Skip navigation

8 lipca 2021

Dyrektywa o ochronie praw sygnalistów. “Blockbuster” na miarę RODO?

Udostępnij

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, zwana powszechnie dyrektywą o ochronie praw sygnalistów, zacznie obowiązywać już 17 grudnia 2021 r. Nakłada ona na przedsiębiorców, co warto podkreślić – nie tylko tych dużych, wiele nowych obowiązków związanych z zapewnieniem szeroko pojętej zgodności organizacji w obszarze ochrony sygnalistów. Co istotne, podmioty zatrudniające powyżej 250 pracowników są zobowiązane do wdrożenia odpowiednich mechanizmów raportowania nieprawidłowości już od 17 grudnia 2021 r. Natomiast dla podmiotów zatrudniających od 50 do 249 pracowników okres ten został wydłużony tj. do 17 grudnia 2023 r.

Czy dyrektywa o ochronie sygnalistów zmieni zasady gry w zakresie compliance przedsiębiorstw działających na terenie Polski? Z pewnością. W jakiej skali? Trudno powiedzieć. Wszak do tej pory nie ma nawet projektu polskiej ustawy mającej wdrożyć dyrektywę, a to w niej znajdą się kluczowe dla przedsiębiorców szczegóły. Jednak jedno jest pewne – to idealny moment na bliższe poznanie nowych regulacji i sposobów reagowania na zgłaszane przez sygnalistów wątpliwości.

Etiologia wdrożenia dyrektywy o ochronie praw sygnalistów

Zacznijmy od początku. Jak to się w ogóle stało, że Unia Europejska (UE) wprowadziła rewolucję w zakresie ochrony sygnalistów?

Do tej pory bowiem ochrona sygnalistów była domeną raczej systemu anglosaskiego, o czym świadczy m.in. bogaty dorobek amerykańskiej kinematografii. W obszarze Europy kontynentalnej, zwłaszcza w krajach byłego bloku wschodniego, anonimowe zgłaszanie nieprawidłowości kojarzyć się mogło, delikatnie mówiąc, negatywnie.

Do czasu. W ostatnich latach sygnaliści ujawnili szereg skandali związanych m.in. z uchylaniem się od płacenia podatków i naruszeniami konkurencji. Jeśli w przypadku afery Panama Papers tożsamość sygnalistów pozostała anonimowa, to sygnaliści Antoine Deltour i Raphaël Halet ujawniający aferę LuxLeaks pozostali praktycznie bez jakiejkolwiek ochrony prawnej. Dotychczasowy brak regulacji na poziomie unijnym oraz rozbieżności między przepisami poszczególnych państw członkowskich regulującymi ochronę sygnalistów powodował zatem, że niektórzy sygnaliści w ogóle nie korzystali z ochrony.

W wyniku takich ujawnień UE dostrzegła rolę sygnalistów w skutecznym wykrywaniu przypadków naruszenia prawa, na etapie postępowań wyjaśniających i ścigania tych naruszeń. W marcu 2017 r. rozpoczęły się prace nad europejskimi ramami ochrony sygnalistów. Rozwiązania przyjęte przez Parlament UE mają znaleźć szerokie zastosowanie w obszarach takich jak:

  • zamówienia publiczne,
  • ochrona środowiska,
  • zdrowie publiczne,
  • ochrona żywności,
  • cyberbezpieczeństwo,
  • ochrona danych osobowych.

Sytuacja sygnalistów w Polsce

W polskim porządku prawnym nie ma jednej kompleksowej regulacji zapewniającej ochronę sygnalistów. Żaden z aktów prawnych nie zawiera też definicji osoby, która zgłasza naruszenia. Przepisy służące ochronie sygnalistów można znaleźć m.in. w:

  • ustawie o Policji,
  • kodeksie postępowania karnego,
  • ustawie o ochronie i pomocy dla pokrzywdzonego i świadka,
  • prawie pracy,
  • ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

W kodeksie postępowania karnego znajdziemy regulacje dotyczące ochrony osób składających zawiadomienie o przestępstwie. Te instytucje to: świadek incognito, utajnienie zeznań stanowiących podstawę wniosku o tymczasowe aresztowanie i utajnienie danych dotyczących świadków i pokrzywdzonych występujących w postępowaniu karnym.

