JAK PRZYGOTOWAĆ SIĘ DO WDROŻENIA USTAWY O SYGNALISTACH?

Trwają prace nad wdrożeniem do polskiego porządku prawnego Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 („Dyrektywa”) i choć termin implementacji unijnych przepisów minął 17 grudnia 2021 r., a na stronie Rządowego Centrum Legislacji opublikowano kolejną już odsłonę projektu ustawy o ochronie osób zgłaszających naruszenia prawa – ustawy o sygnalistach („Projekt”), to wciąż nie znamy ani finalnej wersji, ani ostatecznej daty jej uchwalenia.

Opóźnienia w pracach legislacyjnych nie powinny jednak powstrzymywać pracodawców przed rozpoczęciem przygotowania organizacji do nowych wymogów – przeciwnie, czas ten warto wykorzystać na identyfikację nowych obowiązków, a także podjęcie działań zmierzających do zaprojektowania i budowy kompleksowego systemu zgłaszania nieprawidłowości i ochrony sygnalistów (whistleblowing). Niezastosowanie się do przepisów ustawy bądź nieustanowienie procedury zgłoszeń wewnętrznych lub ustanowienie procedury uchybiającej przepisom skutkować będzie dotkliwymi sankcjami.

Na wstępie przypomnieć należy, że celem Dyrektywy jest ustanowienie wspólnych minimalnych standardów dla krajów członkowskich UE w zakresie ochrony osób, które w dobrej wierze i w interesie publicznym zgłaszają naruszenia prawa. Projekt ustawy wprowadza rozwiązania zapewniające weryfikację zgłoszeń o naruszeniach prawa, podejmowanie działań następczych oraz objęcie ochroną osób dokonujących zgłoszenia lub ujawnienia informacji lub uzasadnionych podejrzeń naruszenia prawa przez sygnalistów. Różnicuje się trzy kanały zgłaszania naruszeń prawa – (1) kanał zgłoszeń wewnętrznych, (2) kanał zgłoszeń zewnętrznych kierowanych do organu publicznego lub organu centralnego oraz (3) ujawnienie publiczne dokonywane za pośrednictwem mediów tradycyjnych lub społecznościowych. Z punktu widzenia obowiązków nałożonych na podmioty prawa zobowiązanych do przyjęcia w strukturze organizacyjnej wymogów Projektu, wzmożonego wysiłku wymaga opracowanie pierwszego z nich.

Podmioty prawa będące adresatami Projektu, tj. podmioty na rzecz których wykonuje lub świadczy pracę co najmniej 50 osób, mocą ustawy zobowiązane będą do wprowadzenia procedury zgłoszeń wewnętrznych, jednak proces budowy i utrzymania systemu whistleblowing wymaga podjęcia szeregu czynności obejmujących zarówno etap przedwdrożeniowy, etap właściwego wdrożenia, jak i czynności powdrożeniowe.

PIERWSZY ETAP – PROCES PRZEDWDROŻENIOWY

  • Przegląd regulacji wewnętrznych

Przed przystąpieniem do właściwej implementacji systemu zgłaszania nieprawidłowości i ochrony sygnalistów należy dokonać przeglądu obowiązujących w danym przedsiębiorstwie procedur oraz procesów kształtujących kulturę organizacyjną z uwzględnieniem konieczności modyfikacji istniejących dokumentów jak również wprowadzenia zupełnie nowych regulacji wewnętrznych. Poddana ocenie powinna być spójność procesów biznesowych z wdrażanym systemem whistleblowing’owym, aby dostosowany do wymogów ustawowych oraz realiów danej organizacji spełniał swoją zasadniczą funkcję.

  • Analiza środków technicznych oraz powierzenie obowiązków związanych ze zgłoszeniem naruszenia prawa

Badanie dostępnych w przedsiębiorstwie środków technicznych pod kątem dostosowania do przyjmowania i obsługi zgłoszeń musi uwzględniać konieczność zapewnienia poufnych kanałów zgłoszeń, które powinny umożliwiać przyjmowanie zgłoszeń pisemnych (papierowych lub elektronicznych), jak i ustnych, tj. za pomocą systemów komunikacji głosowej, jak i podczas bezpośredniego spotkania. Warto ocenić, czy w danej organizacji istnieją już właściwe narzędzia techniczne czy też niezbędne będzie wdrożenie stosownej platformy od jednego z podmiotów działających na rynku specjalizujących się w dostarczaniu odpowiednich rozwiązań.

