Grażyna J. Leśniak: Polska ma czas do 16 grudnia 2021 r. na wdrożenie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Znając naszą rzeczywistość, to ustawa, która ma  implementować jej postanowienia do prawa krajowego, pojawi się zapewne na ostatnią chwilę. Czy są rozwiązania, które polskie firmy i instytucje publiczne mogą już teraz zacząć wdrażać, nie czekając na ustawę?

Beata Baran: Tak. To, co można już zacząć wdrażać albo przynajmniej zacząć się przygotowywać do wdrożenia, to kanały dokonywania zgłoszeń wewnętrznych. To jest pierwszy krok działania sygnalisty – ścieżka działania w obrębie organizacji, w której funkcjonuje dany sygnalista, np. w urzędzie wojewódzkim czy w przedsiębiorstwie. Przy czym przedsiębiorstwo rozumiemy jako całość, nie tylko oddział w mieście X, z którego dokonuje zgłoszenia sygnalista, lecz jako podmiot prowadzący działalność w skali całego kraju (np. sieć retail’ową).

Czytaj również: Ochrona sygnalistów w administracji publicznej szczególnie potrzebna>>
 

Istotne jest to, że obowiązek stworzenia wewnętrznych kanałów zgłaszania nieprawidłowości i naruszeń będą miały zarówno firmy z sektora prywatnego, jak i jednostki sektora publicznego. Te wprowadzane procedury i kanały na pewno powinny umożliwiać pracownikom tego podmiotu dokonywanie zgłoszeń. I to jest ten element obligatoryjny. Dyrektywa rozszerza zakres stosowania tych kanałów na inne grupy osób, które mogą mieć wiedzę o zdarzeniach. Można więc stosować procedury i kanały nie tylko w stosunku do pracowników, ale także wykonawców, podwykonawców, dostawców lub innych kontrahentów. Tak naprawdę możemy więc dojść do ochrony sygnalistów na wielu poziomach. Przykład? Sygnalizowanie np. nieprawidłowości w przebiegu robót drogowych przez dostawcę surowca do budowy autostrady, która prowadzona jest przez podmiot państwowy, w którym to kanał wewnętrzny zgłoszenia dla sygnalistów został ustanowiony.

Kolejna grupa, objęta dyrektywą i możliwością zgłaszania to np. wolontariusze i stażyści. Co ciekawe, osoby, które nie są na stałe związane z podmiotem, mogące nawet działać nieodpłatnie na jego rzecz, także mogą mieć ten status sygnalisty.

Kodeks pracy ze schematami

Małgorzata Iżycka-Rączka, Krzysztof Wojciech Rączka

Sprawdź  

Czy status sygnalisty może mieć np. samozatrudniony współpracujący z podmiotem?

Tak. Bo to, co jest główną przesłanką do uzyskania statusu sygnalisty jest to, że te informacje na temat naruszeń zostały pozyskane w kontekście związanym z pracą. To jest bardzo szerokie określenie. Bo choć trudno jest mówić o pracy wolontariusza czy pracy osoby mającej umowę o dzieło, wykonuje ona jednak jakieś działania na rzecz podmiotu, w którym doszło do naruszenia prawa czy naruszenia aktów wewnętrznych tego podmiotu.

Czy to oznacza, że obowiązek stworzenia kanałów zgłaszania nieprawidłowości będzie dotyczył także fundacji i stowarzyszeń?

To, co stanowi wyznacznik, jeśli chodzi o sektor prywatny, z którym mamy do czynienia w przypadku fundacji i stowarzyszeń, to poziom zatrudnienia. Jeżeli zatrudniają więcej niż 50 pracowników, to tak - będą zobowiązane do stworzenia kanału wewnętrznego dla sygnalistów.

Czy te grupy, które już pani wymieniła, to są wszystkie osoby, o które polski ustawodawca może rozszerzyć krąg podmiotów uprawnionych do zgłaszania nieprawidłowości?

Dyrektywa przewiduje w tym zakresie minimalny standard. To znaczy, że unijny ustawodawca wskazuje co najmniej te grupy. Trudno będzie co prawda znaleźć kolejne, ale gdyby np. w ramach konkretnego systemu krajowego były jeszcze  jakieś osoby związane z daną organizacją w kontekście pracy, których nie przewiduje dyrektywa, to takie osoby czy grupy osób ustawodawca krajowy może dopisać do grona sygnalistów. Chociażby franczyzobiorca, który nie jest ani podwykonawcą ani wykonawcą, ale w kontekście związanym z pracą – w ramach umów prawa prywatnego – może zostać dopisany do listy sygnalistów.

