Whistleblowing w świetle Dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Umożliwienie sygnalizowania o nieprawidłowościach (whistleblowing) jest elementem budowania etycznego środowiska pracy. Whistleblowing ma kluczowe znaczenie dla przeciwdziałania nadużyciom w organizacji. Według badań organizacji audytorskich, 40% postępowań w sprawach oszustw zostało wszczętych wskutek zgłoszenia sygnalisty. Zgłaszający najczęściej informują o naruszeniach w obszarze finansów, BHP oraz ochrony danych. Whistleblowing jest niezbędnym elementem systemu zarządzania ryzykiem niezgodności w organizacji, zwanego systemem compliance.

Aktualnie przepisy dotyczące whistleblowingu obowiązują już w ponad 40 krajach na świecie. W związku z przyjęciem Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: „Dyrektywa”), wszystkie państwa członkowskie Unii Europejskiej do 17 grudnia 2021 r. będą musiały wdrożyć przepisy krajowe w tym obszarze. Projekt krajowej ustawy implementującej został opublikowany 18 października br. i został skierowany do konsultacji. Stan prawny w zakresie ochrony osób zgłaszających naruszenia prawa w Polsce jest nadal niejednoznaczny, niemniej to Dyrektywa daje podstawowe wytyczne krajowym prawodawcom.

Dyrektywa o ochronie sygnalistów – co reguluje i kogo obejmuje?

Dyrektywa obejmuje zakresem zastosowania podmioty prywatne i publiczne, zatrudniające co najmniej 50 pracowników. Dyrektywa reguluje zasady zgłaszania działań niezgodnych z prawem UE w wybranych obszarach aktywności państw Unii (m.in. w sektorze zamówień publicznych, ochrony konsumentów, zdrowia publicznego, bezpieczeństwa produktów czy transportu).

Whistleblowing w świetle Dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii - ludzie w biurze siedzą przy biurku i dyskutują.
Whistleblowing w świetle Dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Zasadniczo, naruszenia z obszaru HR nie są objęte Dyrektywą, chyba że dotyczą ochrony prywatności lub danych osobowych. Pracodawcy mogą jednak zdecydować, że będą przyjmować także zgłoszenia dotyczące innych nieprawidłowości, np. podejrzeń naruszeń wszystkich przepisów prawa powszechnie obowiązującego, wewnętrznych polityk, regulaminów czy standardów postępowania i zasad etycznych. Rozszerzenie zakresu regulacji jest pożądane z punktu widzenia efektywności systemu zgłaszania nieprawidłowości. Nie powinno być rolą pracownika  ustalanie z jakiego rodzaju naruszeniem mamy do czynienia i  jakie regulacje zostały pogwałcone. Umożliwienie zgłaszania wszystkich nieprawidłowości ma umożliwić  lepsze zarządzanie ryzykiem w organizacji poprzez maksymalne „udrożnienie” kanału zgłaszania nadużyć, również w zakresie przedmiotowym.

Dyrektywa ma zastosowanie do sygnalistów pracujących w sektorze prywatnym lub publicznym, którzy uzyskali informacje na temat naruszeń w „kontekście związanym z pracą”. Sygnalistą może być: pracownik lub były pracownik, kandydat do pracy, współpracownik (B2B), osoba świadcząca pracę na podstawie stosunku cywilnoprawnego, kontrahent, wspólnik/akcjonariusz, członek organu, stażysta czy nawet wolontariusz. Warunkiem uznania zgłaszającego za sygnalistę, ze wszystkimi tego konsekwencjami, (obowiązkiem zapewnienia mu ochrony przysługującej w Dyrektywie), jest dobra wiara. Dobrą wiarę należy rozumieć jako uzasadnione przekonanie, że informacja, będąca przedmiotem zgłoszenia jest prawdziwa i że stanowi ona informację o naruszeniu prawa.Według projektu, przepisy o ochronie sygnalistów nie znajdą zastosowania wobec zgłaszających, którzy informują o naruszeniu godzącym wyłącznie w ich prawa, albo gdy zgłoszenie następuje jedynie w indywidualnym interesie zgłaszającego. Wymóg wystąpienia „interesu publicznego” czy korzyści innej niż ta odnoszona indywidualnie przez sygnalistę jest warunkiem dokonania zgłoszenia. Stanowić może to dla pracodawców wyzwanie na etapie kwalifikacji zgłoszenia w przypadkach złożonych i niejednoznacznych.