Utworzenie wewnętrznego kanału wiąże się z wyznaczeniem specjalnej komórki w strukturze organizacyjnej podmiotu lub zapewnieniem, że osoby trzecie działające poza danym podmiotem zobowiązanym, będą zajmować się zgłoszeniami. Osoby podejmujące się realizacji tego zadania, muszą przy tym spełnić wszystkie podstawowe warunki do odpowiedniego przyjęcia i rozpatrzenia zgłoszenia, ustalone dla kanałów wewnętrznych. Analiza zasobów przedsiębiorstwa powinna pozwolić zatem na oszacowanie, czy w ramach struktury organizacyjnej możliwe jest powierzenie zadań związanych z przyjmowaniem, obsługą oraz wyjaśnianiem zgłoszeń konkretnym osobom lub wyodrębnionym zespołom, czy też najbardziej optymalnym rozwiązaniem okaże decyzja o outsourcingu powyższych zadań. Pamiętajmy jednak, że zagadnienia, z którymi zmierzą się osoby zaangażowane w proces przyjmowania i wyjaśniania zgłoszenia sygnalisty charakteryzuje wysoki stopień wrażliwości i poufności w związku z czym obowiązki te powinny pełnić osoby o odpowiednich kompetencjach, cechujące się rzetelnością i bezstronnością.

 

DRUGI ETAP – WDROŻENIE

  • Wdrożenie regulacji wewnętrznych

Obowiązkiem podmiotu prawa jest wdrożenie wewnątrzorganizacyjnego aktu prawnego – procedury zgłoszeń wewnętrznych, który zgodnie z wymaganiami  Projektu, powinien obligatoryjnie określać m.in. przyjęte sposoby zgłaszania naruszeń, jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego bądź podmiot zewnętrzny, upoważnione do przyjmowania zgłoszeń i podejmowania działań następczych czy też wewnętrzny system zachęt do korzystania z procedury zgłoszeń. Jednak kompleksowe tworzenie spójnego systemu whistleblowing’owego wymagać będzie opracowania dokumentów towarzyszących, takich jak regulamin działania zespołu odpowiedzialnego za przyjmowanie zgłoszeń i podejmowanie działań następczych, w tym wzorów formularzy np. przyjęcia zgłoszenia, wzoru rejestru zgłoszeń, upoważnień, klauzul informacyjnych RODO, klauzul o zachowaniu poufności dla osób zajmujących się zgłoszeniem, jak również regulaminu przechowywania danych zebranych w trakcie wyjaśniania zgłoszenia oraz procedury postępowania z danymi osobowymi, bowiem i w tej kwestii Projekt nakłada na podmioty prawa określone obowiązki, w tym w zakresie terminów przechowywania danych.

  • Konsultacje z reprezentacją pracowników

Z uwagi na fakt, że procedura zgłoszeń wewnętrznych ma gwarantować ochronę pracowników oraz innych zgłaszających przed negatywnymi konsekwencjami związanymi z dokonanym zgłoszeniem, ustawodawca wymaga, by ustalenie treści procedury poprzedzone było przeprowadzeniem konsultacji z zakładową organizacją związkową albo zakładowymi organizacjami związkowymi lub, jeżeli u pracodawcy nie działa zakładowa organizacja związkowa, konsultacji z przedstawicielami pracowników, wyłonionymi w trybie przyjętym u danego pracodawcy.

  • Szkolenia i warsztaty dla pracowników

Samo przygotowanie odpowiednich procedur i polityk nie wystarczy, by właściwie wdrożyć w organizacji system whistleblowing’owy. W jego promowaniu bardzo ważną rolę pełnią systematycznie przeprowadzane szkolenia lub warsztaty dla  pracowników. Podmiotom zobowiązanym do ustanowienia kanałów zgłoszeń powinno zależeć na ukształtowaniu takiej kultury organizacyjnej, aby zachęcać sygnalistów do raportowania wewnątrz organizacji i nieprzekazywania informacji o nieprawidłowościach organom zewnętrznym czy też opinii publicznej.

 

TRZECI ETAP – PROCES POWDROŻENIOWY

  • Prowadzenie rejestru zgłoszeń

Podmiot prawa ma obowiązek prowadzenia rejestru wszystkich przyjętych zgłoszeń. Projekt ustawy wskazuje zakres danych, jakie mają znaleźć się w nim oraz czas ich przechowywania (15 miesięcy po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub po zakończenia postępowań zainicjowanych tymi działaniami). To właśnie w rejestrze zgłoszeń będą wyszczególnione dane osobowe zgłaszającego oraz osoby, której dotyczy zgłoszenie celem umożliwienia zarządzania rejestrem, wyszukiwania spraw oraz dokumentowania faktu dokonania konkretnego zgłoszenia.

