Jolanta Ojczyk: Jak pan ogólnie ocenia projekt? Wszyscy się bali, że będzie albo zbyt szczegółowy, albo mało dokładny.
Bartosz Jagura: Przede wszystkim trzeba cieszyć się z tego, że projekt wreszcie się pojawił – termin transpozycji dyrektywy mija w grudniu, więc czasu jest już naprawdę niewiele. To martwi szczególnie, ponieważ projekt ustawy przewiduje jedynie 14-dniowy okres vacatio legis i nie przewiduje okresów przejściowych dla adresatów nowych obowiązków na wdrożenie stosownych rozwiązań oprócz jednego wyjątku. Oznacza to, że podmioty zobowiązana do ustanowienia regulaminu zgłoszeń wewnętrznych powinny już teraz się tym zająć. A mowa o szerokim katalogu podmiotów z sektora publicznego i prywatnego. Nowe obowiązki nakładane są na pracodawców zatrudniających co najmniej 50 pracowników – zarówno w sektorze prywatnym, jak i publicznym. A ten jeden sygnalizowany wyjątek to odłożenie w czasie wejścia obowiązków wynikających z ustawy dla pracodawców sektora prywatnego, którzy zatrudniają 50-250 pracowników. Te podmioty mają czas do 17 grudnia 2023 roku, aby wdrożyć regulaminy zgłoszeń wewnętrznych.
Zobacz w LEX: Ochrona sygnalistów – nowe regulacje prawne dla organizacji >
Czytaj: Compliance w Polsce 2021 - polskie firmy uczą się działać zgodnie z prawem>>
Czego projekt nie reguluje, a powinien, gdzie jest za szczegółowy, bardziej rygorystyczny niż dyrektywa?
Projekt ustawy wdraża wymagania dyrektywy, której zasadniczym celem jest ochrona interesu publicznego, w tym w szczególności interesów finansowych Unii Europejskiej. Dla realizacji tego konkretnego celu w dyrektywie wskazane zostały obszary, których naruszenia podlegać mogą zgłoszeniu. Jednocześnie dyrektywa pozostawia państwom członkowskim możliwość rozszerzenia zakresu stosowania przepisów na inne dziedziny w celu zapewnienia kompleksowych i spójnych regulacji prawnych dotyczących ochrony sygnalistów na poziomie krajowym. Polski ustawodawca niestety nie skorzystał w tej możliwości – wskazany w art. 3 projektu ustawy zakres przedmiotowy zgłoszeń pokrywa się z tym z dyrektywy. Jest to wielka szkoda, ponieważ wiele obszarów pozostaje pominiętych – takich, w których zazwyczaj liczyć można na dokonywanie zgłoszeń, jak naruszenia prawa pracy, dyskryminacja, mobbing czy czyny korupcyjne. Ustawodawca powinien wykorzystać szansę do stworzenia kompleksowej regulacji, która chronić będzie sygnalistę i promować kulturę zgłoszeń w dobrej wierze. Taka możliwość otwarta jest dla samego pracodawcy, który zgodnie z art. 3 ust. 2 projektu może dodatkowo ustanowić zgłaszanie w zakładzie pracy innych naruszeń, w tym także dotyczących regulacji wewnętrznych czy standardów etycznych. Pracodawcy powinni konsekwentnie wybierać to rozwiązanie, ponieważ, jak wskazują badania, sygnaliści są głównym źródłem wiedzy o nieprawidłowościach w organizacji, których występowanie oznacza dla pracodawcy wymierne straty.
Natomiast zakres podmiotowy ustawy jest określony szeroko – ale to także wynika z samej dyrektywy, która otwiera możliwość dokonywania zgłoszeń przez wiele kategorii osób. Pozytywne jest bez wątpienia to, że ustawa implementacyjna wprost wymienia także pracownika tymczasowego jako uprawnionego do dokonywania zgłoszeń.
Czytaj w LEX: W jakim zakresie RODO i krajowe przepisy o ochronie danych osobowych mają zastosowanie wobec sygnalistów? >
Czytaj: Firmy nie są gotowe na wdrożenie dyrektywy UE o ochronie sygnalistów>>
Czy to dobrze, że projekt dopuszcza zgłoszenia anonimowe tylko, gdy tak przewiduje regulamin lub procedura?
