W listopadzie 2019 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23.10. 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, zwanej dalej „Dyrektywą”.

Zgodnie z Artykułem 26 ust. 1 tejże Dyrektywy Państwa członkowskie winny wprowadzić  w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania  Dyrektywy do dnia 17 grudnia 2021 r. w stosunku do pracodawców zatrudniających powyżej 250 pracowników.

Artykuł 26 ust. 2 Dyrektywy z kolei wskazuje, iż w przypadku podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników, państwa członkowskie  wprowadzają w życie do dnia 17 grudnia 2023 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wypełnienia obowiązku ustanowienia wewnętrznych kanałów dokonywania zgłoszeń zgodnie z postanowieniami Dyrektywy.

Na jakim etapie są prace legislacyjne w Polsce?

W chwili obecnej powstaje obywatelski projekt ustawy dot. ochrony sygnalistów. Pracują nad nim cztery polskie fundacje, a to: Fundacja im. Stefana Batorego, Helsińskiej Fundacji Praw Człowieka, a także NSZZ „Solidarność” 80. Projekt zgodnie z informacją na stronie internetowej Fundacji im. Stefana Batorego został poddany w lipcu 2020 r. konsultacjom społecznym. Postanowiono wziąć je pod uwagę przy przygotowaniu finalnej wersji projektu.

Kim jest wspomniany sygnalista wg przepisów Dyrektywy i co może być przedmiotem jego zgłoszenia?

Zgodnie z art. 5 pkt 7 Dyrektywy „osoba dokonująca zgłoszenia”, czyli sygnalista oznacza osobę fizyczną, która zgłasza lub ujawnia publicznie informacje na temat naruszeń uzyskane w kontekście związanym z wykonywaną przez nią pracą.

Artykuł 4 Dyrektywy wskazuje nadto, że ochroną określoną w Dyrektywie objęci są nie tylko pracownicy sektora prywatnego i publicznego, którzy uzyskali informację na temat naruszeń w kontekście swojej pracy tj. pracownicy, ale także:

• osoby posiadające status osób prowadzących działalność na własny rachunek;
• akcjonariusze lub wspólnicy oraz osoby będące członkami organu administrującego, zarządzającego lub nadzorczego przedsiębiorstwa, w tym członkami nie wykonawczymi,
• wolontariusze i stażyści, bez względu na to czy otrzymują oni wynagrodzenie;
• osoby pracujące pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców,
• byli pracownicy,
• osoby ubiegające się o zatrudnienie, w przypadku gdy informacje na temat naruszeń uzyskano w trakcie procesu rekrutacji lub innych negocjacji poprzedzających zawarcie umowy.

Przedmiotem zgłoszenia sygnalisty, na podstawie at. 2 Dyrektywy może być naruszenie przykładowo następujących dziedzin prawa powszechnie obowiązującego (przy czym wyliczenie to jest niewyczerpujące):

• zamówień publicznych;
• usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu;
• bezpieczeństwa produktów i ich zgodność z wymogami;
• bezpieczeństwa transportu;
• ochrony środowiska;
• zdrowia publicznego;
• ochrony konsumentów;
• ochrony prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów

Katalog tych dziedzin wskazany powyżej może zostać przez ustawodawcę krajowego rozszerzony na podstawie ustawy. Zatem wskazanie precyzyjnego katalogu dziedzin prawa, których będzie dotyczyło zgłoszenie, o którym mowa w Polsce, będzie możliwe dopiero z momentem wejścia w życie stosowanej ustawy.

W praktyce wdrożenie przepisów Dyrektywy oznacza dla pracodawców kilka dodatkowych obowiązków, które muszą spełnić celem zapewnienia możliwości dokonywania zgłoszeń przez pracowników i współpracowników dot. naruszeń prawa unijnego.

Poniżej przedstawia się podstawowe obowiązki pracodawców wynikające z postanowień Dyrektywy:

Przede wszystkim pracodawcy na podstawie art. 7 i art. 8 Dyrektywy będą zobowiązani do ustanowienia kanałów i procedur na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych.

Artykuł 8 Dyrektywy stanowi, iż kanały i procedury, o których mowa w ust. 1 niniejszego artykułu, powinny umożliwiać pracownikom podmiotu dokonywanie zgłoszeń informacji na temat naruszeń. Mogą one umożliwiać dokonywanie zgłoszeń informacji na temat naruszeń również przez inne osoby, o których mowa we wcześniejszej części artykułu.

