Marcin Dublaszewski
Większość specjalistów compliance doskonale wie, że na polską ustawę dotyczącą ochrony osób zgłaszających naruszenia prawa czekamy od grudnia 2021 roku, czyli prawie 15 miesięcy (tekst powstał w lutym 2023 roku). Przez ten okres mogliśmy ze szczegółami śledzić postępy prac legislacyjnych – projekt jest póki co jest na etapie rządowym.
Do 26 lutego 2023 roku ukazało się sześć wersji projektu ustawy. W kolejnych projektach mieliśmy do czynienia z doprecyzowaniem pewnych kwestii (np. definicje podmiotów zobowiązanych do wdrażania systemu przyjmowania i rozpatrywania zgłoszeń), z drugiej zaś wprowadzano zmiany całkowicie zmieniające wcześniejszej rozwiązania – przede wszystkim w zakresie zgłoszeń zewnętrznych, np. zmiana “głównego” podmiotu z Rzecznika Praw Obywatelskich na Państwową Inspekcję Pracy.
Analizując treść uwag, jakie wnoszono do poszczególnych projektów można było zaobserwować umiarkowany optymizm Rzecznika do uczynienia go głównym podmiotem w zakresie przyjmowania zgłoszeń zewnętrznych. Również inne instytucje wnosiły uwagi o charakterze raczej zawężającym zakres oddziaływania Dyrektywy, np. Ministerstwo Spraw Wewnętrznych i Administracji postulujące wyłączenie z Ustawy funkcjonariuszy Policji (czyli uniemożliwienie policjantom dokonywania zgłoszeń). Na ocenę całościową kształtu systemu ochrony sygnalistów w Polsce przyjdzie czas po podpisaniu przez Prezydenta stosowanej ustawy w ostatecznym kształcie, tymczasem postaram się zwrócić uwagę na istotny w mojej ocenie problem, jakim będzie funkcjonowanie systemu zgłoszeń zewnętrznych.
Zgodnie z Artykułem 11 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii “Państwa członkowskie wyznaczają organy właściwe do przyjmowania zgłoszeń, przekazywania informacji zwrotnych na ich temat i podejmowania działań następczych w związku z nimi i zapewniają tym organom odpowiednie zasoby”. Jest to zapis z pozoru prosty jednakże biorąc pod uwagę ściśle określony zakres naruszeń, którego mogą dotyczyć zgłoszenia oraz dodatkowe warunki o których napiszę dalej można mieć uzasadnione obawy o system rozpatrywania tych zgłoszeń oraz bezpieczeństwo i poufność personaliów sygnalisty oraz domniemanego sprawcy nadużycia.
Ustalenie właściwości
Ostatnia wersja Ustawy o ochronie osób zgłaszających naruszenia prawa wskazuje jako adresata zgłoszeń zewnętrznych “organ publiczny”, przez który należy rozumieć “naczelne i centralne organy administracji rządowej, terenowe organy administracji rządowej oraz inne organy państwowe, organy wykonawcze jednostek samorządu terytorialnego, regionalne izby obrachunkowe oraz Komisję Nadzoru Finansowego”. Bez wątpienia jest to bardzo obszerny katalog instytucji – samych organów wykonawczych samorządu terytorialnego jest około 2800, do tego dochodzą jednostki Policji, Prokuratury, Regionalne Izby Obrachunkowe, Inspekcje, Nadzory i wiele innych. Biorąc pod uwagę z kolei mnogość podmiotów prawnych, których mogą dotyczyć zgłoszenia to sumując duże przedsiębiorstwa (około 4200), średnie przedsiębiorstwa (około 27000) oraz podmioty sektora publicznego zatrudniające co najmniej 50 pracowników (około 12600)* daje to ogromną liczbę podmiotów, których mogą dotyczyć zgłoszenia. Trzecim aspektem komplikującym to zagadnienie jest kwestia tego, czego potencjalne zgłoszenia mogą dotyczyć. Na moment pisania niniejszego artykułu legislator nie postuluje poszerzenia katalogu ujętego w Dyrektywie, wobec czego planuje się, iż zgłoszenia w Polsce dotyczyć mogą:
- zamówień publicznych;
- usług, produktów i rynków finansowych;
- przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;
- bezpieczeństwa produktów i ich zgodności z wymogami;
- bezpieczeństwa transportu;
- ochrony środowiska;
- ochrony radiologicznej i bezpieczeństwa jądrowego;
- bezpieczeństwa żywności i pasz;
- zdrowia i dobrostanu zwierząt;
- zdrowia publicznego;
- ochrony konsumentów;
- ochrony prywatności i danych osobowych;
- bezpieczeństwa sieci i systemów teleinformatycznych;
- interesów finansowych skarbu państwa Rzeczypospolitej Polskiej, jednostki samorządu terytorialnego oraz Unii Europejskiej;
- rynku wewnętrznego Unii Europejskiej, w tym publiczno-prawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych**.
