Przedsiębiorcy będą zobowiązani do ochrony sygnalistów

26 listopada tego roku w Dzienniku Urzędowym Unii Europejskiej oficjalnie opublikowana została Dyrektywa PE i Rady 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, tzw. dyrektywa o sygnalistach. Przyjęte przepisy wprowadzają nowe obowiązki dla przedsiębiorców w obszarze szeroko pojętego compliance.

Zasadniczo, państwa członkowskie, w tym Polska, mają czas na wdrożenie dyrektywy do 17 grudnia 2021 roku i to od niego zależeć będzie ostateczny kształt wymogów w zakresie ochrony sygnalistów. Kluczową ich treść możemy jednak określić już teraz, na podstawie samego aktu unijnego. Chodzi z jednej strony o utworzenie kanałów i procedur umożliwiających swobodne zgłaszanie naruszeń, a z drugiej, o zapewnienie ochrony osobie, która tego zgłoszenia dokonała.

Zakres stosowania dyrektywy

Zakres zastosowania dyrektywy należy rozważyć z dwojakiej perspektywy. Po pierwsze, na kogo nakłada obowiązki, tj. kto ma obowiązek wdrożenia kanałów i procedur zgłaszania naruszeń, po drugie, kogo chroni, czyli komu przysługuje status sygnalisty. Z perspektywy sektora prywatnego, obowiązek dotyczyć ma wszystkich przedsiębiorców zatrudniających powyżej 50 pracowników, jednak kryterium to nie obowiązuje, jeżeli dany przedsiębiorca objęty jest zakresem stosowania jednego z aktów prawnych UE wymienionych w załączniku nr I do dyrektywy. Chodzi tu m. in. o regulacje rynków finansowych, czy AML. Wówczas ma być objęty obowiązkami wdrożenia wymogów ochrony sygnalistów, niezależnie od liczby zatrudnianych pracowników. Dodatkowo, dyrektywa wprost zachęca ustawodawcę krajowego do rozszerzenia obowiązków również na inne obszary i przedsiębiorców, dlatego należy bacznie śledzić proces legislacyjny w Polsce, aby nie zostać zaskoczonym ostatecznym kształtem implementacji. Kryteria określone w samej dyrektywie nie są wygórowane. Obowiązki wynikające z dyrektywy dotkną wielu przedsiębiorców, niekoniecznie tych dużych.
Dyrektywa definiuje pojęcie sygnalisty szeroko. Sygnalistą może być w szczególności pracownik, osoba prowadząca działalność na własny rachunek, akcjonariusz lub wspólnik spółek oraz członek ich organów, wolontariusz, czy stażysta. Nie jest wykluczone objęcie ochroną kandydata na stanowisko pracy, jeśli dowiedział się on o nieprawidłowościach w trakcie rekrutacji, a także byłego pracownika. Sygnalista podlega ochronie, w szczególności, jeżeli dokonał zgłoszenia jednym z kanałów przewidzianych dyrektywą i miał uzasadnione podstawy sądzić, że informacje będące podstawą zgłoszenia są prawdziwe w momencie dokonywania tego zgłoszenia. Kluczowa jest tu zatem przesłanka dobrej wiary. Zgłoszenie musi też dotyczyć naruszeń w określonej dziedzinie prawa np. zamówień publicznych, ochrony konsumentów, danych osobowych, rynku wewnętrznego, w tym zasad udzielania pomocy publicznej.
Nie dla wszystkich podmiotów obowiązki są nowe. W niektórych sektorach wymóg organizacji procesu zgłaszania naruszeń już funkcjonuje. Najlepszym przykładem jest sektor finansowy. Taki obowiązek wynika już z dyrektywy CRD IV wydanej w 2013 roku, zaimplementowanej następnie do Prawa bankowego. Obowiązek wdrożenia procesu zgłaszania naruszeń przewidują także regulacje przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Choć dotyczą one także podmiotów spoza sektora finansowego, to jednak on ponosi główny ciężar realizacji procesów AML. Nie pierwszy raz mechanizmy funkcjonujące w sektorze rynków finansowych stają się wzorcem organizacji systemów compliance w innych sektorach.

