Sygnaliści tuż za progiem

06 września 2022

Marcin Dublaszewski

Obowiązująca Dyrektywa Parlamentu Europejskiego i Rady UE 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii zobowiązuje państwa członkowskie do wdrożenia do swoich porządków prawnych krajowych przepisów w tym zakresie. Polska, jako jedno z coraz mniejszej grupy państw wciąż oznaczona jest statusem “w trakcie”. Wydaje się, że Komisja Europejska zdecydowała się zwiększyć nacisk na wdrożenie tej potrzebnej regulacji.

15 lipca 2022 r. Komisja wezwała 15 państw członkowskich (m.in. Polskę, Niemcy oraz Węgry) do “udzielenia odpowiedzi na uzasadnione opinie Komisji”. Kraje te mają czas do 15 września na ustosunkowanie się do wezwania, w przypadku uznania zajętego stanowiska za niesatysfakcjonujące, KE może zdecydować o wniesieniu sprawy do Trybunału Sprawiedliwości. Dla jasności należy dodać, że sytuacja braku dostosowania prawodawstwa krajowego do dyrektyw nie jest niczym nadzwyczajnym, a takich postępowań toczy się wiele wobec niemal wszystkich krajów. Monitorować status wdrażania można na stronie EU Whistleblowing Monitor.

Można się zatem spodziewać, że projekt ustawy opublikowany zaledwie tydzień przed stanowiskiem KE (trzeci już Projekt ustawy o ochronie osób zgłaszających naruszenia prawa ukazał się na stronie RCL 7 lipca 2022 roku), po odniesieniu się do wniesionych uwag (same uzgodnienia resortowe to prawie 150-stronicowy dokument) będzie tym finalnym. Czas na szczegółowe omówienie ustawy będzie po jej podpisaniu przez prezydenta Rzeczypospolitej Polskiej, jednakże już teraz zarysować można najważniejsze wyzwania związane z dostosowaniem się do jej wymogów.

Pierwszym pytaniem, które nasuwa się osobom zarządzającym organizacjami będzie to czy planowana regulacja mnie dotyczy. Chociaż ostateczny kształt ustawy, która będzie obowiązywała w Polsce nie jest jeszcze znany, to Dyrektywa określa ramy w których kraje członkowskie mogą precyzować swoje przepisy. Zgodnie z nią, jej zapisy stosuje się do podmiotów prawnych w sektorze prywatnym, które zatrudniają co najmniej 50 pracowników. Ponadto obowiązek ten dotyczyć będzie wszystkich podmiotów prawnych w sektorze publicznym, w tym do podmiotów będących własnością lub znajdujących się pod kontrolą takich podmiotów. Wszystkie wersje projektów krajowych zakładały wydłużenie czasu jaki będą miały podmioty prawne sektora prywatnego zatrudniające mniej niż 250 osób do 2 lat na wdrożenie przepisów.

