Ustawa o ochronie praw sygnalistów – wszystko co trzeba wiedzieć

sie 6, 2024

Przepisy dotyczące ochrony sygnalistów, czyli „osób zgłaszających informacje uzyskane w kontekście związanym z pracą na temat naruszeń prawa UE w kluczowych dziedzinach polityki”, można odnaleźć w sektorowych aktach prawa unijnego m.in. w przepisach dotyczących usług finansowych, finansowania terroryzmu, bezpieczeństwa transportu czy ekologii i ochrony środowiska.

Celem uzupełnienia obowiązujących regulacji oraz ich ujednolicenia, a przede wszystkim rozszerzenia przedmiotowego i podmiotowego, w dniu 23 października 2019 roku przez Parlament Europejski i Radę UE przyjęto dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa UE (2019/1937). Do dnia 17 grudnia 2021 roku, państwa członkowskie zostały zobowiązane do włączenia dyrektywy do porządku krajowego.

Na zasadzie odstępstwa, za wyjątek uznano regulacje dotyczące wewnętrznych kanałów dokonywania zgłoszeń w przedsiębiorstwach sektora prywatnego, zatrudniające od 50 do 249 pracowników, które do systemów prawnych państw Unii mogły zostać transponowane do dnia 17 grudnia 2023 roku. Kraje członkowskie, ponadto zostały zobligowane do corocznego przekazywania Komisji Europejskiej raportów zawierających dane m.in. o liczbie wszczętych postępowań, sposobie ich zakończenia oraz skutkach finansowych.

sygnalista

Komisję Europejską zobowiązano do:

  • sporządzenia i przekazania sprawozdania w zakresie wdrożenia dyrektywy do systemów prawa krajowego państw UE (do dnia 17 grudnia 2023 roku)
  • sporządzenia i przekazania drugiego sprawozdania na temat wdrażania i ewentualnych niezbędnych zmian do dnia 17 grudnia 2025 r

Z uwagi na fakt, że w ocenie Komisji Europejskiej Polska nie wdrożyła przepisów dotyczących ochrony sygnalistów, zgodnie z w/w dyrektywą, KE skierowała skargę do Trybunału Sprawiedliwości UE. W efekcie TSUE wyrokiem z dnia 25 kwietnia 2024 roku, wymierzył Polsce karę ryczałtową w wysokości 7 mln euro, a także okresową karę w wysokości 40 tys. euro dziennie od dnia ogłoszenia wyroku, do czasu wprowadzenia stosownych regulacji. Powyższe zbiegło się w czasie ze złożonym do sejmu w dniu 17 kwietnia 2024 roku, rządowym projektem ustawy o ochronie sygnalistów. Ustawę finalnie przyjęto w dniu 14 czerwca 2024 roku, w dniu 19 czerwca 2024 roku została podpisana przez Prezydenta RP, a następnie w dniu 24 czerwca 2024 roku ogłoszona. Za cel ustawy wskazano wdrożenie do krajowego porządku prawnego przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.

Od kiedy ustawa o ochronie sygnalistów wchodzi w życie?

Zdecydowana większość regulacji ustawowych dotyczących ochrony sygnalistów (w tym te najbardziej istotne z punktu widzenia przedsiębiorców oraz jednostek sektora publicznego) wchodzi w życie po upływie 3-miesięcznego vacatio legis, tj. z dniem 25 września 2024 roku. Po upływie 6 miesięcy od ogłoszenia wejdą w życie przepisy dotyczące tzw. zgłoszeń zewnętrznych.

Należy przy tym podkreślić, że podmiot zobowiązany do wdrożenia procedury, o której mowa w ustawie, w przypadku nie dopełnienia obowiązku do dnia 25 września 2024 naraża się na odpowiedzialność karną.

Kim jest sygnalista?

W oparciu o analizowany akt prawny, za sygnalistę uznaje się osobę fizyczna, zgłaszającą lub ujawniającą publicznie informację o naruszeniu prawa, uzyskaną w kontekście związanym z pracą, w tym:

  • pracownika;
  • osoby świadczące pracę na innej podstawie niż stosunek pracy (m.in. umowy cywilnoprawne, mianowanie, powołanie etc.);
  • osoby świadczące pracę pod nadzorem i kierownictwem wykonawcy;
  • podwykonawcę lub dostawcę;
  • przedsiębiorcę;
  • prokurenta;
  • akcjonariusza lub wspólnika;
  • członka organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej;
  • stażystę, wolontariusza, praktykanta;
  • funkcjonariusza;
  • żołnierza.

