w czynnościach procesowych prowadzonych przez organy ścigania i wymiar sprawiedliwości. To co dla części organizacji jest minusem kanałów anonimowych, to ryzyko większej liczby zgłoszeń, którymi trzeba zarządzać oraz ryzyko pojawienia się zgłoszeń nieprawdziwych, których autorzy mogą pozostać bezkarni.

Niezwykle istotnym aspektem systemów whistleblowingowych jest sposób zarządzania informacją w całym cyklu jej życia w organizacji. Żeby właściwie zaplanować, wdrożyć i utrzymać skuteczny i bezpieczny proces przetwarzania informacji należy wziąć pod uwagę procesy, którym poddawana jest informacja ze zgłoszeń, w tym w szczególności: pozyskiwanie, rejestrowanie, przechowywanie, analizowanie, dystrybucja, generowanie, archiwizowanie, usuwanie. Warto zaznaczyć, że już sam wybór kanału zgłaszania naruszeń będzie często determinował dalszy sposób przetwarzania informacji. Inaczej będzie wyglądało zarządzanie informacją pozyskaną i przetwarzaną dalej w firmie papierowej (np. list, kartka umieszczona w skrzynce na zgłoszenia), a inaczej w formie elektronicznej (np. mail, aplikacja webowa).

Biorąc pod uwagę wrażliwość informacji zawartych w zgłoszeniach, o czym była mowa wcześniej, bardzo ważne jest ich bezpieczeństwo rozumiane jako zapewnienie:

  1. poufności – dostęp do informacji posiadają jedynie osoby upoważnione;
  2. dostępności – informacja jest osiągalna i użyteczna dla upoważnionej osoby;
  3. integralności – informacja jest kompletna i dokładna,
  4. rozliczalności – każde działanie z informacją można przypisać określonej osobie fizycznej oraz umiejscowić je w czasie.

Oprócz bezpieczeństwa informacji należy również zwrócić uwagę na efektywność jej przetwarzania co może mieć istotny wpływ m.in. na szybkość i skuteczność procesu decyzyjnego. Organizacja powinna zapewnić w tym zakresie taki system przetwarzania informacji, który pozwoli m.in. na jej efektywne analizowanie i dystrybuowanie między operatorami systemu, osobami z obszaru wsparcia, a decydentami. W obiegu informacji nie można także pominąć samych sygnalistów, wobec których muszą być spełnione wymagane dyrektywą obowiązki informacyjne oraz którzy mogą aktywnie wspierać prowadzone działania następcze. Należy również pamiętać o właściwym doborze kompetentnych kadr odpowiedzialnych za przyjmowanie zgłoszeń i ich weryfikację oraz prowadzenie czynności wyjaśniających. 

Innym bardzo ważnym elementem decydującym o sukcesie lub porażce wdrożonego systemu dla sygnalistów jest edukacja i komunikacja. Nawet najlepsze kanały i procedury zgłoszeniowe nie spełnią swojej roli w systemie, w którym funkcjonują nieświadomi uczestnicy. Skuteczne działania informacyjne muszą zatem uwzględnić specyfikę zasobów ludzkich organizacji, która będzie determinowała formę i zakres przekazu. Tak samo przedsięwzięcia edukacyjne powinny opierać się na ukierunkowanym, przemyślanym i angażującym przekazie. Co możemy dzięki temu osiągnąć? Podnosząc świadomość pracowników i budując z nimi relacje oparte na zaufaniu, organizacja może:

  1. minimalizować ryzyko występowania zgłoszeń zewnętrznych, w tym, ujawnień publicznych (poddanie informacji o naruszeniu np. do mediów),
  2. skutecznie przeciwdziałać zgłaszaniu nieprawdziwych naruszeń oraz podejmowaniu działań odwetowych wobec zidentyfikowanych sygnalistów,
  3. podnosić jakość przekazywanych przez sygnalistów zgłoszeń, co z pewnością przełoży się na skuteczność działań,
  4. zapewnić bezpieczeństwo przetwarzanych informacji.

Kluczowy wpływ na podejście organizacji do wdrożenia i zarządzania systemem whsteblowingowym ma jej kierownictwo i to na jego barkach spoczywa ewentualny sukces lub porażka przedsięwzięcia. To właśnie osoby zarządzające organizacją będą:

  1. wyznaczały lub akceptowały proponowane kierunki i zakres działań,
  2. zapewniały zasoby kadrowe, techniczne i finansowe niezbędne do wdrożenia i utrzymania systemu whistleblowingowego,
  3. podejmowały kluczowe decyzje w toku i na koniec procesu wyjaśniania zgłoszeń.

Kadra kierownicza musi zdawać sobie sprawę z jej roli w całym procesie dokonywania zgłoszeń nadużyć oraz ochrony sygnalistów. Musi być świadoma, że zgłoszenia przekazywane przez sygnalistów nie generują problemów dla organizacji, tylko pozwalają na zarządzanie nimi na możliwie wczesnym etapie. 

Bezpieczny system zgłaszania naruszeń i ochrony sygnalistów oparty na zaufaniu i poczuciu odpowiedzialności za organizację to niezwykle skuteczne narzędzie wczesnego ostrzegania. Dobrze zarządzane zapewnia bezpieczeństwo funkcjonowania organizacji niezbędne do realizacji jej strategicznych celów. Nierzetelnie lub pozornie wdrożone i utrzymywane potrafi wyrządzić poważne szkody i generować nowe zagrożenia. 

Należy również pamiętać, że profesjonalny system whisteblowingowy składa się z wielu komplementarnych elementów, które tak jak puzzle możemy ułożyć w jeden spójny i kompletny obraz, albo pozostawić je w nieładzie i oczekiwać na mniejszą lub większą katastrofę. Który model wybierze Twoja organizacja?

Vector

autor

Rafał Hryniewicz

Prezes zarządu E-nform Sp. z o.o.

udostępnij

Czytaj także

E-nform_blog_KE
Bez-nazwy-1
dyrektywa sygnaliści
E-nform_blog_System-dla-sygnalistów-jako-niezbędny-element-kontroli-zarządczej — kopia

Dołącz do grona naszych profesjonalnych Partnerów

Przekonaj się jak e-nform whistleblowing system może zwiększyć bezpieczeństwo i skuteczność Twojej organizacji w osiąganiu jej celów!

Jeżeli masz pytania dotyczące naszego systemu lub naszych usług, skontaktuj się z nami. Rozwiejemy wszelkie Twoje wątpliwości.

skontaktuj się z nami

Zaufaj naszemu wieloletniemu doświadczeniu!

Scroll to Top