Kolejną istotną kwestią jest to co konkretnie należy wdrożyć w organizacji. Do tego zagadnienia należy podejść dwutorowo. Z jednej strony mamy “czysty” compliance, czy spełnienie wymogu jaki nakłada na nas ustawodawca, z drugiej zaś mamy to w jaki sposób nowa regulacja wpłynie na funkcjonowanie firmy czy instytucji. Może nie będzie to nowość na miarę maja roku 2018 i RODO ale przy zainteresowaniu mediów, hasło “sygnaliści” może być wysoko w informacjach głównego nurtu, a co za tym idzie przebije się do świadomości osób zainteresowanych. Same wymogi “techniczne” zawarte w Dyrektywie są dość proste – stanowią one o tym, aby podmioty prawne w sektorze prywatnym i publicznym ustanowiły kanały i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, po konsultacji i w porozumieniu z partnerami społecznymi, jeżeli tak przewiduje prawo krajowe. Oczywiście przepis krajowy określa te wymogi, ale nie można się spodziewać że zapisy będą na tyle precyzyjne by nie rodziły problemów natury interpretacyjnej. Sama lektura uwag do ustawy zgłoszonych niedawno (8 sierpnia 2022 roku) wskazuje, iż czeka nas wiele pracy w zakresie zapewnienia zgodności z wymogami sformułowanymi w sposób, który, przynajmniej w teorii ma być tożsamy dla organizacji publicznych i prywatnych. Przykładowo, o ile podmioty prawne sektora publicznego obowiązuje Kodeks Postępowania Administracyjnego, więc w przypadku otrzymania pisma czy wniosku spoza swojej właściwości mają obowiązek jej ustalenia i przekazania go właściwemu podmiotowi informując wnioskodawcę, to w przypadku przedsiębiorstwa takiego wymogu już nie ma. Kwestie te zapewne będą poruszane na szkoleniach, a konsultanci oferujący wdrożenia będą robić co w ich mocy by zaproponować klientom adekwatne rozwiązania. Wydaje się, że drugi obszar, czyli umiejscowienie mechanizmów przyjmowania oraz rozpatrywania zgłoszeń i ochrony sygnalistów będzie większym wyzwaniem. Doświadczenie lat socjalizmu i wciąż będącego w pamięci systemu informatorów nie daje pozytywnych skojarzeń z osobami zgłaszającymi nieprawidłowości. Warto tu nadmienić, że wbrew pozorom kraje postsocjalistyczne Unii Europejskiej nie są tymi których głównie dotyczą ponaglenia Komisji w sprawie implementacji Dyrektywy. Polska jest w towarzystwie krajów takich jak Niemcy, Belgia czy Włochy (stan na 9 sierpnia 2022 roku). Można powiedzieć, że kwestia podejścia do osób zgłaszających naruszenia prawa jest uwarunkowana kulturowo, przy czym ma na to wpływ zarówno specyfika kraju, jak i konkretnej organizacji. Będziemy więc mieli do czynienia z podmiotami, w których kultura otwartości i uczciwości jest czymś oczywistym lub nawet takimi, w których systemy whistleblowingowe już istnieją. Może to wynikać wyłącznie z procedur wewnętrznych lub z wymogów branżowych (bankowość, lotnictwo). Z drugiej strony będą organizacje zamknięte, gdzie standardem są zmowy milczenia, źle pojmowana solidarność zawodowa oraz oczekiwanie załatwiania spraw w zamkniętym gronie.

Ustanowienie systemu przyjmowania zgłoszeń oznacza, że prędzej czy później zgłoszenia zaczną wpływać, a podmiot będzie musiał zmierzyć się z nimi organizacyjnie, kulturowo, a także wizerunkowo.

Jak Dyrektywa sformułowała wymogi wobec podmiotów zobowiązanych (cytat z projektu)?

  1. Ustanowienie kanałów procedur na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych;
  2. Umożliwienie dokonywania pracownikom oraz innym osobom utrzymującym kontakt z podmiotem w kontekście związanym z pracą zgłoszeń informacji na temat naruszeń;
  3. Kanały przyjmowania zgłoszeń mają być zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu;
  4. Wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do podejmowania działań następczych w związku ze zgłoszeniami, przy czym może to być ta sama osoba lub ten sam wydział, które przyjmują zgłoszenia, które będą komunikować się z osobą dokonującą zgłoszenia i w stosownych przypadkach zwracać się do osoby dokonującej zgłoszenia o dalsze informacje oraz przekazywać jej informacje zwrotne;
  5. Podejmowanie z zachowaniem należytej staranności działań następczych przez wyznaczoną osobę lub wyznaczony wydział;
  6. Zapewnienie, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych.

