Parlament Europejski przyjął projekt „Dyrektywy w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii”, potocznie zwanej dyrektywą o ochronie sygnalistów. Jego celem ma być przede wszystkim ochrona podmiotów, przede wszystkim osób fizycznych, które mogłyby doznać prawnych, ekonomicznych czy innych dolegliwości w charakterze odwetu z tytułu zgłoszenia przez nie lub przez inne związane z nimi osoby informacji na temat określonych naruszeń prawa. Projekt przewiduje ponadto nałożenie na przedsiębiorców pewnych obowiązków proceduralno-orgranizacyjnych z zakresu compliance, głównie o charakterze wdrożenia systemu obsługi zgłoszeń i podejmowania środków następczych. Po przyjęciu dyrektywy - zgodnie z procedurą ustawodawczą UE i jej wejścia w życie - ustawodawca polski będzie miał dwa lata na wdrożenie jej przepisów do krajowego porządku prawnego.
Czytaj również: Compliance officer to polisa na życie firmy >>
Kogo będą obowiązywać nowe przepisy?
Projektowane regulacje będą z pewnymi różnicami obowiązywać podmioty publiczne i przedsiębiorców, przy czym z uwagi na zakres wynikających z nich ryzyk, przepisy dyrektywy będą miały szczególnie istotne znaczenie dla tych ostatnich. Dyrektywa ma dotyczyć:
- przedsiębiorców, którzy zatrudniają minimum 50 pracowników,
- przedsiębiorców działających w sektorze usług, produktów i rynków finansowych oraz podmiotów obowiązanych na gruncie przepisów z zakresu przeciwdziałania praniu pieniędzy lub finansowaniu terroryzmu, niezależnie od liczby zatrudnionych.
Objęcie podmiotów zatrudniających poniżej 50 pracowników obowiązkami wynikającymi z dyrektywy pozostawiono uznaniu ustawodawcy krajowego. W pierwszym rzędzie projekt obejmuje ochroną osoby zgłaszające naruszenia konkretnych aktów prawa Unii Europejskiej (oraz wdrażającego je prawa krajowego wraz z aktami wykonawczymi) w następujących obszarach:
- zamówienia publiczne,
- usługi, produkty i rynki finansowe,
- zapobieganie praniu pieniędzy i finansowaniu terroryzmu,
- bezpieczeństwo produktów,
- bezpieczeństwo transportu,
- ochrona środowiska,
- ochrona radiologiczna i bezpieczeństwo jądrowe,
- bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt,
- zdrowie publiczne,
- ochrona konsumentów,
- ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych.
W dalszej kolejności dyrektywa dotyczyłaby naruszeń dotyczących rynku wewnętrznego, w tym naruszeń na gruncie prawa konkurencji, prawa pomocy publicznej oraz prawa podatkowego w zakresie CIT, a także innych naruszeń mających wpływ na interesy finansowe UE. Projektowane przepisy wprost zachęcają przy tym państwa członkowskie UE do rozszerzenia zakresu ochrony sygnalistów również na inne dziedziny, także i te zastrzeżone dla ustawodawcy krajowego.
Sygnalistą może być nie tylko pracownik
Przewidziany w dyrektywie krąg osób chronionych – osób zgłaszających nieprawidłowości w organizacjach (tzw. sygnalistów) – jest bardzo obszerny. Nie ogranicza się ani wyłącznie do pracowników rozumianych jako osoby fizyczne pozostające w stosunku pracy, ani wyłącznie do osób bezpośrednio dokonujących zgłoszenia.
Z motywów projektu wynika, że ochronę przyznać należy osobom pozostającym w stosunku zawodowej, ekonomicznej czy faktycznej zależności, niezależnie od charakteru prawnego łączącej ich z daną organizacją więzi, nawet jeśli z organizacją tą związani są tylko pośrednio, i nawet jeśli więź ta ma charakter nieodpłatny. Głównym kryterium oceny, czy dana osoba byłaby chroniona, będzie zatem hipotetyczna możliwość poddania jej prawnym lub faktycznym dolegliwościom stosowanym jako odwet za dokonanie zgłoszenia. Ochronę przyznaje się w szczególności:
- pracownikom (w tym także osobom, których stosunek pracy już ustał, a także ubiegającym się o jego nawiązanie),
- osobom prowadzącym działalność na własny rachunek (w tym osobom współpracującym z przedsiębiorcą na zasadzie B2B),
- akcjonariuszom oraz wspólnikom spółek,
- osobom będącym członkami organów (w tym członkom zarządów i rad nadzorczych),
- wolontariuszom i stażystom,
- wszelkim osobom pracującym pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców.