Ten katalog dyrektywy, czyli ten standard minimalny i wynikającą z niego ochronę stosuje się nie tylko do sygnalistów, ale także do osób, które ich wspierają. Mamy tu niejako trzy grupy. Po pierwsze - osoby pomagające w dokonaniu zgłoszenia. To może być np. inny pracownik, który przekaże wydrukowane maile świadczące o tym, że doszło do fraudu czy też dziennikarz, który współpracuje z sygnalistą albo swoimi kanałami dotrze do osoby, która zdecyduje się podzielić swoimi informacjami i zgłosić je.

Kolejną grupą związaną z sygnalistą, oprócz osób bezpośrednio mu pomagających, są osoby trzecie. Takie, które mogą doświadczyć odwetu czy działań przeciwko nim. Mogą to być np. współpracownicy, koledzy z działu, w którym pracuje sygnalista, którzy również zostaną ukarani, gdy wyda się w organizacji, kim był sygnalista. Wystarczy, że zostaną odcięci od możliwości awansu czy szkoleń, które w organizacji są standardem. De facto mogą to być także krewni czy prywatnie osoby bliskie dla sygnalisty.

Trzecia grupa objęta ochroną to podmioty prawne stanowiące własność osoby dokonującej zgłoszenia bądź takie, dla których ta osoba pracuje czy też jest z nimi w jakiś sposób powiązana. Przykładem może być sytuacja, gdy zgłoszenie pochodzi od pracownika kontrahenta-wykonawcy, a następnie podmiotowi temu nie zostanie udzielone zamówienie publiczne. Jeżeli  do przegranej w przetargu doszło w skutek sygnalizacji, to można będzie mówić o odwecie w stosunku do takiego podmiotu. Podobnie sytuacja może wyglądać np. ze sponsorowaniem imprezy masowej. Jeżeli na skutek zgłoszenia nieprawidłowości przy jej organizacji przez pracownika firmy ubiegającej się o status sponsora, taka współpraca nie zostałaby nawiązana, wówczas też można mówić o represji.

Tak więc ta grupa osób chronionych jest bardzo szeroka.

Pytanie tylko, czy udowodnienie odwetu przez firmę, której nie zostanie udzielone zamówienie publiczne na skutek tego, że jej pracownik zgłosił nadużycia czy nieprawidłowości, będzie w ogóle możliwe. Zawsze przecież urząd może powiedzieć, że były inne, lepsze oferty…

Myślę, że w sferze dowodowej wykazanie tego związku może być trudne, ale nie zmienia to faktu, że w branżach, w których jest stosunkowo niewiele podmiotów specjalizujących się w konkretnych produktach czy usługach, że w takich przypadkach łatwiej będzie wykazać ten związek przyczynowo-skutkowy.

Czy ja dobrze rozumiem: pracownik, wykonawca czy pracownik podwykonawcy zgłasza naruszenie do podmiotu, w którym to naruszenie występuje. Ale w takim razie ta represja może być natychmiastowa…

Szybkość wystąpienia represji będzie zależała od tego, czy przyjęcie zgłoszenia oraz postępowanie wyjaśniające będzie procedowane z zachowaniem poufności. To także kwestia tego, czy zgłoszenie będzie anonimowe, czy nie. To nie jest oczywiste.

Dyrektywa tego nie rozstrzyga?

Mamy pewne przesłanki co do tego, które zgłoszenie można objąć ochroną. Nie każde zgłoszenie, które napłynie od sygnalisty będzie można uznać za takie, które będzie nad nim rozciągało ten parasol ochronny środków przewidzianych w dyrektywie. To trudno w tym momencie przesądzić, bo zobaczymy na co zdecyduje się nasz ustawodawca, gdyż dyrektywa zawiera cały katalog środków ochronnych przed działaniami odwetowymi, podobnie jak i środków wsparcia dla sygnalistów.

Wracając jednak do tego, kiedy zgłoszenie w ogóle podlega ochronie. Otóż przede wszystkim sygnalista musi mieć uzasadnione podstawy sądzić, że to, co zgłasza – te informacje, które przekazuje na temat występowania jakichś nieprawidłowości, są prawdziwe w momencie dokonywania zgłoszenia. Bo może się okazać, że jest to plotka, która pojawiła się w organizacji albo on dokładnie nie wiedział, o co chodzi, miał wiedzę fragmentaryczną.

