Dostosowanie organizacji do nowych przepisów o ochronie sygnalistów – 3 podstawowe błędy organizacji
17 grudnia 2021 r. mija termin wdrożenia założeń unijnej dyrektywy o ochronie sygnalistów we wszystkich krajach członkowskich. Prace nad polską ustawą jeszcze trwają. Jednak podmioty administracji publicznej powinny już teraz spełniać założenia samej dyrektywy, a firmy prywatne prowadzić działania w celu dostosowania swoich wewnętrznych procedur do nowych przepisów.
Już 17 grudnia mija termin wdrożenia dyrektywy 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii Europejskiej, powszechnie znanej jako dyrektywa o ochronie sygnalistów. Niestety, prace legislacyjne nad ustawą, która ma wprowadzić do polskiego porządku prawnego założenia opisane w dyrektywie, wciąż trwają. Jednak instytucje publiczne czy podmioty, którym np. powierzono wykonywanie usług użyteczności publicznej i dysponujące uprawnieniami wykraczającymi poza normy obowiązujące w stosunkach między jednostkami, mają obowiązek już teraz posiadać zaimplementowane rozwiązania wynikające z dyrektywy. Równocześnie, firmy prywatne powinny prowadzić intensywne działania dostosowawcze. Tymczasem, jak pokazują doświadczenia polskiej spółki informatycznej braf.tech oraz kancelarii prawnej Osiej i Partnerzy, wiele podmiotów zwleka z podjęciem działań w oczekiwaniu na pojawienie się krajowej ustawy. Czy słusznie? Poniżej prezentujemy 3 największe błędy popełniane przez firmy i instytucje w Polsce dotyczące dostosowania organizacji do dyrektywy o sygnalistach.
1. Administracja publiczna i firmy znajdujące się pod kontrolą państwa nie mają świadomości, że są objęte dyrektywą już od 17.12.2021 r. niezależnie od daty pojawienia się polskiej ustawy.
Taka sytuacja stawia w szczególnie niekomfortowym położeniu podmioty administracji publicznej. Opóźnienia w przyjęciu ustawy nie wyłączają z konieczności stosowania dyrektywy bezpośrednio przez te podmioty. Zgodnie ze stanowiskiem Trybunału Sprawiedliwości, dyrektywa ma bezpośredni skutek, jeśli jej przepisy są bezwarunkowe, wystarczająco jasne i precyzyjne, oraz w momencie, gdy kraj UE nie zaimplementował dyrektywy w wyznaczonym terminie (wyrok z 4 grudnia 1974 r., Van Duyn). Stosownie do rozszerzonej definicji państwa, sformułowanej przez Trybunał Sprawiedliwości w wyroku C-188/89, Foster, jednostki mogą powoływać się na przepisy dyrektywy wobec instytucji lub podmiotów podlegających zwierzchnictwu lub kontroli państwa lub posiadających uprawnienia wykraczające poza normy obowiązujące w stosunkach między jednostkami. Do takiej sytuacji dojdzie w Polsce, o ile krajowa ustawa nie zostanie przyjęta.
Przepisy prawa wskazują, że cała administracja publiczna, instytucje oraz firmy będące pod kontrolą państwa, niezależnie od przyjęcia polskiej ustawy, są zobowiązane do ochrony sygnalistów już od 17 grudnia 2021 r. O ile podmioty z tej grupy nie podjęły już wcześniej działań w celu przygotowania procesu ochrony sygnalistów, zostało im niewiele czasu na ich wdrożenie i zapewnienie zgodności z przepisami dyrektywy.
Tomasz Osiej, partner zarządzający w kancelarii prawnej Osiej i Partnerzy
2. Firmy zatrudniające od 50 do 249 pracowników są zobowiązane wdrożyć założenia dyrektywy dopiero za 2 lata. Nie mają jednak świadomości, iż wobec braku procedur i kanału komunikacji u pracodawcy, sygnalista może zgłosić naruszenia bezpośrednio do organów państwowych lub mediów.
Zarówno w rozumieniu projektu polskiej ustawy, jak i dyrektywy UE, sygnalistą może zostać prawie każdy. Może to być osoba zatrudniona w firmie, ale również były pracownik, współpracownik, stażysta czy kontrahent. Krąg osób jest bardzo duży i wszystkie one są uprawnione do zgłaszania naruszeń, niezależnie od posiadania przez organizację odpowiednich procedur. W takim wypadku sygnalista może nie tylko skorzystać z innych kanałów komunikacji (za pośrednictwem tzw. zewnętrznych kanałów powiadomić odpowiedzialne organy), ale po prostu wybrać dostępny w danej chwili „zwykły” sposób komunikacji, np. wiadomość e-mail, przy zachowaniu przez firmę odpowiednich zasad bezpieczeństwa dotyczących przyjmowania takich zgłoszeń. Brak ustanowionych wewnętrznych kanałów dokonywania zgłoszeń nie zwalnia podmiotu z obowiązku ochrony sygnalisty, który skorzystał z dostępnych i przewidzianych przepisami sposobów dokonania zgłoszenia.
