Wiadomo już jak przygotować się w Polsce na „sygnalistów” – przedsiębiorcy i jednostki samorządu terytorialnego muszą się dostosować do 25 września 2024 r.

Nowe wymagania związane z dostosowaniem się do ustawy o ochronie sygnalistów

Wejście w życie przepisów ustawy o ochronie sygnalistów w praktyce oznacza nowe obowiązki dla przedsiębiorców, którzy będą musieli dostosować swoje organizacje do nowych wymagań prawnych. Podstawową kwestią z jaką przedsiębiorcy będą się mierzyć, aby zdążyć z wdrożeniem regulacji do 25 września 2024 r.  będą wewnętrznych procedury  pozwalające na dokonywanie zgłoszeń naruszeń prawa (tzw. „procedury zgłoszeń wewnętrznych”). Tego typu procedury mają umożliwić skuteczną obsługę procesu zgłaszania naruszeń prawa w ramach przedsiębiorstwa. Procedury powinny  w szczególności zaadresować ścieżkę przyjęcia zgłoszenia, jego weryfikacji, podjęcie dalszych działań mających na celu wyjaśnienie zgłoszenia oraz prowadzenia rejestru przyjmowanych zgłoszeń.  Obowiązki wdrożenia procedur wewnętrznych będą spoczywać na przedsiębiorcach na rzecz których pracę w ramach umów o pracę lub umów cywilnoprawnych wykonuje co najmniej 50 osób oraz podmioty wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937. Obowiązkami dotyczącymi przyjęcia procedur wewnętrznych wskazanymi w ustawie o ochronie sygnalistów zostały objęte również jednostki samorządu terytorialnego, dla których obowiązki będą wykonywać jednostki organizacyjne jednostek samorządu terytorialnego. Dla takich podmiotów prawnych ustawodawca wprowadził jednak limit minimalnej ilości mieszkańców gmin i powiatów od którego przepisy ustawy znajdują zastosowanie wynoszący 10.000 mieszkańców (co oznacza, że podmioty, które nie spełniają takiego kryterium nie będą objęte ustawowymi obowiązkami).

 Katalog naruszeń prawa

Wewnętrzne procedury mają zapewnić możliwość zgłaszania naruszeń prawa, które zostały wymienione w ustawie o ochronie sygnalistów (art. 3 ust. 1 ustawy o ochronie sygnalistów). Katalog naruszeń prawa objętych ustawą jest szeroki. Wśród naruszeń prawa podlegających procedurze zgłoszeń wewnętrznych, zostały wskazane takie obszary prawa jak: korupcja, zamówienia publiczne,  przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwo produktów i ich zgodność z wymogami, bezpieczeństwa transportu, ochrona środowiska, ochrona konsumentów, ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów teleinformatycznych.

Przedsiębiorcy i jednostki samorządu terytorialnego (dalej jako: „Podmioty zobowiązane”) zostali dodatkowo uprawnieni do rozszerzenia katalogu naruszeń podlegających zgłoszeniom w ramach wewnętrznych kanałów o obszary wynikające z obowiązujących u podmiotu zobowiązanego regulacji wewnętrznych lub standardów etycznych, takich jak kodeksy etyki, wewnętrzne zasady postępowania lub inna dokumentacja regulująca zasady funkcjonowania w podmiocie zobowiązanym.

Informacje o naruszeniach

Przez informacje o naruszeniach prawa podlegających zgłoszeniom w ramach procedur wewnętrznych należy rozumieć informacje, w tym uzasadnione podejrzenia dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w ramach podmiotu zobowiązanego. Powyższe oznacza zdarzenie, w którym sygnalista uczestniczył np. w ramach procesu rekrutacji lub negocjacji poprzedzających zawieranie umów, lub zdarzenie związane z wykonywaniem przez sygnalistę powierzonych zadań i obowiązków, a także zdarzenie związane z innym podmiotem zobowiązanym, z którym sygnalista utrzymuje lub utrzymywał kontakt w kontekście związanym z wykonywaną przez niego pracą. Informacje o naruszeniach obejmują również próby ukrycia informacji o naruszeniach prawa.

Sygnaliści (osoby zgłaszające naruszenia)

Osobami mogącymi uzyskiwać status sygnalistów w rozumieniu przepisów ustawy o ochronie sygnalistów są osoby świadczące pracę zarobkową na rzecz podmiotu zobowiązanego, w tym pracownicy, pracownicy tymczasowi, osoby świadczące pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, przedsiębiorcy, prokurenci, akcjonariusze lub wspólnicy, członkowie organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej, osoby świadczące pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy; stażyści, wolontariusze i praktykanci (zgodnie z art. 4 ust. 1 pkt 1-11 ustawy o ochronie sygnalistów).

Obowiązek wdrożenia procedury zgłoszeń wewnętrznych, prowadzenie rejestru zgłoszeń wewnętrznych i regulacje dotyczące ochrony danych osobowych

Wdrożenie procedury zgłoszeń wewnętrznych ma na celu wprowadzenie i udostępnienie kanałów pozwalających osobom[1] współpracującym z podmiotem zobowiązanym na dokonywania zgłoszeń naruszeń prawa w ramach wewnętrznej struktury organizacyjnej podmiotu zobowiązanego.

Jednak, aby procedury zgłoszeń wewnętrznych spełniały wymagania ustawowe muszą być dostosowane co najmniej w minimalnym zakresie określonym w przepisach ustawy (tj. art. 25 ust. 1 ustawy o ochronie sygnalistów). Z tego względu procedura zgłoszeń wewnętrznych powinna określać m.in. wewnętrzną jednostkę organizacyjną lub osobę w ramach struktur organizacyjnych upoważnione do przyjmowania zgłoszeń oraz podejmowania działań pozwalających na wyjaśnienie zgłaszanego naruszenia (tzw. działania następcze), kanały przekazywania zgłoszeń wewnętrznych (np. telefonicznie, mailowo) oraz tryb postępowania dla zgłoszeń naruszeń zgłaszanych anonimowo.