Druga kwestia to to, czy to będzie podlegało pod zakres przedmiotowy dyrektywy, czyli będzie to związane z pewnymi konkretnymi obszarami życia społecznego, takimi jak np. zamówienia publiczne, bezpieczeństwo transportu, ochrona środowiska, zdrowie publiczne, ochrona konsumentów, ochrona prywatności, bezpieczeństwo sieci teleinformatycznych. Do tego dochodzą kwestie związane z praniem brudnych pieniędzy i przeciwdziałaniem finansowaniu terroryzmu, ale też takie kwestie jak bezpieczeństwo żywności i zdrowie zwierząt. Tak więc katalog spraw podlegających zgłoszeniu będzie bardzo szeroki. Szerszy niż na pierwszy rzut oka kojarzy się, np. potocznie z malwersacjami finansowymi czy praniem brudnych pieniędzy.

Wróćmy jeszcze do kwestii, od której zaczęłyśmy naszą rozmowę, a mianowicie do kanałów wewnętrznych. Co kryje się pod tym pojęciem?  Procedura, którą podmioty będą musiały opracować? Jak to można rozwiązać organizacyjnie?

Samą procedurę można rozumieć jako dokument, który ma zostać wdrożony w organizacji i ustanawiający whistleblowing. W praktyce jednak wokół procedury zbudowany jest wieloelementowy system, do którego należą  podmioty, działania i funkcje w obrębie organizacji. Sama zaś struktura systemu składa się po pierwsze z kanałów, czyli sposobów, w ramach których ktoś może przekazać informacje o nieprawidłowościach. One muszą być bezpieczne jeśli chodzi o ochronę tożsamości osoby zgłaszającej, bo ona może się wprawdzie podpisać pod zgłoszeniem – nie jest to zabronione, natomiast w większości przypadków będzie chciała pozostać anonimowa, albo zgłoszenie, którego dokona lub informacje, które przekaże pozwolą na jej zidentyfikowanie. Ponieważ może to być na tyle specyficzna wiedza, że będzie ją posiadał tylko np. szef działu IT odpowiadający za bezpieczeństwo sieci, i w związku z tym nawet bez podawania nazwiska czy stanowiska, ktoś, kto zna organizację, będzie wiedział z kim ma do czynienia.

Trzeba więc zadbać nie tylko o bezpieczeństwo sygnalisty, ale także i osoby trzeciej, która pojawia się w zgłoszeniu. To może być potencjalny sprawca, to mogą być osoby potencjalnie zaangażowane w fraud. Mogą to być też świadkowie zdarzenia.. Bo ktoś może napisać: wiem, że w dziale księgowym jest coś nie tak, wiem, że przy kartach paliwowych, przy rozliczaniu których dochodzi do nieprawidłowości, pracuje X czy Y. W tym momencie jeszcze nie wiemy, czy to są świadkowie, czy też potencjalni sprawcy. To dopiero zweryfikujemy w postępowaniu wyjaśniającym, ale na tym etapie dbamy o ochronę tożsamości także tych osób.

Drugim elementem systemu, szalenie ważnym by kanały whistelblowingu działały, jest kontakt zwrotny do sygnalisty. Na przykład za pośrednictwem odpowiedniej aplikacji komputerowej bądź dedykowanej skrzynki mailowej czy też telefonu, choć ta akurat ostatnia droga może być nieco mniej efektywna. Taki kontakt zwrotny jest potrzebny, aby przekazać mu, że zgłoszenie zostało przyjęte i trwa postępowanie wyjaśniające. Może też zdarzyć się tak, że w ramach tego wewnętrznego postępowania wyjaśniającego konieczne będzie zwrócenie się do sygnalisty z prośbą albo o doprecyzowanie, albo o rozmowę, albo po prostu po to, aby mógł przekazać jeszcze więcej informacji, jakie o tej sprawie posiada. Pewne jest to, że – tak jak stanowi dyrektywa – należy potwierdzić zgłoszenie w ciągu siedmiu dni od jego otrzymania.

Jak zorganizować taki kanał, aby spełniał swoją rolę? Czy tworząc go podmioty powinny bazować na istniejącej strukturze w administracji?

Takie konkretne zgłoszenie, które ma być sprawdzone powinno trafić do wyznaczonej osoby lub wyznaczonego w tym celu działu, z zachowaniem poufności i bezstronności. Do kogo konkretnie – nie zostało to przesądzone. Najczęściej mówi się o urzędniku ds. etyki czy też compliance officerze, ale pojawiają się też pomysły, aby było to połączone z funkcją IOD-a (inspektora ochrony danych – przyp. red.), co  akurat nie do końca może być adekwatne do funkcji związanej ze zgłoszeniami whistelblowing’owymi. IOD ma bowiem swój specyficzny obszar działań związany z ochroną danych osobowych.

