Sygnaliści nadal muszą czekać na procedury, które zapewnią im bezpieczeństwo
2022-11-30
Aktualnie w polskim systemie prawnym brakuje jednej, pełnej regulacji poświęconej ochronie osób zgłaszających pojawiające się naruszenia prawa m.in. w obszarze zamówień publicznych, ochrony środowiska czy zdrowia publicznego.
Procedura legislacyjna dotycząca projektu ustawy o ochronie osób zgłaszających naruszenia prawa nadal trwa, pomimo iż 17 grudnia 2021 r. minął termin implementacji Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Projekt ustawy nie został jeszcze skierowany pod obrady Sejmu. Powoduje to stan niepewności i przedłużającego się oczekiwania podmiotów zobowiązanych do stosowania przepisów w tym zakresie.
Przepisy unijne
Przedmiotowa dyrektywa na poziomie Unii Europejskiej stanowi element egzekwowania prawa m.in. w obszarze zamówień publicznych, ochrony środowiska, zdrowia publicznego. Służy ochronie prywatności i danych osobowych oraz bezpieczeństwu sieci i systemów informacyjnych, ochronie konsumentów, usług, produktów i rynków finansowych oraz zapobiega praniu pieniędzy i finansowaniu terroryzmu. W obszarze zgłoszeń znajduje się również bezpieczeństwo produktów i ich zgodności z wymogami, bezpieczeństwo transportu, bezpieczeństwo jądrowe i ochrona radiologiczna, bezpieczeństwo żywności i pasz, zdrowie oraz dobrostan zwierząt.
Projekt ustawy o ochronie zgłaszających naruszenia prawa, zwany ustawą o sygnalistach, przewiduje możliwość zaangażowania podmiotu zewnętrznego do realizacji ustalonej procedury zgłaszania naruszeń prawa i podejmowania działań następczych.
Wszystkie te obszary mogą być podatnym gruntem dla nadużyć finansowych czy korupcji i wymagają podjęcia ujednoliconych działań na obszarze całej Unii Europejskiej. Zakresem dyrektywy objęte są również zgłoszenia dotyczące naruszeń mających wpływ na interesy finansowe UE oraz naruszeń dotyczących rynku wewnętrznego, w tym naruszeń unijnych zasad konkurencji i pomocy państwa oraz naruszeń krajowych przepisów regulujących opodatkowanie osób prawnych.
Dyrektywa przewiduje dokonywanie zgłoszeń i ujawnianie publiczne w zakresie działań lub zaniechań, które są niezgodne z prawem i dotyczą aktów Unii i dziedzin objętych zakresem przedmiotowym, o którym mowa powyżej, lub są sprzeczne z przedmiotem lub celem przepisów zawartych w aktach Unii i dziedzinach objętych ww. zakresem przedmiotowym.
Wskazane w dyrektywie zasady ochrony sygnalistów, którymi mogą być pracownicy, członkowie organu oraz osoby działające w imieniu lub w interesie podmiotu zbiorowego, informujące o:
– podejrzeniu przygotowania, usiłowania lub popełnienia czynu zabronionego,
– niedopełnieniu obowiązków lub nadużyciu uprawnień przez organy podmiotu zbiorowego lub osoby działające w imieniu lub na rzecz podmiotu zbiorowego,
– niezachowaniu należytej staranności wymaganej w danych okolicznościach w działaniach organów podmiotu zbiorowego lub innych osób,
– nieprawidłowościach w organizacji działalności podmiotu zbiorowego, które mogłyby prowadzić do popełnienia czynu zabronionego,
stanowią minimalne wymogi dla krajów Unii Europejskiej. Kraje Unii Europejskiej poprzez rozwiązania krajowe uszczegółowią i doprecyzują zasady i formy dokonywania zgłoszeń o nadużyciach.
