Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii Europejskiej (dalej „Dyrektywa”) to niezwykle ciekawy akt prawny, który w mojej opinii będzie miał doniosłe znaczenie dla funkcjonowania zarówno sektora publicznego jak i prywatnego.
Celem Dyrektywy, ujętym w jednym zdaniu, jest stworzenie efektywnych mechanizmów umożliwiających bezpieczne zgłaszanie naruszeń w funkcjonowaniu instytucji publicznych i prywatnych – istotnych z punktu widzenia interesu publicznego. przy zachowaniu bezwzględnej ochrony osób zgłaszających naruszenia oraz efektywnych mechanizmów reakcji na zgłoszone naruszenia.
Cechą charakterystyczną Dyrektywy jest, to że wymaga ona od podmiotów jej podlegających nie tylko wprowadzenia odpowiednich procedur prawnych, ale przede wszystkim zastosowania odpowiednich, nowoczesnych rozwiązań informatycznych, które pozwolą na zapewnienie sygnalistom aminowości. Nade wszystko jednak, wymaga ona istotnej zmiany w podejściu do kwestii naruszeń, reagowania na nie oraz traktowania osób które takie naruszenia zgłaszają.
Termin implementacji
Polska, podobnie jak inne kraje Unii Europejskiej ma czas do 17 grudnia 2021 roku na implementacje postanowień Dyrektywy do porządku krajowego poprzez wprowadzenie odpowiednich przepisów ustawowych oraz wykonawczych. Trzeba zaznaczyć, że o ile Dyrektywa wyznacza pewien minimalny poziom ochrony sygnalistów to ustawodawca ma swobodę we wprowadzeniu dalej idących postanowień przewidujących szerszy zakres obowiązywania i mocniejszą ochronę. Biorąc jednak pod uwagę wcześniejsze implementacje Dyrektyw UE przez Polskę, to jest całkiem prawdopodobne, że będziemy mieli do czynienia z taką dalej idącą implementacją.
Kogo dotyczy Dyrektywa
Przepisom o ochronie tzw. sygnalistów podlegać będą podmioty prawne z sektora publicznego (wyjątek: gminy zamieszkane przez mniej niż 10 tys. Mieszkańców), a także podmioty z sektora prywatnego (wyjątek: przedsiębiorstwa zatrudniające mniej niż 50 pracowników).
Terminy wdrożenia mechanizmów Dyrektywy są zróżnicowane w zależności od wielkości przedsiębiorstwa. Przedsiębiorstwa poniżej 250 zatrudnionych mają dwa lata więcej, czyli do 17 grudnia 2023 roku. Przy czym chodzi tutaj o sektor prywatny. Dla sektora publicznego obowiązuje jeden wspólny termin: do 17 grudnia 2021.
Podmioty prawne działające w sektorze finansowym zostały natomiast poddane dyrektywie niezależnie od tego czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników.
Wszystkie wskazane podmioty prawne będą miały obowiązek ustanowienia procedur, rozwiązań prawnych i organizacyjnych oraz wdrożenia narzędzi spełniających wymagania Dyrektywy.
Pracodawcy prywatni zatrudniający mniej niż 50 pracowników oraz gminy zamieszkane przez mniej niż 10 tys. mieszkańców mogą również zostać objęte nowymi regulacjami przez ustawodawcę krajowego, który ma w tym zakresie pełną swobodę.
Dyrektywa o sygnalistach
Kto to jest sygnalista
Dyrektywa wskazuje definicję tzw. sygnalisty, która może zostać rozszerzona przez ustawodawcę krajowego przy implementacji Dyrektywy do krajowego porządku prawnego. Zgodnie z Dyrektywą sygnalistą jest osoba dokonująca zgłoszenia, pracująca w sektorze prywatnym lub publicznym, która uzyskała informacje na temat naruszeń w kontekście związanym z pracą.
Definicja ta jest bardzo szeroka i obejmuje osoby w stosunku pracy, osoby prowadzące działalność gospodarczą, akcjonariuszy, członków zarządów, rad nadzorczych, podwykonawców, dostawców czy nawet wolontariuszy i stażystów. Sygnalistą może być także osoba która już zakończyła pracę dla danego podmiotu lub dopiero ma taki stosunek pracy nawiązać (czyli jest na etapie rekrutacji).
