Celem artykułu jest przybliżenie tematyki z zakresu zgłaszania nieprawidłowości na gruncie kilku regulacji tj. dyrektywy o ochronie sygnalistów (wraz z polskim projektem ustawy implementującej dyrektywę), ustawy o ofercie publicznej oraz ustawy o przeciwdziałaniu praniu brudnych pieniędzy. Szczególną uwagę w tym kontekście poświęcamy zagadnieniu poufności oraz anonimowości dokonywanych zgłoszeń.

W pierwszej kolejności warto odnieść się do Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, zwanej potocznie dyrektywą o ochronie sygnalistów, która nakłada zarówno na podmioty publiczne, jak i prywatne zatrudniające co najmniej 50 pracowników określone  obowiązki .

Kluczowym elementem dyrektywy, jest zagwarantowanie poufności osoby zgłaszającej naruszenie, czyli sygnalisty. Oznacza to, że dane osobowe osoby zgłaszającej w zakresie jej tożsamości są dostępne jedynie dla osób obsługujących systemy sygnalizacji m.in. dla osób przyjmujących tego typu zgłoszenia.

Dyrektywa jednakże przewiduje dwa wyjątki od zasady zapewnienia poufności tożsamości osoby zgłaszającej naruszenie. Po pierwsze, tożsamość może być ujawniona w sytuacji, gdy ta osoba wyrazi na to zgodę. Natomiast druga z możliwości ujawnienia tożsamości osoby dotyczy sytuacji, gdy takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa Unii lub prawa krajowego na gruncie prowadzonych przez organy krajowe postępowań wyjaśniających lub postępowań sądowych.

Z kolei kwestia anonimowości sygnalistów została pozostawiona do decyzji państw członkowskich Unii. Oznacza to, że w tym zakresie istnieje pewna dowolność – państwa członkowskie w akcie wdrażającym niniejszą dyrektywę powinny określić, czy możliwe jest dokonanie zgłoszenia anonimowego, czyli takiego, w którym osoba zgłaszająca nie ujawnia swojej tożsamości. Warto dodać, że poprzez anonimowość należy rozumieć taką sytuację, kiedy niemożliwa jest identyfikacja tożsamości sygnalisty.

Polski projekt ustawy implementującej omawianą dyrektywę w art. 7 dopuszcza możliwość dokonywania zgłoszeń anonimowych, tylko jeśli jest to przewidziane przez regulamin zgłoszeń wewnętrznych wprowadzony przez pracodawcę lub tryb zgłaszania naruszeń organowi publicznemu. Zatem to polski pracodawca zatrudniający co najmniej 50 pracowników będzie musiał przemyśleć strategię odnośnie własnego kanału whistleblowing’owego i podjąć decyzję czy w wewnętrznej procedurze zgłoszeniowej umożliwić również zgłoszenia anonimowe.

Warto przy tej okazji przyjrzeć się dotychczas istniejącym w polskim porządku prawnym regulacjom w zakresie zgłaszania nieprawidłowości.

Aktem prawnym umożliwiającym aktualnie zgłaszanie naruszeń prawa, jest ustawa z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych.

Wskutek dodanego do ustawy nowego przepisu (tj. art. 97d), emitentów papierów wartościowych zobowiązano do wdrożenia szczególnych procedur, które umożliwią ich pracownikom zgłaszanie naruszeń członkowi zarządu bądź radzie nadzorczej przy zachowaniu anonimowości.

Instytucję „sygnalisty” przewiduje także ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (potocznie jako ustawa AML). Ochronę sygnalistów gwarantuje norma wyrażona w art. 53 wskazanej ustawy.

Ustawa ta normuje sytuację anonimowego zgłaszania naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Instytucje obowiązane (szczegółowo wyszczególnione w art. 2 ust. 1 ustawy m.in. banki, biura rachunkowe) na mocy tej ustawy mają obowiązek wdrożenia wewnętrznej procedury zgłaszania naruszeń.

Podsumowując zatem powyższe rozważania można zauważyć, że zarówno ustawa o ofercie publicznej, jaki i przepisy AML, gwarantują osobom zgłaszającym naruszenia anonimowość.