Kogo dotyczą obowiązki o których mowa w ustawie o ochronie sygnalistów?

Obligatoryjnie:

1. Podmioty, na których rzecz na dzień 1 stycznia lub 1 lipca danego roku, wykonuje pracę zarobkową co najmniej 50 osób. Do liczby tej wlicza się:

  • osoby zatrudnione na podstawie umowy o pracę (w przeliczeniu na pełne etaty), a także niezależnie od podstawy wynagrodzenia;
  • osoby świadczące za wynagrodzeniem pracę na innej podstawie niż umowa o pracę (np. umowy cywilnoprawne) jeżeli nie zatrudniają do tego rodzaju pracy innych osób.

2. Niezależnie od ilości zatrudnianych osób – podmioty wykonujące działalność w zakresie usług, produktów, i rynków finansowych oraz przeciwdziałania praniu brudnych pieniędzy i finansowania terroryzmu, bezpieczeństwa transportu i ochrony środowiska (zgodnie z zakresem podmiotowym wskazanym w części I.B i II załącznika do dyrektywy 2019/1937).

3. Jednostki samorządu terytorialnego, z wyłączeniem jednostek organizacyjnych gmin i powiatów liczących mniej niż 10 000 mieszkańców.

Fakultatywnie:

Wiele podmiotów, pomimo (jeszcze) braku obligatoryjnego obowiązku, decyduje się na wdrożenie procedury wewnętrznej przyjmowania zgłoszeń oraz ochrony sygnalistów ponieważ:

  1. umożliwia to wcześniejsze wykrywanie problemów, które potencjalnie mogą narazić podmiot na konsekwencje prawne – zgłoszenia sygnalistów pozwalają na dokonywanie wewnętrznej weryfikacji czy problem rzeczywiście istnieje oraz jakie należy podjąć działania by go rozwiązać. Z uwagi na zakres przedmiotowy zgłoszeń (nadużycia natury finansowej, ochrony środowiska etc.) uchybienia w tym zakresie, stwierdzone wtórnie podczas kontroli przez odpowiedni organ, z reguły wiąże się z poważniejszymi konsekwencjami, włącznie z m.in. czasowym czy stałym zakazem prowadzenia określonej działalności. Ponadto, identyfikowanie oraz wykluczanie nieprawidłowości z rodzaju tych, do których stosuje się regulacje w zakresie ochrony sygnalistów umożliwia uniknięcie kar finansowych czy strat wizerunkowych.
  2. pozwala na lepszą kontrolę nad prowadzoną organizacją – przedsiębiorstwo to struktura, której każdy z elementów odpowiedzialny jest za powierzane zadania. Brak specjalistycznej wiedzy z danego zakresu (np. księgowości) oraz natłok innych zadań związanych z zarządzaniem całą organizacją, uniemożliwia przedsiębiorcom bądź właściwym organom (np. w przypadku spółek prawa handlowego) dokładne kontrolowanie i nadzorowanie każdego procesu w działalności. Niejednokrotnie stwarza to przestrzeń do nadużyć, które mimo że zostały popełnione przez osoby trzecie, bez wiedzy właściciela czy zarządu, wywołują negatywne konsekwencja dla przedsiębiorstwa.
  3. świadczy o transparentności, zwiększa zaufanie pracowników i zwiększa wiarygodność u podmiotów zewnętrznych (m.in. potencjalnych inwestorów) – Umożliwienie pracownikom zgłaszanie nieprawidłowości przez bezpieczne kanały komunikacji (bądź nawet anonimowo), buduje przeświadczenie, że świadczą pracę w etycznym i odpowiedzialnym środowisku. Transparentność ma również kluczowe znaczenie dla podmiotów zewnętrznych i zwiększa zaufanie u potencjalnych inwestorów czy kontrahentów.
  4. przygotowuje na przyszłe obowiązki prawne – w obrocie prawnym zmiany często dotyczą ograniczonej grupy podmiotów, a następnie zwiększa się zakres podmiotów danych regulacją objętych. Wdrożenie procedur w okresie kiedy mają one charakter fakultatywny, pozwala wybrać moment w którym będziemy zmiany wdrażać oraz ewentualnie modyfikować.

Jakich naruszeń dotyczy ustawa o ochronie praw sygnalistów?