Ochrona przewidziana dla sygnalistów przysługiwać miałaby również osobom pomagającym w dokonaniu zgłoszenia, a także tym, które wprawdzie same w jego dokonaniu nie uczestniczyły, ale z uwagi na zgłoszenie stawałyby się narażone na działania odwetowe.
Doniósł podwykonawca, wykonawcę zwolnili
Na tym nie koniec. W niektórych wypadkach ochrona będzie mogła objąć nie tylko samego sygnalistę i powiązane z nim osoby fizyczne, ale także związane z nimi organizacje: m.in. pracodawcę sygnalisty czy podmioty stanowiące jego własność. Dyrektywa chroniłaby zatem przede wszystkim osoby zgłaszające prawdziwe okoliczności i wskazujące na konkretne dowody naruszeń we wskazanych powyżej dziedzinach. Ale nie tylko, do objęcia ochroną wystarczyłoby, że osoba dokonująca zgłoszenia ma uzasadnione podstawy ku temu, aby uważać przekazywane przez siebie informacje za prawdziwe. Ochrona miałaby być przyznawana nie tylko w razie dostarczenia konkretnych dowodów: do jej uzyskania miałoby wystarczyć zgłoszenie uzasadnionej obawy lub podejrzenia. Dyrektywa miałaby także zapewniać ochronę osobom dostarczającym informacji nie tylko o naruszeniach, które miały już miejsce, ale także takich, co do których dopiero istnieje prawdopodobieństwo ich popełnienia, czy nawet o próbach ukrycia naruszeń.
Zamiarem prawodawcy europejskiego było przy tym wyłączenie ochrony dla osób, które fałszywe informacje przekazały w złej wierze. Kwestię weryfikacji dobrej albo złej wiary sygnalisty projekt pozostawia jednak otwartą, przez co zająć się nią będzie musiał ustawodawca krajowy, a w indywidualnych przypadkach wymiar sprawiedliwości. Projekt nie wyjaśnia także, czy ochronie na wskazanych wyżej zasadach miałyby podlegać osoby trzecie, które np. w dobrej wierze pomogły w dokonaniu zgłoszenia, ale po fakcie okazało się, że rzekomy sygnalista działał w złych zamiarach.
Tarcza przed odwetem
Clou projektowanych przepisów to konkretne środki ochrony przed odwetem przysługujące sygnaliście i innym chronionym obok niego podmiotom.
Punktem wyjścia jest przyznanie mu szerokiego immunitetu w zakresie związanym ze zgłoszeniem i niezbędnym do ujawnienia naruszenia. Na gruncie projektowanych przepisów miałoby się uznawać, że sygnalista działający zgodnie z niniejszą dyrektywą nie dopuszcza się naruszenia żadnych ograniczeń w zakresie ujawniania informacji i nie ponosi żadnej odpowiedzialności w związku z dokonanym zgłoszeniem lub publicznym ujawnieniem nieprawidłowości. Immunitet sygnalisty miałby przy tym obejmować także uzyskanie przez sygnalistę niezbędnych informacji i zapewnienie sobie do nich dostępu, pod warunkiem, że takie działania nie stanowiłyby samodzielnego przestępstwa. Immunitet ten miałby na płaszczyźnie procesowej obejmować m.in. postępowania sądowe w zakresie zniesławienia, naruszenia praw autorskich, naruszenia tajemnicy, naruszenia przepisów o ochronie danych, naruszenia tajemnicy handlowej oraz spraw o odszkodowanie na podstawie prywatnego, publicznego lub zbiorowego prawa pracy. Sygnaliści mieliby wówczas prawo wystąpić o umorzenie postępowania, powołując się na dokonanie zgłoszenie lub ujawnienie.
Szpieg nie będzie sygnalistą
W projekcie przewidziano przy tym dość wąski katalog wyłączeń. Dyrektywa miałaby nie mieć wpływu m.in. na stosowanie przepisów dotyczących ochrony informacji niejawnych, tajemnicy sędziowskiej, niektórych tajemnic zawodowych (prawniczej i medycznej) oraz przepisów dotyczących postępowania karnego. Ochronie nie podlegałaby zatem osoba np. naruszająca tajemnicę lekarską. Dyrektywa nie obejmie także obszarów, które co do zasady nie są regulowane przepisami prawa Unii Europejskiej. Poza zakresem stosowania dyrektywy pozostają zatem kwestie zapewnienia bezpieczeństwa narodowego oraz ochrony podstawowych interesów bezpieczeństwa państw członkowskich.
Odwrócenie ciężaru dowodu
Dalszym szczególnym przywilejem sygnalisty w prowadzonych postępowaniach byłoby odwrócenie ciężaru dowodu. Do przyjęcia, że sygnalista poniósł określoną szkodę na zasadzie odwetu w wyniku dokonanego przez siebie zgłoszenia czy ujawnienia, wystarczyłoby podniesienie takiej okoliczności przez sygnalistę. To druga strona musiałaby wówczas udowodnić, że skierowane wobec sygnalisty działania powodujące szkodę nie miały charakteru odwetowego. Z motywów projektu wynika przy tym, że szkodę należałoby widzieć nie tylko jako wyliczalne poniesione straty i utracone korzyści, ale także jako nadszarpnięcie reputacji, zniweczenie perspektyw kariery zawodowej, ograniczenie finansowania czy nawet odmowę utrzymania relacji umownych.
Z tego względu przykładowymi środkami naprawienia szkody w rozumieniu dyrektywy byłoby nie tylko zadośćuczynienie oraz odszkodowanie za rzeczywiste i przyszłe straty finansowe, ale także przywrócenie do pracy, pokrycie kosztów związanych ze zmianą zawodu, wyrównanie przyszłej utraty dochodów, „odmrożenie” wstrzymanego szkolenia lub awansu, przywrócenie unieważnionego zezwolenia czy unieważnionej licencji, a nawet ponowne zawarcie wypowiedzianej umowy o współpracy.
Trzy sposoby na zgłoszenie nieprawidłowości
Projekt dyrektywy wprowadza trzy zasadnicze kanały komunikacyjne zgłaszania nieprawidłowości:
- wewnętrzny, czyli obowiązujący wewnątrz przedsiębiorstwa;
- zewnętrzny, czyli regulujący tryb zgłaszaniu nieprawidłowości bezpośrednio do organów państwa;
- procedurę publiczną polegającą na ujawnieniu informacji o naruszeniach bezpośrednio opinii publicznej, np. w mass-mediach, za pośrednictwem platform internetowych czy mediów społecznościowych.
Dyrektywa przewiduje zachęcanie sygnalistów przez państwa członkowskie UE do wykorzystywania kanałów wewnętrznych przed dokonaniem zgłoszenia zewnętrznego. Powinno być to regułą, o ile naruszeniu można skutecznie zaradzić wewnątrz organizacji, a nad sygnalistą nie wisi groźba odwetu.
Zgłoszenia nieprawidłowości kanałem zewnętrznym chcący uzyskać ochronę sygnalista dokonać będzie mógł jednak niezależnie od uprzedniego dokonania zgłoszenia wewnętrznego. Zgodnie z projektem dyrektywy na organach władzy publicznej ciążyć będzie obowiązek zapewnienia dla zgłoszeń zewnętrznych odpowiednich niezależnych i autonomicznych kanałów komunikacji, gwarantujących kompletność, integralność i poufność informacji oraz uniemożliwiających uzyskanie dostępu nieupoważnionym członkom personelu organów. W razie otrzymania zgłoszenia tak kanałem wewnętrznym, jak i zewnętrznym, bieg rozpoczyna nieprzekraczający zasadniczo trzech miesięcy termin na poinformowanie sygnalisty przez odbiorcę zgłoszenia o podjętych działaniach następczych.
Naruszenia w eterze
Pewnym obostrzeniom podlegać miałyby jednak publiczne ujawnienia naruszeń przez sygnalistów. Żeby osoba upubliczniająca tego rodzaju informacje mogła zostać objęta przewidzianą w dyrektywie ochroną, wymagane będzie uprzednie dokonanie przez nią zgłoszenia kanałem zewnętrznym – i brak podjęcia w terminie odpowiednich działań przez odbiorców zgłoszenia. Wymogowi dokonania wcześniejszego donosu do właściwych organów sygnalista miałby nie podlegać jedynie wówczas, gdyby miał uzasadnione podstawy do przypuszczeń, że naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, gdy w przypadku dokonania zgłoszenia zewnętrznego miałby grozić mu odwet lub gdyby prawdopodobieństwo skutecznego zaradzenia naruszeniu na skutek zgłoszenia zewnętrznego było tylko niewielkie z uwagi na szczególne okoliczności sprawy (np. z uwagi na złą wolę organu).Co istotne, ochronie przewidzianej dla sygnalistów w dyrektywie miałyby nie podlegać osoby ujawniające informacje bezpośrednio do prasy zgodnie ze szczególnymi przepisami krajowymi ustanawiającymi system ochrony w związku z wolnością wypowiedzi i informacji.