Kanały zgłaszania naruszeń I ochrona sygnalistów

Centralną kwestią określoną w dyrektywie jest obowiązek państw członkowskich do zapewnienia skutecznego działania trzech kanałów dokonywania zgłoszeń przez sygnalistów, tj.:
1. zgłoszeń wewnętrznych (zgłoszeń w ramach danej organizacji, z którą sygnalista jest związany),
2. zgłoszeń zewnętrznych (zgłoszeń do właściwych organów), oraz
3. ujawnień publicznych (podania informacji o naruszeniu do wiadomości publicznej).
Sektora prywatnego i przedsiębiorców dotyczy ten pierwszy. W praktyce, oznacza on obowiązek ustanowienia i przestrzegania wewnętrznych procedur zgłaszania naruszeń i podejmowania działań następczych. Przez działania następcze należy rozumieć czynności podejmowane w skutek otrzymanego zgłoszenia – przekazywanie zwrotnej informacji sygnaliście, ocena zgłoszenia, dochodzenia wewnętrzne, postępowania wyjaśniające, zaradzanie naruszeniom.
Sygnalistom natomiast przysługiwać ma szeroki wachlarz środków ochrony, takich jak, w szczególności, zakaz ujawniania jego tożsamości, środki ochrony przed odwetem w stosunkach pracy (zakaz zwolnienia z pracy i wyciągania innych negatywnych konsekwencji) i w innych stosunkach prawnych (np. zakaz wcześniejszego rozwiązania umowy), aż po środki dalej idące, np. naprawienie szkody związanej z utratą dochodu w efekcie dokonania zgłoszenia. Ochroną mają być objęci nie tylko sygnaliści, ale także osoby im pomagające, takie jak członkowie rodziny lub współpracownicy. Dyrektywa wymaga również od państw członkowskich wprowadzenia sankcji wobec osób fizycznych lub prawnych utrudniających dokonywanie zgłoszeń lub dokonujących działań odwetowych wobec sygnalistów.

Wdrożenie w przedsiębiorstwie

Aby właściwie wdrożyć wewnętrzne kanały zgłaszania naruszeń, przedsiębiorcy będą musieli wyznaczyć m.in. odpowiednie osoby lub działy w ramach organizacji odpowiedzialne za przyjmowanie i obsługę zgłoszeń, ewentualnie, powierzyć funkcję przyjmowania zgłoszeń podmiotom trzecim. Działania następcze, m.in. przekazywanie informacji zwrotnej sygnalistom, będą mogły być dokonywane przez te same osoby lub działy, które przyjmują zgłoszenia, z tym, że podmioty objęte nowymi regulacjami mają być zobowiązane do zapewnienia ich bezstronności. Już dziś wiadomo, że konieczne będzie zatem zaprojektowanie procesu, wdrożenie właściwych procedur oraz dostosowanie tych już obowiązujących np. w obszarze HR i ochrony danych osobowych, czy zakupów (np. regulaminy dokonywania zamówień), wyznaczenie i wyszkolenie właściwego personelu i wreszcie, dostosowanie kultury organizacyjnej tak, aby system miał szansę zaistnieć i funkcjonować zgodnie z duchem i celem regulacji.

Do czasu implementacji dyrektywy pozostaje trochę niewiadomych, jednak podstawowy zarys obowiązków i działań niezbędnych do podjęcia przez przedsiębiorców objętych regulacją jest już znany. Warto zawczasu rozpocząć przygotowania do implementacji, zwłaszcza w obszarze wspomnianej kultury organizacyjnej.

Artykuł ukazał się w internetowym wydaniu dziennika „Rzeczpospolita” dnia 18-12-2019r.