Jak wskazano w dyrektywie w sprawie ochrony osób zgłaszających naruszenia prawa UE (2019/1937) „w niektórych dziedzinach polityki przypadki naruszenia prawa Unii – niezależnie od tego, czy są kwalifikowane w świetle prawa krajowego jako naruszenia prawa administracyjnego, prawa karnego czy naruszenia innego rodzaju – mogą wyrządzić poważną szkodę interesowi publicznemu, ponieważ stwarzają poważne ryzyko dla dobra społecznego”.

Naruszenia nie są więc przypisane do konkretnych dziedzin prawa, jednak ich rodzaj, skala lub charakter, z uwagi na ryzyko jakie stwarzają dla dobra społecznego, przynajmniej potencjalnie mogą wyrządzić poważną szkodę interesowi publicznemu.

Z założenia objęte zakresem ustawy nie będą naruszenia dotyczą jedynie jednostki bądź nawet grupy jednostek (np. pracowników). Jak wynika z treści dyrektywy oraz bezpośrednio katalogu naruszeń powstałej z implementacji przepisów unijnych ustawy, w katalogu naruszeń, których mogą dotyczyć zgłoszenia nie znajdują się regulacje z zakresu prawa pracy. Zgłoszenia dotyczące np. niewypłacania wynagrodzenia, mobbingu, nieprzestrzegania praw pracowniczych, nieudzielania urlopu, nieprawidłowego typu zwolnień, braku umowy etc. nie jest naruszeniem prawa w rozumieniu ustawy o ochronie sygnalistów.

Zgodnie za naruszenie prawa uznaje się :działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące:

  • korupcji;
  • zamówień publicznych;
  • usług, produktów i rynków finansowych;
  • przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;
  • bezpieczeństwa produktów i ich zgodności z wymogami;
  • bezpieczeństwa transportu;
  • ochrony środowiska;
  • ochrony radiologicznej i bezpieczeństwa jądrowego;
  • bezpieczeństwa żywności i pasz;
  • zdrowia i dobrostanu zwierząt;
  • zdrowia publicznego;
  • ochrony konsumentów;
  • ochrony prywatności i danych osobowych;
  • bezpieczeństwa sieci i systemów teleinformatycznych;
  • interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej, jednostki samorządu terytorialnego oraz Unii Europejskiej;
  • rynku wewnętrznego Unii Europejskiej, w tym publicznoprawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych;
  • konstytucyjnych wolności i praw człowieka i obywatela.

Jakie obowiązki ciążą na podmiotach prawnych wskazanych w ustawie o ochronie sygnalistów?

Podmiot prawny spełniający kryteria wskazane w ustawie jest przede wszystkim zobowiązany do wdrożenia wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych. Proces składa się z kilku etapów, z których najważniejsze to:

1. stworzenie sformalizowanego i zgodnego z wymogami ustawy projektu procedury zgłoszeń wewnętrznych określającego m.in.:

  • jednostkę organizacyjną, osobę bądź podmiot zewnętrzny (np. kancelarię prawną) upoważnioną do przyjmowania zgłoszeń przez sygnalistów;
  • bezstronną jednostkę organizacyjną bądź osobę w ramach struktury podmiotu lub podmiot zewnętrzny, który odpowiedzialny będzie za weryfikację zgłoszenia, prowadzenie komunikacji z sygnalistą, przygotowanie i udzielenie sygnaliście w terminie określonym w ustawie informacji zwrotnej;
  • tryb dla przyjmowania zgłoszeń anonimowych (jeżeli został przewidziany);
  • obowiązek informowania sygnalisty, w terminie ustawowym, o przyjęciu zgłoszenia;
  • transparentnie i zrozumiale, sposób składania zgłoszeń zewnętrznych do RPO, organów publicznych, a także w określonych przypadkach do właściwych organów UE;
  • dodatkowe informacje oraz systemy związane z procedurą zewnętrzną.

2. stworzenia, spełniających kryteria ustawowe, bezpiecznych kanałów komunikacji obejmujących co najmniej zgłoszenia ustne oraz pisemne. Należy również ustalić, zgodne z wymogami ustawy, sposoby dokumentowania dokonywanych zgłoszeń oraz w określonych przypadkach, zasady udzielania zgody przez sygnalistę na daną formę dokumentowania.

3. wprowadzenie rozwiązań , które zagwarantują brak dostępu osobom nieuprawnionym do treści zgłoszeń oraz umożliwią bezpieczne przetwarzanie danych osobowych sygnalistów.