Obowiązki przedsiębiorcy
Głównym obowiązkiem administracyjnym przedsiębiorcy przewidywanym w projekcie będzie ustanowienie wewnętrznych kanałów i wdrożenie procedur na potrzeby dokonywania zgłoszeń, ich ewidencjonowania i podejmowania działań następczych. Dyrektywa zakreśla przy tym ramy i wskazuje obligatoryjne elementy procedur, w dużej mierze uwzględniając istniejące dobre praktyki i sprawdzone rozwiązania. W zasadniczym zakresie odsyła jednak do rozwiązań opracowywanych przez ustawodawcę krajowego. Obsługi zgłoszeń nie trzeba będzie zapewniać własnym sumptem – będzie można powierzyć ją zewnętrznemu profesjonaliście, a przedsiębiorcy zatrudniający od 50 do 249 pracowników będą mogli uwspólnić ich obsługę z innymi przedsiębiorcami.
Ze wskazanymi wyżej obowiązkami korespondować ma zakaz utrudniania działalności sygnalistów. Dyrektywa poleca ustawodawcy krajowemu wprowadzenie stosownych sankcji wobec osób i podmiotów, które utrudniają lub próbują utrudniać dokonywanie zgłoszeń, nie zapewniają wymaganej przepisami poufności co do tożsamości sygnalistów, podejmują przeciwko nim działania odwetowe, czy nawet wszczynają przeciwko nim uciążliwe postępowania.
Nowa dyrektywa niesie duże ryzyko dla przedsiębiorców
Mimo, że dyrektywa ma formalnie charakter wycinkowy i odnosi się tylko do naruszeń w niektórych, ściśle określonych obszarach prawa, jej racjonalne wdrożenie przez podmioty obowiązane wymagać będzie w praktyce wprowadzenia całościowego systemu ochrony sygnalistów, niezależnie od charakteru zgłaszanych przez nich nieprawidłowości. Można się przy tym spodziewać, że ustawodawca zdecyduje się objąć zakresem regulacyjnym wdrażających dyrektywę przepisów krajowych także i dalsze obszary. Ryzyka dla przedsiębiorców tkwią nie tyle w samym wdrożeniu procedur i przygotowaniu systemu compliance, co w nieostrych kryteriach przyznawania ochrony sygnalistom i w środkach, które mogą głęboko ingerować w swobodę prowadzonej działalności. O ile bowiem przepisy chronią przedsiębiorców przed złą wiarą osób zgłaszających informacje fałszywe (chociaż dopiero po fakcie, w postaci możliwości dochodzenia odszkodowania...), o tyle nie zapewniają obrony przed złą wolą sygnalisty, jeśli tylko samo zgłoszenie może zostać zweryfikowane pozytywnie. Z uwagi na objęcie ochroną członków zarządów i rad nadzorczych, wspólników i akcjonariuszy spółek już dziś można sobie wyobrażać instrumentalne wykorzystywanie projektowanych przepisów np. w sporach korporacyjnych. Czarnym scenariuszem byłoby uzyskiwanie przez członków organów immunitetu przed odwołaniem i zmniejszeniem uposażenia za pomocą donosów o planowanych działaniach spółek, które pozostawałyby formalnie zgodne z przepisami, np. w zakresie CIT.
Kruczek kryje się w projektowanej definicji naruszenia oraz informacji na temat naruszenia. W rozumieniu dyrektywy ochrona przewidziana dla osoby zgłaszającej naruszenie przysługiwałaby nawet w razie zgłoszenia „uzasadnionego podejrzenia dotyczącego potencjalnego przyszłego zaniechania, które jest sprzeczne z celem przepisów, do którego prawdopodobnie dojdzie w organizacji, z którą zgłaszający utrzymywał kontakt w kontekście wykonywanej pracy”. Jest to szczególnie istotne z uwagi na ryzyka także dla tych przedsiębiorców, który w swojej działalności ściśle trzymają się litery prawa.
Po przyjęciu i wejściu w życie dyrektywy polski ustawodawca stanie przed niełatwym wyzwaniem takiego rozsądnego i pełnego jej wdrożenia do krajowego porządku prawnego, żeby z jednej strony zapewnić realizację słusznych skądinąd celów dyrektywy, a z drugiej wprowadzić rozwiązania o charakterze racjonalnym i wykonalnym. Wdrożenie dyrektywy powinno stanowić dla przedsiębiorcy wartość dodaną, podnoszącą kulturę korporacyjną i jakość zarządzania przedsiębiorstwem, a nie kolejną biurokratyczną dolegliwość. Będzie to jednak wymagało odejścia przez rządzących od niektórych dotychczas prezentowanych koncepcji uregulowania statusu sygnalisty jako informatora organów ścigania z licencją na donoszenie, uwidocznionych np. w projekcie ustawy o jawności życia publicznego.