Rok 2021 zdecydowanie należał do sygnalistów. Mimo jednak sporego zapasu czasowego, większość państw UE nie zdążyło z implementacją dyrektywy do swoich porządków prawnych. Niemniej dyrektywa już obowiązuje, krajowej ustawy o sygnalistach brak, a pracodawcy mają szereg wątpliwości w zakresie stosowania i zapewnienia zgodności swoich organizacji w obszarze zgłaszania nieprawidłowości.
Nie ma zatem na co czekać – poniżej kilka wskazówek dotyczących tego jak rozumieć dyrektywę i jakie kroki podjąć, by nowe obowiązki przyniosły korzyść organizacji.
Całkiem nowa jakość w europejskim compliance
W ostatnich latach procedury sygnalizowania nieprawidłowości oraz ochrony sygnalistów przed odwetem, powszechnie stosowane w USA, zostały dobrowolnie wprowadzone przez wiele europejskich firm. Poza ochroną danych i prawem pracy w prawodawstwie UE nie istniały do chwili obecnej żadne ramy prawne dotyczące funkcjonowania takich systemów, wobec tego w praktyce skuteczność takich systemów jest bardzo zróżnicowana. Tym samym sygnalista nie otrzymywał wystarczającej ochrony Nowa dyrektywa w sprawie ochrony osób zgłaszających naruszenia prawa Unii (UE / 2019/1937, „dyrektywa dotycząca sygnalistów”) obowiązująca od 17 grudnia 2021 ma to zmienić.
Zrozum cel dyrektywy o ochronie sygnalistów
Dyrektywa dotycząca ochrony sygnalistów ma skutecznie ułatwiać wykrywanie, prowadzenie dochodzeń w sprawie naruszeń prawa Unii i egzekucję przestrzegania prawa Unii. Ma to być osiągnięte poprzez obowiązkowe wprowadzenie wewnętrznych, poufnych i bezpiecznych kanałów dokonywania zgłoszeń w sektorze prywatnym i publicznym. Ponadto dyrektywa przewiduje utworzenie zewnętrznych kanałów dokonywania zgłoszeń do organu wskazanego przez państwa członkowskie. W celu realizacji zgłaszania naruszeń sygnaliści mają otrzymać pełną ochronę prawną.
Dowiedz się jaki jest zakres dyrektywy o ochronie sygnalistów
Dyrektywa obejmuje wiele dziedzin, takich jak:
- zamówienia publiczne,
- usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu,
- bezpieczeństwo produktów i ich zgodność z wymogami,
- bezpieczeństwo transportu,
- ochrona środowiska,
- ochrona radiologiczna i bezpieczeństwo jądrowe,
- bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt,
- zdrowie publiczne,
- ochrona konsumentów,
- ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych.
Dyrektywa nie chroni jednak osób zgłaszających naruszenie prawa krajowego (w odróżnieniu od projektu ustawy krajowej) ani tych, którzy zgłaszają naruszenia anonimowo. Z uwagi na to, że dyrektywa zapewnia minimalną harmonizację – wyłącznie w gestii państw członkowskich jest uprawnienie do rozszerzenia zakresu ochrony dyrektywy. W związku z tym podczas implementacji dyrektywy do prawa krajowego mogą one również zdecydować się na objęcie ochroną naruszeń prawa krajowego lub ochroną anonimowych sygnalistów.
Śledź krajowe zmiany prawa
Jak wskazano powyżej, dyrektywa zapewnia minimalną harmonizację w zakresie ochrony sygnalistów. To od danego kraju członkowskiego zależeć będzie wygląd ostatecznych przepisów dotyczących sygnalistów – dlatego warto, by organizacja już teraz śledziła zmiany przepisów dotyczących zgłaszania nieprawidłowości. Musisz być szczególnie czujny jeśli Twoja organizacja działa w kilku krajach jednocześnie.
Dowiedz się, kto otrzymał ochronę
Dyrektywa wskazuje, że sygnalista to osoba pracująca dla organizacji publicznej lub prywatnej lub utrzymująca kontakt z taką organizacją w związku ze swoją działalnością zawodową, które zgłasza naruszenia prawa Unii, które są szkodliwe dla interesu publicznego. Definicja ta obejmuje szeroki wachlarz osób takich jak: pracownicy (w tym emerytowani), samozatrudnieni, akcjonariusze, wspólnicy, członkowie organu nadzoru, wolontariuszy i stażystów (bez względu na to czy otrzymują wynagrodzenie), a także osoby pracujące pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców.
Przygotuj się do ustanowienia wewnętrznych kanałów zgłaszania nieprawidłowości
Wdrożenie wewnętrznych kanałów dokonywania zgłoszeń dotyczyć będzie:
- Podmiotów gospodarczych w sektorze prywatnym zatrudniających co najmniej 50 pracowników – niezależnie od charakteru ich działalności,
- Podmiotów gospodarczych podlegających niektórym aktom Unii dotyczących usług finansowych, produktów i rynków finansowych oraz zapobieganiu praniu pieniędzy i finansowaniu terroryzmu – bez względu na próg pracowniczy (zob. Załącznik cz. I i II do dyrektywy dotyczącej sygnalistów),
- Wszystkich podmiotów prawnych w sektorze publicznym, w tym podmiotów będących własnością takich podmiotów lub przez nich kontrolowanych.
Wobec tego cały sektor publiczny, ale też duża część sektora prywatnego powinna mieć na uwadze, że będzie zobowiązana do wprowadzenia odpowiednich procedur zgłaszania nieprawidłowości oraz zapewnienia niezbędnego wsparcia jakie powinien otrzymać sygnalista zgłaszający naruszenia.