Co istotne, środki przewidziane w Dyrektywie w celu ochrony sygnalistów stosuje się także do innych osób pomagających w dokonaniu zgłoszenia, osób powiązanych z sygnalistą (rodzina, krewni, przyjaciele, współpracownicy etc.), które mogą doświadczyć działań represyjnych w związku z dokonanym zgłoszeniem a nawet podmiotów prawnych, które są własnością sygnalisty czy dla których pracuje.
„Naruszenie” w rozumieniu Dyrektywy
Aby zdefiniować jakie naruszenia, czy też jakie zgłoszenia naruszeń podlegają postanowieniom Dyrektywy warto znać jej zakres przedmiotowy. Przy czym jest on zakresem minimalnym i może zostać rozszerzony przez ustawodawcę krajowego. Obejmuje on naruszenia przepisów wynikających z aktów prawnych UE z takich obszarów jak m.in.
- zamówienia publiczne,
- usługi, produkty i rynki finansowe oraz zapobieganie praniu brudnych pieniędzy i finansowanie terroryzmu;
- bezpieczeństwo produktów oraz ich zgodność z wymogami;
- bezpieczeństwo transportu;
- ochrona środowiska;
- zdrowie publiczne;
- bezpieczeństwo żywności;
- ochrona konsumentów oraz ochrona prywatności i danych osobowych.
- Ochronie podlegają również naruszenia interesów finansowych UE oraz naruszenia dot. rynku wewnętrznego.
Patrząc na ten szeroki katalog oraz biorąc pod uwagę to, że krajowy ustawodawca może go rozszerzyć przyjąłbym założenie, że będzie się pojawiała tendencja – czy to w drodze legislacji czy to w drodze orzecznictwa – do obejmowania kategorią „naruszenia” jak najwięcej obszarów z sektora publicznego oraz prywatnego.
Kanały zgłaszania nieprawidłowości
Istota mechanizmów, których wprowadzenia wymagają postanowienia Dyrektywy jest stworzenie bezpiecznych i efektywnych kanałów komunikowania przez sygnalistów naruszeń oraz procedur reagowania na zgłoszone naruszenia.
Jako istotne mechanizmy Dyrektywy można wymienić tutaj;
- Utworzenia wewnętrznych kanałów komunikacji naruszeń
Wewnętrzne kanały, czyli takie, które znajdują się wewnątrz podmiotu prywatnego w sektorze prywatnym lub publicznym, to infrastruktura umożliwiająca ustne lub pisemne przekazanie informacji na temat naruszeń w obrębie tegoż podmiotu.
- Utworzenia zewnętrznych kanałów komunikacji naruszeń
Zgłoszenie zewnętrzne, dokonywane za pomocą kanałów zewnętrznych, to z kolei ustne lub pisemne przekazanie informacji na temat naruszeń właściwym organom. Chodzi o organy sądowe, regulacyjne lub nadzorcze mające kompetencje w odnośnych szczególnych dziedzinach lub organy o bardziej ogólnych kompetencjach jak np. organy ścigania czy rzeczników praw obywatelskich.
- Zapewnienie bezpieczeństwa i animowości utworzonych kanałów komunikacji zgłoszeń;
- Zapewnienie odpowiednich procedur reagowania na zgłoszone naruszenia;
- Zapewnienie odpowiedniej archiwizacji zgłoszonych naruszeń (rejestr zgłoszeń).
Kanały zgłaszania naruszeń powinny być dostępne dla osób zainteresowanych zgłoszeniem oraz umożliwiać zgłoszenie anonimowe. Przy czym Dyrektywa traktuje kanały wewnętrzne jako priorytetowe, aczkolwiek jest możliwe, aby sygnalista skorzystał najpierw z kanału zewnętrznego, gdy uzna, że skorzystanie z kanału wewnętrznego będzie nieskuteczne lub może spotkać z działaniami odwetowymi.
Dyrektywa przewiduje obowiązek reakcji na zgłoszenia sygnalistów i podjęcia działań następczych w ciągu 3 miesięcy (ewentualnie 6 miesięcy w należycie uzasadnionych przypadkach dla kanałów zewnętrznych).
Działania następcze z kolei to te podjęte przez odbiorcę zgłoszenia lub właściwy organ w celu oceny prawdziwości zarzutów oraz, w stosownych przypadkach, w celu zaradzenia naruszeniu będącemu przedmiotem zgłoszenia, w tym poprzez takie działania, jak dochodzenie wewnętrzne, postępowanie wyjaśniające, wniesienie oskarżenia, czy tez działania podejmowane w celu odzyskania środków lub zamknięcia procedury.