  • Audyty i ocena procesu rozpatrywaniu zgłoszeń oraz postępowania ze zgłoszeniami

Kolejne wyzwania wiążą się z kontrolą wdrożenia systemu whistleblowing’owego. Dyrektywa wymaga dokonywania nie rzadziej niż raz na trzy lata przeglądu procedur. Okresowo prowadzone audyty procesu rozpatrywania zgłoszeń oraz postępowania ze zgłoszeniami pozwolą dostosować kanał zgłoszeń do zmian w regulacjach oraz wykryć potencjalne nieprawidłowości i usunąć dostrzeżone błędy, dzięki czemu możliwe będzie odpowiednie zabezpieczenie sytuacji wystąpienia niepożądanych ryzyk prawych związanych z brakiem dopełnienia obowiązków ustawowych w danej organizacji. W ramach kontroli należy rozważyć również przeprowadzenie oceny skutków dla ochrony danych osobowych (Data Protection Impact Assessment).

Proces budowy i utrzymania systemu whistleblowing powinien obejmować etap przedwdrożeniowy, wdrożenie, jak i czynności powdrożeniowe.

Proces przedwdrożeniowy obejmuje:

·       przegląd obowiązujących w spółce procedur organizacji wewnętrznej;

·       badanie dostępnych w firmie środków technicznych pod kątem dostosowania do przyjmowania i analiza zewnętrznych narzędzi wsparcia zgłaszania nieprawidłowości oraz powierzenie zadań związanych z wyjaśnieniem zgłoszenia sygnalisty.

Proces wdrożenia to przede wszystkim:

·       przygotowanie procedury zgłoszeń wewnętrznych, regulaminu działania zespołu wyznaczonego do obsługi i rozpoznawania zgłoszeń, w tym opracowanie wzorów formularzy przyjęcia zgłoszenia, wzoru rejestru zgłoszeń, upoważnień, klauzul informacyjnych RODO, klauzul o zachowaniu poufności czy regulaminu przechowywania danych, a także kodeksu etyki;

·       przeprowadzenie konsultacji z reprezentacją pracowników;

·       szkolenia lub warsztaty dla pracowników.

Na etapie  powdrożeniowym powinniśmy uwzględnić:

·       prowadzenie rejestru zgłoszeń zgodnie z regulacjami;

·       audyty i ocenę procesu rozpatrywaniu zgłoszeń oraz postępowania ze zgłoszeniami; usunięcie odnotowanych błędów i nieprawidłowości procesu oraz dostosowanie kanału zgłoszeń do zmian w regulacjach.

W ramach budowy systemu warto przeanalizować wsparcie w zakresie udostępnienia platformy do zgłaszania nieprawidłowości, jak również outsourcingu obsługi narządzi  do zgłaszania nieprawidłowości.

 

Podmioty, na rzecz których pracę świadczy co najmniej 250 osób, podmioty prawne wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objęte zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937, podmioty publiczne oraz Rzecznik Praw Obywatelskich albo organ publiczny będą zobowiązane do wdrożenia nowych wymogów w terminie 2 miesięcy od dnia wejścia ustawy w życie ustawy. Podmioty prawne, na rzecz których pracę świadczy co najmniej 50 i mniej niż 250 osób, na ustalenie procedury zgłoszeń wewnętrznych będą miały czas do dnia 17 grudnia 2023 roku.

Przepisy karne zaproponowane w najnowszej wersji Projektu nie uległy zmianom – utrudnianie dokonywania zgłoszeń podlegać będzie grzywnie lub karze ograniczenia wolności albo karze pozbawienia wolności do lat dwóch. W przypadku podejmowania wobec sygnalisty działań odwetowych, maksymalny wymiar kary pozbawienia wolności będzie dłuższy o rok – do lat trzech. Z kolei naruszenie obowiązku zachowania poufności tożsamości osoby, która dokonała zgłoszenia zagrożone jest karą grzywną, karą ograniczenia wolności albo karą pozbawienia wolności do roku.

Projekt jest obecnie na etapie uzgodnień – przewidujemy jednak znaczne przyśpieszenie prac legislacyjnych. O wszystkich zmianach będziemy Państwa na bieżąco informować.

 

Krzysztof Rożko, Radca Prawny, Wspólnik Zarządzający i Karolina Lalak, Aplikant radcowski

 

Krzysztof Rożko w Rankingu Kancelarii Prawniczych „Rzeczpospolita 2022” jest indywidualnie rekomendowany w kategoriach Doradzanie prywatnym klientom (Private Clients) oraz Doradztwo regulacyjne dla sektora finansowego.

Kancelaria KRWLEGAL jest rekomendowana w Rankingu IFLR1000 w kategorii Capital Markets: Equity oraz w Rankingu Kancelarii Prawniczych „Rzeczpospolita 2022” w kategoriach: Doradztwo regulacyjne dla sektora finansowego oraz Przygotowanie wejścia na giełdę.