To kolejny problematyczny punkt. Po pierwsze trzeba wskazać, że zgłaszanie nieprawidłowości wciąż jest w Polsce problemem kulturowym. Jak pokazały wyniki ogólnopolskiego badania compliance 2021, ankietowani oficerowie compliance w 58% uznają, że informowanie o nieprawidłowościach w dobrej wierze uznaje się za właściwe w polskim kręgu kulturowym. Więc w ocenie 42% respondentów nie jest to właściwe. Co ciekawe, pytanie dotyczyło wyłącznie informowania w dobrej wierze (czyli takiego, w którym intencje sygnalisty są dobre) oraz zadane było reprezentantom bardzo świadomych organizacji, bo takich, które mają już wdrożone systemy compliance. Można więc wychodzić z założenia, że jest to dość wyidealizowany obraz – w pozostałych organizacjach, w których brak jest systemów compliance i nie krzewi się kultury zgodności, postrzeganie sygnalistów jest zdecydowanie gorsze. O społecznym odbiorze sygnalistów można łatwo przekonać się, czytając komentarze pod artykułami dotyczącymi projektu ustawy w renomowanych serwisach prawno-gospodarczych. Zdecydowanie więcej znajdziemy tam sformułowań w stylu „lubicie lizać buty szefowi”, „konfidenci wszystkich krajów łączcie się”, „kapusie jak za PRL” niż takich, które zwracają uwagę na pozytywny społeczny wymiar informowania o nieprawidłowościach. Mówię o tym wszystkim, bowiem przy takich nastrojach i społecznym postrzeganiu sygnalisty anonimowość zgłoszeń może być jednym z kluczowych czynników warunkujących gotowość sygnalisty do dokonania zgłoszenia. Jeżeli będzie występowała obawa o możliwość bycia rozpoznanym i stygmatyzowanym jako sygnalista (czyli w częstym wciąż społecznie odczuciu „kapuś”), to gotowość do dokonywania zgłoszeń będzie zdecydowanie niższa. Stąd świadomi pracodawcy powinni w regulaminie zgłoszeń wewnętrznych dopuścić możliwość dokonywania zgłoszeń anonimowych, oczywiście spełniających określone warunki, aby wyłączyć możliwość zgłoszeń „hejterskich”, w złej wierze.
Czytaj w LEX: Ochrona sygnalistów - rola działów i managerów HR we wdrożeniu systemów whistleblowingowych >
Czytaj: Sygnalista to nie donosiciel - coraz więcej Polaków to rozumie>>
Zwrócić uwagę trzeba także na niekonsekwencję ustawodawcy – w istniejących już regulacjach, które wycinkowo odnoszą się do zgłaszania naruszeń (Prawo bankowe, Ustawa o przeciwdziałaniu praniu pieniędzy, Ustawa o ofercie publicznej), mowa jest o obowiązku przyjmowania zgłoszeń anonimowych. Po wejściu w życie ustawy implementacyjnej w obecnym kształcie będziemy mieć zatem do czynienia z różnym standardem zgłoszeń dokonywanych na podstawie różnych aktów i odnośnie różnych tematów – w niektórych sytuacjach możliwe będzie zgłaszanie anonimowe, w innych nie. Nie będzie to z pewnością czytelne dla sygnalistów.
Zobacz w LEX: W trosce o reputację Twojej firmy unijna dyrektywa o sygnalistach od A do Z - szkolenie online >
Czyli anonimowość zgłoszeń przewidziana jest warunkowo, o ile tak stanowi regulamin zgłoszeń wewnętrznych czy procedura zgłaszania naruszeń prawa organowi publicznemu. W pozostałych przypadkach ochronie podlega poufność zgłaszającego – czy projekt odpowiednio dba o tę poufność zgłaszającego?
Ustawodawca przewiduje w art. 8 projektu, że dane osobowe zgłaszającego oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że na wyraźną zgodę zgłaszającego, z kolei w art. 30, odnoszącym się do zgłoszeń wewnętrznych, precyzowane są obowiązki organizacyjne ciążące na pracodawcy, których celem jest właśnie zapewnienie poufności zarówno osoby zgłaszającej, jak i osoby, której zgłoszenie dotyczy. Na te obowiązki patrzeć trzeba w kontekście art. 58 projektu, który wprowadza sankcję karną za naruszenie obowiązku zachowania poufności sygnalisty – takie zachowanie zagrożone jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat 3 (!).