Ustawa o ochronie i pomocy dla pokrzywdzonego i świadka stanowi implementację dyrektywy europejskiej 2012/29 UE. Ustawa ta zawiera rozwiązania, które mają zapewnić kompleksową ochronę życia i zdrowia pokrzywdzonych i świadków będących uczestnikami postępowania karnego oraz ochronę tych osób przed odwetem lub zastraszaniem w związku z tym postępowaniem karnym. Wprowadza ona przede wszystkim środki takie jak: ochrona osobista świadka i pokrzywdzonego, pomoc w zakresie zmiany miejsca pobytu czy udzielenie pomocy finansowej.

W prawie pracy znajdziemy rozwiązania, które w założeniu mają chronić pracowników w przypadku ujawnienia naruszeń. Zakaz dyskryminacji czy przeciwdziałanie mobbingowi zawarte w kodeksie pracy sprawiają, że przynajmniej teoretycznie zachowanie pracownika ujawniające nieprawidłowości nie może stanowić dla niego negatywnych konsekwencji w postaci np. rozwiązania stosunku pracy. Mimo zawarcia w kodeksie pracy tych rozwiązań coraz częściej w mediach pojawiają się informacje o zwalnianiu pracowników z powodu ujawnienia takich informacji. Oczywiście można podnieść, że sygnaliści zwolnieni w ten sposób mają możliwość dochodzenia swoich praw w sądzie, zawiadamiać prokuraturę czy nawet Rzecznika Praw Obywatelskich. Jednak po pierwsze taki sygnalista musiałby wykazać się samozaparciem w dochodzeniu do prawdy, a po drugie musiałby liczyć się z koniecznością udowodnienia, że swoim działaniem nie zaszkodził reputacji pracodawcy lub nie przyczynił się swoim zachowaniem do naruszeń, które zgłosił.

Podkreślenia wymaga jeszcze, że przepisy dotyczące ochrony sygnalistów w prawie pracy odnoszą się tylko do stosunków pracy. Oznacza to, że inne formy, takie jak np. umowa zlecenia czy umowa o dzieło, nie skorzystają z ochrony tam zawartej.

Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu odgrywa kluczową rolę w zapewnieniu bezpieczeństwa w obszarze usług finansowych. Dlatego też ustawodawca zawarł w niej mechanizmy, które mają wspierać i chronić sygnalistów zgłaszających naruszenia w tym sektorze. Ustawa ta nakłada obowiązek opracowania i wdrożenia wewnętrznej procedury anonimowego sygnalizowania rzeczywistych lub potencjalnych naruszeń przepisów. Ponadto ustawa ta w art. 53 wskazuje elementy, jakie powinna zawierać procedura zgłaszania naruszeń. Elementy te mogą być wskazówką podczas wdrażania systemu ochrony sygnalistów po 17 grudnia 2021 r. 

Jak widać, w Polsce istnieje kilka rozwiązań, które dotyczą ochrony osób zgłaszających naruszenia. Nie można jednak uznać ich za spójny i wzajemnie uzupełniający się system. Stanowi to zdecydowaną przeszkodę w zakresie zgłaszania nieprawidłowości przez sygnalistów; nie mogą oni mieć pewności, że w razie ujawnienia naruszeń zapewnione zostanie im bezpieczeństwo. Nie ma się czemu dziwić – głównym celem przytoczonych regulacji nie była ochrona sygnalistów. Pokazuje to tylko, że w polskim porządku prawnym jest miejsce i potrzeba na kompleksowy akt prawny regulujący te kwestie. 

Jakich zmian należy się spodziewać po 17 grudnia 2021 r.?

Zacznijmy od podmiotów, które będą zobowiązane do wdrożenia procedur zgodnych z dyrektywą. Dyrektywę zobowiązane będą wdrożyć wszystkie podmioty prawne w sektorze publicznym. Dotyczy to również podmiotów będących własnością lub znajdujących się pod kontrolą takich podmiotów. Ponadto przewiduje się, że procedury zgłaszania nieprawidłowości mają zostać wprowadzone przez podmioty, które zatrudniają co najmniej 50 pracowników. To nie koniec. Państwa członkowskie mogą zobowiązać podmioty w sektorze prywatnym, które zatrudniają mniej niż 50 pracowników, do ustanowienia wewnętrznych kanałów i procedur dokonywania zgłoszeń przez sygnalistów. Procedury te będą też zobowiązani wdrożyć mikro- i mali przedsiębiorcy, jeśli w ramach swojej działalności biorą udział w przetargach na zamówienia publiczne lub wykorzystują środki unijne.

