Dyrektywa w sprawie ochrony osób zgłaszających naruszenia prawa Unii - tzw. dyrektywa o ochronie sygnalistów zobowiązuje przedsiębiorców do stworzenia wewnętrznych, poufnych i bezpiecznych kanałów przyjmowania zgłoszeń od sygnalistów oraz przekazania pracownikom i współpracownikom informacji o możliwościach zgłaszania naruszeń.

Czytaj też: Sygnalista czy donosiciel? >>

 

 

Genezą powstania prawa ochrony sygnalistów jest potrzeba poszerzania wiedzy przedsiębiorcy o nadużyciach jakie mogą mieć miejsce w jego strukturach. Zgodnie z wynikami badań zaprezentowanymi w raporcie Global Economic Crime Survey 2020 r. 46% polskich przedsiębiorstw przyznaje, że doświadczyło nadużyć a aż 61% polskich firm straciło średnio 400 tys. złotych w wyniku wystąpienia naruszeń, natomiast tylko 6% z tych nadużyć zostało zgłoszonych przez sygnalistów. Zagwarantowanie ochrony sygnaliście buduje jego poczucie bezpieczeństwa a co za tym idzie większe prawdopodobieństwo, iż podzieli się z przedsiębiorcą wiedzą o nadużyciach, których był świadkiem. Dyrektywa zakłada, że wobec osoby zgłaszającej naruszenia pracodawca nie może podjąć żadnych działań odwetowych; w tym. m.in. w formie: zawieszenia, zwolnienia, degradacji lub wstrzymania awansu, przymusowego urlopu bezpłatnego, przekazania obniżenia wynagrodzenia, zmiany godzin pracy czy zastosowania jakiejkolwiek kary dyscyplinarnej.

Czytaj też: Procedura dokonywania zgłoszeń przez sygnalistów w szpitalu >

 

Ochrona sygnalistów. Regulacje dotyczące osób zgłaszających nieprawidłowości

Beata Baran, Michał Ożóg

Sprawdź  

Czas mija, a przepisów brak

Minął niedawno kwartał od daty, w której dyrektywa w założeniu prawodawcy unijnego miała rozpocząć swoje stosowanie. Prawo o ochronie sygnalistów powinno było wejść w życie 17 grudnia 2021 roku. Należy jednak zauważyć, że dyrektywa unijna wymaga implementacji jej wymagań do prawa krajowego w państwie członkowskim. Projekt ustawy o ochronie sygnalistów poznaliśmy w październiku 2021 roku, natomiast na koniec grudnia 2021 roku w procesie legislacyjnym zostały zakończone konsultacje publiczne. Aktualnie tzn. w marcu 2022 r. nadal nie możemy opierać się na ostatecznej wersji tego aktu prawnego.

Czytaj też: W jakim zakresie RODO i krajowe przepisy o ochronie danych osobowych mają zastosowanie wobec sygnalistów? >

Pomimo braku potwierdzenia finalnej formy zapisów w krajowej ustawie, wiele organizacji rozpoczęło proces przygotowania do spełnienia wymagań dyrektywy, a niektóre z nich nawet zakończyły te działania i rozpoczęły proces obsługi zgłoszeń naruszeń. Średni czas wdrożenia procesu ochrony sygnalistów wynosi od 2 do 6 miesięcy pracy zespołu projektowego. Kluczowym elementem procesu jest weryfikacja zgłaszanych naruszeń, podejmowanie działań wyjaśniających oraz przekazywanie sygnaliście informacji zwrotnych, zarówno o przyjęciu zgłoszenia jak i o podjętych w związku z nim działaniach. Działania, które należy podjąć w praktyce to:

  1. Wybór kanałów przyjmowania zgłoszeń od sygnalisty np. skrzynka wrzutowa na terenie organizacji, dedykowany system IT czy infolinia (ważne: każdy z kanałów wiąże się z innymi ryzykami utraty poufności sygnalisty np. skrzynka wrzutowa na terenie firmy może nie gwarantować poufności osoby zgłaszającej z uwagi na fakt istnienia monitoringu wizyjnego obejmującego skrzynkę).
  2. Przygotowanie indywidualnej procedury zgodnej z dyrektywą oraz przepisami krajowymi np. w formie regulaminu wewnętrznego, instrukcji postępowania.
  3. Implementacja procedury w organizacji z uwzględnieniem struktury firmy oraz już istniejącej dokumentacji.
  4. Przeprowadzenie szkoleń, które pozwolą na zapoznanie pracowników z opracowanymi procedurami.

 

Czytaj też: Projektowanie prywatności (privacy by design) w ramach elektronicznych kanałów zgłaszania naruszeń przez sygnalistów >
Czytaj: Ochrona danych sygnalisty kluczowa w pracach nad ustawą>>

Firmy nie czekają na ustawę i wdrażają procedury 

Przedsiębiorcy przygotowujący się do wdrożenia procesu obsługi zgłoszeń naruszeń powinni w pierwszej kolejności ukonstytuować zespół projektowy składający się z m.in. działu prawnego, inspektora ochrony danych, compliance oficera, działu personalnego, a jeżeli wybranym kanałem przyjmowania zgłoszeń będzie system IT to również osoby zajmujące się bezpieczeństwem systemów informatycznych.

 

 

Nadrzędnym celem spełnienia wymagań dyrektywy jest ochrona sygnalisty, a więc elementem koniecznym do zaplanowania w trakcie wdrożenia jest postępowanie zgodnie z zasadami ochrony prywatności osób wskazanych w rozporządzeniu o ochronie danych osobowych (RODO) co dotyczy m.in. ustalenia celu przetwarzania danych i minimalnego zakresu danych w zgłoszeniu, określenie czasu przetwarzania zgłoszeń, przeprowadzenie oceny ryzyka związanego z bezpieczeństwem informacji i prywatnością osób, poinformowanie każdej kategorii osób (m.in. sygnalistę i świadków) o przetwarzaniu jej danych osobowych oraz przygotowanie upoważnień do przetwarzania danych osobowych dla pracowników.

Ostateczny termin wejścia w życie polskiej ustawy o ochronie osób zgłaszających naruszenia nie jest nam znany. Rekomendujemy jednak wdrożenie procesu obsługi zgłoszeń sygnalistów możliwie jak najszybciej, tak aby skutecznie zrealizować wymagania prawne i pozwolić organizacji zrozumieć istotę tego działania.

Autorka: Katarzyna Ellerik – head of data protection team w LexDigital Sp. z o.o.

Czytaj też: 8 obowiązków, które trzeba wykonać, aby wdrożyć w jednostkach samorządu terytorialnego system zgłaszania nieprawidłowości >

 

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.