Art. 9 dyrektywy zawiera ogólne zasady dotyczące procedury zgłoszeń wewnętrznych jakie ma otrzymać sygnalista. Procedura powinna zawierać co najmniej następujące elementy:
- Kanał przyjmowania zgłoszeń: zgłoszenia należy przekazywać na piśmie ( np. za pośrednictwem skrzynki reklamacyjnej, platformy internetowej lub dedykowanego adresu e-mail) lub ustnie ( np. telefonicznie lub w sposób umożliwiający naganie zgłoszenia). Na wniosek sygnalista może dokonać zgłoszenia w wyniku bezpośredniego fizycznego spotkania.
- Wyznaczenie bezstronnej osoby lub działu: Zgłoszenia powinny być przyjmowane przez bezstronne osoby, mogą być to te same osoby które później będą podejmować działania następcze w związku ze zgłoszeniem (pod warunkiem, że zapewniona będzie niezależność i brak będzie konfliktu interesów). Dyrektywa sugeruje, że taką osobą może być np. dyrektor ds. zgodności z przepisami, dyrektor ds. zasobów ludzkich, dyrektor działu prawnego lub ds. prywatności, dyrektor finansowy lub członek zarządu. Możesz też do tego wyznaczyć zewnętrznych specjalistów, którzy zajmować się będą przyjmowaniem zgłoszeń oraz przeprowadzaniem postępowań wyjaśniających.
- Procedura zgłaszania : Otrzymanie zgłoszenia należy potwierdzić sygnaliście w ciągu siedmiu dni od jego otrzymania. Następnie należy z zachowaniem należytej staranności wdrożyć działania następcze. Dyrektywa nie wyjaśnia jednak jakie konkretne kroki należy podjąć ( np. składanie zawiadomień do organów ścigania). W związku z tym to do firmy należeć będzie ustalenie odpowiednich procesów i wytycznych. W każdym przypadku sygnalista powinien zostać poinformowany (nie później jednak niż w ciągu trzech miesięcy od potwierdzenia otrzymania zgłoszenia) o podjętych działaniach następczych. Ma to na celu zwiększenie zaufania do systemu raportowania.
- Wymogi informacyjne: informacje na temat procedur powstałych na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów muszę być przekazywane w sposób zrozumiały i łatwo dostępny.
Państwa członkowskie mogą również ustanowić bardziej szczegółowe lub surowsze obowiązki w zakresie ww. procedur. Może to dotyczyć w szczególności organizacji kanałów przyjmowania zgłoszeń, konkretnych działań następczych, które należy podjąć, oraz kar jakie mogą zostać nałożone na podmiot nieprzestrzegający nowych przepisów.
Poinformuj zespół
Każdy członek organizacji powinien być doskonale poinformowanych na temat procedur i kanałów dokonywania zgłoszeń wewnątrz firmy lub urzędu. Regulamin zgłoszeń wewnętrznych powinien mieć status wewnątrzzakładowego źródła prawa i być maksymalnie przejrzysty. Dobrym pomysłem jest wprowadzenie indywidualnego dla organizacji kodeksu etyki, w którym zostaną zawarte wszelkie prawa i obowiązki oraz rodzaje zgłoszeń wewnętrznych. Nie zapomnij też poinformować pracowników o karach jakie grożą za utrudnianie lub usiłowanie utrudniania zgłaszania nieprawidłowości oraz zgłoszenia nieprawdziwe.
Nie zapomnij o RODO!
Dyrektywa dotycząca zgłaszania nieprawidłowości wprowadza szerokie obowiązki w zakresie ustanowienia wewnętrznych kanałów zgłaszania nieprawidłowości w różnych branżach i sektorach.
Firmy powinny zatem odpowiednio wcześniej zapoznać się z nowymi obowiązkami i podjąć kroki przygotowawcze. Główny nacisk firmy powinny położyć na prawo ochrony danych. Prócz obowiązków wynikających z RODO i ustawy o ochronie danych osobowych, należy też wziąć pod uwagę decyzje wydane przez Prezesa Urzędu Ochrony Danych Osobowych. Przy ustanawianiu własnego systemu informowania o nieprawidłowościach należy również wziąć pod uwagę konsekwencje wynikające z prawa pracy. Krajowy projekt ustawy wdrażającej omawianą dyrektywę może nakładać dalsze zobowiązania – zarówno w zakresie stosowania jak i dodatkowych procedur. Rozpoczęcie przygotowań do wdrożenia minimalnych standardów wynikających z dyrektywy zdecydowanie ułatwi firmom wdrożenie dodatkowych wytycznych krajowych.
Masz pytania dotyczące wdrożenia systemu ochrony sygnalistów? Chętnie odpowiemy na Twoje pytania. Odezwij się do nas na office@ipsolegal.pl lub bezpośrednio z Błażejem Wągielem.
Chcesz wiedzieć więcej na temat sygnalistów? Sprawdź nasze poprzednie wpisy:
KANAŁY ZGŁASZANIA NIEPRAWIDŁOWOŚCI – WADY I ZALETY POSZCZEGÓLNYCH ROZWIĄZAŃ
OCHRONA SYGNALISTÓW – CO MUSISZ WIEDZIEĆ PRZED WEJŚCIEM W ŻYCIE DYREKTYWY?
DYREKTYWA O OCHRONIE PRAW SYGNALISTÓW – NOWE OBOWIĄZKI FIRM
OCHRONA SYGNALISTÓW A OCHRONA DANYCH OSOBOWYCH
Możesz też obejrzeć przygotowane przez nas filmy edukacyjne: