W dniu 25 września 2024 roku weszła w życie ustawa o ochronie sygnalistów (dalej: „Ustawa”). Ten długo wyczekiwany w naszym kraju akt prawny został utworzony w celu implementacji Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.
Celem ustawy jest ochrona osób zgłaszających lub ujawniających publicznie naruszenie prawa przed działaniami odwetowymi, jak również przed próbami lub groźbami dokonania takich działań. Takie osoby zdefiniowane są jako sygnaliści. Co istotne, Ustawa wskazuje, że sygnalistą może być nie tylko pracownik, lecz także pracownik tymczasowy, osoba zatrudniona na podstawie umowy cywilnoprawnej (np. umowy zlecenie), przedsiębiorca, prokurent, akcjonariusz lub wspólnik, członek organu spółki, podwykonawca lub dostawca, stażysta, wolontariusz, praktykant oraz funkcjonariusze wybranych służb państwowych.
Katalog osób, które podlegają ochronie Ustawy, jest bardzo szeroki i w praktyce niemal każda osoba w danej organizacji może zostać sygnalistą. Należy jednak pamiętać o warunkach objęcia sygnalisty ochroną – musi on mieć uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania ww. czynności i stanowi informację o naruszeniu prawa.
Warto pamiętać, że jeżeli osoba, której dotyczy zgłoszenie, poniesie szkodę za świadome zgłoszenie lub ujawnienie publiczne informacji nieprawdziwych przez sygnalistę, przysługuje jej prawo do odszkodowania lub zadośćuczynienia od sygnalisty za naruszenie dóbr osobistych.
Ustawa definiuje również, czym jest naruszenie prawa – to działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące m. in. korupcji, zamówień publicznych, usług, produktów i rynków finansowych, przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, zdrowia publicznego, ochrony prywatności i danych osobowych, bezpieczeństwa sieci i systemów teleinformatycznych.
Jak zatem widać naruszenie również zostało zdefiniowane bardzo szeroko, lecz obejmuje zarówno obszary ważne dla prawidłowego funkcjonowania organizacji, jak i kluczowe dla każdego człowieka prawa i wolności, które to niewątpliwie powinny być szczególnie chronione.
Ustawa słusznie nie ustanawia zamkniętego katalogu działań odwetowych, a jedynie w art. 12 wskazuje, jakie działania (próby działań albo groźby) pracodawcy wobec pracownika-sygnalisty w szczególności mogą być rozumiane jako odwetowe. Należy do nich zaliczyć m. in.:
-wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy
-niezawarcie umowy o pracę na czas określony lub umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na okres próbny
-obniżenie wynagrodzenia za pracę
-wstrzymanie awansu lub pominięcie przy awansowaniu
-przeniesienie na niższe stanowisko pracy
-zawieszenie w wykonywaniu obowiązków pracowniczych lub służbowych
-mobbing
-dyskryminacja
W stosunku do osób zatrudnionych na podstawie innej niż umowa o pracę, przepis ten stosuje się odpowiednio. Sygnalista może ubiegać się o odszkodowanie lub zadość uczynienie, jeżeli wobec niego dopuszczono się działań odwetowych.
Rozdział 3 Ustawy określa podstawowe zasady wdrażania w organizacjach procedury zgłoszeń wewnętrznych, dzięki którym sygnaliści będą mieli możliwość zgłaszania naruszeń prawa.
Czy to oznacza, że każda organizacja jest obowiązana do wdrożenia procedury?
Ustawa wskazuje, że co do zasady obowiązek ten spoczywa na każdej jednostce, na rzecz której na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób, przy czym de facto podstawa zatrudnienia nie ma znaczenia przy ustalaniu liczby osób wykonujących pracę zarobkową.