Dyrektywa obejmie swoją ochroną także te kategorie osób, które, mimo braku zatrudnienia u danego pracodawcy i nieotrzymywania wynagrodzenia, mogą doświadczyć działań odwetowych za zgłoszenie naruszeń. Chodzi tutaj przede wszystkim o stażystów i wolontariuszy.

Zmiany wprowadzone dyrektywą wymagać będą od przedsiębiorców przede wszystkim utworzenia bezpiecznych kanałów raportowania. Bezpieczne kanały raportowania to narzędzia (w formie programu informatycznego lub innego powszechnie przyjętego w organizacji sposobu, np. fizycznej skrzynki pocztowej lub gorącej linii), które umożliwiać będą swobodne zgłaszanie naruszeń bez obawy o ujawnienia tożsamości.

Dyrektywa przewiduje dokonywanie zgłoszeń przez trzy rodzaje kanałów raportowania – wewnętrzny, zewnętrzny i publiczny. W pierwszej kolejności sygnalista powinien wykorzystać wewnętrzny kanał raportowania i dokonać zgłoszenia np. pracodawcy. Wobec tego pracodawcy będą zmuszeni do stworzenia i wdrożenia skutecznych procedur raportowania o nieprawidłowościach oraz monitoringu wpływających zgłoszeń.

Dyrektywa pozostawia pracodawcom wybór co do organizacji obsługi wewnętrznego kanału raportowania zgłoszeń. Może on być obsługiwany w ramach organizacji (poprzez np. zwiększenie zakresu obowiązków Inspektora Ochrony Danych lub wyznaczenie innej osoby lub działu) albo zadania te mogą zostać zlecone na zasadach outsourcingu  podmiotowi dającemu gwarancję poufności i ochrony danych objętych zleceniem (np. kancelarii prawnej lub zewnętrznemu dostawcy oprogramowania do zgłaszania nieprawidłowości).

Parlament dostrzegł też, że niewłaściwe lub niedziałające procedury ochrony sygnalistów są słabym punktem wielu systemów i mogą negatywnie wpłynąć na ilość zgłoszeń. Dlatego dyrektywa nakłada na państwa członkowskie obowiązek wprowadzenia u pracodawców (publicznych i prywatnych) mechanizmów monitorowania skuteczności kanałów wewnętrznych poprzez wprowadzenie ewidencji każdego zgłoszenia otrzymanego poprzez wewnętrzny kanał raportowania.

Niestety dyrektywa nie określa, jak taki monitoring będzie wyglądał. W tym zakresie należy poczekać na ustawę krajową. Jednak zasadne wydaje się, by przynajmniej w pierwszym okresie obowiązywania dyrektywy pracodawcy rejestrowali wszystkie zgłoszenia (łącznie z tymi, które uznano za niezasadne i nie przeprowadzano postępowania wyjaśniającego) także te świadomie fałszywe.

fotografia przedstawiająca ubranego w garnitur mężczyznę, trzymającego w ręku złotą wagę

W przypadku zewnętrznych kanałów raportowania dyrektywa przewiduje ich regularny audyt tzn. co najmniej raz na trzy lata. W wyniku takich audytów organy kontrolne mają dopracować istniejące uregulowania i zdobyć doświadczenie, które pozwoli jeszcze lepiej chronić sygnalistów.

Dodatkowo kraje członkowskie będą corocznie przekazywać Komisji Europejskiej raport zawierający liczbę zgłoszeń oraz liczbę podjętych postępowań wyjaśniających. Raport ma też zawierać wyliczenie szacunkowych szkód oraz informacje o środkach, jakie odzyskano w wyniku podjętych na podstawie zgłoszenia postępowań wyjaśniających. Ma się to przyczynić do poprawy skuteczności aktualnych środków ochrony sygnalistów na poziomie unijnym. Należy się więc spodziewać, że prawodawca będzie kładł szczególny nacisk na zebranie tych danych od pracodawców.

A co z sankcjami? Wiemy tyle, że mają być skuteczne, proporcjonalne i odstraszające. Ich zakres oraz wysokość pozostawiono krajom członkowskim. Tylko w taki sposób państwa członkowskie będą w stanie zapewnić skuteczność przepisów dotyczących ochrony sygnalistów oraz przeciwdziałaniu działaniom odwetowym.