Analizując więc każde zgłoszenie zewnętrzne będzie trzeba brać pod uwagę następujące jego parametry:
- czego zgłoszenie dotyczy (czy mieści się w katalogu Ustawy),
- który organ publiczny jest właściwy dla danego naruszenia,
- jakiego podmiotu prawnego dotyczy dane zgłoszenie (podmiot prawa handlowego, jednostka publiczna).
Projekt z 5 stycznia 2023 r. nie zawiera wzorem Dyrektywy Załącznika z wykazem przepisów odnoszących się do poszczególnych obszarów naruszeń prawa. Może to rodzić obawy, jak owe organy publiczne poradzą sobie z prowadzeniem postępowań w sprawach, które będą musiały zaczynać się od ustalenia czy dane zgłoszenie podlega pod regulacje ustawową, określić instytucję właściwą do jego rozpatrywania i do niej je przekazać zachowując jednocześnie wymóg poufności danych sygnalisty. Niestety, organy publiczne nie dysponujące jednolitym systemem do obsługi zgłoszeń będą skazane na korespondencję w formie tradycyjnej (papierowej) lub mailowej czy przy pomocy ePUAP. Niestety brak kompatybilności systemów komunikacji poszczególnych instytucji rodzi duże ryzyko naruszenia poufności, jak również integralności zgłoszenia.
Interes publiczny
Projekt Ustawy z 5 stycznia 2023 r. odmiennie niż Dyrektywa warunkuje objęcie ochroną sygnalisty. Zgodnie z Dyrektywą bowiem (Artykuł 6):
Osoby dokonujące zgłoszenia kwalifikują się do objęcia ochroną na mocy niniejszej dyrektywy, pod warunkiem że:
- miały uzasadnione podstawy, by sądzić, że będące przedmiotem zgłoszenia informacje na temat naruszeń są prawdziwe w momencie dokonywania zgłoszenia i że informacje takie są objęte zakresem stosowania niniejszej dyrektywy; oraz
- dokonały zgłoszenia wewnętrznego zgodnie z art. 7 albo zgłoszenia zewnętrznego zgodnie z art. 10 lub dokonały ujawnienia publicznego zgodnie z art. 15.
Projekt Ustawy stanowi zaś (Artykuł 6, podkreślenie własne):
Zgłaszający podlega ochronie określonej w przepisach rozdziału 2, pod warunkiem że miał uzasadnione podstawy sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja dotyczy interesu publicznego i jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa.
Dyrektywa wskazuje na przesłankę interesu publicznego dopiero w przypadku ujawnienia publicznego (Artykuł 15), jako warunek objęcia ochroną sygnalisty dokonującego ujawnienia publicznego z pominięciem kanałów zgłoszeń (wewnętrznych i zewnętrznych).
W związku z powyższym, do obowiązków organów publicznych przyjmujących zgłoszenia zewnętrzne należeć będzie także rozpatrzenie czy dane zgłoszenie dotyczy naruszenia prawa godzącego w interes publiczny. Pojęcie to nie jest łatwe do jednoznacznego zdefiniowania i nie ma ono generalnego, wszechobejmujacego znaczenia opisowego. Jak wskazują E. Komierzyńska i M. Zdyb*** termin ten występuje w kilku aktach prawnych, a w jednym z nich definiuje się nawet nadrzędny interes publiczny – art. 5 pkt 7 ustawy o swobodzie działalności gospodarczej – nadrzędny interes publiczny należy rozumieć tak, jak na to wskazuje art. 2 ust. 1 pkt 7 ustawy z dnia 4 marca 2010 r. o świadczeniu usług na terytorium Rzeczypospolitej Polskiej, czyli jako wartość podlegającą ochronie, w szczególności porządek publiczny, bezpieczeństwo publiczne, zdrowie publiczne, utrzymanie równowagi finansowej systemu zabezpieczenia społecznego, ochrona konsumentów, usługobiorców i pracowników, uczciwość w transakcjach handlowych, zwalczanie nadużyć, ochrona środowiska naturalnego i miejskiego, zdrowie zwierząt, własność intelektualna, cele polityki społecznej i kulturalnej oraz ochrona narodowego dziedzictwa historycznego i artystycznego. Możemy zatem mieć do czynienia z naruszeniami interesu publicznego, które nie są objęte projektem ustawy (zwalczanie nadużyć, ochrona dziedzictwa) oraz naruszeniami wpisującymi się w katalog projektowanego aktu prawnego nie będącymi z kolei interesem publicznym, przynajmniej w rozumieniu przywołanego powyżej przepisu (np. te dotyczące ochrony danych osobowych). Racjonalnym podejściem byłoby powielenie rozwiązania ujętego w Dyrektywie, tj. ustanowienie warunku naruszenia interesu publicznego jedynie w odniesieniu do ujawnień publicznych pomijających zgłoszenia wewnętrzne i/lub zewnętrzne. Bez tego może okazać się, że pomimo, iż zgłoszenie okazało się prawdziwe, to z uwagi na fakt, iż nie dotyczyło interesu publicznego, zgłaszający nie podlega ochronie przysługującej sygnalistom. Nasuwa się także pytanie co robić ze zgłoszeniami, które nie wyczerpują znamion naruszenia interesu publicznego.
