Przepisy o ochronie sygnalistów. Nowe obowiązki pracodawców
opublikowano: 2024-10-03 przez: Więckowska Milena
Krzysztof Krak
1. Wprowadzenie
Sygnaliści odgrywają w organizacjach kluczową rolę w zapewnieniu zgodności ich działalności z prawem. Często są pierwszym źródłem informacji o naruszeniach, co umożliwia wykrywanie i eliminowanie nieprawidłowości, które mogłyby pozostać niezauważone lub niewyjaśnione. Odpowiednie przygotowanie i wdrożenie procedur zgłaszania naruszeń może przyczynić się do skutecznego zarządzania ryzykiem nadużyć w organizacji, a także do identyfikacji problemów w całej organizacji. Ponadto mogą one zapewnić bezpieczniejsze środowisko pracy, wspierając kulturę organizacyjną opartą na zaufaniu i otwartej komunikacji.
1. Wprowadzenie
Sygnaliści odgrywają w organizacjach kluczową rolę w zapewnieniu zgodności ich działalności z prawem. Często są pierwszym źródłem informacji o naruszeniach, co umożliwia wykrywanie i eliminowanie nieprawidłowości, które mogłyby pozostać niezauważone lub niewyjaśnione. Odpowiednie przygotowanie i wdrożenie procedur zgłaszania naruszeń może przyczynić się do skutecznego zarządzania ryzykiem nadużyć w organizacji, a także do identyfikacji problemów w całej organizacji. Ponadto mogą one zapewnić bezpieczniejsze środowisko pracy, wspierając kulturę organizacyjną opartą na zaufaniu i otwartej komunikacji.
W Polsce brakowało kompleksowej regulacji dotyczącej ochrony sygnalistów. Pewne regulacje, w podstawowym zakresie, można było znaleźć m.in. w ustawie z dnia 29 sierpnia 1997 r. – Prawo bankowe[1] oraz ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu[2]. Przepisy te w dość ogólny sposób nakładały obowiązek ustanowienia wewnętrznych procedur zgłaszania naruszeń oraz ogólnie określały zakres ochrony przysługującej osobie zgłaszającej naruszenie, zakazując działań represyjnych i pogarszających jej status. Inne przepisy, jak na przykład ustawa z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych[3], regulowały jedynie obowiązek ustanowienia procedur zgłaszania naruszeń, bez określenia szczegółowego zakresu.
Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów[4] (dalej: „ustawa”) wprowadza rozbudowane przepisy mające na celu ochronę osób zgłaszających naruszenia prawa w miejscach pracy. Nakłada także na pracodawców obowiązek przygotowania i wdrażania procedur zgłaszania naruszeń. Nowe przepisy dotyczące ochrony sygnalistów nie ograniczają się jednak wyłącznie do ustanowienia wewnętrznych regulacji. Ustawa przewiduje szereg innych obowiązków związanych z przyjmowaniem i rozpatrywaniem zgłoszeń.
2. Nowe przepisy i obowiązki
Przepisy ustawy już w samym jej tytule wprowadzają pojęcie „sygnalista”, precyzując następnie, kto może być uznany za taką osobę. Nakładają one na pracodawców obowiązek zapewnienia bezpiecznych i poufnych kanałów zgłaszania naruszeń oraz wymóg podejmowania działań następczych i ich wyjaśniania. Umożliwiają również sygnalistom zgłaszanie naruszeń do organów publicznych, z pominięciem procedury wewnętrznej, bez konieczności informowania o tym pracodawcy. Ustawa zapewnia szeroki zakres ochrony sygnalistom, także w przypadku ujawnienia publicznego, gdy działając w interesie publicznym, poinformują oni opinię publiczną. Należy jednak spełnić przy tym dodatkowe warunki.
Ustawa chroni sygnalistów przed działaniami odwetowymi, ich próbami oraz groźbami, które mogą ich spotkać w związku z dokonaniem zgłoszenia lub ujawnieniem informacji o naruszeniu prawa. Ponadto przewiduje ona sankcje za takie działania wobec sygnalistów oraz osób im pomagających lub z nimi powiązanych. Podobne sankcje są przewidziane za działania utrudniające lub uniemożliwiające zgłaszanie naruszeń. Istotne jest, że sankcje mogą również grozić każdemu, kto celowo przekaże nieprawdziwe informacje. Ustawa określa także wymogi dla organów publicznych dotyczące ustanowienia własnych procedur i zasad postępowania w przypadku dokonania zewnętrznego zgłoszenia przez sygnalistę do tych organów.
3. Definicja sygnalisty i zakres ochrony
Sygnalistą, zgodnie z ustawą, jest osoba fizyczna, która zgłasza lub publicznie ujawnia informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą, obejmującą szeroki krąg osób, takich jak pracownicy, pracownicy tymczasowi, osoby świadczące pracę na podstawie umów cywilnoprawnych, przedsiębiorcy, prokurenci, akcjonariusze, członkowie organów osób prawnych, stażyści, wolontariusze, praktykanci, funkcjonariusze służb oraz żołnierze (art. 4). Uznanie tak szerokiego kręgu osób za potencjalnych sygnalistów jest ważnym rozwiązaniem, ponieważ zapewnia to ochronę nie tylko pracownikom, ale także wszystkim osobom zaangażowanym w działalność organizacji, niezależnie od formy ich zatrudnienia czy współpracy. Sygnalistą może zostać również osoba, która odeszła z danego miejsca pracy, np. do innej firmy lub na emeryturę, a przekazane informacje o naruszeniach dotyczyły okresu, kiedy była zatrudniona w tym podmiocie. Zakres ochrony został rozszerzony nawet na osoby będące w fazie rekrutacji, jeśli dowiedziały się o naruszeniach prawa w trakcie tego procesu.
Sygnalista podlega ochronie od chwili dokonania zgłoszenia (wewnętrznego lub zewnętrznego) lub ujawnienia publicznego, pod warunkiem że miał uzasadnione podstawy sądzić, iż informacja będąca przedmiotem zgłoszenia jest prawdziwa w momencie jej przekazywania i stanowi informację o naruszeniu prawa (art. 6). Ochrona sygnalisty od momentu zgłoszenia lub ujawnienia publicznego zapewnia, że osoby zgłaszające naruszenia prawa nie powinni obawiać się reperkusji. Kluczowym elementem tej ochrony jest wymóg, aby sygnalista miał dostateczne przekonanie, że przekazywane przez niego informacje są oparte na prawdzie. Oznacza to, że sygnaliści powinni działać w dobrej wierze.
Ustawa wprowadza możliwość anonimowego dokonywania zgłoszeń przez sygnalistów (art. 7 ust. 1). Pracodawcy mogą, ale nie muszą, przyjmować takie zgłoszenia. Jeżeli zdecydują się na ich akceptację, muszą stworzyć odpowiednie kanały umożliwiające ich bezpieczne przekazywanie, poinformować o tym pracowników oraz uwzględnić to w wewnętrznej procedurze. Dla pracodawcy oznacza to konieczność opracowania dodatkowych zasad postępowania i wprowadzenia zabezpieczeń, które zagwarantują, że tożsamość sygnalisty pozostanie nieznana. Przyjmowanie anonimowych zgłoszeń może być korzystne, ponieważ eliminuje obawę przed możliwymi represjami. Może także zachęcić więcej osób do zgłaszania naruszeń w swojej organizacji. Dzięki temu pracodawca może uzyskać istotne informacje o nieprawidłowościach, które mogłyby zostać przemilczane. Dotyczyć to może szczególnego rodzaju naruszeń, takich jak korupcja, lub przypadków, gdy np. dotyczą przełożonych sygnalisty.
4. Zakres naruszeń prawa
Ustawa określa, że naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu jego obejście. Obejmuje to naruszenia prawa w zakresie: korupcji, zamówień publicznych, usług, produktów i rynków finansowych, przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, bezpieczeństwa produktów i ich zgodności z wymogami, bezpieczeństwa transportu, ochrony środowiska, ochrony radiologicznej i bezpieczeństwa jądrowego, bezpieczeństwa żywności i pasz, zdrowia i dobrostanu zwierząt, zdrowia publicznego, ochrony konsumentów, ochrony prywatności i danych osobowych, bezpieczeństwa sieci i systemów teleinformatycznych, interesów finansowych Skarbu Państwa, jednostek samorządu terytorialnego oraz Unii Europejskiej, rynku wewnętrznego UE, w tym zasad konkurencji, pomocy państwa oraz opodatkowania osób prawnych, a także konstytucyjnych wolności i praw człowieka oraz obywatela w relacjach z organami władzy publicznej (art. 3 ust. 1).
Ustawy nie stosuje się do informacji objętych przepisami o ochronie informacji niejawnych oraz innych informacji, które nie podlegają ujawnieniu ze względów bezpieczeństwa publicznego, tajemnicy zawodowej zawodów medycznych oraz prawniczych, tajemnicy narady sędziowskiej, a także postępowania karnego w zakresie tajemnicy postępowania przygotowawczego oraz tajemnicy rozprawy sądowej prowadzonej z wyłączeniem jawności. Ponadto ustawy nie stosuje się do naruszeń prawa w zakresie zamówień w dziedzinach obronności i bezpieczeństwa, umów offsetowych oraz innych środków podejmowanych w celu ochrony podstawowych lub istotnych interesów bezpieczeństwa państwa. Wyłączenie dotyczy także zadań mających na celu zapewnienie bezpieczeństwa narodowego, wykonywanych przez służby specjalne, o których mowa w art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa oraz Agencji Wywiadu[5].
5. Procedura zgłaszania naruszeń
Ustawa precyzuje, które podmioty prawne są zobowiązane do stosowania jej przepisów. Zgodnie z art. 23 ust. 1 ustawy przepisy dotyczące ochrony sygnalistów stosuje się do podmiotów prawnych, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Do tej liczby wlicza się pracowników w przeliczeniu na pełne etaty oraz osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, pod warunkiem że nie zatrudniają one do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia (art. 23 ust. 2).
Warto zwrócić uwagę, że próg 50 osób nie ma zastosowania do podmiotów prawnych wykonujących działalność w określonych sektorach. Wyjątki te dotyczą podmiotów świadczących usługi, produkty i rynki finansowe oraz zajmujących się przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwem transportu i ochroną środowiska, które są objęte zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii[6] (art. 23 ust. 3).
W przypadku podmiotów prawnych będących jednostkami samorządu terytorialnego (dalej: „JST”) obowiązki określone w ustawie wykonują jednostki organizacyjne tych jednostek, z wyłączeniem art. 28 ust. 5, czyli ustanowienia wspólnej obsługi (art. 23 ust. 4). W praktyce oznacza to, że JST mają pewną swobodę w kształtowaniu procedur wewnętrznych, ale muszą jednocześnie dbać o to, aby były one zgodne z wymogami ustawy dotyczącymi ochrony niezależności i odrębności procedur zgłoszeń.
Procedury te muszą być opracowane po konsultacjach z organizacjami związkowymi, a w przypadku ich braku – z przedstawicielami pracowników. Konsultacje te powinny trwać od 5 do 10 dni od dnia przedstawienia projektu procedury (art. 24 ust. 3 i 4). Po zakończeniu konsultacji pracodawcy muszą poinformować pracowników o wdrożeniu nowej procedury na co najmniej 7 dni przed datą jej obowiązywania (art. 24 ust. 5). Przepis ten podkreśla konieczność współpracy z pracownikami w procesie tworzenia procedur zgłaszania naruszeń. Poinformowanie pracowników o wdrożeniu z wyprzedzeniem jest kluczowe, aby każdy miał czas na zapoznanie się z nowymi regulacjami i mógł z nich korzystać w pełni świadomie.
Pracodawcy mają obowiązek stałego informowania nowych pracowników oraz osób ubiegających się o pracę o obowiązujących procedurach. Informacje te muszą być przekazywane w momencie rozpoczęcia rekrutacji lub negocjacji poprzedzających zawarcie umowy (art. 24 ust. 6). Dzięki temu potencjalni pracownicy mają pełną świadomość mechanizmów zgłaszania naruszeń i ochrony sygnalistów. Mogą być oni świadkami naruszeń prawa, takich jak nieuczciwe praktyki rekrutacyjne lub inne nieprawidłowości, jeszcze zanim formalnie rozpoczną pracę. Będzie to więc zapewne pierwszy dokument wewnętrzny, z którym kandydat do pracy w tym podmiocie powinien się zapoznać.
Dodatkowo pracodawcy są zobowiązani do informowania pracowników o możliwości zgłaszania naruszeń do Rzecznika Praw Obywatelskich (dalej: „RPO”) oraz organów publicznych (art. 25 ust. 1 pkt 8). Informacja ta powinna być przekazywana w sposób jasny i dostępny dla wszystkich pracowników. Pracownicy mają także prawo zgłaszać informacje o naruszeniu prawa bezpośrednio do odpowiednich instytucji, organów lub jednostek organizacyjnych Unii Europejskiej, takich jak np. Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) czy Europejski Inspektor Ochrony Danych (EDPS).
Zgłoszenia do RPO i innych organów państwa będzie jednak możliwe dopiero kiedy organy te ustanowią własne procedury zgłoszeń zewnętrznych i opublikują je na swoich stronach w Biuletynie Informacji Publicznej, na co mają czas do 25 grudnia 2024 r. Wtedy faktycznie będzie możliwe dokonywanie zgłoszeń zewnętrznych.
Każde zgłoszenie musi być odpowiednio zweryfikowane, a działania następcze muszą być podejmowane z należytą starannością, w tym gwarantować odpowiednią ochronę (art. 27 ust. 1). Pracodawcy muszą wyznaczyć i pisemnie upoważnić osoby odpowiedzialne za przyjmowanie i weryfikowanie zgłoszeń oraz za podejmowanie działań następczych (art. 27 ust. 2). Osoby te muszą być bezstronne i zobowiązane do zachowania poufności.
Pracodawcy są zobowiązani do przetwarzania danych zgodnie z przepisami o ochronie danych osobowych. Dane osobowe sygnalistów nie mogą być ujawniane nieupoważnionym osobom bez ich wyraźnej zgody, chyba że ujawnienie jest konieczne z przepisów prawa w związku z postępowaniami wyjaśniającymi, przygotowawczymi lub sądowymi (art. 8 ust. 1-3). Podmioty prawne muszą przetwarzać dane osobowe jedynie w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia działań następczych, a niepotrzebne dane muszą być usuwane (art. 8 ust. 4).
Podmioty prawne muszą prowadzić rejestr zgłoszeń, który zawiera numer zgłoszenia, przedmiot naruszenia, dane osobowe sygnalisty, dane osoby, której dotyczy zgłoszenie, adres do kontaktu sygnalisty, datę zgłoszenia, informacje o podjętych działaniach następczych oraz datę zakończenia sprawy. Rejestr musi być przechowywany przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze (art. 29 ust. 4 i 5).
Ustawa dopuszcza, aby pracodawcy powierzali obsługę zgłoszeń zewnętrznemu podmiotowi. W takim przypadku konieczne jest zawarcie umowy zobowiązującej usługodawcę do prowadzenia czynności zgodnie z prawem, z zastosowaniem odpowiednich środków organizacyjnych i technicznych (art. 28 ust. 1).
6. Obsługa zgłoszeń wewnętrznych
Pracodawcy muszą udostępnić co najmniej ustne lub pisemne kanały zgłaszania naruszeń (art. 26 ust. 1), które powinny być szczegółowo opisane w procedurze wewnętrznych zgłoszeń (art. 25 ust. 1 pkt 2). Ustne zgłoszenia mogą być dokonywane telefonicznie lub za pośrednictwem innych kanałów komunikacji elektronicznej (art. 26 ust. 2). Pracodawcy są zobowiązani upoważnić konkretne osoby, pracowników działu wewnętrznego lub zewnętrzny podmiot, do przyjmowania zgłoszeń (art. 25 ust. 1 pkt 1).
Pracodawca ma obowiązek potwierdzić przyjęcie zgłoszenia w terminie 7 dni od jego dokonania, chyba że zgłoszenie było anonimowe lub sygnalista nie podał adresu do kontaktu (art. 25 ust. 1 pkt 5).
Pracodawca musi także zapewnić możliwość bezpośredniego spotkania z sygnalistą na jego życzenie w ciągu 14 dni od złożenia prośby (art. 26 ust. 6). Każde zgłoszenie ustne musi być dokumentowane w formie nagrania, transkrypcji z rozmowy lub protokołu (art. 26 ust. 3, 4 i 6). Pracodawca musi zapewnić sygnaliście prawo do sprawdzenia, poprawienia i zatwierdzenia transkrypcji lub protokołu z rozmowy (art. 26 ust. 5 i 7).
Wprowadzenie takich procedur wymaga od pracodawców dużej staranności i dobrej organizacji. Przede wszystkim istotne jest, aby kanały zgłaszania były łatwo dostępne i bezpieczne, co zachęci pracowników do zgłaszania naruszeń. Pracodawcy powinni również zadbać o szybkie potwierdzanie przyjęcia zgłoszeń oraz umożliwienie bezpośrednich spotkań, co pokazuje powagę, z jaką traktują zgłoszenia.
Dokumentowanie zgłoszeń jest natomiast kluczowe dla zapewnienia przejrzystości i odpowiedzialności. Nagrania, transkrypcje i protokoły powinny być przechowywane w sposób bezpieczny, zgodnie z przepisami o ochronie danych osobowych.
7. Wyjaśnianie zgłoszeń
Pracodawcy mają obowiązek wyznaczyć bezstronną osobę lub jednostkę do wyjaśniania zgłoszeń (art. 25 ust. 1 pkt 3). Osoby te muszą być zobowiązane do zachowania tajemnicy informacji i danych osobowych uzyskanych w trakcie przyjmowania i wyjaśniania zgłoszeń, także po ustaniu stosunku pracy (art. 27 ust. 2). Zobowiązanie do zachowania tajemnicy chroni zarówno sygnalistę, jak i osoby objęte zgłoszeniem, co jest niezbędne dla utrzymania zaufania do systemu zgłaszania naruszeń.
Pracodawcy są zobowiązani do podejmowania działań następczych z należytą starannością (art. 25 ust. 1 pkt 6). Oznacza to, że każde zgłoszenie musi być dokładnie zweryfikowane, a odpowiednie kroki podjęte w celu wyjaśnienia sprawy. Pracodawcy muszą także udzielać sygnalistom informacji o statusie sprawy, w tym o planowanych lub podjętych działaniach oraz ich powodach. Informacje te muszą być przekazane w terminie 3 miesięcy od potwierdzenia zgłoszenia lub w przypadku braku potwierdzenia, w terminie 3 miesięcy od upływu 7 dni od dokonania zgłoszenia (art. 25 ust. 1 pkt 7).
Podejmowanie działań następczych z należytą starannością oznacza, że pracodawca musi podjąć wszelkie możliwe kroki w celu dokładnego zbadania zgłoszenia. Obejmuje to przeprowadzenie rzetelnych i bezstronnych wyjaśnień, zbieranie dowodów, rozmowy ze świadkami oraz analizowanie wszystkich aspektów zgłoszenia. Proces ten powinien być uczciwy i zgodny z wewnętrznymi procedurami oraz przepisami prawa. Działania następcze mogą również obejmować zaradzenie następstwom lub zapobieżenie wystąpieniu skutków. Pracodawca musi wyznaczyć i upoważnić do działania kompetentne osoby odpowiedzialne za przeprowadzenie tych działań oraz zapewnić im odpowiednie uprawnienia i zasoby.
Wskazane jest, aby sygnalista był stale informowany o postępach w sprawie. Takie podejście nie tylko zwiększa zaufanie sygnalisty do pracodawcy, ale także pokazuje, że zgłoszenia są traktowane poważnie i odpowiedzialnie. Choć ustawa nie nakazuje tego wprost, regularna komunikacja z sygnalistą może również pomóc w zbieraniu dodatkowych informacji potrzebnych do pełnego wyjaśnienia sprawy oraz zapewnić, że informacje są traktowane poważnie, co przyczynia się do efektywności całego procesu. Przy tym zakres informacji może zostać ograniczony z uwagi na dobro prowadzonych działań następczych.
Aby zapewnić skuteczne podejmowanie działań następczych, pracodawcy powinni wdrożyć także szczegółowe procedury postępowania, które jasno określają kroki do podjęcia po otrzymaniu zgłoszenia, ramy czasowe takich postępowań oraz zakres uprawnień osób je prowadzących. Zaleca się tu regularne szkolenia dla osób odpowiedzialnych za te działania, aby były one w pełni świadome swoich obowiązków i potrafiły działać zgodnie z przepisami. Pracodawcy powinni również zadbać o dokumentowanie wszystkich podjętych działań, co może być istotne w przypadku ewentualnych sporów prawnych.
8. Podsumowanie
Pracodawca, ustanawiając system wewnętrznych zgłoszeń, musi pamiętać o kilku kluczowych elementach, które zapewnią jego skuteczność i zgodność z przepisami prawa. Przede wszystkim pracodawca jest zobowiązany do opracowania bezpiecznych i poufnych kanałów zgłaszania naruszeń. Ustanowione procedury muszą być jasne, dostępne i zrozumiałe dla wszystkich pracowników oraz osób współpracujących, niezależnie od formy zatrudnienia. Konieczne jest stałe informowanie pracowników o istniejących zasadach zgłaszania naruszeń. Informacje te muszą być przekazywane także nowym pracownikom oraz osobom ubiegającym się o pracę już na etapie rekrutacji, nawet gdy ostatecznie nie zostaną one przyjęte do pracy. Pracodawcy powinni pamiętać o poinformowaniu o możliwości zgłaszania naruszeń do RPO i innych organów publicznych oraz organów i instytucji UE.
Istotne jest, aby pracodawcy, wyznaczając osoby odpowiedzialne za przyjmowanie, weryfikowanie zgłoszeń oraz podejmowanie działań następczych, pamiętali, że muszą one być one kompetentne i odpowiednio przygotowane. Chociaż nie ma tego obowiązku w ustawie, aby system zgłaszania naruszeń funkcjonował skutecznie, pracodawcy powinni przeprowadzać szkolenia także dla osób odpowiedzialnych za przyjmowanie i weryfikowanie zgłoszeń. Ponadto wskazane jest stałe monitorowanie i aktualizowanie procedur, aby były one zgodne z obowiązującymi przepisami i najlepszymi praktykami.
Krzysztof Krak
prawnik, szkoli i doradza w zakresie systemów compliance, systemów zgłoszeń o naruszeniach prawa; opracowuje wewnętrzne regulacje w zakresie przeciwdziałania korupcji i zarządzania ryzykiem nadużyć w organizacjach
Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów[4] (dalej: „ustawa”) wprowadza rozbudowane przepisy mające na celu ochronę osób zgłaszających naruszenia prawa w miejscach pracy. Nakłada także na pracodawców obowiązek przygotowania i wdrażania procedur zgłaszania naruszeń. Nowe przepisy dotyczące ochrony sygnalistów nie ograniczają się jednak wyłącznie do ustanowienia wewnętrznych regulacji. Ustawa przewiduje szereg innych obowiązków związanych z przyjmowaniem i rozpatrywaniem zgłoszeń.
2. Nowe przepisy i obowiązki
Przepisy ustawy już w samym jej tytule wprowadzają pojęcie „sygnalista”, precyzując następnie, kto może być uznany za taką osobę. Nakładają one na pracodawców obowiązek zapewnienia bezpiecznych i poufnych kanałów zgłaszania naruszeń oraz wymóg podejmowania działań następczych i ich wyjaśniania. Umożliwiają również sygnalistom zgłaszanie naruszeń do organów publicznych, z pominięciem procedury wewnętrznej, bez konieczności informowania o tym pracodawcy. Ustawa zapewnia szeroki zakres ochrony sygnalistom, także w przypadku ujawnienia publicznego, gdy działając w interesie publicznym, poinformują oni opinię publiczną. Należy jednak spełnić przy tym dodatkowe warunki.
Ustawa chroni sygnalistów przed działaniami odwetowymi, ich próbami oraz groźbami, które mogą ich spotkać w związku z dokonaniem zgłoszenia lub ujawnieniem informacji o naruszeniu prawa. Ponadto przewiduje ona sankcje za takie działania wobec sygnalistów oraz osób im pomagających lub z nimi powiązanych. Podobne sankcje są przewidziane za działania utrudniające lub uniemożliwiające zgłaszanie naruszeń. Istotne jest, że sankcje mogą również grozić każdemu, kto celowo przekaże nieprawdziwe informacje. Ustawa określa także wymogi dla organów publicznych dotyczące ustanowienia własnych procedur i zasad postępowania w przypadku dokonania zewnętrznego zgłoszenia przez sygnalistę do tych organów.
3. Definicja sygnalisty i zakres ochrony
Sygnalistą, zgodnie z ustawą, jest osoba fizyczna, która zgłasza lub publicznie ujawnia informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą, obejmującą szeroki krąg osób, takich jak pracownicy, pracownicy tymczasowi, osoby świadczące pracę na podstawie umów cywilnoprawnych, przedsiębiorcy, prokurenci, akcjonariusze, członkowie organów osób prawnych, stażyści, wolontariusze, praktykanci, funkcjonariusze służb oraz żołnierze (art. 4). Uznanie tak szerokiego kręgu osób za potencjalnych sygnalistów jest ważnym rozwiązaniem, ponieważ zapewnia to ochronę nie tylko pracownikom, ale także wszystkim osobom zaangażowanym w działalność organizacji, niezależnie od formy ich zatrudnienia czy współpracy. Sygnalistą może zostać również osoba, która odeszła z danego miejsca pracy, np. do innej firmy lub na emeryturę, a przekazane informacje o naruszeniach dotyczyły okresu, kiedy była zatrudniona w tym podmiocie. Zakres ochrony został rozszerzony nawet na osoby będące w fazie rekrutacji, jeśli dowiedziały się o naruszeniach prawa w trakcie tego procesu.
Sygnalista podlega ochronie od chwili dokonania zgłoszenia (wewnętrznego lub zewnętrznego) lub ujawnienia publicznego, pod warunkiem że miał uzasadnione podstawy sądzić, iż informacja będąca przedmiotem zgłoszenia jest prawdziwa w momencie jej przekazywania i stanowi informację o naruszeniu prawa (art. 6). Ochrona sygnalisty od momentu zgłoszenia lub ujawnienia publicznego zapewnia, że osoby zgłaszające naruszenia prawa nie powinni obawiać się reperkusji. Kluczowym elementem tej ochrony jest wymóg, aby sygnalista miał dostateczne przekonanie, że przekazywane przez niego informacje są oparte na prawdzie. Oznacza to, że sygnaliści powinni działać w dobrej wierze.
Ustawa wprowadza możliwość anonimowego dokonywania zgłoszeń przez sygnalistów (art. 7 ust. 1). Pracodawcy mogą, ale nie muszą, przyjmować takie zgłoszenia. Jeżeli zdecydują się na ich akceptację, muszą stworzyć odpowiednie kanały umożliwiające ich bezpieczne przekazywanie, poinformować o tym pracowników oraz uwzględnić to w wewnętrznej procedurze. Dla pracodawcy oznacza to konieczność opracowania dodatkowych zasad postępowania i wprowadzenia zabezpieczeń, które zagwarantują, że tożsamość sygnalisty pozostanie nieznana. Przyjmowanie anonimowych zgłoszeń może być korzystne, ponieważ eliminuje obawę przed możliwymi represjami. Może także zachęcić więcej osób do zgłaszania naruszeń w swojej organizacji. Dzięki temu pracodawca może uzyskać istotne informacje o nieprawidłowościach, które mogłyby zostać przemilczane. Dotyczyć to może szczególnego rodzaju naruszeń, takich jak korupcja, lub przypadków, gdy np. dotyczą przełożonych sygnalisty.
4. Zakres naruszeń prawa
Ustawa określa, że naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu jego obejście. Obejmuje to naruszenia prawa w zakresie: korupcji, zamówień publicznych, usług, produktów i rynków finansowych, przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, bezpieczeństwa produktów i ich zgodności z wymogami, bezpieczeństwa transportu, ochrony środowiska, ochrony radiologicznej i bezpieczeństwa jądrowego, bezpieczeństwa żywności i pasz, zdrowia i dobrostanu zwierząt, zdrowia publicznego, ochrony konsumentów, ochrony prywatności i danych osobowych, bezpieczeństwa sieci i systemów teleinformatycznych, interesów finansowych Skarbu Państwa, jednostek samorządu terytorialnego oraz Unii Europejskiej, rynku wewnętrznego UE, w tym zasad konkurencji, pomocy państwa oraz opodatkowania osób prawnych, a także konstytucyjnych wolności i praw człowieka oraz obywatela w relacjach z organami władzy publicznej (art. 3 ust. 1).
Ustawy nie stosuje się do informacji objętych przepisami o ochronie informacji niejawnych oraz innych informacji, które nie podlegają ujawnieniu ze względów bezpieczeństwa publicznego, tajemnicy zawodowej zawodów medycznych oraz prawniczych, tajemnicy narady sędziowskiej, a także postępowania karnego w zakresie tajemnicy postępowania przygotowawczego oraz tajemnicy rozprawy sądowej prowadzonej z wyłączeniem jawności. Ponadto ustawy nie stosuje się do naruszeń prawa w zakresie zamówień w dziedzinach obronności i bezpieczeństwa, umów offsetowych oraz innych środków podejmowanych w celu ochrony podstawowych lub istotnych interesów bezpieczeństwa państwa. Wyłączenie dotyczy także zadań mających na celu zapewnienie bezpieczeństwa narodowego, wykonywanych przez służby specjalne, o których mowa w art. 11 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa oraz Agencji Wywiadu[5].
5. Procedura zgłaszania naruszeń
Ustawa precyzuje, które podmioty prawne są zobowiązane do stosowania jej przepisów. Zgodnie z art. 23 ust. 1 ustawy przepisy dotyczące ochrony sygnalistów stosuje się do podmiotów prawnych, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Do tej liczby wlicza się pracowników w przeliczeniu na pełne etaty oraz osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, pod warunkiem że nie zatrudniają one do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia (art. 23 ust. 2).
Warto zwrócić uwagę, że próg 50 osób nie ma zastosowania do podmiotów prawnych wykonujących działalność w określonych sektorach. Wyjątki te dotyczą podmiotów świadczących usługi, produkty i rynki finansowe oraz zajmujących się przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwem transportu i ochroną środowiska, które są objęte zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii[6] (art. 23 ust. 3).
W przypadku podmiotów prawnych będących jednostkami samorządu terytorialnego (dalej: „JST”) obowiązki określone w ustawie wykonują jednostki organizacyjne tych jednostek, z wyłączeniem art. 28 ust. 5, czyli ustanowienia wspólnej obsługi (art. 23 ust. 4). W praktyce oznacza to, że JST mają pewną swobodę w kształtowaniu procedur wewnętrznych, ale muszą jednocześnie dbać o to, aby były one zgodne z wymogami ustawy dotyczącymi ochrony niezależności i odrębności procedur zgłoszeń.
Procedury te muszą być opracowane po konsultacjach z organizacjami związkowymi, a w przypadku ich braku – z przedstawicielami pracowników. Konsultacje te powinny trwać od 5 do 10 dni od dnia przedstawienia projektu procedury (art. 24 ust. 3 i 4). Po zakończeniu konsultacji pracodawcy muszą poinformować pracowników o wdrożeniu nowej procedury na co najmniej 7 dni przed datą jej obowiązywania (art. 24 ust. 5). Przepis ten podkreśla konieczność współpracy z pracownikami w procesie tworzenia procedur zgłaszania naruszeń. Poinformowanie pracowników o wdrożeniu z wyprzedzeniem jest kluczowe, aby każdy miał czas na zapoznanie się z nowymi regulacjami i mógł z nich korzystać w pełni świadomie.
Pracodawcy mają obowiązek stałego informowania nowych pracowników oraz osób ubiegających się o pracę o obowiązujących procedurach. Informacje te muszą być przekazywane w momencie rozpoczęcia rekrutacji lub negocjacji poprzedzających zawarcie umowy (art. 24 ust. 6). Dzięki temu potencjalni pracownicy mają pełną świadomość mechanizmów zgłaszania naruszeń i ochrony sygnalistów. Mogą być oni świadkami naruszeń prawa, takich jak nieuczciwe praktyki rekrutacyjne lub inne nieprawidłowości, jeszcze zanim formalnie rozpoczną pracę. Będzie to więc zapewne pierwszy dokument wewnętrzny, z którym kandydat do pracy w tym podmiocie powinien się zapoznać.
Dodatkowo pracodawcy są zobowiązani do informowania pracowników o możliwości zgłaszania naruszeń do Rzecznika Praw Obywatelskich (dalej: „RPO”) oraz organów publicznych (art. 25 ust. 1 pkt 8). Informacja ta powinna być przekazywana w sposób jasny i dostępny dla wszystkich pracowników. Pracownicy mają także prawo zgłaszać informacje o naruszeniu prawa bezpośrednio do odpowiednich instytucji, organów lub jednostek organizacyjnych Unii Europejskiej, takich jak np. Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF) czy Europejski Inspektor Ochrony Danych (EDPS).
Zgłoszenia do RPO i innych organów państwa będzie jednak możliwe dopiero kiedy organy te ustanowią własne procedury zgłoszeń zewnętrznych i opublikują je na swoich stronach w Biuletynie Informacji Publicznej, na co mają czas do 25 grudnia 2024 r. Wtedy faktycznie będzie możliwe dokonywanie zgłoszeń zewnętrznych.
Każde zgłoszenie musi być odpowiednio zweryfikowane, a działania następcze muszą być podejmowane z należytą starannością, w tym gwarantować odpowiednią ochronę (art. 27 ust. 1). Pracodawcy muszą wyznaczyć i pisemnie upoważnić osoby odpowiedzialne za przyjmowanie i weryfikowanie zgłoszeń oraz za podejmowanie działań następczych (art. 27 ust. 2). Osoby te muszą być bezstronne i zobowiązane do zachowania poufności.
Pracodawcy są zobowiązani do przetwarzania danych zgodnie z przepisami o ochronie danych osobowych. Dane osobowe sygnalistów nie mogą być ujawniane nieupoważnionym osobom bez ich wyraźnej zgody, chyba że ujawnienie jest konieczne z przepisów prawa w związku z postępowaniami wyjaśniającymi, przygotowawczymi lub sądowymi (art. 8 ust. 1-3). Podmioty prawne muszą przetwarzać dane osobowe jedynie w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia działań następczych, a niepotrzebne dane muszą być usuwane (art. 8 ust. 4).
Podmioty prawne muszą prowadzić rejestr zgłoszeń, który zawiera numer zgłoszenia, przedmiot naruszenia, dane osobowe sygnalisty, dane osoby, której dotyczy zgłoszenie, adres do kontaktu sygnalisty, datę zgłoszenia, informacje o podjętych działaniach następczych oraz datę zakończenia sprawy. Rejestr musi być przechowywany przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze (art. 29 ust. 4 i 5).
Ustawa dopuszcza, aby pracodawcy powierzali obsługę zgłoszeń zewnętrznemu podmiotowi. W takim przypadku konieczne jest zawarcie umowy zobowiązującej usługodawcę do prowadzenia czynności zgodnie z prawem, z zastosowaniem odpowiednich środków organizacyjnych i technicznych (art. 28 ust. 1).
6. Obsługa zgłoszeń wewnętrznych
Pracodawcy muszą udostępnić co najmniej ustne lub pisemne kanały zgłaszania naruszeń (art. 26 ust. 1), które powinny być szczegółowo opisane w procedurze wewnętrznych zgłoszeń (art. 25 ust. 1 pkt 2). Ustne zgłoszenia mogą być dokonywane telefonicznie lub za pośrednictwem innych kanałów komunikacji elektronicznej (art. 26 ust. 2). Pracodawcy są zobowiązani upoważnić konkretne osoby, pracowników działu wewnętrznego lub zewnętrzny podmiot, do przyjmowania zgłoszeń (art. 25 ust. 1 pkt 1).
Pracodawca ma obowiązek potwierdzić przyjęcie zgłoszenia w terminie 7 dni od jego dokonania, chyba że zgłoszenie było anonimowe lub sygnalista nie podał adresu do kontaktu (art. 25 ust. 1 pkt 5).
Pracodawca musi także zapewnić możliwość bezpośredniego spotkania z sygnalistą na jego życzenie w ciągu 14 dni od złożenia prośby (art. 26 ust. 6). Każde zgłoszenie ustne musi być dokumentowane w formie nagrania, transkrypcji z rozmowy lub protokołu (art. 26 ust. 3, 4 i 6). Pracodawca musi zapewnić sygnaliście prawo do sprawdzenia, poprawienia i zatwierdzenia transkrypcji lub protokołu z rozmowy (art. 26 ust. 5 i 7).
Wprowadzenie takich procedur wymaga od pracodawców dużej staranności i dobrej organizacji. Przede wszystkim istotne jest, aby kanały zgłaszania były łatwo dostępne i bezpieczne, co zachęci pracowników do zgłaszania naruszeń. Pracodawcy powinni również zadbać o szybkie potwierdzanie przyjęcia zgłoszeń oraz umożliwienie bezpośrednich spotkań, co pokazuje powagę, z jaką traktują zgłoszenia.
Dokumentowanie zgłoszeń jest natomiast kluczowe dla zapewnienia przejrzystości i odpowiedzialności. Nagrania, transkrypcje i protokoły powinny być przechowywane w sposób bezpieczny, zgodnie z przepisami o ochronie danych osobowych.