Natomiast będąca przedmiotem wielu dyskusji w ostatnim czasie – unijna dyrektywa o ochronie sygnalistów, zapewnia osobom zgłaszającym poufność, jednakże w zakresie anonimowości pozostawia wybór państwu członkowskiemu.

Nowo powstały polski projekt ustawy zezwala na anonimowe zgłoszenie, jednakże tylko gdy tworzący kanały zgłoszeń wprowadzi taką możliwość w kanale wewnętrznym wprowadzonym u danego pracodawcy.

Prawodawca czy to unijny, czy krajowy, tworząc nowe regulacje prawne, wskazuje jedynie „suchą” normę prawną, której adresat jest obowiązany się podporządkować. Natomiast nie wskazuje ani nie podaje przykładów w jaki sposób należy tę normę prawną zrealizować, przez to nakładając na osoby, których rolą jest wdrożenie prawa, trudne zadanie.

W kontekście omawianej tematyki zgłaszania naruszeń na kanwie wymienionych aktów prawnych, przewidziano obowiązek zapewnienia anonimowości sygnalisty. Adresatami tejże normy są przedsiębiorcy, nawet ci z sektora MŚP.

Pojawia się więc tutaj pytanie – „W jaki sposób przedsiębiorca może zapewnić anonimowość sygnalisty?”.

Jednym z takich sposobów jest utworzenie przez przedsiębiorcę na swojej stronie internetowej specjalnego formularza do zgłaszania nieprawidłowości. W formularzu powinno być wskazane miejsce, gdzie sygnalista może szczegółowo opisać zaobserwowane nieprawidłowości. Jednak takie rozwiązanie rodzi problem, polegający na tym, że w sytuacji gdy osoba zgłaszająca nie wskaże wszystkich istotnych informacji, by można było uruchomić procedurę wyjaśniającą nieprawidłowości, nie ma możliwości kontaktu z anonimowym sygnalistą i zadania mu bardziej szczegółowych pytań odnośnie naruszenia.

Wraz z tworzeniem regulacji o sygnalistach, na rynku zaczęły się pojawiać aplikacje do zgłaszania naruszeń, których producenci deklarują anonimowość zgłoszeń oraz możliwość kontaktu zwrotnego z sygnalistą. Tego typy specjalistycznym narzędziem jest między innymi polski system e-nform wdrażany w organizacjach już od 2017 r. Zakup licencji do tego typu rozwiązań z pewnością jest jednym z najbardziej racjonalnych rozwiązań, jakie przedsiębiorca może zastosować.

System e-nform zapewnia anonimowość sygnalistom, którzy nie chcą ujawniać swojej tożsamości, a sposób przetwarzania danych gwarantuje ich poufność. Wśród podstawowych mechanizmów dbających o anonimowość zgłaszających można wymienić m.in. brak identyfikacji i gromadzenia numerów IP urządzeń nawiązujących połączenie z aplikacją oraz brak przechowywania tzw. cookies. Komunikacja z aplikacją odbywa się przy użyciu indywidualnych identyfikatorów i kodów PIN. Ponadto komponenty systemu sprawdzają czy dołączane przez sygnalistę załączniki nie zawierają złośliwego oprogramowania oraz usuwają z tych załączników metadane, które mogłyby zidentyfikować tożsamość sygnalisty.

Rozwijane od kilku lat mechanizmy systemu e-nform, takie jak m.in. szyfrowanie danych, zarządzanie uprawnieniami dostępu, rozliczalność procesów (audyt systemu) i wiele innych,  pozwalają na efektywne i bezpieczne przetwarzanie informacji, w tym danych osobowych dotyczących poszczególnych zgłoszeń. Co istotne, system e-nform przechodzi także systematyczne zewnętrzne audyty bezpieczeństwa (m.in. OWASP) oraz audyty zgodności z wymogami prawa (m.in. RODO).

