OPRACOWANIE NA TEMAT PRZEPISÓW UNII EUROPEJSKIEJ ORAZ PROJEKTU USTAWY W SPRAWIE OCHRONY SYGNALISTÓW
Opracowanie przygotowane jest z perspektywy pracodawcy. Całkowicie pomija niektóre aspekty (np. zgłoszenia zewnętrzne, warunki, jakie musi spełnić sam sygnalista, by był chroniony). Pomija też niektóre szczegóły, ponieważ ich przytoczenie wymagałoby po prostu wklejenia całej ustawy.
- Ramy prawne.
Podstawą jest dyrektywa UE 1937/2019. Dyrektywa wchodzi w życie 17 grudnia 2021 roku. Dyrektywa (w uproszczeniu) nie jest źródłem praw i obowiązków podmiotów krajowych – dyrektywa oznacza obowiązek państwa członkowskiego ustanowienia przepisów krajowych. Stosować będziemy więc polską ustawę a dyrektywa stanowi pomoc w jej wykładni oraz – dopóki ustawy nie ma – źródło informacji o tym czego w ustawie się spodziewać.
Obecnie trwają prace legislacyjne. Opracowanie bazuje na projekcie Rządowego Centrum Legislacji z 14 października.
2. Zasady nowej regulacji.
Celem jest ochrona sygnalistów – osób zgłaszających naruszenie prawa. Osoby takie będą chronione przez negatywnymi działaniami ze strony pracodawcy i organów publicznych. Dotyczy to również osób, które im pomagały.
Przykład: pracownik spółki X wykryje i wyjawi naruszenie prawa zamówień publicznych przez spółkę X, nie może być za to w żaden sposób ukarany ani przez pracodawcę (który tego naruszenia się dopuścił) ani przez organy władzy publicznej. Jest to rozumiane szeroko – karą (nazywaną „działaniami odwetowymi”) jest każde niekorzystne zachowanie względem takiego pracownika.
Uzupełnienia:
- Ochrona dotyczy wszystkich osób w strukturze organizacyjnej przedsiębiorstwa, a więc również wspólników/akcjonariuszy, byłych pracowników i kandydatów do pracy, osób zatrudnionych na umowach cywilnoprawnych czy kontraktach B2B (np. gdy pracownik dostawcy towarów zgłosi naruszenie nie można z tego powodu rozwiązać umowy z tym dostawcą);
- Chronieni są również kontrahenci, ale uwaga – nie jest chronione donosicielstwo realizowane w interesie własnym;
- Działaniem odwetowym (niedozwoloną „karą”) może być wszystko – nie ma możliwości obejścia tego zakazu. Projekt ustawy przewiduje jedynie przykładowe działania odwetowe, wśród nich np. nieuzasadnione kierowanie na badania – to pokazuje, że „karą” może być naprawdę wszystko;
- Z punktu widzenia zakładu pracy kluczowe są relacje wewnętrzne (w ramach zakładu pracy), regulacje przewidują jednak zgłaszania zewnętrzne (RPO, UOKiK) a nawet upublicznianie informacji.
Zgłaszanie informacji co do zasady nie jest anonimowe. Pracodawca (i organy władzy publicznej – w zakresie zgłoszeń do nich kierowanych) mogą wprowadzić opcję zgłoszeń anonimowych. Niezależnie od tego dane osobowe zgłaszającego muszą być oddzielone od samego zgłoszenia (czyli: osoba czytająca zgłoszenie nie ma bezpośredniego dostępu do danych sygnalisty, te dane są w innym miejscu).
Dane osobowe zgłaszającego nie mogą być przechowywane dłużej niż 5 lat a zgłoszenie jest podstawą legalnego przetwarzania tych danych (oczywiście na potrzeby weryfikacji zgłoszenia).
Są trzy etapy (formy):
- Zgłoszenie wewnętrzne (pracodawcy);
- Zgłoszenie zewnętrzne (organowi władzy publicznej);
- Upublicznienie
Zgłoszenie zewnętrzne nie wymaga uprzedniego zgłoszenia wewnętrznego.
Upublicznienie jest dopuszczalne tylko jeśli zgłoszenie zewnętrzne nie spotka się z odpowiednią reakcją.
3. Zakres
Regulacje chronią sygnalistów zgłaszających naruszenia prawa. Katalog tych naruszeń jest półotwarty, to znaczy są naruszenia, w przypadku których ochrona jest obligatoryjna, ale dodatkowo pracodawca może ten katalog rozszerzyć. Celem jest głównie umożliwienie wewnętrznej wymiany informacji (np. żeby zarząd miał większe szanse dowiedzieć się o naruszeniu prawa pracy przez kierowników działów).