Aktualnie w polskim systemie prawnym brakuje jednej, pełnej regulacji poświęconej ochronie tych osób. Nie odnoszą się do tych osób w żaden sposób szeroko pojęte przepisy prawa pracy. Wdrożenie dyrektywy stanowi więc odpowiedź na istniejący w naszej przestrzeni prawnej obszar konieczny do uregulowania. Niemniej na dzień obowiązku implementacji dyrektywy, nie tylko Polska, ale również inne kraje członkowskie Unii Europejskiej nie przyjęły stosownych przepisów krajowych.
Jak czytamy w ocenie skutków regulacji sporządzonej do projektu ustawy z 6 kwietnia 2022 r.: „Niektóre państwa, jak Litwa, Holandia, Irlandia, Szwecja i Słowacja, posiadają obowiązujące akty prawne poświęcone wyłącznie instytucji sygnalistów lub sygnalizowaniu, jednak nie były one w pełni kompatybilne z wymogami dyrektywy 2019/1937 i wymagały nowelizacji.
W pozostałych państwach istnieją regulacje odnoszące się do problematyki sygnalizowania nieprawidłowości, jednak są one zawarte w aktach prawych regulujących różne dziedziny prawa”. Wobec zaistniałej sytuacji Komisja Europejska wezwała kraje członkowskie Unii Europejskiej do usunięcia uchybienia w tym zakresie, mając na względzie konieczność jak najszybszego wdrożenia przepisów krajowych.
Trzy projekty
Trzeci projekt ustawy o ochronie osób zgłaszających naruszenia prawa został podany do publicznej wiadomości na początku lipca tego roku na stronie Rządowego Centrum Legislacji. Dwa poprzednie projekty z 14 października 2021 r. (opublikowany na stronie RCL 18 pażdzierniku 2021 r.) oraz z 6 kwietnia 2022 r. (data publikacji 12 kwietnia 2022 r.) nie znalazły akceptacji podczas prowadzonych konsultacji i uzgodnień.
Pierwszy projekt ustawy poddany został dość ostrej krytyce w trakcie jego konsultacji. Kolejne projekty z 6 kwietnia oraz 4 lipca 2022 r. uwzględniły część uwag zgłaszanych przy konsultowaniu pierwszego projektu. Końcowy projekt w swoich zapisach przewiduje m.in.:
– obowiązek wdrożenia procedur wewnętrznych dla podmiotów korzystających z pracy co najmniej 250 osób. Podmioty prywatne, na rzecz których pracę wykonuje od 50 do 249 osób, mają obowiązek wdrożenia procedury do 17 grudnia 2023 r.;
– obowiązek konsultacji ww. procedur z zakładową organizacją związkową albo zakładowymi organizacjami związkowymi, jeżeli u podmiotu prawnego działa więcej niż jedna zakładowa organizacja związkowa, lub przedstawicielami osób świadczących pracę na rzecz podmiotu prawnego, wyłonionymi w trybie przyjętym u danego podmiotu prawnego, jeżeli w tym podmiocie prawnym nie działa zakładowa organizacja związkowa. Konsultacje trwają nie krócej niż siedem dni i nie dłużej niż 14 dni od dnia przedstawienia przez podmiot prawny projektu procedury wewnętrznej. Natomiast sama procedura wewnętrzna wchodzi w życie po upływie 14 dni od dnia podania jej – w sposób przyjęty w danym podmiocie prawnym – do wiadomości osób wykonujących pracę;
– zmianę kręgu osób korzystających z ochrony prawnej przed odwetem. Katalog ten uległ znaczącemu poszerzeniu. Zgłoszenia wewnętrznego może w świetle projektowanych przepisów dokonać każda osoba fizyczna, która uzyskała informację o naruszeniu prawa w kontekście związanym z pracą, również wtedy, gdy o naruszeniu dowiedziała się przed nawiązaniem współpracy z danym podmiotem lub po jej zakończeniu. Do katalogu tych osób zaliczono m.in. pracowników tymczasowych, zleceniobiorców, przedsiębiorców, stażystów wolontariuszy i praktykantów;
– obowiązek określenia systemu zachęt do korzystania z procedury zgłoszeń wewnętrznych, w przypadku gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a osoba dokonująca zgłoszenia uważa, że nie zachodzi ryzyko działań odwetowych. Jest to nowość, na którą podmioty zobowiązane muszą zwrócić uwagę;
Przygotowany projekt ustawy nie przewiduje możliwości wdrożenia anonimowego trybu dokonywania zgłoszeń. Zarówno przy zgłoszeniach wewnętrznych, jak i zewnętrznych konieczne będzie podanie danych sygnalisty, w celu umożliwienia z nim kontaktu.