Naruszenie prawa będące przestępstwem
Ostatnie dwie wersje Ustawy zawierają mechanizmy, których nie było we wcześniejszych projektach. Mam tu na myśli zapis dotyczący kwestii naruszeń będących jednocześnie przestępstwami zawarty w Artykule 31.1 – zgłoszenie zewnętrzne, które może stanowić przestępstwo, dokonuje się Policji. Biorąc pod uwagę zamieszanie jakie towarzyszyło wejściu w życie Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, można się spodziewać, że w odniesieniu do zgłoszeń oraz sygnalistów niezrozumienie będzie dużo większe. Brak katalogu aktów prawnych, których złamanie podlega procedurze opartej o Ustawę może doprowadzić do trudności w interpretacji czy dany czyn opisany w zgłoszeniu zawiera się w jej zakresie przedmiotowym oraz czy jest przestępstwem. Część sygnalistów może uznać, że lepiej zgłosić dane naruszenie Policji “na wszelki wypadek” co może doprowadzić do niewydolności organizacyjnej tej, wciąż obarczanej dodatkowymi obowiązkami, formacji. Zwróćmy uwagę, iż obszar najbardziej oczywisty z punktu widzenia ewentualnej kwalifikacji danego naruszenia jako przestępstwa dotyczyć będzie interesów finansowych Unii Europejskiej oraz Skarbu Państwa, przy czym nie każde takie naruszenie musi być uznane jako przestępstwo, są wszakże czyny mogące być naruszeniem dyscypliny finansów publicznych i jako takie nie być w zainteresowaniu Policji. Dodatkowo, zarówno Dyrektywa, jak i projektowana Ustawa zawiera w katalogu obszarów kwestie związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu, które to z kolei regulowane są Ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, która ustanawia instytucję sygnalisty odrębnie od Dyrektywy. Dodatkowo, kwestie związane z naruszeniami w tym zakresie podlegają urzędowi Generalnego Inspektora Informacji Finansowej.
Wejście w życie Ustawy o ochronie osób zgłaszających naruszenia prawa w kształcie z 5 stycznia 2023 roku powodować może spore trudności dla organów administracji publicznej. Pamiętajmy, iż zgłoszenia dotyczące firm mogą być przekazywane do organów wykonawczych samorządu terytorialnego – żaden zapis nie wskazuje na to jakiego rodzaju zgłoszenia oraz dotyczące których podmiotów prawnych przyjmują które organy publiczne. Wiedza z zakresu prawa administracyjnego “potencjalnego sygnalisty” działającego dodatkowo we wzburzeniu czy emocjach może powodować błędne przypisanie właściwości danego zgłoszenia oraz przekazywanie tego samego zgłoszenia do wielu organów naraz licząc na korzystniejszy dla siebie rezultat. Rozsądnym rozwiązaniem byłoby ustanowienie “centralnego organu publicznego”, który przyjmowałby wszystkie zgłoszenia zewnętrzne, rejestrował je w jednolitym systemie informatycznym a następnie kierował do właściwych instytucji celem wyjaśnienia, mając jednocześnie nadzór nad terminowością oraz poufnością prowadzonego postępowania.
* System zgłaszania naruszeń prawa w Polsce : ujęcie praktyczne / Wiesław Jasiński, Warszawa : Difin, 2022r.
** Ustawa o ochronie osób zgłaszających naruszenia prawa – projekt z 5 stycznia 2023 r
*** Klauzula interesu publicznego w działaniach administracji publicznej, Eliza Komierzyńska, Marian Zdyb, Annales Universitatis Mariae Curie – Skłodowska, Lublin – Polonia, VOL. LXIII, 2, 2016