dr Michał Kaczmarski
A. Cel wprowadzenia ustawy o ochronie sygnalistów i jej rola we wczesnej detekcji nadużyć w podmiotach prawnych
Ustawa o ochronie sygnalistów (dalej OchrSygnalU) rozpocznie swoje obowiązywanie z dniem 25 września 2024 roku, niezależnie od toczących się obecnie w domenie publicznej dyskusji na temat daty pierwszego wymaganego ustawą liczenia osób świadczących pracę na rzecz podmiotu prawnego. Jednak, nawet gdyby wąska grupa podmiotów prawnych na rzecz których pracuje około 50 osób, a nie są podmiotami objętymi regulacjami sektorowymi z art. 10 ust. 1 OchrSygnalU, zastanawiała się, czy musi wprowadzić procedurę zgłoszeń wewnętrznych z dniem 25 września 2024 roku, z tą datą niewątpliwie zaczną obowiązywać wszystkie pozostałe przepisy ustawy. Co więcej, brak wdrożenia procedury zgłoszeń wewnętrznych – co w przypadku bezprawnego zaniechania jest wykroczeniem, o którym mowa w art. 58 OchrSygnalU – nie zmieni faktu, że sygnaliści z dniem 25 września 2024 roku podlegać będą ochronie przed odwetem, zarówno w przypadku zgłoszenia wewnętrznego, nawet wobec braku procedury w tym zakresie, jak i zgłoszenia zewnętrznego, a także ujawnienia publicznego, w tym ostatnim przypadku po spełnieniu warunków przewidzianych w rozdziale 5 OchrSygnalU.
Co więcej, brak dedykowanego kanału zgłoszeń wewnętrznych będzie zachęcał do zgłoszeń zewnętrznych z pominięciem etapu wewnętrznego, bo art. 30 OchrSygnalU stanowi, że „sygnalista może dokonać zgłoszenia zewnętrznego bez uprzedniego dokonania zgłoszenia wewnętrznego”, bez konieczności spełnienia jakichkolwiek warunków wstępnych.
Tymczasem, jak możemy przeczytać w motywie 1 preambuły do dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. U. UE. L. z 2019 r. Nr 305, str. 17 z późn. zm.), stanowiącej źródło obowiązku wdrożenia w Polsce OchrSygnalU, celem europejskiej regulacji o ochronie sygnalistów jest fakt, że:
- osoby pracujące dla organizacji publicznej lub prywatnej lub utrzymujące kontakt z taka organizacją w związku ze swoją działalnością zawodową niejednokrotnie jako pierwsze dowiadują się o zagrożeniach lub szkodach dla interesu publicznego, do jakich dochodzi w tym kontekście,
- zgłaszając naruszenia prawa Unii, które są szkodliwe dla interesu publicznego, osoby takie działają jako „sygnaliści” i tym samym odgrywają kluczową rolę w ujawnianiu takich naruszeń i zapobieganiu im oraz w ochronie dobra społecznego,
- potencjalni sygnaliści często jednak rezygnują ze zgłaszania swoich zastrzeżeń lub podejrzeń z obawy przed działaniami odwetowymi. W związku z tym w coraz większym stopniu uznaje się, zarówno na poziomie unijnym, jak i międzynarodowym, znaczenie zapewnienia zrównoważonej i skutecznej ochrony sygnalistów.
Sygnaliści stanowią zatem element systemu wczesnego reagowania na zagrożenia związane z naruszeniami prawa, do których może dochodzić w podmiotach prawnych. Szczególnie ważny jest przy tym kontekst wczesnej diagnozy zagrożenia, bo jak zwykle lepiej zapobiegać chorobie niż ją później leczyć.
Jak wskazują badania organizacji Association of Certified Fraud Examiners (ACFE), sygnaliści są również najskuteczniejszym źródłem wiedzy na temat nadużyć dokonywanych na szkodę podmiotów prawnych, jest zatem w interesie tych podmiotów, aby stworzyć im dogodne warunki do informowania pracodawcy o nieprawidłowościach godzących w jego interesy, zarówno bezpośrednio (np. wyłudzenie na szkodę spółki), jak i pośrednio (np. kary finansowe za udział podmiotu prawnego w działaniach korupcyjnych w związku z ubieganiem się o przetarg publiczny lub uszczerbek dla reputacji takiego podmiotu prawnego).
