Kim jest sygnalista i jaka jest jego rola
Określenie sygnalista wywodzi się z angielskiego słowa whistleblower i w potocznym tłumaczeniu oznacza informatora. Funkcja informatora, która początkowo narodziła się w krajach anglosaskich, wiązała się z powiadamianiem o nieprawidłowościach związanych przede wszystkim z działalnością instytucji finansowych czy wielkich korporacji. Z czasem, także na szczeblu unijnym, dostrzeżono konieczność uregulowania kwestii zgłaszania naruszeń i ochrony osób dokonujących tych zgłoszeń. Na podstawie Dyrektywy Parlamentu Europejskiego i Rady UE 2019/1937, 24 czerwca 2024 r. w Dzienniku Ustaw opublikowana została Ustawa o ochronie sygnalistów, zwana dalej „Ustawą”. Przepisy zaczną obowiązywać już 25 września 2024 r. Oznacza to, że pracodawcy mają niewiele czasu na wdrożenie wymogów ustawowych w swojej organizacji.
Aby móc prawidłowo zrozumieć cel ustawy o ochronie sygnalistów, na początek musimy zrozumieć kim jest sygnalista. Sygnalista to osoba dokonująca zgłoszenia o nieprawidłowościach. Dzięki „sygnałowi”, który przekazuje organizacji, pracodawca ma możliwość wprowadzić działania zaradcze bądź wyciągnąć wnioski na przyszłość, tak aby do podobnych naruszeń więcej nie doszło w miejscu pracy.
Często jednak rola sygnalisty jest błędnie rozumiana jako osoby odpowiedzialnej za rozwiązanie problemu w organizacji. Należy jednak pamiętać, że rola sygnalisty polega tylko na zwróceniu uwagi na dany problem. Po stronie organizacji leży z kolei poprowadzenie postępowania, zebranie dowodów i w zależności od wagi otrzymanej informacji: zapobiegnięcie skutkom naruszeń lub wyciągnięcie wniosków na przyszłość.
Sygnalista jest osobą fizyczną, która dokonuje zgłoszenia lub ujawnia publicznie informacje uzyskane w kontekście związanym z pracą. Czy oznacza to, że sygnalistą może zostać jedynie pracownik? Absolutnie, nie. Do kręgu osób zgłaszających naruszenie zaliczyć możemy również: osoby świadczące pracę na innej podstawie niż stosunek pracy, np. zleceniobiorców, pracowników tymczasowych, współpracowników, przedsiębiorców, akcjonariuszy i wspólników, osoby świadczące pracę pod nadzorem i kierownictwem wykonawcy, podwykonawców lub dostawców, w tym na podstawie umowy cywilnoprawnej, stażystów, wolontariuszy, praktykantów, a także funkcjonariuszy i żołnierzy.
Katalog osób mogących zostać sygnalistą jest bardzo szeroki. Jednak dla lepszego zrozumienia tematu możemy przyjąć, że sygnalistą może zostać każda osoba, która w związku z wykonywaniem jakiejś czynności dla organizacji (w kontekście związanym z pracą) dowiedziała się o nieprawidłowościach, które wymagają zgłoszenia.
Rodzaje zgłoszeń
Wewnętrzne zgłoszenia, regulowane są w organizacji w ramach wprowadzonej procedury wewnętrznej. Procedura ta powinna określić m.in. :
- za pomocą jakich bezpiecznych kanałów sygnalista może dokonać zgłoszenia,
- kto będzie upoważniony przez pracodawcę do przyjmowania i obsługi zgłoszeń (np. Zespół ds. obsługi zgłoszeń),
- czy organizacja będzie rozpatrywać zgłoszenia dokonane anonimowo,
- obowiązek potwierdzenie sygnaliście przyjęcia zgłoszenia wewnętrznego,
- obowiązek podjęcia działań następczych,
- termin na przekazanie sygnaliście informacji zwrotnej (nieprzekraczalny termin wynosi 3 miesiące od dnia potwierdzenia przyjęcia zgłoszenia, a w przypadku nieprzekazania potwierdzenia, w terminie 3 miesięcy od upływu 7 dni od dnia dokonania zgłoszenia, chyba że zgłaszający nie podał adresu do kontaktu, na który można przekazać informację zwrotną).