Ochrona danych
Doprecyzowano również zapisy dotyczące ochrony danych osobowych. A zatem, dane osobowe przetwarzane w związku z przyjęciem zgłoszenia przez Rzecznika Praw Obywatelskich oraz dokumenty związane z tym zgłoszeniem będą przechowywane przez okres 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych, natomiast dane osobowe przetwarzane w związku z przyjęciem zgłoszenia oraz podjęciem działań następczych przez podmiot prawny oraz organ publiczny będą przechowywane przez okres 15 miesięcy po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub zakończeniu postępowań zainicjowanych tymi działaniami. Istotny dla administratorów danych jest również fakt, że dyrektywa nakłada na państwa członkowskie obowiązek zapewnienia poufności tożsamości zgłaszającego (art. 16 dyrektywy) jako kluczowy element ochrony sygnalisty. Wobec tego w projekcie zawieszone zostaje prawo osoby, której dane dotyczą, do dostępu do informacji o źródle danych osobowych (czyli danych dotyczących sygnalisty), przede wszystkim z uwagi na jego ochronę.
Pomimo iż sytuacja prawna na dziś nadal jest niepewna – gdyż krajowy projekt ustawy nie został jeszcze przyjęty przez Sejm – konieczne wydaje się już podjęcie prac nad opracowaniem i przygotowaniem do wdrożenia obowiązków wynikających z dyrektywy przez podmioty do tego zobowiązane. Zważywszy na fakt, iż przepisy karne zamieszczone w projektowanej ustawie przewidują karę grzywny dla podmiotów zobowiązanych, które nie ustanowiły procedury zgłoszeń wewnętrznych albo ustanowiona procedura zgłoszeń wewnętrznych narusza jej przepisy.
Realizacja obowiązku ustalenia:
– procedury zgłoszeń wewnętrznych przez podmioty prywatne, na rzecz których wykonuje pracę co najmniej 250 osób,
– procedury zgłoszeń wewnętrznych przez podmioty prawne wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937,
– procedury zgłoszeń wewnętrznych przez podmioty publiczne,
– procedury przyjmowania zgłoszeń zewnętrznych albo procedury zgłoszeń zewnętrznych przez Rzecznika Praw Obywatelskich albo organ publiczny;
następuje w terminie dwóch miesięcy od dnia wejścia w życie ustawy. Ustawa natomiast wchodzi w życie po upływie dwóch miesięcy od dnia ogłoszenia. Niewątpliwie ograniczenia czasowe, stanowią duże wyzwanie dla prawidłowego i kompletnego wdrożenia wynikających z ustawy obowiązków.
„W grudniu 2020 roku do Kancelarii SK Lawyers dołączyła Beata Duch-Kosiorek – prawnik z ponad dwudziestoletnim doświadczeniem w pracy na rzecz administracji rządowej oraz samorządowej. W ten sposób zespół Kancelarii został wzmocniony o prawnika uczestniczącego w projektach z zakresu szeroko pojętego prawa administracyjnego i dziedzin pokrewnych. Od wielu lat specjalizuje się we wdrażaniu nowych rozwiązań prawnych pojawiających się w przestrzeni publicznej. Swoją wiedzę i doświadczenie wykorzystuje również przy obsłudze prawnej publicznych jak i niepublicznych podmiotów leczniczych. Jest autorem wielu analiz prawnych w zakresie tworzenia i przekształcania podmiotów medycznych. Od wielu lat specjalizuje się w ochronie danych osobowych, przygotowując podmioty do obowiązujących wymogów prawnych. Swoją wiedzą i doświadczeniem dzieli się podczas licznie prowadzonych szkoleń i konferencji.”