Rysunek 1. Źródła detekcji nadużyć w podmiotach prawnych w badaniach ACFE
Źródło: Raport do Narodów 2024: Przestępczość Pracownicza (ang. Occupational Fraud 2024: A Report to the Nations)
Sam ustawodawca krajowy, wskazuje w art. 25 ust. 2 pkt. 4 OchrSygnalU, że podmiot prawny, choć nie musi, to może określić system zachęt do korzystania z procedury zgłoszeń wewnętrznych, w przypadku, gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych.
System zarządzania zgłoszeniami wewnętrznymi sygnalistów jest zatem elementem systemu kontroli i wczesnej detekcji nadużyć w podmiotach prawnych, co ogranicza ekspozycję na ryzyko prawne w relacjach wewnętrznych i zewnętrznych tych podmiotów.
B. Model działania wymagany od podmiotów prawnych przez ustawę o ochronie sygnalistów
Art. 23 ust. 1 i 3 OchrSygnalU wskazuje, że wszystkie podmioty prawne:
1) na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób, a także,
2) wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objęte zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do wspomnianej wyżej dyrektywy 2019/1937 (bez względu na liczbę zatrudnionych osób),
– zobligowane są do wdrożenia w ich organizacjach wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych, zwanej „procedurą zgłoszeń wewnętrznych”. Zakres regulacji tej procedury określa rozdział 3 OchrSygnalU, przy czym należy zwrócić uwagę, że procedura to jedynie opis działania w ramach procesu operacyjnego wdrożonego w organizacji, a służącego umożliwieniu dokonywania wewnętrznych zgłoszeń naruszeń prawa i podejmowania działań następczych. Jak będzie o tym więcej mowa w kolejnym punkcie tekstu, działania te mogą odbywać się na poziomie pojedynczego podmiotu prawnego lub grupy kapitałowej.
Do kluczowych i obligatoryjnych elementów procesu operacyjnego służącego umożliwieniu dokonywania wewnętrznych zgłoszeń naruszeń prawa i podejmowania działań następczych należą:
1) określenie jednostki organizacyjnej lub osoby upoważnionej przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych (może być to podmiot zewnętrzny, któremu powierzono to zadanie),
2) wskazanie sposobów przekazywania zgłoszeń wewnętrznych przez sygnalistę, przy czym kanały przekazywania zgłoszeń wewnętrznych obejmować muszą, co najmniej, możliwość dokonywania zgłoszeń ustnie lub pisemnie. Najlepiej oczywiście wdrożyć obydwie formy przyjmowania zgłoszeń, bo pisemna jest zazwyczaj standardem w ramach platform informatycznych dedykowanych przyjmowaniu zgłoszeń, ale sygnalista ma prawo do przekazania zgłoszenia ustnie w czasie bezpośredniego spotkania z osobą uprawnioną do przyjmowania zgłoszeń (art. 26 ust. 6 OchrSygnalU), zatem forma ustna również jest wymogiem OchrSygnalU, a w praktyce, cennym kanałem pozyskania informacji o nieprawidłowościach,
3) wyznaczenie bezstronnej wewnętrznej jednostki organizacyjnej lub osoby w ramach struktury organizacyjnej podmiotu prawnego, upoważnionych do podejmowania działań następczych, przy czym, przez działania następcze rozumie się działanie podjęte w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem zgłoszenia, w szczególności przez postępowanie wyjaśniające, wszczęcie kontroli lub postępowania administracyjnego, wniesienie oskarżenia, działanie podjęte w celu odzyskania środków finansowych. Ustawa nie zabrania jednak powierzenia czynności podejmowanych w ramach działań następczych wyspecjalizowanym osobom lub podmiotom w ramach co-sourcingu lub outsourcingu, oczywiście z uwzględnieniem przepisów o konieczności zachowania poufności informacji i zabezpieczenia jej przed dostępem ze strony nieupoważnionych osób trzecich,
4) wskazanie możliwości przekazywania zgłoszeń anonimowo i trybu postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo, przy czym w przypadkach wskazanych w art. 10 ust. 2 OchrSygnalU kanał ten w zakresie wskazanym przez regulacje sektorowe pozostaje obligatoryjny, np. art. 53 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu,
5) określenie procedury potwierdzania sygnaliście przyjęcia zgłoszenia wewnętrznego (termin 7 dni) oraz przekazania sygnaliście informacji zwrotnej (maksymalnie 3 miesiące),
6) przekazanie osobom wykonującym pracę na rzecz podmiotu prawnego zrozumiałej i łatwo dostępne informacji na temat dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich albo organów publicznych oraz – w stosownych przypadkach – do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej,
7) zapewnienie poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu.