- informacje na temat dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich albo organów publicznych oraz - w stosownych przypadkach - do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.
Obowiązkiem podmiotu, który wdrożył procedurę wewnętrznych zgłoszeń, jest również prowadzenie rejestru zgłoszeń. Z punktu widzenia ochrony danych osobowych ważne jest podkreślenie, że podmiot prawny, np. pracodawca, będzie w tym wypadku administratorem danych osobowych znajdujących się w rejestrze.
NASZA OFERTA
Zanim wdrożysz ochronę sygnalistów, zaktualizuj procedury RODO
Czego może dotyczyć zgłoszenie wewnętrzne
Przyjmijmy, że jesteś pracownikiem, który dostrzega w firmie, w której pracuje, kilka nieprawidłowości. Zapewne zastanawiasz się, czy dokonać takiego zgłoszenia, a jeżeli tak, to jaki kanał zgłoszenia wybrać. Prześledźmy po kolei kroki, które powinno się podjąć, aby mieć pewność, że działania będą prawidłowe.
Na początek upewnij się, że sytuacja, którą chcesz zgłosić, kwalifikuje się jako tzw. naruszenie prawa, o którym mowa w art. 3 ust. 1 Ustawy. Przez naruszenie prawa ustawodawca rozumie działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa. Pamiętajmy jednak, że organizacja może rozszerzyć katalog naruszeń podlegających zgłoszeniu i wprowadzić inne rodzaje naruszeń, dotyczące np. wewnętrznych procedur, polityk lub przyjętych standardów etycznych.
Przed dokonaniem zgłoszenia upewnij się, jakie kanały zgłoszeń są dostępne w Twojej organizacji i wybierz najbardziej dogodny dla Ciebie. Może zdarzyć się, że u pracodawcy funkcjonuje tylko jeden kanał zgłoszeń,; pamiętaj jednak, by w każdym przypadku zapoznać się z wewnętrzną procedurą zgłoszeń, aby poznać swoje prawa jako sygnalista.
Co ważne, ustawa przewiduje, że jako sygnalista podlegasz ochronie prawnej od momentu dokonania zgłoszenia (pod warunkiem, że miałeś uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia jest prawdziwa w momencie dokonywania zgłoszenia i że stanowi informację o naruszeniu prawa).
Gdy dokonasz już zgłoszenia poprzez poufny kanał, pamiętaj o uzyskaniu potwierdzenia obioru zgłoszenia. Procedura zgłoszeń wewnętrznych powinna przewidywać obowiązek potwierdzenia zgłaszającemu przyjęcie zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że zgłaszający nie podał adresu do kontaktu, na który należy przekazać potwierdzenie. Jako sygnalista masz też prawo do otrzymania informacji zwrotnej na temat planowanych lub podjętych działań następczych i powodów takich działań.
Pamiętaj, że upoważnione przez pracodawcę osoby, mogą zwrócić się do Ciebie o udzielenie dodatkowych wyjaśnień dotyczących okoliczności naruszenia, wykorzystując wskazany przez Ciebie adres do kontaktu. W takiej sytuacji jako sygnalista będziesz mógł odstąpić od przekazania dalszych informacji, np. jeżeli będziesz się obawiać, że dalsze wyjaśnienia zagrożą naruszeniu ochrony twojej tożsamości.
Jaka organizacja będzie mieć obowiązek wprowadzenia wewnętrznego kanału zgłoszeń
Wewnętrzny kanał zgłoszeń będą musiały wprowadzić w swojej organizacji podmioty, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Co ważne, liczba ta odnosi się do pracowników w przeliczeniu na pełne etaty lub osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia.
Jak powinien wyglądać kanał zgłoszeń w Twojej organizacji
Nie ma głupich pytań RODO.
Są darmowe odpowiedzi
Warto zaznaczyć, że organizacja sama dokonuje wyboru dogodnego kanału zgłoszeń, z uwzględnieniem przepisów ujętych w ustawie. Kanałów zgłoszeń może być kilka: infolinia, dedykowana platforma internetowa czy aplikacja dla sygnalistów. Dopuszczalne są również zgłoszenia za pomocą innych kanałów, jednak przed podjęciem ostatecznej decyzji organizacja powinna dokładnie przeanalizować, które z kanałów gwarantują zachowanie poufności tożsamości osoby zgłaszającej.
Skuteczna ochrona sygnalisty jest bardzo ważna
Ochrona sygnalisty powinna być kluczowym założeniem dla każdej organizacji wdrażającej procedurę zgłoszeń. Przyjęte regulacje muszą gwarantować możliwość dokonania poufnego zgłoszenia. Oznacza to, że przetwarzanie danych osobowych pozyskanych w związku ze zgłoszeniem musi gwarantować maksymalny poziom bezpieczeństwa poprzez uniemożliwienie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom oraz zapewnienie poufności tożsamości zarówno zgłaszającego, jak i osoby, której dotyczy zgłoszenie. Ochrona poufności jest rozszerzona, gdyż dotyczy wszelkich informacji, na podstawie których można bezpośrednio bądź pośrednio zidentyfikować tożsamość takich osób. Zachowanie poufności co do tożsamości sygnalisty zmniejsza znacząco ryzyko wystąpienia ewentualnych działań odwetowych.
Sygnalistę nie mogą spotkać negatywne konsekwencje związane ze zgłoszeniem, gdy dokonał go w dobrej wierze i miał podstawy by sądzić, że informacja będąca przedmiotem zgłoszenia jest prawdziwa. By chronić sygnalistę, ustawodawca wprowadził zakaz działań odwetowych wobec osoby dokonującej zgłoszenia.
Warto dodać, że sygnaliście, wobec którego pomimo ustawowego zakazu, dopuszczono się działań odwetowych, przysługiwać będzie prawo do odszkodowania w wysokości nie niższej niż przeciętne miesięczne wynagrodzenie w gospodarce narodowej w poprzednim roku
Pamiętajmy, że dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości mogą zostać ujawnione, tylko po uzyskaniu wyraźnej zgody pochodzącej od sygnalisty. Co do zasady, tożsamość sygnalisty podlegać będzie całkowitej ochronie, za wyjątkiem sytuacji przewidzianych w ustawie, kiedy to ujawnienie będzie konieczne i prawnie dopuszczalne (art. 8 ust. 2 i 3 ustawy).
Pracodawca zobowiązany jest do pisemnego upoważnienia osób z w organizacji, które będą odpowiedzialne za przyjmowanie i weryfikację zgłoszeń, podejmowanie działań następczych oraz przetwarzanie danych osobowych uzyskanych w związku z dokonanym zgłoszeniem. Więcej informacji na ten temat można znaleźć w artykule: Jak chronić poufność i dane osobowe sygnalistów? Udostępniamy wzór DPIA.
Czy będzie możliwe połączenie funkcji IOD z obsługą zgłoszeń sygnalistów
Nad tym zagadnieniem pochylił się Urząd Ochrony Danych Osobowych, który podkreślił, że przepisy unijnej dyrektywy o sygnalistach nie regulują kwestii łączenia zadań osób zajmujących się obsługą zgłoszeń z innymi zadaniami. Urząd wskazał jednak, że w takiej sytuacji administrator przed powierzeniem osobie pełniącej funkcję IOD innych zadań lub obowiązków powinien dokonać starannej analizy w zakresie zapewnienia IOD właściwych warunków dla zachowania jego niezależności i prawidłowego wykonywania zadań.
Kiedy ostatnio
robiłeś analizę ryzyka?
Podsumowując, wydaje się, że nie ma przeciwskazań by łączyć te dwie funkcje. Ważne jest jednak, aby administrator danych przed powierzeniem IOD funkcji związanej z obsługą wniosków sygnalistów dokonał analizy pod kątem tego, czy IOD będzie mógł prawidłowo wykonywać swoje obowiązki. Urząd Ochrony Danych Osobowych zwrócił uwagę, że brak dokonania takiej analizy może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.
Dobrze wdrożona procedura to szansa dla organizacji
Pamiętajmy, że dzięki sygnałowi pochodzącemu od osoby zgłaszającej organizacja będzie mogła ustrzec się przed negatywnymi konsekwencjami związanymi z naruszeniem prawa (np. korupcją, bezpieczeństwem transportu, żywości, zdrowia publicznego, dobrostanu zwierząt czy ochrony środowiska...). Odpowiednio podjęte działania będą mogły też zapobiec skutkom takim jak narażenie wizerunku firmy czy utrata zaufania wśród kontrahentów. Od samego pracodawcy zależy, czy procedura naruszeń kojarzyć się będzie w sposób negatywny z „donosicielstwem”. Dlatego, poprzez odpowiednio wykorzystane narzędzia oraz uświadomienie pracowników i współpracowników organizacji na temat korzyści płynących z prawidłowo działającego systemu zgłoszeń, organizacja może wykorzystać ustawę o cochronie sygnalistów jako swoją szansę. mianowicie, jeżeli pracodawca zdoła stworzyć taką kulturę korporacyjną, w której zgłaszanie naruszeń będzie odbierane pozytywnie i z aprobatą, może się okazać, że ten sposób komunikacji z pracownikami pozwoli mu uniknąć kosztów i strat wizerunkowych, które mogłyby powstać, gdyby problem pozostał niezauważony przez pracownika.
Plan wdrożenia, dokumentacja, DPIA i szkolenie pracowników
Ważne jest, aby Twoja organizacja była gotowa na wdrożenie niezbędnych procedur i podjęcie działań wraz z wejściem ustawy w życie. Warto już teraz pamiętać o działaniach takich jak dokonanie analizy potrzeb i przygotowaniu planu wdrożenia. Ważne jest również wprowadzenie odpowiednich regulacji, które zapewnią poufny kanał dokonywania zgłoszeń. Operacje zgłaszania naruszeń przez sygnalistów przy użyciu dedykowanych systemów, mogą wiązać się z wysokim ryzykiem dla praw i wolności osób których dane dotyczą, dlatego w tym zakresie powinno również zostać przeprowadzone DPIA, czyli ocena skutków dla ochrony danych osobowych.
Aby Twoja organizacja była w pełni przygotowana bardzo ważne jest przeszkolenie pracowników z podstaw zgłaszania naruszeń i ochrony sygnalistów.
Aplikacja dla sygnalistów, czyli przydatne narzędzie ochrony poufności tożsamości
Przydatnym narzędziem w Twojej organizacji może stać się skorzystanie z aplikacji dla sygnalistów. Narzędzie to różni się od innych bardziej tradycyjnych kanałów zgłoszeń. We wcześniejszej części artykułu wspomniano, że ochrona poufności sygnalisty jest kluczowa, dlatego wydaje się, że aplikacja do ochrony sygnalistów jest narzędziem konkurencyjnym w stosunku do pozostałych kanałów zgłoszeń.
EDYCJA II, ROK 2023
Ranking ODO 24
Najlepsze aplikacjie dla sygnalistów
Rzetelnie przetestowaliśmy dostępne na polskim rynku aplikacje. Wyniki naszych badań wraz z recenzjami publikujemy w rankingu.
Jakie są jej zalety? Aplikacja nie generuje tak wielu ryzyk, chociażby związanych z możliwością zapoznania się z treścią zgłoszenia przez osobę nieuprawnioną. Nie wiąże się też z ryzykiem braku odpowiednich zabezpieczeń systemów teleinformatycznych. Dlatego ta forma poufnego kanału zgłoszeń, gwarantuje bezpieczeństwo i sprawną obsługę zgłoszenia. ODO 24 przygotowało ranking 10 najlepszych aplikacji dla sygnalistów.
Podsumowanie
Ochrona sygnalistów to z pewnością duże wyzwanie dla większości z nas. Oprócz wprowadzenia wewnętrznej procedury zgłoszeń, Twoja organizacja będzie musiała się pochylić także nad innymi zagadnieniami, takimi jak: dobór odpowiedniego kanału zgłoszeń, zapewnienie bezpieczeństwa ochrony danych czy przeszkolenie organizacji w związku z przyjęciem nowych procedur . Jednak mamy nadzieję, że dzięki temu artykułowi oraz wskazanym przez nas narzędziom, cały proces wdrażania procedury zgłoszeń i ochrony osób zgłaszających naruszenia będzie znacznie prostszy.