Pracodawcy chcąc wdrażać tego rodzaju platformy online do obsługi zgłoszeń sygnalistów  powinni również zatem mieć w polu widzenia konieczność corocznego alokowania środków finansowych na dostęp do oprogramowania oraz jego utrzymanie (serwis) . Na rynku są bowiem dobre rozwiązanie zarówno dla dużych koncernów jak i średnich przedsiębiorstw niemniej jednak, każdy pracodawca idący w kierunku tych rozwiązań powinien odpowiednio zabudżetować tego typu inwestycję, dbając także o to aby dostawca tego typu rozwiązań gwarantował także jego dostosowywanie do zmieniającego się otoczenia prawnego (wymogi) czy technologicznego (zagrożenia w zakresie cyberbezpieczeństwa)

Jednym z  innych sposobów jest także uruchomienie specjalnej skrzynki mailowej czy też serwisu telefonicznego np. hotline, jednakże te narzędzia wiążą się z ryzykiem ujawnienia tożsamości sygnalisty oraz problemami w zakresie przetwarzania danych zgodnie z wymogami dyrektywy.

W zakresie bardziej tradycyjnych form kontaktu, można także wykorzystać sposób zgłaszania nieprawidłowości za pomocą przesyłki pocztowej bądź kurierskiej. Taka forma jest dobrym rozwiązaniem dla zgłoszeń poufnych, natomiast w przypadku chęci wysłania przesyłki bądź paczki jako anonimowy nadawca to osoba zgłaszająca z pewnością musiała by zadbać np. o sporządzenie zgłoszenia nie pismem odręcznym a w formie wydruku tekstu opracowanego uprzednio w formie elektronicznej.

Poufne dokonywanie zgłoszeń nie wymaga takiego stopnia zaangażowania jak wdrożenie kanału zgłoszeń anonimowych. Przedsiębiorca może więc uruchomić jeden lub kilka kanałów dla zgłoszeń poufnych np. dla zgłoszeń pisemnych w formie mailowej czy tradycyjnej (listowej), dla zgłoszeń ustnych za pośrednictwem specjalnie dedykowanej infolinii oraz w formie spotkania osobistego.

Uruchomienie kanału zgłoszeń w którejkolwiek ze wskazanych form, w większości będzie wiązało się dla przedsiębiorcy z przeszkoleniem danej osoby do obsługi kanału, natomiast w przypadku dużej organizacji, w której ilość takich zgłoszeń mogłaby być dosyć liczna, nawet zatrudnieniem nowego pracownika, co generować może dla przedsiębiorcy kolejne stałe koszty.

W tym miejscu warto wskazać na rozwiązanie zwarte w projektowanych polskich przepisach, zgodnie z którym pracodawca będzie mógł skorzystać z usług niezależnego organizacyjnie podmiotu, upoważnionego do  podejmowania działań następczych, włączając w to weryfikację zgłoszenia i dalszą  komunikację ze zgłaszającym, w tym występowanie o dodatkowe informacje i przekazywanie  zgłaszającemu informacji zwrotnej.

Outsourcing usług „Whistleblowing Officer’a” to stosowane w naszej praktyce rozwiązanie które na bazie doświadczenia sprawdza się znakomicie u pracodawców każdej wielkości.

Na koniec warto jednakże podkreślić, że w Polsce osoby przekazujące informacje o naruszeniach dokonywanych przez swoich pracodawców, czy też inne osoby, często spotykają się z szykanowaniem i ostracyzmem. Wprawdzie zapewnienie poufności tożsamości sygnalisty gwarantuje osobie zgłaszającej naruszenie ochronę, lecz umożliwienie anonimowego zgłoszenia jest być może bardziej zachęcającym dla potencjalnego sygnalisty środkiem ochrony.

Zatem możliwość dokonywania zgłoszeń anonimowych z pewnością powinna być przedmiotem wewnętrznej analizy przedwdrożeniowej u pracodawców, gdyż każdemu powinno zależeć na tym aby ustanowione kanały zgłoszeniowe były jak najbardziej efektywne dla organizacji.

Autorzy:

Mateusz Heinrich – Radca prawny, partner zarządzający w kancelarii Juvo.

Kinga Sitko – Prawnik w kancelarii Juvo.

Rafał Hryniewicz – Prezes Zarządu w E-nform.