Jakie wymagania muszą spełniać procedury zgłaszania nieprawidłowości w firmie?

Dyrektywa zwraca uwagę na konieczność zapewnienia, by wdrażane przez pracodawców procedury umożliwiały zachowanie pełnej poufności oraz uniemożliwiały (bezpośrednio lub pośrednio) identyfikację osoby sygnalisty. Zapewnienie anonimowości sygnalistów nie będzie mogło być iluzoryczne bowiem na pracodawcach ciążyć będzie obowiązek przeprowadzenia testu skuteczności kanału raportowania.

Nieuprawnieni pracownicy, którzy nie są wyraźnie umocowani do odbioru zgłoszeń w utworzonej polityce informowania o nieprawidłowościach, nie powinni mieć dostępu do zgłoszenia. Sygnaliści muszą mieć zapewnioną możliwość zgłaszania naruszeń w sposób anonimowy w sposób pisemny lub ustny. Zgłoszenie ustne powinno być dokonywane telefonicznie lub za pośrednictwem innych wdrożonych w organizacji systemów komunikacji głosowej, ale też, na wniosek sygnalisty, w wyniku bezpośredniego spotkania zorganizowanego w rozsądnym terminie. W przypadku zgłoszeń pisemnych, niezależnie od wyboru formy komunikacji (tj. skrzynka pocztowa, dedykowany adres e-mail, system informatyczny), musi ona spełniać kryteria anonimowości i poufności.

Oprócz oczywistych wymogów takich jak zapewnienie sygnalistom możliwości anonimowego zgłaszania naruszeń i związanych z tym procedur ochrony danych osobowych, pracodawcy zobowiązani będą również podjąć działania następcze wynikające ze zgłoszeń sygnalistów. Działania następcze mają doprowadzić do zbadania i oceny prawdziwości zarzutów zawartych w zgłoszeniu oraz zaradzenia naruszeniom będącym przedmiotem zgłoszenia. Polegać one mają w szczególności na dochodzeniu wewnętrznym, postępowaniu wyjaśniającym  oraz podjęciu wszelkich możliwych działań mających na celu zapobieżenie incydentom objętym zgłoszeniem w przyszłości.

Wobec powyższego dyrektywa wskazuje, że procedury na potrzeby zgłoszeń wewnętrznych i działań następczych powinny obejmować takie elementy jak:

  • kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w sposób zapewniający poufność i ochronę tożsamości sygnalisty (ale też osoby trzeciej wymienionej w zgłoszeniu) oraz uniemożliwiające uzyskanie do nich dostępu osobom nieupoważnionym,
  • wyznaczenie bezstronnych osób lub działu właściwego do podejmowania działań następczych w związku ze zgłoszeniami oraz do komunikacji z sygnalistą,
  • ustalenie rozsądnego terminu na przekazanie informacji zwrotnych (nie dłuższego jednak niż trzy miesiące od potwierdzenia otrzymania zgłoszenia),
  • zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów.

Jaką ochronę przed działaniami odwetowymi zyskają sygnaliści?

Zacznijmy od tego, czym są działania odwetowe. To bezpośrednie lub pośrednie działania lub zaniechania mające miejsce w kontekście związanym z pracą, które są spowodowane zgłoszeniem wewnętrznym lub zewnętrznym lub ujawnieniem publicznym i które wyrządzają lub mogą wyrządzić nieuzasadnioną szkodę dla sygnalisty.

Dyrektywa kładzie szczególny nacisk na przeciwdziałanie tego typu działaniom – przyjęto bowiem domniemanie, że osoby dokonujące zgłoszenia informacji na temat naruszeń lub dokonujące ujawnienia publicznego nie naruszają żadnych ograniczeń w zakresie ujawniania informacji i nie ponoszą żadnej odpowiedzialności w związku ze zgłoszeniem pod warunkiem, że miały uzasadnione podstawy, by sądzić, że ujawnienie takich informacji jest niezbędne do ujawnienia naruszenia. Dodatkowo sygnalista nie będzie ponosił odpowiedzialności w związku z uzyskaniem informacji będących przedmiotem zgłoszenia, jeśli takie uzyskanie nie stanowi odrębnego czynu zabronionego.