Dyrektywa nakłada na pracodawców m.in. obowiązki:

  • ustanowienia kanałów zgłaszania nieprawidłowości;
  • przyjęcia procedur compliance w obszarze whistleblowingu (procedura odbioru i kwalifikacji zgłoszeń oraz podejmowania działań następczych w związku ze zgłoszeniami);
  • prowadzenia rejestru zgłoszeń;
  • wyjaśnienia informacji zawartych w zgłoszeniu  w rozsądnym terminie, co w  praktyce może wymagać  przeprowadzenia postępowania wyjaśniającego;
  • zapewnienia sygnalistom ochrony przed odwetem w związku z dokonanym zgłoszeniem;
  • regularnego monitoringu aktualności procedur (compliance-check).

Projekt ustawy wdrażającej przewiduje tylko 14 – dniowe vacatio legis. Pracodawcy zatrudniający co najmniej 250 pracowników muszą się spieszyć, – system ochrony sygnalistów i zasady podejmowania działań następczych muszą obowiązywać w ich organizacjach już od momentu wejścia w życie ustawy. Istotne jest także to, że wewnętrzne regulacje należy skonsultować z zakładową organizacją związkową lub przedstawicielami pracowników, co w praktyce wydłuża proces przyjęcia polityk. Pracodawcy zatrudniający w sektorze prywatnym od 50 do 249 pracowników mają czas do grudnia 2023 r. na wdrożenie nowych wymogów.

Jakie są rodzaje zgłoszeń? Czy anonimowe zgłoszenie powinno być rozpatrywane?

Dyrektywa i projekt ustawy krajowej rozróżniają zgłoszenia wewnętrzne, zgłoszenia zewnętrzne oraz ujawnienie publiczne. Zgłoszenie wewnętrzne dokonywane jest jak sama nazwa wskazuje wewnątrz organizacji – wyznaczonej osobie lub wyznaczonemu organowi. Przez zgłoszenie zewnętrzne należy rozumieć zaś zawiadomienie właściwych – z uwagi na przedmiot zgłoszenia – organów publicznych np. Policji, Prokuratury, PIP, KNF, UOKiK. Zgłoszeń można dokonywać też RPO, który został w projekcie wyznaczony organem centralnym, którego rolą jest udzielanie informacji i wsparcia sygnalistom, a także dokonywanie wstępnej weryfikacji zgłoszeń i przekazywanie ich właściwym organom.

Pracodawca nie może wymagać od sygnalisty, by dokonał w pierwszej kolejności zgłoszenia wewnętrznego i zabronić mu zawiadomienia właściwego organu władzy publicznej. Pracodawca może jednak zachęcać do takiego działania poprzez przyjęcie zrozumiałej procedury wewnętrznej i przeprowadzenie  odpowiedniego przeszkolenia personelu. Elementem „budowania zaufania” do polityki whistleblowingowej może być umożliwienie dokonywania zgłoszeń anonimowych. Dyrektywa pozostawiła państwom członkowskim decyzję czy zgłoszenia anonimowych sygnalistów winny być rozpatrywane. Polski projektodawca nie wprowadził takiego obowiązku, a pozostawił jedynie taką możliwość (chyba że przyjmowanie anonimowych zgłoszeń wynika z odrębnych przepisów – np. zgłoszenia w obszarze przeciwdziałania praniu pieniędzy i finasowaniu terroryzmu).

Ostatnim z rodzajów zgłoszenia wymienionych w Dyrektywie i projekcie ustawy krajowej jest ujawnienie publiczne. Oznacza ono podanie informacji o naruszeniu do publicznej wiadomości np. w prasie czy Internecie. Przyznanie ochrony sygnaliście dokonującemu ujawnienia publicznego jest zależne od spełnienia dodatkowych warunków. Jest nim dokonanie co najmniej zgłoszenia zewnętrznego i brak informacji zwrotnej/podjęcia działań następczych przez organ władzy publicznej, w terminie ustalonym w wewnętrznej procedurze tego organu. Wymogu zgłoszenia zewnętrznego nie trzeba spełniać w sytuacji, gdy:

  • naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, w szczególności istnieje ryzyko nieodwracalnej szkody;
  • dokonanie zgłoszenia zewnętrznego narazi zgłaszającego na działania odwetowe;
  • istnieje niewielkie prawdopodobieństwo wyjaśnienia sprawy przez organ (np. w sytuacji zmowy między organem publicznym a sprawcą naruszenia lub udziału organu publicznego w naruszeniu).