Podmioty zobowiązane będą musiały prowadzić rejestr zgłoszeń wewnętrznych i przechowywać dane, które zostały zebrane w rejestrze w związku z otrzymanymi zgłoszeniami przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami (art. 29 ust. 1 pkt 1 i ust. 5 ustawy o ochronie sygnalistów).

Ponadto podmioty zobowiązane wdrażające procedury zgłaszania naruszeń wewnętrznych nie mogą zapomnieć o regulacjach dotyczących ochrony danych osobowych. Każdy podmiot zobowiązany będzie miał status administratora danych osobowych przetwarzanych w ramach obsługi zgłoszeń wewnętrznych. Z tego względu kluczowe będzie dostosowanie procedur do dokumentacji regulującej wewnętrzne procesy przetwarzania danych osobowych obowiązujących w podmiocie zobowiązanym oraz zapewnienie zgodności z wymaganiami dotyczącymi przetwarzania danych osobowych określonymi w ustawie o ochronie sygnalistów.

Obowiązek konsultacji procedur zgłoszeń wewnętrznych

Przed wdrożeniem procedur wewnętrznych należy je obligatoryjne skonsultować z zakładową organizacją związkową albo zakładowymi organizacjami związkowymi, jeżeli w danym podmiocie zobowiązanym działa więcej niż jedna taka organizacja albo wskazanymi w ustawie o ochronie sygnalistów tawicielami osób świadczących pracę na rzecz podmiotu zobowiązanego, wyłonionymi w trybie przyjętym w podmiocie zobowiązanym, jeżeli nie działa w nim zakładowa organizacja związkowa (art. 24 ust. 3 ustawy o ochronie sygnalistów). Z tego względu podmioty zobowiązane nie mogą pominąć tego typu konsultacji przed formalnym wdrożeniem procedur w ramach swoich organizacjach.

Wejście w życie procedur wewnętrznych oraz obowiązek informowania osób zatrudnionych i kandydatów do pracy o procedurze zgłoszeń wewnętrznych

Procedura zgłoszeń wewnętrznych wchodzi w życie po upływie 7 dni od dnia podania jej do wiadomości osób wykonujących pracę w sposób przyjęty w danym podmiocie zobowiązanym. Natomiast osobie ubiegającej się o pracę na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług należy przekazać informację o procedurze zgłoszeń wewnętrznych wraz z rozpoczęciem procesu rekrutacji lub negocjacji poprzedzających zawarcie umowy. Z tego względu podmioty zobowiązane powinny uwzględnić ten aspekt również w toku prowadzonych przez siebie procesów rekrutacji oraz negocjacji.

Konsekwencje braku wdrożenia procedury zgodniej z wymaganiami ustawy o ochronie sygnalistów

Brak wdrożenia procedury zgłoszeń wewnętrznych lub ustanowienie procedur z istotnymi naruszeniami wymogów wynikającymi z ustawy został usankcjonowany poprzez wprowadzenie do ustawy przepisów karnych. Naruszenie przepisów ustawy będzie skutkowało zatem odpowiedzialnością karną, która umożliwi nałożenie na odpowiedzialne za wdrożenie osoby w strukturach podmiotów zobowiązanych kary grzywny.

Brak dostosowania organizacji do wymogów ustawowych może powodować również negatywne konsekwencje w obszarze wizerunkowym oraz relacyjnym – co należy wziąć pod uwagę nie tylko w zakresie szerzenia dobrych praktyk i standardów organizacji, ale także może być kwestią wymaganą przez inne podmioty, w związku w nawiązywaniu relacji biznesowych.

Wyzwania związane z dostosowaniem do nowych obowiązków

Wyzwaniem dla podmiotów zobowiązanych może okazać się w takim zakresie określenie kanałów zgłoszeniowych adekwatnych do struktur podmiotów zobowiązanych oraz wyznaczenie osób odpowiedzialnych za obsługę zgłoszeń wewnętrznych. Dodatkowym wyzwaniem będzie zapewnienie pracownikom odpowiedniej świadomości co do nowych regulacji oraz przysługujących im uprawnień, które będą przewidziane procedurą zgłoszeń wewnętrznych (tzn. pozwolą uzyskać odpowiedzi na pytania, czy zgłoszenia mogą być anonimowe, a jeżeli nie to jaki zakres danych osobowych należy podać w ramach zgłoszenia oraz jak mogą realizować przewidziane uprawnienia i gdzie kończą się granice działań następczych mających na celu wyjaśnienie zgłoszenia naruszenia prawa).

Z drugiej strony podmioty zobowiązane będą musiały pamiętać o regulacjach ochrony danych osobowych zarówno na poziomie ustawowym, ale także w związku z przyjętymi wewnętrznie procedurami. Dużym wyzwaniem może okazać się kwestia upoważniania zewnętrznych podmiotów do obsługi zgłoszeń wewnętrznych, w tym w szczególności do korzystania z systemów elektronicznych dostarczanych przez podmioty zewnętrzne, systemy będą musiały posiadać funkcjonalności odpowiadające ustawowym obowiązkom, ale także powinny zapewniać podmiotom zobowiązanym korzystanie z tego typu rozwiązań niezależnie od modelu prawnoautorskiego w jakim będą wykorzystywane (licencja/nabycie praw), zapewniać odpowiednie wsparcie serwisowe i być proste w obsłudze dla osób, które będą z nich korzystać.

[2] Orzekanie w sprawach o tego typu czyn będzie następowało w trybie przepisów ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia.