Ustawa, która dotyczy wdrożenia dyrektywy unijnej jest uchwalona i została podpisana przez Prezydenta. Ma ona poprawić egzekwowanie prawa w określonych dziedzinach przez ustanowienie wspólnych norm zapewniających odpowiedni poziom ochrony osób zgłaszających naruszenie prawa UE.

Ponad dwa i pół roku temu, bo 17 grudnia 2021 r., minął nałożony na państwa członkowskie Unii Europejskiej termin implementacji do krajowych porządków prawnych założeń dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: dyrektywa o sygnalistach).

Polska bardzo długo była jedynym krajem, obok Estonii, w którym jeszcze nie doszło do przyjęcia unijnych regulacji. Prezydent podpisał ustawę o ochronie sygnalistów 19 czerwca 2024 r. Nowe rozwiązania wejdą w życie po trzech miesiącach od ogłoszenia w Dzienniku Ustaw, a przepisy o zgłoszeniach zewnętrznych zaczną obowiązywać po sześciu miesiącach od ich ogłoszenia. Ustawa zacznie więc obowiązywać pod koniec września br.

Brak obowiązujących przepisów krajowych nie oznaczał jednak przyzwolenia na ignorowanie obowiązków wynikających z dyrektywy o sygnalistach. Niezależnie od momentu wejścia w życie ustawy, istnieje konieczność bezpośredniego stosowania jej przepisów w ujęciu wertykalnym, a więc we wszystkich przypadkach, w których jednostka pozostaje w konflikcie z państwem. Takie stanowisko wynika wprost z orzecznictwa Trybunału Sprawiedliwości UE, który wielokrotnie stwierdzał, że jednostka może powoływać się bezpośrednio na przepisy dyrektywy, jeśli państwo nie dokonało jej implementacji w terminie, a skonstruowane w niej normy są jasne, precyzyjne i bezwarunkowe.

W przypadku dyrektywy o sygnalistach jeszcze przed uchwaleniem ustawy o sygnalistach wydano pierwsze polskie orzeczenie (przez Sąd Rejonowy w Toruniu).
Skoro wejście w życie krajowej ustawy jest blisko, przedstawiamy 6 elementów, na które koniecznie trzeba zwrócić uwagę, opracowując zasady zgłaszania naruszeń i ochrony sygnalistów w organizacji. W kontekście rodo, przy analizie wszystkich poniższych kroków, należy szczególnie zwrócić uwagę na ochronę sygnalisty i zapewnienie jego anonimowości. To właśnie powinno determinować decyzje w zakresie wyboru osoby odpowiedzialnej za obsługę zgłoszeń, wybór narzędzia czy kanału komunikacji.

Element 1: Kto jest zobowiązany do wdrożenia procedury zgłaszania nieprawidłowości?

Obowiązek stworzenia samego regulaminu zgłoszeń wewnętrznych spoczywa na pracodawcach zatrudniających minimum 50 współpracowników. Progu tego nie stosuje się do podmiotów wykonujących działalność z zakresu usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska. Nie ma również przeciwwskazań, żeby podmioty, które nie wykonują opisanej działalności i nie zatrudniają 50 współpracowników, również wdrożyły procedurę.

Element 2: Osoba odpowiedzialna za obsługę zgłoszeń

Każda organizacja jest zobowiązana do wyznaczenia osoby odpowiedzialnej za obsługę zgłoszeń. W większych strukturach najczęściej jest to wyznaczony pracownik z działu compliance, w mniejszych członek zarządu. Pytanie, czy takie osoby pozostają bezstronne czy zapewnią prawidłowy przebieg procesu odbierania i rozpatrywania zgłoszeń i czy sieć powiązań wewnątrz organizacji nie uniemożliwi ochrony sygnalistów. W zdecydowanej większości przypadków tak będzie, zatem bezpieczną alternatywą jest wyznaczenie osoby trzeciej, spoza organizacji, na co wprost wskazuje się w motywie 54 dyrektywy o sygnalistach. Osoby trzecie mogą odbierać zgłoszenia, pod warunkiem że zapewniają należyte gwarancje poszanowania niezależności, poufności, ochrony danych i zachowania tajemnicy. Takimi podmiotami mogą być dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związków zawodowych lub przedstawiciele pracowników.

Element 3: Kanał komunikacji do przyjmowania zgłoszeń

Zgodnie z motywem 53 dyrektywy o sygnalistach każdy podmiot prawny w sektorze prywatnym i publicznym sam określa, jakiego rodzaju kanały dokonywania zgłoszeń ustanowi. Przede wszystkim powinny one umożliwiać osobom zgłoszenia:

• „na piśmie przez przekazywanie zgłoszeń drogą pocztową, za pośrednictwem fizycznych skrzynek na skargi, na platformie online, intra- lub internetowej lub za pośrednictwem aplikacji (ta ostatnia dotyczy zgłoszeń zewnętrznych);
• „ustnie za pośrednictwem tzw. gorącej linii (połączenia telefoniczne) lub innego systemu komunikacji głosowej;
• „dodatkowo, na wniosek osoby dokonującej zgłoszenie – podczas bezpośrednich spotkań w rozsądnym terminie.

Wybór kanału komunikacji powinien być poprzedzony analizą, czy zapewnia on zachowanie w poufności tożsamości sygnalisty. Przykładowo, umieszczanie skrzynek na skargi w miejscach monitorowanych, widocznych (przy wejściu do biura, gdzie stale przebywa któryś z pracowników, np. recepcjonista) nie będzie prawidłowym rozwiązaniem. Taka skrzynka powinna być umieszczona w umiarkowanie uczęszczanej części biura, która nie jest stale obserwowana przez personel. W przypadku kanałów komunikacji online lub telefonicznych rekomenduje się, żeby były one oddzielone od kanałów ogólnych, wykorzystywanych w organizacji. Lokalizacja ma tutaj walor zarówno organizacyjny, jak i techniczny. Tak jak przy każdym elemencie procedury również przy wyborze metody komunikacji lub jego umiejscowienia należy kierować się rozszerzoną ochroną sygnalistów.

Element 4: Rozpatrywanie zgłoszeń

W regulaminie zgłaszania naruszeń należy uwzględnić termin reakcji na zgłoszenie (maksymalnie siedem dni) i jego rozpatrzenie (maksymalnie trzy miesiące).

Naczelną zasadą przy podejmowaniu wszelkich decyzji związanych z organizacją procesu zgłaszania i rozpatrywania naruszeń jest maksymalne zachowanie w poufności tożsamości osoby dokonującej zgłoszenie. Nie można ujawnić ani tożsamości osoby dokonującej zgłoszenie, ani żadnej informacji umożliwiającej jej identyfikację, chyba że sygnalista wyrazi zgodę na ujawnienie swojej tożsamości. Do ujawnienia tożsamości może dojść także wtedy, kiedy jest ono koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów obowiązującego prawa w kontekście prowadzonych przez organy krajowe postępowań wyjaśniających lub postępowań sądowych, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.

W przypadku wpływu zgłoszenia mimo braku formalnego wdrożenia procedury rozpatrywania wniosków bezpiecznym rozwiązaniem jest przyjęcie zgłoszenia i zarządzanie nim zgodnie ze standardami wynikającymi z dyrektywy o sygnalistach.

Element 5: Ochrona danych osobowych

Organizacja jako administrator danych osobowych osób zgłaszających, naruszających oraz osób trzecich musi także zrealizować wobec nich obowiązki informacyjne wynikające z rodo:

• w przypadku osób naruszających – zgodnie z projektem ustawy o sygnalistach z dnia 14 czerwca 2024 r. obowiązek ten nie jest wyłączony w całości, mimo że prawodawca unijny w przepisach dyrektywy daje takie możliwości;
• w przypadku osób zgłaszających – obowiązek ten najlepiej spełnić na wzorze formularza zgłoszenia (zarówno w przypadku wersji papierowej, jak i elektronicznej);
• w przypadku osób trzecich – obowiązek należy spełnić przy pierwszym kontakcie.

Problematyczne wydaje się natomiast przetwarzanie danych dotyczących wyroków skazujących. To zagadnienie nie zostało bowiem ujęte w ustawie (brak podstaw do przetwarzania w kontekście zgłaszania naruszeń), zatem pozostaje kwestią otwartą.