Mamy wreszcie tzw. trzy linie obrony, o których mówi się w kontekście zarządzania ryzykiem w organizacji i także funkcji compliance. I tutaj właśnie, na drugiej linii obrony czyli w ramach compliance myślę, że stosunkowo bezpiecznym rozwiązaniem byłoby umiejscowienie odbierania zgłoszeń. Dla zagwarantowania najwyższych standardów bezstronności dobrym rozwiązaniem jest skorzystanie z zewnętrznej osoby trzeciej, która zapewniłaby obsługę tego kanału. Na to zresztą pozwala dyrektywa. Takim podmiotem może być np. kancelaria prawna, czyli podmiot, który dodatkowo objęty jest jeszcze swoją tajemnicą zawodową. To byłoby takie podwójne zabezpieczenie dla sygnalisty i organizacji z uwagi na tajemnicę, jaką objęci są adwokaci i radcowie prawni oraz fakt, że zgłoszenie rozpatrywałyby osoby niepowiązane z organizacją. No i wreszcie nie do przecenienia jest kwestia merytoryczna – obsługi przez podmiot, który zna specyfikę whistelblowing’ową i ma doświadczenie w prowadzeniu wewnętrznych postępowań wyjaśniających.

Co nie zmienia faktu, że na etapie postępowania, w zależności od sprawy, z którą mamy do czynienia, nawet rekomendowana jest współpraca podmiotu zewnętrznego z daną organizacją, tak aby zrozumieć, na czym to oszustwo może polegać oraz jak sprawa wygląda w kontekście kultury organizacyjnej konkretnego podmiotu.

Czytaj również: Sygnaliści w samorządach są potrzebni, zwłaszcza w mniejszych>>
 

Co będzie najtrudniejsze od strony praktycznej przy wdrożeniu kanałów wewnętrznych i gdzie będzie większy opór: w firmach prywatnych czy administracji publicznej?

Dla jednych i drugich będzie to bardzo duże wyzwanie. Najtrudniejsze będzie przekonanie pracowników do tego, że bycie sygnalistą to działanie dla dobra podmiotu, w którym pracujemy. Że sygnalizacja to działania w dobrej wierze. System nie służy więc do przekazywania plotek i niesprawdzonych informacji czy mówiąc kolokwialnie – utrudniania komuś życia czy podkopywania swoich kolegów lub koleżanek. Na pewno bardzo istotne będą działania o charakterze szkoleniowo-edukacjnym, tak aby pracownicy czuli się bezpiecznie i mieli świadomość, że zgłoszenie zostanie potraktowane poważnie. W przeciwnym razie, jeśli rozejdzie się informacja, że podmiot, np. urząd gminy nie traktuje zgłoszeń poważnie, to do potencjalnych sygnalistów wyjdzie przekaz, że nie warto się starać i nie warto ryzykować. No i wreszcie odpowiednie dobranie podmiotu, który będzie rozpatrywał te zgłoszenia, tak aby mieć gwarancję rzetelnego podsumowania postępowania, solidnych i merytorycznych rekomendacji na przyszłość oraz wsparcia we wdrożeniu środków zaradczych. 

No tak, ale nawet najbardziej profesjonalna kancelaria jako podmiot zewnętrzny będzie musiała polegać na informacjach przedstawiciela organizacji. Sam podmiot zewnętrzny nie zna przecież dobrze struktury organizacji, panujących zasad czy  niuansów w relacjach międzyludzkich. To dość ryzykowne.

Dlatego zastrzegłam, że w ramach rozpoznawania zgłoszeń, w szczególności postępowań wewnętrznych, najczęściej powoływane są zespoły. Podstawą jest współpraca. Bo czy to będzie współpraca z działem HR, czy z działem administracyjnym, to zawsze organ kolegialny ma tę przewagę, że reprezentowane są różne punkty widzenia. To jest taki wentyl bezpieczeństwa, który pozwala na możliwie obiektywne podejście do sprawy.

Ważne jest przy tym, żeby rozpatrywanie tych spraw było ograniczone czasowo. Dyrektywa mówi o przeprowadzeniu postępowania w rozsądnym terminie i z należytą starannością.

Czytaj również: Ochrona sygnalistów ważna także w czasie pandemii>>
 

Nie ma jeszcze polskiej ustawy, która implementowałaby tę dyrektywę. Czy w oczekiwaniu na nią podmioty mogą już podjąć jakieś działania?

Nie ma żadnych barier, by już zacząć wdrażać postanowienia dyrektywy w zakresie ustanowienia wewnętrznych kanałów zgłoszeniowych, a ewentualnie później – gdy będzie już polska ustawa – jedynie je dostosować do przyjętych w prawie krajowym doprecyzowujących rozwiązań w zakresie np. prowadzenia postępowania wyjaśniającego czy informacji zwrotnej dla sygnalisty.