Regulacja
Prekursorem były Stany Zjednoczone, które w 2002 roku wprowadziły ustawę Sarbanesa-Oxleya (SOX), nakazującą spółkom notowanym na giełdzie wprowadzenie zasad anonimowego raportowania i ochrony sygnalistów. Ustawodawcy europejscy długo nie dostrzegali potrzeby regulacji tego aspektu. W 2016 roku Parlament Francuski przyjął ustawę o transparentności, walce z korupcją i modernizacji gospodarki (SAPIN II), dotyczącą zwalczania korupcji i przejrzystości prowadzenia biznesu, wzorowanej na wspomnianej amerykańskiej ustawie.
Jej celem było nałożenie na firmy francuskie obowiązku zapobiegania zjawiska korupcji, zapewniając adekwatne środki i procedury, w tym min. wewnętrzny system informowania o nieprawidłowościach (tzw. system whistleblowing). Przykładem takiego działania jest wdrożenie wewnętrznej infolinii umożliwiającej pracownikom zgłaszanie działań, które mogą stanowić naruszenie. Ustawa SAPIN II zapewniła równolegle ochronę sygnalistów, wprowadzając sankcje za ujawnienie poufnych informacji o osobie sygnalisty w postaci kary dwóch lat pozbawienia wolności lub grzywny w wysokości 30.000 Euro.
Ustawodawca Unijny podjął kompleksowe działania dopiero w 2019 roku, nakazując zabezpieczenie pozycji osób zgłaszających naruszenia i udzielając im należytej ochrony przed ostracyzmem społecznym, co znalazło odzwierciedlenie w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej Dyrektywa).
Sygnalista w świetle Dyrektywy (UE) 2019/1937
Sygnalista (ang. whistleblower) zdefiniowany został w pkt. 1 Preambuły Dyrektywy jako osoba działająca dla organizacji (publicznej lub prywatnej) w kontekście związanym z pracą, zgłaszająca zagrożenia lub szkody dla interesu publicznego. Naruszenia te dotyczą następujących obszarów: zamówień publicznych, usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa produktów i ich zgodności z wymogami, bezpieczeństwa transportu, ochrony środowiska, ochrony radiologicznej i bezpieczeństwa jądrowego, bezpieczeństwa żywności i pasz, zdrowia i dobrostanu zwierząt, zdrowia publicznego, ochrony konsumentów, ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych.
Należy wskazać, że dokonywane przez sygnalistów zgłoszenia i ujawnianie dotyczące naruszeń stanowią jeden z elementów oddolnego egzekwowania prawa i polityk Unii. Dlatego też celem poprawy tych działań jest wypracowanie wspólnych minimalnych norm zapewniających wysoki poziom ochrony osób zgłaszających naruszenia prawa Unii.
Negatywna identyfikacja sygnalisty
Z punktu widzenia przeciętnego obywatela sygnalizacja nieprawidłowości kojarzy się negatywnie, a „uprzejmie donoszący” dość szybko spotyka się z wykluczeniem społecznym (nawet mimo słuszności swojego działania). Dlatego też potencjalni sygnaliści często rezygnują ze zgłaszania swoich zastrzeżeń lub podejrzeń z obawy przed działaniami odwetowymi zarówno ze strony pracodawcy, jak i współpracowników. Z kolei zgłoszenia anonimowe nie zawsze przynoszą oczekiwany rezultat, co więcej „pozwalają” na przekazywanie często nieprawdziwych informacji o innych osobach, skutkujących szkodą.
W związku z tym, w coraz większym stopniu uznaje się za konieczne, zarówno na poziomie unijnym, jak i międzynarodowym, zapewnienie zrównoważonej i skutecznej ochrony sygnalistów, przy równoczesnym wyznaczeniu granic, w jakich mogą dokonywać swoich zgłoszeń. Warunkiem jest, że taka osoba miała uzasadnione podstawy na temat prawdziwości zgłaszanego naruszenia (objęte stosowaniem Dyrektywy) oraz dokonała zgłoszenia wewnętrznego (art. 7 Dyrektywy) albo zewnętrznego (art. 10 lub 15 Dyrektywy).
Ochrona sygnalistów – Dyrektywa vs. RODO
Pierwotne rozważania na temat ochrony sygnalistów znalazły się w wytycznych Grupy Roboczej Art. 29. W podobnym kierunku poszedł Europejski Inspektor Ochrony Danych (EIOD) w swoich rekomendacjach. Dlatego tak ważne jest wskazanie na kogo/jaki organ są nakładane obowiązki oraz kogo mają chronić przepisy.
Regulacje zawarte w Dyrektywie
Sama Dyrektywa przyznaje sygnalistom szerokie spektrum ochrony: zakaz ujawniania tożsamości (bez wyraźniej zgody zainteresowanego) innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość zgłaszającego, środki ochrony przed odwetem w stosunkach pracy (np. zakaz zwolnienia z pracy) i w innych stosunkach prawnych (np. zakaz wcześniejszego rozwiązania umowy), aż po naprawienie szkody związanej z utratą dochodu w efekcie dokonania zgłoszenia. Istotne jest, że ochroną mają być objęci nie tylko sygnaliści, ale też osoby im pomagające (współpracownicy czy członkowie rodziny). Dyrektywa wymaga również od państw członkowskich podjęcia niezbędnych środków zakazujących wszelkich działań odwetowych, jak i wprowadzenia skutecznych, proporcjonalnych i odstraszających sankcji wobec osób fizycznych lub prawnych utrudniających dokonywanie zgłoszeń lub dokonujących działań odwetowych wobec sygnalistów.