Ustanawiając mechanizmy wewnętrzne w zakresie obsługi zgłoszeń należy mieć na uwadze, iż Dyrektywa zakłada trzystopniowy system informowania o naruszeniach. Opisane powyżej wymogi dotyczą pierwszego poziomu, czyli zgłoszeń wewnętrznych dokonywanych do organizacji, w której zatrudniona jest osoba, której zgłoszenie dotyczy. Drugi poziom to zgłoszenie zewnętrzne, które sygnalista przekazać może podmiotowi zewnętrznemu (tzw. organowi publicznemu). Podmioty te zostały wskazane w projekcie ustawy i poza Rzecznikiem Praw Obywatelskich są to naczelne i centralne organy administracji rządowej, terenowe organy administracji rządowej, organy państwowe, organy wykonawcze jednostek samorządu terytorialnego, regionalne izby obrachunkowe, Szef Sztabu Generalnego Wojska Polskiego oraz Komisja Nadzoru Finansowego. W przypadku zgłoszeń które dotyczą podmiotów prywatnych adresatem zgłoszeń publicznych powinny być zatem instytucje właściwe w przedmiocie zgłoszenia (np. Prezes Urzędu Ochrony Konkurencji i Konsumentów w przypadku zgłoszenia dotyczącego zmowy cenowej). Trzecim stopniem jest ujawnienie publiczne, czyli de facto już nie zgłoszenie. Oznacza ono przekazanie informacji o możliwym naruszeniu do mediów czy samodzielne upublicznienie ich we własnym zakresie np. za pomocą mediów społecznościowych.

Można zatem stwierdzić, że w interesie każdego podmiotu jest zachęcanie potencjalnych sygnalistów do przekazywania zgłoszeń kanałami wewnętrznymi. Daje to możliwość kontroli nad przebiegiem postępowania oraz możliwie szybkie podjęcie działań zmierzających do powstrzymania lub ograniczenia naruszania prawa przez organizację lub wewnątrz niej. W przypadku zgłoszenia zewnętrznego (warto zaznaczyć, że sygnalista może przekazać informację np. do Rzecznika Praw Obywatelskich z pominięciem kanału wewnętrznego) to wskazany organ będzie prowadził postępowanie w instytucji, której dotyczy zgłoszenie. Rodzi to oczywisty dyskomfort dla kierownictwa oraz osób składających ewentualne wyjaśnienia.

Uzasadnione jest więc oczekiwanie, że w niedługim czasie Dyrektywa zostanie transponowana do polskiego porządku prawnego. Przygotowania do zapewnienia zgodności powinny przebiegać dwutorowo – od strony organizacyjno-technicznej oraz kulturowej. Aspekty wymogów formalnych (technicznych) zostały zarysowane wcześniej, ich szczegółowe omówienie najlepiej przeprowadzić w oparciu o ostateczny kształt krajowej regulacji. Na co zatem należy zwrócić uwagę od strony kultury organizacyjnej organizacji? Będzie to kilka obszarów. Po pierwsze to uświadomienie sobie jakie obszary Dyrektywy odnoszą się do prowadzonej przez nas działalności, spośród w niej wskazanych, tj:

  • zamówienia publiczne;
  • usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu;
  • bezpieczeństwo produktów i ich zgodność z wymogami;
  • bezpieczeństwo transportu;
  • ochrona środowiska;
  • ochrona radiologiczna i bezpieczeństwo jądrowe;
  • bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt;
  • zdrowie publiczne;
  • ochrona konsumentów;
  • ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych;
  • naruszenia mające wpływ na interesy finansowe Unii (a także najprawdopodobniej w ustawie ujęte zostaną naruszenia mające wpływ na interesy finansowe Skarbu Państwa oraz samorządów);
  • naruszenia dotyczące rynku wewnętrznego.

