Nowe wymagania związane z dostosowaniem przedsiębiorstw do ustawy o ochronie sygnalistów

Wejście w życie przepisów ustawy o ochronie sygnalistów w praktyce oznacza nowe obowiązki dla przedsiębiorców, którzy będą musieli dostosować swoje organizacje do nowych wymagań prawnych. Podstawową kwestią z jaką przedsiębiorcy będą się mierzyć, aby zdążyć z wdrożeniem regulacji do 25 września 2024 r.  będą wewnętrznych procedury  pozwalające na dokonywanie zgłoszeń naruszeń prawa (tzw. „procedury zgłoszeń wewnętrznych”). Tego typu procedury mają umożliwić skuteczną obsługę procesu zgłaszania naruszeń prawa w ramach przedsiębiorstwa. Procedury powinny  w szczególności zaadresować ścieżkę przyjęcia zgłoszenia, jego weryfikacji, podjęcie dalszych działań mających na celu wyjaśnienie zgłoszenia oraz prowadzenia rejestru przyjmowanych zgłoszeń.  Obowiązki wdrożenia procedur wewnętrznych będą spoczywać na przedsiębiorcach na rzecz których pracę w ramach umów o pracę lub umów cywilnoprawnych wykonuje co najmniej 50 osób oraz podmioty wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937.

 

Katalog naruszeń prawa

Wewnętrzne procedury mają zapewnić możliwość zgłaszania naruszeń prawa, które zostały wymienione w ustawie o ochronie sygnalistów (art. 3 ust. 1 ustawy o ochronie sygnalistów). Katalog naruszeń prawa objętych ustawą jest szeroki. Wśród naruszeń prawa podlegających procedurze zgłoszeń wewnętrznych, zostały wskazane takie obszary prawa jak: korupcja, zamówienia publiczne,  przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwo produktów i ich zgodność z wymogami, bezpieczeństwa transportu, ochrona środowiska, ochrona konsumentów, ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów teleinformatycznych.

Przedsiębiorcy zostali dodatkowo uprawnieni do rozszerzenia katalogu naruszeń podlegających zgłoszeniom w ramach wewnętrznych kanałów o obszary wynikające z obowiązujących u przedsiębiorców regulacji wewnętrznych lub standardów etycznych, takich jak kodeksy etyki, wewnętrzne zasady postępowania lub inna dokumentacja regulująca zasady funkcjonowania przedsiębiorstwa.

 

Informacje o naruszeniach

Przez informacje o naruszeniach prawa podlegających zgłoszeniom w ramach procedur wewnętrznych należy rozumieć informacje, w tym uzasadnione podejrzenia dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w ramach przedsiębiorstwa. Powyższe oznacza zdarzenie, w którym sygnalista uczestniczył np. w ramach procesu rekrutacji lub negocjacji poprzedzających zawieranie umów, lub zdarzenie związane z wykonywaniem przez sygnalistę powierzonych zadań i obowiązków, a także zdarzenie związane z innym przedsiębiorstwem, z którym sygnalista utrzymuje lub utrzymywał kontakt w kontekście związanym z wykonywaną przez niego pracą. Informacje o naruszeniach obejmują również próby ukrycia informacji o naruszeniach prawa.

 

Sygnaliści (osoby zgłaszające naruszenia)

Osobami mogącymi uzyskiwać status sygnalistów w rozumieniu przepisów ustawy o ochronie sygnalistów są osoby świadczące pracę zarobkową na rzecz przedsiębiorcy, w tym pracownicy, pracownicy tymczasowi, osoby świadczące pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, przedsiębiorcy, prokurenci, akcjonariusze lub wspólnicy, członkowie organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej, osoby świadczące pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy; stażyści, wolontariusze i praktykanci (zgodnie z art. 4 ust. 1 pkt 1-11 ustawy o ochronie sygnalistów).

 

Obowiązek wdrożenia procedury zgłoszeń wewnętrznych, prowadzenie rejestru zgłoszeń wewnętrznych i regulacje dotyczące ochrony danych osobowych

Wdrożenie procedury zgłoszeń wewnętrznych ma na celu wprowadzenie i udostępnienie kanałów pozwalających osobom[1] współpracującym z przedsiębiorcą na dokonywania zgłoszeń naruszeń prawa w ramach wewnętrznej struktury organizacyjnej przedsiębiorstwa.

Jednak, aby procedury zgłoszeń wewnętrznych spełniały wymagania ustawowe muszą być dostosowane co najmniej w minimalnym zakresie określonym w przepisach ustawy (tj. art. 25 ust. 1 ustawy o ochronie sygnalistów). Z tego względu procedura zgłoszeń wewnętrznych powinna określać m.in. wewnętrzną jednostkę organizacyjną lub osobę w ramach struktur organizacyjnych upoważnione do przyjmowania zgłoszeń oraz podejmowania działań pozwalających na wyjaśnienie zgłaszanego naruszenia (tzw. działania następcze), kanały przekazywania zgłoszeń wewnętrznych (np. telefonicznie, mailowo) oraz tryb postępowania dla zgłoszeń naruszeń zgłaszanych anonimowo.