Sygnalista uprawniony jest do otrzymania informacji zwrotnych dotyczących planowanych lub podjętych działań następczych związanych z obsługą jego zgłoszenia. Takimi działaniami mogą być np. przekazanie sprawy do innego organu, czy też zakończenie procedury np. z braku wystarczających dowodów. Informację zwrotną sygnalista powinien otrzymać od wyznaczonej uprzednio, bezstronnej osoby w rozsądnym, nieprzekraczającym trzech miesięcy od potwierdzenia otrzymania zgłoszenia terminie.
Mechanizmy ochrony sygnalistów
Oczywistym jest, że działania sygnalistów spotykają się z niechęcia czy wręcz represjami ze strony tych, którzy odpowiadają za ujawnione naruszenia. Zatem efektywny system sygnalizowania naruszeń powinien w sposób realny chronić sygnalistów tak aby nie bali się oni dokonywać zgłoszeń o zaobserwowanych nieprawidłowościach. Dyrektywa nakazuje zatem wprowadzenie specjalnych środków ochrony, zabezpieczających sygnalistów przed negatywnymi konsekwencjami zgłoszenia takimi jak degradacja w pracy, wstrzymanie awansu, zawieszenie, czy też zwolnienie.
Dyrektywa przewiduje również wprowadzenie środków wsparcia dla sygnalistów (m.in. pomoc prawną i psychologiczną czy też ułatwienia w kontaktach z odpowiednimi organami), środki ochrony osób, których dotyczy zgłoszenie oraz narzuca na państwa członkowskie obowiązek ustanowienia sankcji wobec osób, które m.in. utrudniają dokonywanie zgłoszeń, podejmują działania odwetowe lub naruszają obowiązek zachowania poufności tożsamości osób dokonujących zgłoszenia.
Brzmi to wszystko bardzo zdecydowanie, ale obawiam się, że najnowocześniejsze przepisy i najdalej idąca ochrona prawna i wsparcie, pozostaną tylko martwymi, szczytnymi deklaracjami, jeśli nie będzie kultury prawnej akceptującej i wspierającej działania sygnalistów. Czyli innymi słowy, braku akceptacji dla naruszenia norm prawnych i społecznych. A to będzie o wiele trudniejsze zadanie zarówno dla sektora publicznego jak i prywatnego niż samo formalne wdrożenie postanowień Dyrektywy.
Poufność i anonimowość
Dyrektywa kładzie nacisk na zapewnienie sygnaliście anonimowości. Bez wyraźnej zgody jego tożsamość nie może być ujawniona nikomu, kto nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania działań następczych.
Jedynym odstępstwem od tej zasady jest sytuacja, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa UE lub prawa krajowego i dotyczy prowadzonych przez organy krajowe postępowań wyjaśniających lub sądowych.
Wyzwanie związane z Dyrektywą
Moim zdaniem, biorąc pod uwagę treść Dyrektywy i wypływające z niej obowiązki, widzę tutaj trzy podstawowe wyzwania/szanse dla podmiotów nią objętych:
- Przede wszystkim jest to szansa na wzmocnienie swojego przedsiębiorstwa, niezależnie czy to będzie zakład produkcyjny, firma konsultingowa, czy urząd, przez zbudowanie wiarygodnych i efektywnych sposobów wymiany informacji o zdarzeniach niepożądanych. Nie sposób się nie zgodzić ze zdaniem, że prawidłowy obieg i zarządzanie informacją to podstawa sukcesu w nowoczesnej gospodarce. Podmioty podlegające Dyrektywie powinny zrozumieć, że zbudowanie zdrowego środowiska pracy, gdzie pracownicy czują się bezpiecznie i maja zaufanie do ludzi, z którymi pracują oraz do procedur, które regulują ich miejsce pracy, spowoduje, że chętniej podzielą się informacją o nieprawidłowościach, które zaobserwują, a które dla przedsiębiorcy czy instytucji publicznej – niezauważone i milcząco tolerowane – mogą oznaczać ogromne straty finansowe lub wizerunkowe oraz surowe konsekwencje prawne. Natomiast takie zgłoszenie we właściwym czasie oraz właściwa reakcja na nie, może tylko wzmocnić przedsiębiorstwo czy instytucje oraz zbudować wzajemne zaufanie ludzi którzy tam pracują.