Do elementów fakultatywnych procedury zgłoszeń wewnętrznych, w rozumieniu art. 25 ust. 2 OchrSygnalU, należą natomiast:
1) wskazanie możliwości zgłaszania naruszeń obowiązujących w podmiocie prawnym regulacji wewnętrznych lub standardów etycznych,
2) wskazanie czynników ryzyka odpowiadających profilowi działalności podmiotu prawnego, sprzyjających możliwości wystąpienia określonych naruszeń prawa,
3) wskazanie, że informacja o naruszeniu prawa może być w każdym przypadku zgłoszona również do Rzecznika Praw Obywatelskich albo organu publicznego z pominięciem procedury zgłoszeń wewnętrznych, a także
4) określenie systemu zachęt do korzystania z procedury zgłoszeń wewnętrznych, w przypadku, gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych.
Wszystkie powyższe wymogi wymagają uprzedniej analizy w kontekście:
1) specyficznego dla konkretnego podmiotu prawnego środowiska regulacyjnego, np. związanego z wymogami sektorowymi uzupełnianymi jedynie przez OchrSygnalU (w myśl art. 10 ust. 1 OchrSygnalU) oraz
2) istniejącego już w organizacji podmiotu prawnego środowiska kontroli.
Nie chodzi przecież o bezrefleksyjną multiplikację zadań, a raczej wypracowanie modelu operacyjnego wspierającego w konkretnym podmiocie prawnym proces zarządzania ryzykiem, z wykorzystaniem bezpiecznych dla sygnalistów kanałów zgłoszeń wewnętrznych.
Wiele dyskusji wywołuje także wskazana w art. 28 ust. 8 OchrSygnalU możliwość wdrożenia w grupach kapitałowych wspólnych procedur zgłoszeń wewnętrznych.
C) Wspólna procedura zgłoszeń wewnętrznych jako opcja dostępna w ramach grupy kapitałowej
Art. 28 ust. 8 OchrSygnalU przewiduje możliwość, aby podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt 14 ustawy o ochronie konkurencji i konsumentów ustaliły wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z OchrSygnalU.
Przez grupę kapitałową w świetle art. 4 pkt 14 ustawy o ochronie konkurencji i konsumentów rozumie się przy tym wszystkich przedsiębiorców, którzy są kontrolowani w sposób bezpośredni lub pośredni przez jednego przedsiębiorcę, w tym również tego przedsiębiorcę.
W ramach wspólnej procedury zgłoszeń wewnętrznych zastosowanie znajdują wszystkie zapisy odnoszące się do zachowania poufności danych osobowych, upoważnień do ich przewarzania i konieczność zdefiniowania obowiązków poszczególnych podmiotów grupy w ramach wspólnej procedury przyjmowania zgłoszeń oraz modelu kategoryzacji danych osobowych przetwarzanych w ramach zgłoszeń z perspektywy poszczególnych podmiotów prawnych, jako ich administratorów (tj. jeden podmiot będzie administratorem, a inny podmiotem przetwarzającym dane na zasadzie powierzenia przetwarzania). W tym kontekście można zatem założyć, że będzie to rozwiązanie podobne do wspólnych zasad wskazanych art. 28 ust. 3 OchrSygnalU.