Firmy zatrudniające od 50 do 249 pracowników są zobligowane do wdrożenia regulacji dotyczących ochrony sygnalistów, ale na te działania mają znacznie więcej czasu – są wolne od presji upływającego 17 grudnia br. terminu. Procedury wewnętrzne są tylko częścią obowiązku organizacji, a ich brak nie zatrzyma działań sygnalistów. Tak naprawdę brak systemu generuje więcej ryzyk po stronie organizacji, które mogą doprowadzić do utraty kontroli nad wewnętrznymi zgłoszeniami albo wręcz sprowokować do korzystania z kanałów zewnętrznych. Mając komfort dwuletniego okresu na przygotowanie procedury, warto rozpocząć działania już teraz, bo wyłączenie obowiązku posiadania dokumentacji nie jest równoznaczne z brakiem obowiązku do działań na rzecz ochrony sygnalistów.
Tomasz Osiej
Wdrożenie kanału komunikacji dla sygnalistów w formie aplikacji nie wymaga od organizacji zaangażowania dużych zasobów, a może przynieść jej wiele korzyści. Pierwszą z nich jest spełnienie wymogu prawnego. My zalecamy implementację systemu whistleblowingowego niezależnie od poziomu zatrudnienia. Brak kanału i procedur nie zatrzyma osoby chcącej zgłosić nieprawidłowości i lepiej gdy poinformuje firmę bezpośrednio, by ta mogła zareagować i podjąć działania naprawcze wewnętrznie. Drugi aspekt przemawiający za rozwiązaniem informatycznym to usprawnienie pracy osób odpowiedzialnych za przyjmowanie i zarzadzanie zgłoszeniami. Automatyzacja pracy, dostępność wszystkich dokumentów w jednym, dobrze zabezpieczonym miejscu i ułatwienie procesu raportowania to główne zalety.
Rafał Barański, CEO braf.tech, współtwórca aplikacji dla sygnalistów whiblo
3. Wszystkie podmioty muszą pamiętać, że przepisy o sygnalistach są ściśle związane z ochroną danych osobowych
Dane osobowe są nierozerwalnie związane z procesem sygnalizowania naruszeń. Wynika to z tego, że zgłoszenia dokonuje konkretna osoba, która opisuje w nim działania lub zaniechania danego pracownika, sama przy tym się ujawniając. W procesie mamy także do czynienia ze świadkami czy osobami wspierającymi zgłaszającego. Na etapie przyjęcia i przetwarzania zgłoszenia osoba odpowiedzialna za ten proces musi dochować szczególnej staranności, by wszelkie informacje w nim zawarte pozostały poufne.
Ochrona danych osobowych w kontekście przetwarzania zgłoszeń i prowadzenia działań wyjaśniających jest kluczowa. Ujawnienie tożsamości sygnalisty czy niedochowanie poufności niweczy cały proces, bo ochrona sygnalisty jest wtedy nieskuteczna. Tworząc procedury, należy pamiętać, by przetwarzanie danych w zgłoszeniach było zgodne z RODO, bowiem ich obsługa będzie nowym procesem wymagającym ujęcia w procedurach ochrony danych osobowych.
Tomasz Osiej
Jednym z najważniejszych założeń ochrony sygnalistów jest zabezpieczenie danych osobowych zamieszczonych w zgłoszeniu i zapewnienie poufności tożsamości sygnalisty. Wyciek danych czy ujawnienie tożsamości zgłaszającego może podważyć zaufanie pracowników do działania systemu whistleblowingowego. Stosując tradycyjne metody zbierania informacji o nieprawidłowościach, jak skrzynki na listy czy dedykowane adresy email, nie mamy żadnej gwarancji, że tożsamość sygnalisty nie wypłynie nawet przez przypadek. Warto zwrócić się ku rozwiązaniom informatycznym, które zapewniają szyfrowanie treści zgłoszeń czy transmisji danych, uniemożliwiając jakiekolwiek ingerencje w zgłoszenia.
Rafał Barański
•••
Wdrożenie założeń dyrektywy o ochronie sygnalistów, a wkrótce także polskiej ustawy, jest nie tylko obowiązkiem prawnym, ale też formą ograniczenia ryzyka przez organizacje oraz źródłem wielu korzyści. Zbieranie zgłoszeń o nieprawidłowościach i rozwiązywanie problemów zanim zostaną upublicznione chroni reputację pracodawcy w oczach pracowników, partnerów i kontrahentów. Implementacja odpowiednich procedur przez firmy prywatne już teraz pozwoli uniknąć niepotrzebnych nerwów i poniesienia wyższych nakładów finansowych oraz kadrowych w momencie, gdy przedsiębiorstwo będzie musiało działać pod presją czasu.
Źródło: braf.tech