Omawiana Dyrektywa w europejskim porządku prawnym funkcjonuje od końca 2019 roku, natomiast aby stała się obowiązującym prawem w Polsce wymaga implementacji w formie ustawy. Zgodnie z projektem ustawy wdrażającym Dyrektywę do polskiego systemu prawnego opublikowanym na https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822857#12822857, po wejściu ustawy w życie kanały wewnętrzne do zgłaszania naruszeń zobowiązane będą wdrożyć:
- Podmioty z sektora publicznego zatrudniające:
a. powyżej 50 pracowników,
b. mniej niż 50 pracowników, jeżeli działają w szeroko pojętym sektorze finansowym. - Podmioty z sektora prywatnego zatrudniające:
a. powyżej 250 pracowników,
b. pomiędzy 50 do 249 pracowników – najpóźniej do 17 grudnia 2023 r.,
c. mniej niż 50 pracowników, jeżeli działają w szeroko pojętym sektorze finansowym.
Poza ww. wyjątkami Polski ustawodawca nie zobowiązuje podmiotów zatrudniających mniej niż 50 pracowników (zarówno z sektora prywatnego jak i publicznego) do ustanowienia wewnętrznych kanałów zgłaszania naruszeń.
Pomimo tego, że polska ustawa wdrażająca Dyrektywę nie została na ten moment uchwalona, administratorzy już teraz powinni podejmować kroki w celu opracowania kanałów zgłaszania naruszeń przez sygnalistów, a także dokonania przeglądu istniejących polityk i procedur w tym zakresie, jak również wdrażania niezbędnych narzędzi technicznych oraz kształtowania kultury organizacyjnej związanej z instytucją sygnalisty.
EDYCJA I, ROK 2022
Ranking ODO 24
Najlepsze aplikacjie dla sygnalistów
Rzetelnie przetestowaliśmy dostępne na polskim rynku aplikacje. Wyniki naszych badań wraz z recenzjami publikujemy w rankingu.
Przetwarzanie danych sygnalistów zgodnie z RODO
Praktycznym problemem dla firm, które decydują się wprowadzić systemy raportowania nieprawidłowości, jest brak wyszczególnionych zasad przetwarzania danych osobowych na kanwie Dyrektywy, przy równoczesnej konieczności poszanowania zasad określonych przepisami RODO tj. zasad przejrzystości, ograniczenia celu przetwarzania oraz minimalizacji danych (art. 5 ust. 1 lit. a–c RODO). Podstawowym wyzwaniem jest zagwarantowanie osobie zgłaszającej ochrony przed odwetem przy jednoczesnym poszanowaniu praw osób, których dotyczy składany raport.
Przepisy RODO wymagają wskazania podstawy prawnej do zgodności przetwarzania z prawem. Po analizie przesłanek z art. 6 ust. 1 RODO można dojść do wniosku, że najbardziej zbliżoną podstawą przetwarzania danych sygnalisty będzie realizacja prawnie uzasadnionych celów przedsiębiorcy, który jest administratorem (art. 6 ust. 1 lit. f RODO). Wobec czego, wdrażając system raportowania należy brać pod uwagę konieczność przeanalizowania uzasadnionych interesów administratora, potwierdzających zasadność wprowadzenia systemu. EIOD stoi na stanowisku, że systemy whistleblowing powinny służyć do raportowania wyłącznie korupcji, nadużyć finansowych lub innych poważnych nieprawidłowości. Zmiana podstawy przetwarzania na tę, która jest zawarta w Dyrektywie nastąpi dopiero po jej implementacji do naszego porządku krajowego. Zgodnie bowiem z art. 8 Dyrektywy, kraje członkowskie będą musiały zobowiązać podmioty prawne w sektorze prywatnym i publicznym do ustanowienia kanałów i procedur na potrzeby dokonywania zgłoszeń wewnętrznych. Do tego czasu, jak już powyżej wspomniano, przedsiębiorcy muszą zastosować się do podstaw przetwarzania wskazanych w art. 6 ust. 1 RODO.
Podsumowanie
Dopiero wprowadzenie do polskiego systemu prawnego przepisów Dyrektywy pokaże, czy mechanizmy ochrony sygnalistów będą w praktyce wystarczające i spełnią swoją rolę. Należy pamiętać, że system informowania o nieprawidłowościach powinien przede wszystkim opierać się na otwartej komunikacji z przełożonym, zaufaniu i świadomości ochrony danych osobowych. Bowiem to na administratorze spoczywa obowiązek ochrony i wsparcia osoby zgłaszającej poprzez zastosowanie odpowiednich środków i zasad. Równocześnie wyznacznikiem skutecznego działania systemu jest działanie sygnalisty w dobrej wierze, w oparciu o fakty i obiektywne przesłanki, w przeciwieństwie do względów osobistych, tak aby nie został utożsamiony z przysłowiowym „donosicielem”.