- Wyzwanie technologiczne polega na tym, że należy wdrożyć takie rozwiązanie informatyczne, które pozwala nie tylko na anonimowe zgłaszanie naruszeń, ale także na ich procesowanie (przechowywania, analiza, reakcja, itp.) przy zachowaniu poufności i bezpieczeństwa danych. Na rynku już teraz można znaleźć takie rozwiązania, ale cała trudność, moim zdaniem, nie polega na zakupieniu oprogramowania, wmontowania do systemu danego podmiotu i poinformowaniu pracowników, gdzie mogą wysyłać maila. To powinno być czytelne, bezpieczne, intuicyjne w obsłudze i przyjazne dla użytkownika rozwiązanie informatyczne, które będzie zachęcać do skorzystania z niego. A dla obsługujących zgłoszenia będzie sprawnym narzędziem w procesowaniu takich zgłoszeń. Inaczej będzie to tylko nic nieznacząca fasada – kanał komunikacji, pro-forma, z którego nikt nie będzie korzystał.
- I tu przechodzimy do ostatniej, ale chyba najważniej kwestii czyli wyzwania kulturowego. Nie będzie trudnym zadaniem dopasować się formalnie do postanowień Dyrektywy. Wyzwaniem jednak będzie stworzenie takich rozwiązań informatycznych, prawnych oraz kulturowych które ujęte zostaną w „dobre praktyki” reagowania na zgłoszenia, aby sygnalista miał przekonanie, że w sposób bezpieczny może zgłosić naruszenie, a osoby obsługujące ten system wiedziały, co dalej co z tym zgłoszeniem zrobić. Wdrożenie, które odbędzie się na zasadzie zakupu oprogramowania i delegowania to obsługi pobieżnie przeszkolony personel tak aby odbierał, drukował i składał do segregatora te zgłoszenia i nic nie wnoszące odpowiedzi do sygnalisty o tym, że „sprawa jest w toku” będzie straconą szansą dla danego przedsiębiorstwa czy instytucji publicznej. Co więcej takie podejście może się okazać w dłuższym terminie niezwykle kosztowne…
Kompleksowe rozwiązanie prawno-informatyczne:
Aby sprostać ww. wyzwaniom związanym z wdrożeniem Dyrektywy o sygnalistach proponujemy naszym klientom kompleksowe rozwiązanie bazujące na doświadczeniach adwokata – praktyka z zakresu przestępczości gospodarczej i obsługi podmiotów gospodarczych oraz firmy programistycznej – doświadczonej w dostarczaniu nowoczesnych, bezpiecznych i przyjaznych dla użytkownika aplikacji internetowych i intranetowych.
Nasze kompleksowe rozwiązanie polega na przeprowadzeniu klienta przez cały proces od wdrożenia rozwiązań i przeszkolenia zespołu aż do bieżącej obsługi i wsparcia w zakresie prawidłowego stosowania wdrożonych mechanizmów Dyrektywy. W skrócie wygląda to tak:
- Wdrożenie rozwiązania informatycznego;
- Szkolenie z funkcjonowania systemu (informatyk) oraz z aspektów prawnych (prawnik);
- Bieżące wsparcie IT oraz prawne;
- Wsparcie prawne dot. oceny zgłoszonych naruszeń oraz reakcji na zgłoszenie;
- Rejestr zgłoszeń;
- Szkolenia prowadzone przez adwokata z obszaru: etyki biznesu oraz zapobiegania sytuacjom niepożądanym w przedsiębiorstwie, potwierdzone stosownym certyfikatem.
Z mojego doświadczenia wynika, że wprowadzenie postanowień Dyrektywy do polskiego porządku prawnego, a przede wszystkim do praktyki działania przedsiębiorstw i instytucji publicznych będzie trudnym zadaniem. Stworzyć nową ustawę czy nowe oprogramowanie jest – stosunkowo łatwo. Zmienić praktykę działania, zaimplementować procedury, wpłynąć na świadomość prawną oraz wrażliwość na kwestię etyczne oraz ich konsekwencje w codziennym życiu – to będzie długa i wymagająca praca, która moim zdaniem powinna rozpocząć się już teraz, gdy do wdrożenia przepisów Dyrektywy zostało jeszcze trochę czasu.
Paweł Osiński
Adwokat prowadzący praktykę w obszarze prawa karnego gospodarczego, AML oraz prawa gospodarczego.