Czyli sankcjonowanie – to dobre podejście?
Uwagę zwraca jednolitość przewidzianych sankcji, są one w projekcie takie same za każdy rodzaj naruszenia, a więc za utrudnianie dokonania zgłoszenia, podejmowanie działań odwetowych wobec sygnalisty, już wskazane naruszenie obowiązku zachowania poufności tożsamości sygnalisty, dokonanie zgłoszenia lub ujawnienia nieprawdziwych informacji oraz za brak ustanowienia wewnętrznej procedury zgłaszania grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 3. Kary te wydają się być bardzo surowe, w szczególności kara pozbawienia wolności. Tym bardziej pracodawcy nie mogą lekceważyć nowych obowiązków i powinni już teraz wdrażać stosowne rozwiązania. W Instytucie Compliance widzimy już ten trend: na naszym kursie Approved Whistleblowing Officer, który kompleksowo przygotowuje do wdrażania mechanizmów sygnalizowania i prowadzenia wewnętrznych postępowań wyjaśniających, mamy w kolejnej edycji komplet uczestników. Z pewnością jednak wielu pracodawców wciąż nie jest jeszcze świadomych nowych obowiązków i sankcji, jakie grożą za ich naruszenie.
Czytaj w LEX: Whistleblowing jako przejaw dbałości o dobro zakładu pracy >
Co to oznacza, że działania następcze podejmuje podmiot niezależny organizacyjnie? Czy to dobrze?
Whistleblowing jest częścią systemu zarządzania zgodnością (compliance), a te systemy obecne są w polskich realiach już od wielu lat, co także jednoznacznie pokazują przywoływane już przeze mnie wcześniej badania. W toku rozwoju doszło do wykształcenia mechanizmów niezależności komórki ds. compliance czy oficera compliance – mówią o tym odnośnie sektora finansowego „twarde” regulacje (Rozporządzenie Ministra Rozwoju i Finansów z dn. 6.03.2017 r. w systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach) czy ponadbranżowe zalecenia, np. Dobre Praktyki Spółek Notowanych na GPW 2021. Wskazane akty nawiązują do powszechnych standardów, jak norma ISO 37301 Compliance Management Systems (dawna ISO 19600). Wszystko sprowadza się do niezależności komórki compliance/oficera compliance, która manifestuje się w bezpośrednim podporządkowaniu organizacyjnym prezesowi lub wskazanemu członkowi zarządu spółki oraz wyposażeniu w odpowiednie zasoby czy upoważnienia. Ma to gwarantować bezstronność i odpowiednią swobodę działania oficera compliance. Choć projekt ustawy nie mówi tego wprost, to właśnie wskazana przez Panią w pytaniu niezależność organizacyjna podmiotu upoważnionego do podejmowania działań następczych nakazuje przyjąć, że chodzi tutaj o dział compliance, który posiada odpowiednią wiedzę i doświadczenie, aby zająć się prowadzeniem wewnętrznych postępowań wyjaśniających.
Czytaj w LEX: Aspekty bezpieczeństwa kanałów komunikacji – jaki poziom bezpieczeństwa kanałów komunikacji jest wymagany i jak go zapewnić? >
Czy termin 3 miesięcy na odpowiedź zwrotną dla zgłaszającego nie jest zbyt długi?
I tak, i nie. Trzeba zdawać sobie sprawę z tego, że samo zgłoszenie to dopiero pierwszy krok, który uruchamia dalsze działania, a więc konieczność przeprowadzenia wewnętrznego postępowania wyjaśniającego. Takie postępowanie może wiązać się z koniecznością analizy dokumentów, przeprowadzenia rozmów wyjaśniających czy podjęcia innych działań – a to wszystko angażuje zasoby organizacji. Maksymalny trzymiesięczny termin na informację zwrotną dla sygnalisty jest więc dobry, ponieważ z jednej strony daje sygnaliście wyobrażenie o tym, kiedy najpóźniej otrzyma informację zwrotną, a jednocześnie pozwala organizacji na zbadanie sprawy w rozsądnym terminie, bez niepotrzebnego stresu.
Czytaj w LEX: Projektowanie prywatności (privacy by design) w ramach elektronicznych kanałów zgłaszania naruszeń przez sygnalistów >
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.