7. Wyjaśnianie zgłoszeń
Pracodawcy mają obowiązek wyznaczyć bezstronną osobę lub jednostkę do wyjaśniania zgłoszeń (art. 25 ust. 1 pkt 3). Osoby te muszą być zobowiązane do zachowania tajemnicy informacji i danych osobowych uzyskanych w trakcie przyjmowania i wyjaśniania zgłoszeń, także po ustaniu stosunku pracy (art. 27 ust. 2). Zobowiązanie do zachowania tajemnicy chroni zarówno sygnalistę, jak i osoby objęte zgłoszeniem, co jest niezbędne dla utrzymania zaufania do systemu zgłaszania naruszeń.
Pracodawcy są zobowiązani do podejmowania działań następczych z należytą starannością (art. 25 ust. 1 pkt 6). Oznacza to, że każde zgłoszenie musi być dokładnie zweryfikowane, a odpowiednie kroki podjęte w celu wyjaśnienia sprawy. Pracodawcy muszą także udzielać sygnalistom informacji o statusie sprawy, w tym o planowanych lub podjętych działaniach oraz ich powodach. Informacje te muszą być przekazane w terminie 3 miesięcy od potwierdzenia zgłoszenia lub w przypadku braku potwierdzenia, w terminie 3 miesięcy od upływu 7 dni od dokonania zgłoszenia (art. 25 ust. 1 pkt 7).
Podejmowanie działań następczych z należytą starannością oznacza, że pracodawca musi podjąć wszelkie możliwe kroki w celu dokładnego zbadania zgłoszenia. Obejmuje to przeprowadzenie rzetelnych i bezstronnych wyjaśnień, zbieranie dowodów, rozmowy ze świadkami oraz analizowanie wszystkich aspektów zgłoszenia. Proces ten powinien być uczciwy i zgodny z wewnętrznymi procedurami oraz przepisami prawa. Działania następcze mogą również obejmować zaradzenie następstwom lub zapobieżenie wystąpieniu skutków. Pracodawca musi wyznaczyć i upoważnić do działania kompetentne osoby odpowiedzialne za przeprowadzenie tych działań oraz zapewnić im odpowiednie uprawnienia i zasoby.
Wskazane jest, aby sygnalista był stale informowany o postępach w sprawie. Takie podejście nie tylko zwiększa zaufanie sygnalisty do pracodawcy, ale także pokazuje, że zgłoszenia są traktowane poważnie i odpowiedzialnie. Choć ustawa nie nakazuje tego wprost, regularna komunikacja z sygnalistą może również pomóc w zbieraniu dodatkowych informacji potrzebnych do pełnego wyjaśnienia sprawy oraz zapewnić, że informacje są traktowane poważnie, co przyczynia się do efektywności całego procesu. Przy tym zakres informacji może zostać ograniczony z uwagi na dobro prowadzonych działań następczych.
Aby zapewnić skuteczne podejmowanie działań następczych, pracodawcy powinni wdrożyć także szczegółowe procedury postępowania, które jasno określają kroki do podjęcia po otrzymaniu zgłoszenia, ramy czasowe takich postępowań oraz zakres uprawnień osób je prowadzących. Zaleca się tu regularne szkolenia dla osób odpowiedzialnych za te działania, aby były one w pełni świadome swoich obowiązków i potrafiły działać zgodnie z przepisami. Pracodawcy powinni również zadbać o dokumentowanie wszystkich podjętych działań, co może być istotne w przypadku ewentualnych sporów prawnych.
8. Podsumowanie
Pracodawca, ustanawiając system wewnętrznych zgłoszeń, musi pamiętać o kilku kluczowych elementach, które zapewnią jego skuteczność i zgodność z przepisami prawa. Przede wszystkim pracodawca jest zobowiązany do opracowania bezpiecznych i poufnych kanałów zgłaszania naruszeń. Ustanowione procedury muszą być jasne, dostępne i zrozumiałe dla wszystkich pracowników oraz osób współpracujących, niezależnie od formy zatrudnienia. Konieczne jest stałe informowanie pracowników o istniejących zasadach zgłaszania naruszeń. Informacje te muszą być przekazywane także nowym pracownikom oraz osobom ubiegającym się o pracę już na etapie rekrutacji, nawet gdy ostatecznie nie zostaną one przyjęte do pracy. Pracodawcy powinni pamiętać o poinformowaniu o możliwości zgłaszania naruszeń do RPO i innych organów publicznych oraz organów i instytucji UE.
Istotne jest, aby pracodawcy, wyznaczając osoby odpowiedzialne za przyjmowanie, weryfikowanie zgłoszeń oraz podejmowanie działań następczych, pamiętali, że muszą one być one kompetentne i odpowiednio przygotowane. Chociaż nie ma tego obowiązku w ustawie, aby system zgłaszania naruszeń funkcjonował skutecznie, pracodawcy powinni przeprowadzać szkolenia także dla osób odpowiedzialnych za przyjmowanie i weryfikowanie zgłoszeń. Ponadto wskazane jest stałe monitorowanie i aktualizowanie procedur, aby były one zgodne z obowiązującymi przepisami i najlepszymi praktykami.
Krzysztof Krak
prawnik, szkoli i doradza w zakresie systemów compliance, systemów zgłoszeń o naruszeniach prawa; opracowuje wewnętrzne regulacje w zakresie przeciwdziałania korupcji i zarządzania ryzykiem nadużyć w organizacjach
[1] Dz. U. z 1997 r. poz. 939.
[2] Dz. U. z 2018 r. poz. 723.
[3] Dz. U. z 2005 r. poz. 1539.
[4] Dz. U. z 2024 r. poz. 928.
[5] Dz. U. z 2004 r. poz. 812.
[6] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L 305 z 26.11.2019, s. 17, ze zm.).
Prawo i praktyka
Przygody Radcy Antoniego
Odwiedź także
Nasze inicjatywy