W odniesieniu do procedur grupowych pojawiają się także dodatkowe wymogi, wynikające z treści Sprawozdania Komisji dla Parlamentu Europejskiego i Rady z wdrażania i stosowania dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (opublikowanego dnia 3 lipca 2024 roku), gdzie wskazano, że nie jest dopuszczalne, aby w ramach grupy przedsiębiorstw tworzyć kanały dokonywania zgłoszeń wewnętrznych wyłącznie na poziomie grupy, zwalniając w ten sposób wszystkie podmioty należące do tej samej grupy z obowiązku ustanowienia własnych wewnętrznych kanałów. Jest to sprzeczne z celem dyrektywy, jakim jest zapewnienie potencjalnym sygnalistom dostępności i bliskości kanałów. Czyli, możemy stosować kanały grupowe, ale musimy zapewnić też możliwość zgłoszeń w ramach struktury podmiotu prawnego, którego dotyczy zgłoszenie.
W ramach rozwiązań grupowych możliwe jest także współdzielenie rozwiązań technologicznych lub wspólne wykorzystanie zasobów zewnętrznych – np. audytora śledczego w ramach podejmowania wewnętrznych postępowań wyjaśniających, jednak z odpowiednim zastosowaniem art. 28 ust. 4 OchrSygnalU, tj. wprowadzenie wspólnej procedury zgłoszeń wewnętrznych, nie uchyla odpowiedzialności podmiotu prawnego za skutek tych wspólnych działań i dochowanie obowiązków określonych w rozdziale 3 OchrSygnalU, w szczególności dotyczących zachowania poufności, podjęcia adekwatnych działań następczych oraz udzielenia sygnaliście informacji zwrotnej.
W ocenie autora, jeżeli grupa kapitałowa wprowadziła „wiążące reguły korporacyjne” odnoszące się do przetwarzania danych osobowych, w rozumieniu art. 47 ust. 1 i 2 RODO, art. 28 ust. 6 OchrSygnalU nie znajdzie zastosowania, bo stosowanie znajdą regulacje szczególne, tj. „wiążące reguły korporacyjne”.
W przypadku natomiast, gdy w ramach grupy kapitałowej nie występują „wiążące reguły korporacyjne”, zastosowanie znajdzie – odpowiednio sosowany – art. 28 ust. 6 OchrSygnalU, tj. poszczególne podmioty prawne grupy kapitałowej będą odrębnymi administratorami danych osobowych pozyskanych w związku z przyjmowaniem i weryfikacją zgłoszeń, a zatem pojedynczy administrator nie będzie mógł mieć dostępu do danych osobowych pozyskanych przez innego administratora. Oczywiście w tym przypadku znajdzie zastosowanie również „wentyl bezpieczeństwa” w postaci art. 28 ust. 7, tj. przepis art. 28 ust. 6 OchrSygnalU nie ma zastosowania w przypadku, gdy w toku postępowania wyjaśniającego ustalono, że właściwy do przyjęcia zgłoszenia wewnętrznego lub obowiązany do podjęcia działań następczych jest inny administrator niż ten, do którego wpłynęło zgłoszenie, lub właściwych jest co najmniej dwóch administratorów. Administratorowi udostępnia się tylko te dane osobowe, które są niezbędne do podjęcia przez niego działań następczych.
W każdym przypadku, adekwatne będą również zapisy art. 27 OchrSygnalU, tj.:
1) każdy podmiot prawny grupy kapitałowej gwarantuje, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy także informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób, a ponadto
2) do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1 powyżej, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego, a osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.
Podsumowując, nie taki diabeł straszny jak go malują, ale musimy zadbać o to by odpowiednio zaprojektować docelowy model operacyjny, zarówno w ramach wspólnej procedury zgłoszeń wewnętrznych, jak i zadań poszczególnych podmiotów prawnych w ramach tej procedury, a także, zapewnić by przetwarzanie danych odbywało się w sposób zgodny z OchrSygnalU oraz RODO.