Dodatkowo, pracodawcy muszą zapewnić, iż kanały dokonywania zgłoszeń będą obsługiwane wewnętrznie przez wyznaczoną do tego celu osobę lub wyznaczony dział lub zapewniane zewnętrznie przez osobę trzecią. Co łączy się z przydzieleniem dodatkowych kompetencji członkowi bądź członkom personelu pracodawcy, bądź zlecenie tych działań podmiotowi trzeciemu.

Procedury, które ma obowiązek wdrożyć pracodawca, obejmują zgodnie z art. 9 Dyrektywy następujące elementy:

1. kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu;
2. potwierdzenie osobie dokonującej zgłoszenia przyjęcia zgłoszenia w terminie siedmiu dni od jego otrzymania;
3. wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do podejmowania działań następczych w związku ze zgłoszeniami, przy czym może to być ta sama osoba lub ten sam wydział, które przyjmują zgłoszenia, które będą komunikować się z osobą dokonującą zgłoszenia i w stosownych przypadkach zwracać się do osoby dokonującej zgłoszenia o dalsze informacje oraz przekazywać jej informacje zwrotne;
4. podejmowanie z zachowaniem należytej staranności działań następczych przez wyznaczoną osobę lub wyznaczony wydział, o których mowa w lit. c);
5. podejmowanie z zachowaniem należytej staranności działań następczych, jeżeli prawo krajowe przewiduje takie działania, w odniesieniu do zgłoszeń anonimowych;
6. rozsądny termin na przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia;
7. zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów zgodnie z art. 10 oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii.

Przy czym prawodawca unijny wprowadził wymóg wprowadzenia obowiązku, aby kanały przewidziane w umożliwiały dokonywanie zgłoszeń na piśmie lub ustnie. Zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej oraz, na wniosek osoby dokonującej zgłoszenia, za pomocą bezpośredniego spotkania zorganizowanego w rozsądnym terminie.

Wybierając system zgłaszania nieprawidłowości, firmy powinny zapewnić, że komunikacja między sygnalistą a firmą odbywa się anonimowo. Zgłoszenie pisemne, powinno być sygnalizowane za pośrednictwem profesjonalnego systemu zgłaszania nieprawidłowości (ang. whistleblowing).

Kanał whistleblowing to rodzaj „etycznego” sygnalizowania, informowania o nieprawidłowościach w miejscu pracy. System zgłaszania nieprawidłowości polega na ujawnianiu działań nielegalnych do których dochodzi w miejscu pracy.

W jaki sposób działają takie systemy?

W większości przypadków, serwery proxy anonimizują w nich przekazane dane, tzn. usuwane zostają dane identyfikujące nadawcę. Serwer systemu nie zapisuje danych o odbieranych i wysyłanych transmisjach oraz podmienia IP na inny. Treść wysyłanego zgłoszenia wraz z załącznikami jest szyfrowana i w takiej formie wysyłana do odbiorcy zgłoszeń (później archiwizowana). Dzięki temu następuje w pełni bezpieczna komunikacja pomiędzy stronami bez ujawniania tożsamości sygnalisty. Wszystkie dane na serwerze są haszowane i nie można ich odszyfrować bez klucza zabezpieczonego hasłem, a klucz posiada tylko odbiorca zgłoszeń.

Czy ta Dyrektywa ma wpływ na system ochrony danych osobowych u pracodawcy?

Z pewnością należy odpowiedzieć twierdząco. Na chwilę obecną, w związku z brakiem ustawodawstwa krajowego, opierając się wyłącznie na postanowienia Dyrektywy, można określić, iż ochrona danych osobowych ma tutaj dwojakie znaczenie.

W pierwszym aspekcie, prawodawca unijny wprowadza ochronę danych osobowych do zakresu przedmiotowego tej Dyrektywy. Co za tym idzie, rzeczony sygnalista będzie dokonywał zgłoszeń potencjalnych naruszeń z zakresu ochrony danych osobowych. Taką możliwość należy ocenić zdecydowanie pozytywnie, zważywszy, iż system ochrony danych osobowych w każdej organizacji powinien ulegać doskonaleniu, a anonimowe dokonywanie zgłoszeń naruszeń może zmienić trend wśród pracowników, którzy niekiedy mają obawy przed zgłoszeniem incydentów bezpieczeństwa bojąc się konsekwencji z tym związanych.

Drugą płaszczyzną wspólną Dyrektywy o tzw. sygnalistach oraz RODO będzie z pewnością konieczność zachowania zasady poufności w odniesieniu do zgłoszenia wewnętrznego, jak i zewnętrznego, w zakresie  ochrony tożsamości osoby dokonującej zgłoszenia.