Należy podkreślić, że wobec niektórych sektorów próg 50 osób nie ma zastosowania. W szczególności dotyczy to podmiotów świadczących usługi finansowe. Oznacza to, że te podmioty niezależnie od ilości osób wykonujących pracę zarobkową na ich rzecz, obowiązane są do wdrożenia wewnętrznej procedury zgłaszania naruszeń.
Przy wdrażaniu procedury należy przede wszystkim pamiętać o wyznaczeniu osoby lub jednostki organizacyjnej odpowiedzialnej za przyjmowanie zgłoszeń od sygnalistów. W wielu przypadkach może się okazać konieczne dodatkowe wyznaczenie osoby lub jednostki organizacyjnej upoważnionej do podejmowania działań następczych, w tym weryfikacji zgłoszenia i dalszej komunikacji z sygnalistą.
Procedura powinna również opisywać sposób dokonywania zgłoszeń i tryb postępowania z nimi. Nie można również zapominać o obowiązku potwierdzenia sygnaliście o przyjęciu zgłoszenia w terminie 7 dni oraz o wiadomości zwrotnej.
Zgodnie z przepisami Ustawy, podmiot powinien zapewnić sygnaliście możliwość dokonania zgłoszenia co najmniej w formie pisemnej lub ustnej, dokonanej telefonicznie lub za pomocą środków komunikacji elektronicznej. przy czym zgłoszenie ustne powinno zostać dokładnie udokumentowane w postaci protokołu.
Oprócz wdrożenia procedury zgłoszeń wewnętrznych, należy także prowadzić rejestr zgłoszeń wewnętrznych, w którym należy przechowywać zgłoszenia przez okres 3 lat następujących po roku, w którym dokonano zgłoszenia.
W całym procesie zgłaszania naruszeń najważniejsze jest zapewnienie zachowania danych zawartych w zgłoszeniu, sygnalisty oraz osoby, której dotyczy zgłoszenie w poufności. Należy więc procedurę zgłoszeń wewnętrznych ułożyć w taki sposób, aby osoby nieuprawnione nie miały dostępu do informacji objętych zgłoszeniem. Ustawa w związku z tym wskazuje, że osoby lub jednostki organizacyjne uprawnione do przyjmowania zgłoszeń i dokonywania działań następczych, powinny posiadać stosowne upoważnienie do przetwarzania danych osobowych.
Jednakże, dane sygnalisty mogą być ujawnione wyłącznie w następujących przypadkach:
-wyraźna zgoda sygnalisty
-gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.
Dodatkowo, osoba, która jest podejrzana o dokonanie naruszeń, nie będzie informowana o źródle pozyskania jej danych osobowych. Są to informacje, jakie standardowo osoba taka powinna otrzymać od administratora danych osobowych na gruncie przepisów RODO, jednakże Ustawa zwalnia administratora z wykonania tego obowiązku.
Ustawa wprowadza narzędzia, które niewątpliwie mogą pomóc w walce z nadużywaniem prawa w jednostkach organizacyjnych. Niezbędne jednak jest do tego prawidłowe wdrożenie wewnętrznych procedur zgłaszania naruszeń, co w praktyce dla niektórych podmiotów może okazać się problematyczne.
Warto skorzystać z pomocy specjalistów ds. compliance, którzy znacznie ułatwią cały proces, a dzięki zdobytemu doświadczeniu potrafią wskazać ewentualne ryzyka na etapie projektowania procedur.
Dodatkowo należy pamiętać o audycie RODO i aktualizacji procedur z zakresu ochrony danych osobowych.
Nasza kancelaria posiada doświadczenie zarówno w dokonywaniu audytu RODO i jego aktualizacji, jak i wdrażaniu procedur anonimowego zgłaszania naruszeń, w tym także w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Zachęcamy do kontaktu z nami w celu poznania szczegółów.
adw. Aleksandra Skrzypczyńska
Wszystko zaczyna się od rozmowy
Po wysłaniu wiadomości skontaktuję się z Tobą
w ciągu 24 godzin.