Kolejną kwestią jest uświadomienie sobie w jakiej kulturze organizacyjnej będziemy wdrażać te wymogi. Zupełnie inaczej zachowają się pracownicy otwartej organizacji wysoko wykwalifikowanych specjalistów a inaczej pracujący na linii produkcyjnej. Podmioty prawne będą się z pewnością różnić podejściem do otwartości komunikacyjnej. Paradoksalnie, organizacje “zamknięte” mogą mieć więcej zgłoszeń, właśnie dlatego, że o problemach nie rozmawia się w sposób otwarty. Z pewnością w mentalności Polaków pokutuje bardzo negatywne postrzeganie osób informujących (kierownictwo, organy państwowe) o naruszeniach prawa popełnianych przez współpracowników, wspólników czy znajomych. W niektórych przypadkach może się okazać, że sygnalista jest gorzej postrzegany niż sam sprawca naruszenia. Aby to zmienić potrzebne są stałe i przemyślane działania. Szkolenia, polityki a przede wszystkim postawa kierownictwa i realnie podejmowane działania mogą przełożyć się na zmniejszenie liczby naruszeń – bo to powinno być traktowane jako cel i ewentualny miernik skuteczności dla tego procesu. Przykładem korzyści jakie można wskazać pracownikom z podniesienia poziomu etyki prowadzenia działalności może być spadek liczby skarg, zwrotów, co znajdzie odzwierciedlenie w wynikach finansowych firmy. Z drugiej strony należy pamiętać o licznych wydarzeniach medialnych, które położyły się cieniem na wizerunku firm czy organizacji – skandale w branży motoryzacyjnej (obszar ochrony konsumenta) czy mająca miejsce w sierpniu 2022 roku katastrofa ekologiczna na Odrze (obszar ochrona środowiska), której być może udałoby się zapobiec gdyby pracownik odpowiedzialnego podmiotu wcześniej zaalarmował właściwy organ o niebezpiecznych praktykach (w czasie pisania artykułu nie było jeszcze wiadomo czy skażenie było następstwem niewłaściwego działania i przez kogo, czy też efektem naturalnego zjawiska).

Zarysowawszy wyzwania z jakimi przyjdzie nam się mierzyć, wspomnieć wypada także o osobach, które w mniejszym lub większym stopniu powinny być zaangażowane czy to w przygotowanie nowego procesu czy w jego obsługę. Jak wspomniano wcześniej, przygotowanie odnosić się będzie do aspektów organizacyjno-technicznych. Tu istotną rolę odgrywać powinien compliance officer. Zaangażowanie innych stron wynikać będzie ze struktury organizacji – funkcje takie jak zarządzanie procesami, zarządzanie ryzykiem mają wiele wspólnego z systemem whistleblowingu. Rolą compliance officera będzie identyfikacja konkretnych wymagań wobec macierzystej organizacji oraz wpisanie ich w strukturę zarządzania, mechanizmy kontroli i raportowania. Nie sposób nie wspomnieć o kwestii szkoleń – tak jak przy każdym systemie, także i w przypadku whistleblowingu niezwykle ważne będzie zapewnienie, że pracownicy zrozumieją samą ideę nowego mechanizmu, jak również sposób ewentualnego raportowania. Budując system zgłaszania nieprawidłowości należy pamiętać, że może on dotyczyć każdego pracownika – od stażysty po prezesa firmy. Można bowiem pełnić rolę samego sygnalisty, osoby mającej informacje o zgłoszonym naruszeniu prawa, prowadzić postępowanie wyjaśniające czy też być osobą której dotyczy zgłoszenie. Istotą systemu dla sygnalistów nie jest tworzenie procedur i określanie ról (choć to również jest bardzo ważne z punktu widzenia jego sprawnego funkcjonowania), a przygotowanie się do konsekwencji otrzymania zgłoszeń – prowadzenie postępowań wewnętrznych oraz podejmowanie działań następczych. To może stanowić o tym czy nasza instytucja będzie stawiana za wzór w tym zakresie, czy będzie się o niej mówić, że “zamiata się tam sprawy pod dywan”. W kolejnych tekstach postaram się przybliżyć zagadnienia procedur wewnętrznych, postępowania z napływającymi informacjami oraz o możliwych działaniach następczych.

Źródła:

Strona RCL https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822845#12822845

Strona Dyrektywy https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32019L1937&from=EN

EU Whistleblowing Monitor https://www.whistleblowingmonitor.eu/

Zostaw odpowiedź

Your email address will not be published. Required fields are marked *