Zakres ten określa art. 3 projektu (podkreśliłem te elementy, które wydają mi się kluczowe):
Art. 3. 1. Naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa dotyczące:
1) zamówień publicznych;
2) usług, produktów i rynków finansowych;
3) zapobiegania praniu pieniędzy i finansowaniu terroryzmu;
4) bezpieczeństwa produktów i ich zgodności z wymogami;
5) bezpieczeństwa transportu;
6) ochrony środowiska;
7) ochrony radiologicznej i bezpieczeństwa jądrowego;
8) bezpieczeństwa żywności i pasz;
9) zdrowia i dobrostanu zwierząt;
10) zdrowia publicznego;
11) ochrony konsumentów;
12) ochrony prywatności i danych osobowych;
13) bezpieczeństwa sieci i systemów teleinformatycznych;
14) interesów finansowych Unii Europejskiej;
15) rynku wewnętrznego Unii Europejskiej, w tym zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych.
2. Pracodawca może dodatkowo ustanowić zgłaszanie w zakładzie pracy innych naruszeń niż naruszenia, o których mowa w ust. 1, w tym dotyczących obowiązujących u tego pracodawcy regulacji wewnętrznych lub standardów etycznych.
4. Obowiązki pracodawcy.
Obowiązki opisane niżej dotyczą pracodawców zatrudniających przynajmniej 50 pracowników. W przypadku pracodawców zatrudniających 250 lub więcej osób działania trzeba będzie podjąć niezwłocznie, pozostali mają (planowo) 2 lata.
Należy wyznaczyć osobną komórkę organizacyjną (lub powierzyć zadanie już istniejącej):
- do przyjmowania zgłoszeń;
- obsługi zgłoszeń – powinna podlegać bezpośrednio kierownictwu (właścicielowi, zarządowi etc.). Można w tym celu wyznaczyć podmiot zewnętrzny.
Przykład: powierzenie tych zadań kierownikowi działu prawnego w przedsiębiorstwie. Chodzi o to, żeby zgłoszenie było od razu kierowane do samej góry, ponieważ będzie dotyczyło naruszenia prawa przez przełożonych lub współpracowników sygnalisty.
Należy stworzyć procedury i regulamin obsługi zgłoszeń (zasady obiegu i weryfikacji zgłaszanych informacji, udzielania odpowiedzi sygnalistom etc.). Regulamin jest wprowadzany po uzgodnieniach z pracownikami (taki tryb jak w przypadku Planów Kapitałowych). Przypominam, że zgodnie z kodeksem pracy każdy pracodawca powinien mieć taki „tryb” uzgodnień. Regulamin jest jednym z dokumentów wewnątrzzakładowych, z którymi zaznajamia się nowych pracowników.
Treść regulaminu określa art. 29, przy czym przepis ten jednocześnie opisuje całą procedurę.
Art. 29. 1. Regulamin zgłoszeń wewnętrznych określa w szczególności:
1) podmiot wewnętrzny upoważniony przez pracodawcę do przyjmowania zgłoszeń;
2) sposoby przekazywania zgłoszeń;
3) informację, czy wewnętrzna procedura obejmuje przyjmowanie zgłoszeń anonimowych;
4) niezależny organizacyjnie podmiot, upoważniony do podejmowania działań następczych, włączając w to weryfikację zgłoszenia i dalszą komunikację ze zgłaszającym, w tym występowanie o dodatkowe informacje i przekazywanie zgłaszającemu informacji zwrotnej; rolę tę może pełnić podmiot, o którym mowa w pkt 1;
5) obowiązek potwierdzenia zgłaszającemu przyjęcia zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że zgłaszający nie podał adresu, na który należy przekazać potwierdzenie;
6) obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych przez upoważniony podmiot, o którym mowa w pkt 4;
7) działania następcze podejmowane przez pracodawcę w celu zweryfikowania informacji o naruszeniach prawa oraz środki, jakie mogą zostać zastosowane w przypadku stwierdzenia naruszenia prawa;
8) maksymalny termin na przekazanie zgłaszającemu informacji zwrotnej, nieprzekraczający 3 miesięcy od potwierdzenia przyjęcia zgłoszenia lub, w przypadku nieprzekazania potwierdzenia zgłaszającemu, 3 miesięcy od upływu 7 dni od dokonania zgłoszenia;
9) zrozumiałe i jednoznaczne informacje na temat trybu dokonywania zgłoszeń zewnętrznych do organów publicznych oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.