Zgodnie bowiem z Motywem 82 Dyrektywy: „Ochrona poufności tożsamości osoby dokonującej zgłoszenia podczas trwania procesu dokonywania zgłoszenia i w toku postępowań wyjaśniających uruchomionych na skutek danego zgłoszenia jest jednym z zasadniczych środków ex ante zapobiegających działaniom odwetowym. Możliwość ujawnienia tożsamości osoby dokonującej zgłoszenia powinna istnieć jedynie wtedy, gdy takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa Unii lub prawa krajowego w kontekście postępowań wyjaśniających prowadzonych przez organy lub w kontekście postępowań sądowych, w szczególności w celu zagwarantowania prawa do obrony osobom, których dotyczy zgłoszenie. Taki obowiązek może wynikać w szczególności z dyrektywy Parlamentu Europejskiego i Rady 2012/13/UE ( 42). Ochrona poufności nie powinna mieć zastosowania w przypadku, gdy osoba dokonująca zgłoszenia celowo ujawniła swoją tożsamość w kontekście ujawnienia publicznego.”

Co za tym idzie, zarówno wprowadzone kanały komunikacji, jak i przyjęte przez pracodawcę procedury muszą zapewnić osobie zgłaszającej odpowiedni poziom ochrony przed naruszeniem poufności jej danych, jeśli ta osoba sama nie ujawniła w dokonanym zgłoszeniu swojej tożsamości.

Na pytanie czemu ma służyć ta ochrona poufności odpowiada nam Motyw 87 Dyrektywy, który zobowiązuje pracodawcę i organ, który może być finalnym adresatem tego zgłoszenia do  zapewnienia sygnalistom ochrony przed wszelkimi formami działań odwetowych – zarówno bezpośrednimi, jak i pośrednimi – podejmowanymi lub tolerowanymi przez pracodawcę, klienta lub usługobiorcę oraz osoby pracujące dla niego lub działające w jego imieniu, w tym współpracowników i kierowników w tej samej organizacji lub innych organizacjach, z którymi osoba dokonująca zgłoszenia kontaktuje się w kontekście związanym z pracą, lub formami działań odwetowych, do których oni zachęcają.

Ocena przyjętych rozwiązań

Ocena przyjętych rozwiązań będzie mogła zostać dokonana dopiero po ich wdrożeniu. Wskazuje się jednakże, iż w ocenie autora, zważywszy na przeprowadzone dotąd badania w tym zakresie instytucja ta przynosi pozytywne skutki dla wielu organizacji.

Jako, że część pracodawców, posiada już takie procedury, zaś wyniki badań prowadzonych przez Stowarzyszenie Ekspertów ds. Przeciwdziałania Oszustwom, Nadużyciom Gospodarczym i Korupcji (ang. Association of Certified Fraud Examiners, ACFE), które zostały opublikowane w jedenastym wydaniu Reports to the Nations w 2020 r. wskazują, iż informacje pochodzące od sygnalistów pozwoliły na wykrycie 43% nadużyć (z czego około połowa pochodziła od pracowników organizacji), należy tą, funkcjonującą już instytucję ocenić co do zasady pozytywnie.

Z drugiej jednak strony, należy zważyć na uzasadnione obawy pracodawców dot. nadużyć rzeczonej instytucji przez pracowników. Przy czym kwestią ustawodawstwa krajowego w tym zakresie będzie wprowadzenie skutecznych narzędzi zapobiegania rzeczonym nadużyciom. Zatem obawy te mogą zostać rozwiane z chwilą wdrożenia przepisów unijnych do naszego prawodawstwa.

Przy czym w ocenie autora, wprowadzenie instytucji w wielu organizacjach będzie wymagało zmiany sposobu myślenia i podejścia pracodawców do tejże instytucji, albowiem wydaje się, iż gro pracodawców upatruje w niej jedynie dodatkowych obowiązków po ich stronie, nie widząc pozytywnych aspektów, które mogą wyniknąć z jej wprowadzenia.

Autorzy:

Anna Kuś-Kluka, Radca prawny w kancelarii Juvo. W kancelarii zajmuje się świadczeniem pomocy prawnej dla przedsiębiorców w zakresie ochrony danych osobowych.

Bogusław Gacek, Specjalista ds. IT w Net Complex Bezpieczeństwo IT. W firmie dba o utrzymanie infrastruktury IT oraz odpowiada za wdrażanie nowoczesnych rozwiązań technologicznych oraz wsparcie w małych, średnich i większych przedsiębiorstwach na terenie całego kraju. Certyfikowany inżynier rozwiązań do ochrony brzegu sieci marki WatchGuard Technologies.