Ponadto w postępowaniach przed sądem lub innym organem rozpoznającym sprawę szkody, jaką poniósł sygnalista w związku z prowadzonymi wobec niego działaniami następczymi, obowiązywać będzie odwrócony ciężar dowodu. Oznacza to, że na osobie, która podjęła działania powodujące szkodę, spoczywać będzie ciężar udowodnienia, że działania te przeprowadziła z należycie uzasadnionych powodów.

Zgłaszanie nieprawidłowości a ochrona danych osobowych

Podczas tworzenia nowej dyrektywy słusznie uznano, że nie ma potrzeby tworzenia lex specialis dla nowych czynności przetwarzania. Wobec tego w zakresie ochrony danych osobowych dyrektywa wskazuje wprost, że ich przetwarzanie ma się odbywać zgodnie z rozporządzeniem (UE) 2016/679 i dyrektywą (UE) 2016/680 ze szczególnym uwzględnieniem zasad dotyczących przetwarzania danych osobowych określonych w art. 5 rozporządzenia (UE) 2016/679, art. 4 dyrektywy (UE) 2016/680 i art. 4 rozporządzenia (UE) 2018/1725. Jednak RODO nie zawiera wprost przepisów dotyczących ochrony danych osobowych sygnalistów. Nic dziwnego, nie było przecież tworzone w tym celu.

Gdzie zatem pracodawcy powinni szukać wskazówek? Pomocny może okazać się dokument o nazwie „Opinia 1/2006 w sprawie stosowania unijnych przepisów o ochronie danych do celów wewnętrznych systemu zgłaszania nieprawidłowości w zakresie rachunkowości, wewnętrzne kontrole księgowe, audyt, walka z przekupstwem, przestępstwami bankowymi i finansowymi” wywodzący się co prawda z czasów przed RODO”, niemniej jedyny zawierający ogólnounijne wytyczne dotyczące ochrony danych sygnalistów w sektorze prywatnym.

Wadą tego dokumentu jest też to, że skupia się na elementach, które były w tym czasie istotne. Dlatego warto mieć na uwadze, że nie obejmuje on swą treścią wszystkich obszarów objętych dyrektywą o ochronie praw sygnalistów.

Podsumowanie

Podobnie jak w wielu europejskich krajach w polskim porządku prawnym funkcjonują szczątkowe regulacje dotyczące zgłaszania naruszeń i ochrony sygnalistów. Są one jednak niespójne oraz stanowią barierę dla skutecznego ujawniania naruszeń i zapobiegania im. Aktualnie obowiązujące przepisy nie pozwalają sygnalistom mieć pewności, że w razie zgłoszenia naruszenia ich status będzie odpowiednio chroniony.

Prawodawca unijny na kanwie ostatnich afer ujawnionych przez sygnalistów, dostrzegając ich niebagatelną rolę w skutecznym wykrywaniu przypadków naruszenia prawa oraz brak właściwej ich ochrony w krajach członkowskich, podjął pracę nad wzmocnieniem ich ochrony.

Nowa dyrektywa unijna o ochronie praw sygnalistów, która ma zostać implementowana do polskiego porządku prawnego 17 grudnia 2021 roku nakłada na pracodawców szereg obowiązków, które mają zmienić ten stan wzmacniając poziom i skuteczność ochrony sygnalistów przed ujawnieniem ich tożsamości i odwetem.

Istotne jest, że dyrektywa daje pracodawcom z sektora prywatnego i publicznego swobodę ustanowienia kanałów dokonywania zgłoszeń. Dzięki temu będą oni mogli dostosować swój system ochrony sygnalistów do swojej struktury organizacyjnej.

Nie jest jasne, jakie dokładnie sankcje będą przewidziane za naruszenie praw sygnalistów, jednak pewne jest, że przewidziane kary będą miały charakter karny, cywilny lub administracyjny.

Błażej Wągiel

radca prawny zarządzający kancelarią IPSO LEGAL (www.ipsolegal.pl), specjalista m. in. w dziedzinie prawa medycznego i farmaceutycznego, compliance oraz w obszarze tworzenia i rozwoju spółek; entuzjasta nowych technologii

Przeczytaj więcej takich artykułów w strefie wiedzy PARP

Artykuł pochodzi z Biuletynu Euro Info 4/2021