Z perspektywy administratora istotne jest, że w ustawie zastosowano rozwiązanie, zgodnie z którym w klauzuli informacyjnej nie trzeba będzie wskazywać informacji o źródle danych, chyba że zgłaszający wyraźnie zgodził się na takie przekazanie. Jest to niewątpliwie przejaw szczególnej ochrony anonimowości sygnalistów.

Przetwarzanie danych w ramach rozpatrywania zgłoszeń dotyczących nieprawidłowości będzie wymagało przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych. Wynika to wprost z komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 17 czerwca 2019 r.

Dodatkowo kwestia przetwarzania danych osobowych powinna być opisana w regulaminie zgłaszania naruszeń, który zostanie udostępniony współpracownikom organizacji.

Element 6: Rejestrowanie zgłoszeń

Organizacja jest zobowiązana do rejestrowania wszystkich otrzymanych zgłoszeń. Taki rejestr ma służyć umożliwieniu wyszukania każdego zgłoszenia, a w stosownych przypadkach wykorzystaniu informacji otrzymanych w drodze zgłoszenia jako dowodu w ramach działań związanych z egzekwowaniem prawa.

Z tym obowiązkiem nierozerwalnie łączy się kwestia retencji danych, która w znacznym stopniu wynika wprost z przepisów ustawy. I tak:

• zgłoszenia pisemne mają być przechowywane nie dłużej niż jest to konieczne, aby zapewnić zgodność z wymogami dyrektywy o sygnalistach;
• zgłoszenia ustne (telefon lub inny system komunikacji głosowej) mają być przechowywane, za zgodą osoby zgłaszającej, poprzez: nagranie rozmowy lub przez dokonanie kompletnej i dokładnej transkrypcji rozmowy.

Dane przetwarzane w związku ze zgłoszeniem (przyjęcie zgłoszenia lub podjęcie działań następczych, a także dokumenty) mają być przechowywane, co do zasady, przez okres trzech lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie do organu publicznego, zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Natomiast dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres trzech lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Wśród praktyków podkreśla się, że z daleko idącej ostrożności terminy te należy liczyć odrębnie. Nie można zapominać też o tym, że dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, mają być niezwłocznie usuwane. Wydaje się jednak, że będzie to obowiązek martwy. Trudno sobie wyobrazić, żeby na etapie zgłoszenia była możliwość jednoznacznej oceny, czy informacje są przydatne w danej sprawie. W ustawie przewidziano jednak taką opcję i przyjęto, że usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.

Zalecane jest monitorowanie w przyszłości, czy nie dokonano zmian podanych okresów, biorąc pod uwagę, że retencja musi zostać opisana w rejestrze czynności przetwarzania, a także w umowach powierzenia z podmiotami trzecimi (jeżeli ich usługi będą wykorzystywane przez organizację).

Podsumowanie

Dobrze skonstruowana procedura zgłaszania naruszeń powinna być maksymalnie szczegółowa i dobrze opisywać każdy etap, przy czym przede wszystkim musi być łatwa w stosowaniu i zapewniać ochronę sygnalistom. Naturalne jest, że personel nie będzie zgłaszać nieprawidłowości, jeśli będzie miał chociaż cień obawy, że ujawniona zostanie jego tożsamość, a w konsekwencji spotka się z działaniami odwetowymi. Precyzyjna i czytelna procedura zgłaszania naruszeń jest więc istotnym krokiem w poprawę kultury organizacji, co natomiast może przekładać się na wymierne zyski dla przedsiębiorcy (jeśli np. zostaną ujawnione naruszenia, na skutek których pracodawca ponosi straty). Już teraz należy rozpocząć prace przygotowawcze i wdrażać rozwiązania związane z ochroną sygnalistów. Trzeba przy tym pamiętać, że procedura będzie wymagała rewizji po wejściu w życie polskiej ustawy. Dotyczy to także tych organizacji, w których już funkcjonuje procedura zgłaszania nieprawidłowości.

Autorzy

Roksana Lejpamer

Autorka jest IOD, radcąprawnym, Manager w SQUARE Advisory.

Aleksandra Halfar

Autorka jest aplikantką radcowską, Senior Associate w SQUARE Advisory.