2. Regulamin zgłoszeń wewnętrznych może dodatkowo objąć w szczególności:
1) wyszczególnienie innych niż pracownicy osób, od których przyjmowane są zgłoszenia zgodnie z regulaminem zgłoszeń wewnętrznych, takich jak: byli pracownicy, osoby świadczące pracę na rzecz pracodawcy na innej podstawie niż stosunek pracy, akcjonariusze, wspólnicy, członkowie organu zarządzającego lub organu nadzoru, wolontariusze, stażyści oraz osoby pracujące pod nadzorem i kierownictwem wykonawcy, podwykonawcy i dostawcy; przepis art. 28 ust. 5 stosuje się odpowiednio;
2) wyszczególnienie naruszeń, o których mowa w art. 3 ust. 2, jeżeli pracodawca ustanowi zgłaszanie takich naruszeń;
3) wyszczególnienie czynników ryzyka odpowiadających profilowi działalności pracodawcy sprzyjających możliwości wystąpienia określonych naruszeń prawa związanych w szczególności z naruszeniem obowiązków regulacyjnych, innych obowiązków określonych w przepisach prawa lub ryzykiem korupcji;
4) wyszczególnienie rodzajów naruszeń prawa, odnośnie do których pracodawca zachęca, by zgłoszenie zostało skierowane w pierwszej kolejności do pracodawcy z wykorzystaniem procedury przewidzianej w regulaminie zgłoszeń wewnętrznych, biorące pod uwagę w szczególności okoliczności wskazane w pkt 3;
5) informację, że zgłoszenie może w każdym przypadku nastąpić również do organu publicznego lub organu centralnego z pominięciem procedury przewidzianej w regulaminie zgłoszeń wewnętrznych, w szczególności gdy:
a) w terminie na przekazanie informacji zwrotnej ustalonym w regulaminie zgłoszeń wewnętrznych pracodawca nie podejmie działań następczych lub nie przekaże zgłaszającemu informacji zwrotnej lub
b) zgłaszający ma uzasadnione podstawy by sądzić, że naruszenie prawa może stanowić bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, w szczególności istnieje ryzyko nieodwracalnej szkody, lub
c) dokonanie zgłoszenia wewnętrznego narazi zgłaszającego na działania odwetowe, lub
d) w przypadku dokonania zgłoszenia wewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania naruszeniu prawa przez pracodawcę z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów lub możliwość istnienia zmowy między pracodawcą a sprawcą naruszenia prawa lub udziału pracodawcy w naruszeniu prawa.
3. Ustanawiając wewnętrzną procedurę, pracodawca zapewnia bezstronność weryfikacji zgłoszeń przez podmiot, o którym mowa w ust. 1 pkt 1 i 4.
4. Sposoby przekazywania zgłoszeń, o których mowa w ust. 1 pkt 2, obejmują przynajmniej możliwość dokonywania zgłoszeń na piśmie lub ustnie.
5. Zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej oraz, na wniosek zgłaszającego, za pomocą bezpośredniego spotkania zorganizowanego w terminie 7 dni od dnia otrzymania zgłoszenia.
6. Informacja zwrotna, o której mowa w ust. 1 pkt 8, obejmuje w szczególności informację o stwierdzeniu bądź braku stwierdzenia wystąpienia naruszenia prawa i ewentualnych środkach, które zostały lub zostaną zastosowane w reakcji na stwierdzone naruszenie prawa.
W zakresie danych osobowych pracodawca musi zapewnić (organizacyjnie) rozdzielenie danych zgłaszającego od samego zgłoszenia.
Należy prowadzić rejestr zgłoszeń wewnętrznych. Dane w rejestrze przechowuje się 5 lat.
Jeżeli pracodawca będzie chciał dokonać jakichkolwiek działań niekorzystnych dla sygnalisty (które mogą być uznane za „odwetowe”) musi mieć ku temu obiektywny powód. Najlepiej przed podjęciem decyzji w sprawie takiego pracownika przygotować z góry uzasadnienie na piśmie – w celu ochrony osób podejmujących decyzję. Zwracam uwagę, że sankcją za działania odwetowe jest nie tylko odpowiedzialność odszkodowawcza (jak przy naruszeniu prawa pracy) ale również karna (pozbawienie wolności do lat 3).
Generalnie za naruszenie powyższych obowiązków przewidziana jest taka sama odpowiedzialność karna (do lat 3).
radca prawny Piotr Wacław Dąbrowski