4. konsultacji z przedstawicielami pracowników (lub zakładową organizacją związkową).

5. przeprowadzenie oraz udokumentowanie szkoleń z udziałem pracowników oraz innych podmiotów, które mogą być sygnalistami. Zakres takich szkoleń powinien wyjaśniać w sposób jasny i zrozumiały informować m.in. o:

  • celu regulacji oraz jej zakresie podmiotowym i przedmiotowym;
  • prawach sygnalistów, w szczególności środkach ochrony i zakazie działań odwetowych;
  • sposobie przetwarzania danych osobowych, ochronie tych danych oraz innych obowiązkach w kontekście RODO;
  • organizacji struktury oraz procedurą przyjmowania zgłoszeń;
  • bezpiecznych kanałach raportowania oraz kanałach komunikacji;
  • możliwości oraz sposobie dokonywania zgłoszeń zewnętrznych.

6. stworzenie oraz wprowadzenie, spełniającego wymogi ustawowe, rejestru zgłoszeń. Rejestr powinien zawierać co najmniej:

Rejestr powinien zawierać co najmniej:

  • numer zgłoszenia;
  • datę dokonania zgłoszenia;
  • przedmiot naruszenia prawa;
  • niezbędne dane osobowe;
  • adres do kontaktu sygnalisty;
  • informacje o podjętych działaniach następczych;
  • datę zakończenia sprawy.

Dlaczego warto skorzystać z pomocy Radcy Prawnego lub Adwokata, posiadającego wiedzę w zakresie wdrażania w organizacji procedur w zakresie ochrony sygnalistów?

Wdrożenie skutecznej i zgodnej z przepisami prawa ochrony sygnalistów to złożony proces. Procedura musi nie tylko spełniać wszystkie wymagania dyrektywy oraz implementujących ją przepisów prawa, ale przy tym być jasna i zrozumiała dla osób objętych ochroną. Dodatkowo wymagana jest jej zgodność z przepisami odrębnymi (np. w zakresie ochrony danych osobowych) oraz stworzenie bądź dostosowanie dotychczasowych regulacji wewnętrznych w organizacji. Adwokat lub Radca Prawny odpowiedzialny za wprowadzenie polityki ochrony sygnalistów w organizacji, powinien zapewnić, w drodze konsultacji, aktywny udział pracowników w jej współtworzeniu, a następnie przeprowadzić szkolenia z praktycznego ze stosowania procedury. Podczas szkolenia (jak i oczywiście samej procedury) należy uwzględnić specyfikę działalności organizacji i to nie tylko w kontekście zwiększonego ryzyka naruszeń danego rodzaju, ale wyłączenia ze stosowania ustawy niektórych grup informacji jak np. informacji niejawnych czy objętych tajemnicą zawodową zawodów medycznych.

Jednym z wymogów postawionych przez ustawodawcę jest zagwarantowanie bezpiecznych kanałów komunikacji. Radca Prawny lub Adwokat, zobowiązani są dopilnować by przy tworzeniu kanałów komunikacji zostały wypełnione obligatoryjne kryteria z ustawy.

Po analizie struktury organizacji oraz konsultacjach, należy ustalić czy zostanie wyodrębniona w strukturze osobna jednostka odpowiedzialna za przyjmowanie i „obsługę” zgłoszeń czy warto w tym zakresie skorzystać z usług podmiotu zewnętrznego (np. kancelarii prawnej). Na tym etapie, Radca Prawny lub Adwokat, współpracując z podmiotem IT, nadzoruje by wdrażany kanał komunikacji, był nie tylko kompletny technicznie i intuicyjny, ale by sposób jego działania był zgodny z polityką ochrony sygnalistów w danej organizacji.

Reasumując, współpraca ze specjalizującym się w powyższej materii Radcą Prawnym lub Adwokatem zapewnia:

  • zgodność z przepisami oraz dostosowanie regulacji wewnętrznych;
  • ochronę przed sankcjami za niewprowadzenie bądź wprowadzenie niewłaściwej procedury zgłoszeń wewnętrznych;
  • opracowanie skutecznych oraz jasnych mechanizmów zgłaszania nieprawidłowości;
  • gwarancję poufności zgłoszeń oraz bezpieczeństwa procedury;
  • szkolenia dla pracowników oraz dokumentowanie ich odbycia;
  • rozwiązanie konfliktów oraz udzielania informacji w trakcie konsultacji projektu;
  • dostosowanie procedury do specyfiki organizacji.