Działania następcze

Podejmowanie działań następczych w związku ze zgłoszeniem jest jednym z podstawowych obowiązków pracodawcy. Ma on obowiązek przyjmować, kwalifikować i wyjaśniać zgłoszenia podejrzeń nieprawidłowości. Pracodawca ma 7 dni na przekazanie sygnaliście informacji zwrotnej o przyjęciu zgłoszenia. Czynności wyjaśniające powinny zaś trwać nie dłużej niż 3 miesiące. Projektodawca nie przewiduje możliwości przedłużenia czasu trwania postępowania wyjaśniającego. O ile termin 3 miesięczny będzie wystarczający w sprawach  błahych i nieskomplikowanych, to może stanowić wyzwanie w sprawach poważnych naruszeń, które wymagają przeprowadzenia „postępowania dowodowego” np. zabezpieczenia sprzętu służbowego i przejrzenia dokumentów, korespondencji elektronicznej czy zaangażowania detektywów oraz specjalistów od bezpieczeństwa i IT.

Dyrektywa ani projekt ustawy wdrażającej nie przewidują szczegółowego trybu prowadzenia czynności wyjaśniających, nie wyszczególniają konkretnych aktywności, które winien przeprowadzić pracodawca, by wykazać, że podjął adekwatne działania następcze. Wymogiem jest jednak, by czynności te przeprowadzał niezależny podmiot. Realizacja tego obowiązku będzie zależeć w dużej mierze od konkretnej sytuacji, – od tego, kogo dotyczy zgłoszenie oraz jakimi siłami i środkami dysponuje dana organizacja.

Środki ochrony sygnalisty

Dyrektywa i projekt ustawy krajowej przewidują otwarty katalog środków ochrony sygnalisty. Ochrona ta w praktyce sprowadza się do zakazu podejmowania działań odwetowych w związku z dokonanym przez sygnalistę zgłoszeniem. Ochrona obejmuje m.in. zakaz:

  • wypowiedzenia lub rozwiązania bez wypowiedzenia stosunku pracy;
  • zawieszenia, przymusowego urlopu bezpłatnego lub równoważnych środków;
  • degradacji lub wstrzymania awansu;
  • przekazania obowiązków, zmiany miejsca pracy, obniżenia wynagrodzenia, zmiany godzin pracy;
  • wstrzymania szkoleń;
  • przymusu, zastraszania, mobbingu lub wykluczenia w miejscu pracy;
  • dyskryminacji, niekorzystnego lub niesprawiedliwego traktowania.

Środki ochrony przysługują nie tylko sygnaliście – pracownikowi, ale także innym osobom, współpracującym z organizacją. W takiej sytuacji zakazuje się niekorzystnego traktowania poprzez np. rozwiązanie, wypowiedzenie lub odmowę nawiązania stosunku prawnego, na podstawie którego jest lub ma być świadczona praca przez zgłaszającego.

W przypadku, gdy organizacja wypowie umowę o pracę/ o współpracy będzie musiała wykazać, że kierowała się obiektywnymi przesłankami, a jej działanie nie ma związku z dokonanym zgłoszeniem.

Odpowiedzialność karna

W projekcie ustawy przewiduje się odpowiedzialność karną dla pracodawcy jak i sygnalisty. Pracodawca może odpowiedzieć za takie działania jak: utrudnianie dokonania zgłoszenia, brak przyjęcia procedur wewnętrznych, podejmowanie działań odwetowych czy naruszenie obowiązku zachowania w poufności danych sygnalisty. Sygnalista może zaś ponieść odpowiedzialność za dokonanie zgłoszenia w złej wierze (zgłoszenie nieprawdziwych informacji). Wymienione typy czynów zabronionych zagrożone są karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat trzech.

Podsumowanie

Przyjęcie Dyrektywy należy oceniać pozytywnie. Jest to duży krok w kierunku budowania w organizacjach kultury compliance.Po raz pierwszy nałożono obowiązki z zakresu whistleblowingu na tak szeroki katalog adresatów – dotąd regulacje te wdrażano tylko sektorowo (np. w obszarze finansów).

Państwom członkowskim zostało niewiele czasu na implementację Dyrektywy do porządków krajowych. W Polsce największe wyzwania czekają pracodawców zatrudniających co najmniej 250 pracowników, którzy – zgodnie z projektem ustawy – nie mogą liczyć na okres przejściowy przeznaczony na dostosowanie się do wymogów Dyrektywy.

Autorzy:

Janusz Tomczak, partner, Raczkowski

Ewelina Rutkowska, prawnik, Raczkowski