Przedsiębiorcy będą musieli prowadzić rejestr zgłoszeń wewnętrznych i przechowywać dane, które zostały zebrane w rejestrze w związku z otrzymanymi zgłoszeniami przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami (art. 29 ust. 1 pkt 1 i ust. 5 ustawy o ochronie sygnalistów).

Ponadto przedsiębiorcy wdrażający procedury zgłaszania naruszeń wewnętrznych nie mogą zapomnieć o regulacjach dotyczących ochrony danych osobowych. Każdy zobowiązany przedsiębiorca będzie miał status administratora danych osobowych przetwarzanych w ramach obsługi zgłoszeń wewnętrznych. Z tego względu kluczowe będzie dostosowanie procedur do dokumentacji regulującej wewnętrzne procesy przetwarzania danych osobowych obowiązujących w przedsiębiorstwie oraz zapewnienie zgodności z wymaganiami dotyczącymi przetwarzania danych osobowych określonymi w ustawie o ochronie sygnalistów.

 

Obowiązek konsultacji procedur zgłoszeń wewnętrznych

Przed wdrożeniem procedur wewnętrznych należy je obligatoryjne skonsultować z zakładową organizacją związkową albo zakładowymi organizacjami związkowymi, jeżeli w danym przedsiębiorstwie działa więcej niż jedna taka organizacja albo przedstawicielami osób świadczących pracę na rzecz przedsiębiorcy, wyłonionymi w trybie przyjętym u przedsiębiorcy, jeżeli nie działa w nim zakładowa organizacja związkowa (art. 24 ust. 2 ustawy o ochronie sygnalistów). Z tego względu przedsiębiorcy nie mogą pominąć tego typu konsultacji przed formalnym wdrożeniem procedur w ramach swoich organizacji.

 

Wejście w życie procedur wewnętrznych oraz obowiązek informowania osób zatrudnionych i kandydatów do pracy o procedurze zgłoszeń wewnętrznych

Procedura zgłoszeń wewnętrznych wchodzi w życie po upływie 7 dni od dnia podania jej do wiadomości osób wykonujących pracę w sposób przyjęty w danym przedsiębiorstwie. Natomiast osobie ubiegającej się o pracę na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług należy przekazać informację o procedurze zgłoszeń wewnętrznych wraz z rozpoczęciem procesu rekrutacji lub negocjacji poprzedzających zawarcie umowy. Z tego względu przedsiębiorcy powinni uwzględnić ten aspekt również w toku prowadzonych przez siebie procesów rekrutacji oraz negocjacji.

 

Konsekwencje braku wdrożenia procedury zgodniej z wymaganiami ustawy o ochronie sygnalistów

Brak wdrożenia procedury zgłoszeń wewnętrznych lub ustanowienie procedur z istotnymi naruszeniami wymogów wynikającymi z ustawy został usankcjonowany poprzez wprowadzenie do ustawy przepisów karnych. Naruszenie przepisów ustawy będzie skutkowało zatem odpowiedzialnością karną, która umożliwi nałożenie na zobowiązanych przedsiębiorców kary grzywny[2], której maksymalna wysokość może wynosić 1 080 000 zł.

Brak dostosowania organizacji do wymogów ustawowych może powodować również negatywne konsekwencje w obszarze wizerunkowym oraz relacyjnym – co należy wziąć pod uwagę nie tylko w zakresie szerzenia dobrych praktyk i standardów organizacji, ale także może być kwestią wymaganą przez inne podmioty, w związku w nawiązywaniu relacji biznesowych.

 

Wyzwania związane z dostosowaniem do nowych obowiązków

Wyzwaniem dla przedsiębiorców może okazać się w takim zakresie określenie kanałów zgłoszeniowych adekwatnych do struktur przedsiębiorstwa oraz wyznaczenie osób odpowiedzialnych za obsługę zgłoszeń wewnętrznych. Dodatkowym wyzwaniem będzie zapewnienie pracownikom odpowiedniej świadomości co do nowych regulacji oraz przysługujących im uprawnień, które będą przewidziane procedurą zgłoszeń wewnętrznych (tzn. pozwolą uzyskać odpowiedzi na pytania, czy zgłoszenia mogą być anonimowe, a jeżeli nie to jaki zakres danych osobowych należy podać w ramach zgłoszenia oraz jak mogą realizować przewidziane uprawnienia i gdzie kończą się granice działań następczych mających na celu wyjaśnienie zgłoszenia naruszenia prawa).

Z drugiej strony przedsiębiorcy będą musieli pamiętać o regulacjach ochrony danych osobowych zarówno na poziomie ustawowym, ale także w związku z przyjętymi wewnętrznie procedurami. Dużym wyzwaniem może być kwestia upoważniania zewnętrznych podmiotów do obsługi zgłoszeń wewnętrznych, w tym w szczególności do korzystania z systemów elektronicznych, które będą musiały posiadać funkcjonalności odpowiadające ustawowym obowiązkom, ale także powinny zapewniać przedsiębiorcom korzystanie z tego typu rozwiązań niezależnie od modelu prawnoautorskiego w jakim będą wykorzystywane (licencja/nabycie praw) oraz będą zapewniały odpowiednie wsparcie serwisowe.

[2] Orzekanie w sprawach o tego typu czyn będzie następowało w trybie przepisów ustawy z dnia 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia.