Polska nie zdążyła z projektem ustawy o sygnalistach, ale musi ich już chronić

Zgodnie z projektem ustawy, wewnętrzne kanały zgłaszania naruszeń oraz odpowiednie polityki wewnętrzne w tym zakresie będzie musiał przyjąć pracodawca zatrudniający co najmniej 50 pracowników.

17 grudnia 2021 roku upłynął termin na implementację Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, nazywaną w uproszczeniu dyrektywą o ochronie sygnalistów. Jednak aby stała się ona w pełni obowiązująca, powinna zostać wprowadzona do polskiego porządku prawnego stosowną ustawą. Tak się jednak nie stało.

"Realistyczny scenariusz zakłada, że ustawa może wejść w życie z końcem pierwszego kwartału 2022 roku. Obecnie panuje więc przekonanie, że organizacje mogą poczekać do czasu jej powstania bez konieczności prowadzenia jakichkolwiek działań, ale jest to błędne założenie. Prawo bowiem wskazuje, że cała administracja publiczna, instytucje i firmy będące pod kontrolą państwa, są zobowiązane do ochrony sygnalistów już od 17 grudnia, nawet pomimo braku krajowej ustawy" - komentuje w rozmowie z CyberDefence24.pl Rafał Barański.

Kim jest sygnalista? (whistleblower)

Jak wyjaśnia portal legalis.pl, „bycie sygnalistą oznacza możliwość objęcia reżimem ochronnym przed działaniami odwetowymi. Ochrona ma przysługiwać przede wszystkim przed zwolnieniem, zmianą warunków zatrudnienia na mniej korzystne i wszelką formą mobbingu i dyskryminacji, które byłyby formą represji w związku ze zgłoszeniem".

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 o ochronie sygnalistów nakłada na firmy prywatne oraz podmioty publiczne szereg obowiązków. Sygnalista w firmie będzie miał szczególną ochronę. Projekt ustawy o ochronie osób zgłaszających naruszenia prawa (tzw. sygnalistów) wraz z uzasadnieniem opublikowano na stronie Rządowego Centrum Legislacji 18 października 2021 r. Jak obecnie wygląda stan prac legislacyjnych nad tym projektem?

"17 listopada zakończyliśmy proces konsultacji społecznych. Wpłynęło bardzo wiele uwag - około 800 stron. Zainteresowanie projektem jest bardzo duże, również ze strony samorządów. Departamenty teraz pracują nad ich opracowaniem i odpowiedziami. Mam nadzieję, że w styczniu uda się ten proces zakończyć" - poinformował PAP wiceminister rodziny i polityki społecznej Stanisław Szwed.

"Optymistycznie szacujemy, że na początku pierwszego kwartału przyszłego (2022) roku będziemy mogli przygotować wersję, która będzie mogła zostać przedstawiona zarówno na Komitet Europejski jak również Komitet Stały Rady Ministrów" - dodał.

Polska nie zdążyła z legislacją, ale musi już chronić sygnalistów

Wprowadzenie przepisów Dyrektywy Parlamentu Europejskiego i Rady UE dotyczące ochrony osób zgłaszających naruszenie prawa Unii powinny wdrożyć wszystkie kraje UE i nie wszystkie, podobnie jak Polska, z nim zdążyły.

Jak zauważa Barański, w obecnej sytuacji podmioty prywatne mają więcej czasu na dostosowanie swoich struktur i wdrożenie systemów whistleblowingowych. "Dla przedsiębiorstw zatrudniających przynajmniej 250 osób lub działających w sektorze finansowym terminem ostatecznym będzie wejście w życie polskiej ustawy, a te zatrudniające od 50 do 249 osób muszą to zrobić do 17 grudnia 2023 roku" - przypomina.

Ekspert wskazuje jednak, że należy zwrócić uwagę na jeszcze jeden aspekt prawny. Wspomniana data oznacza konieczność spełnienia wymagań do tego terminu, jednak wszystkie firmy objęte dyrektywą tak naprawdę są zobligowane do ochrony sygnalistów już w momencie wejścia w życie krajowej ustawy.

"Może się zdarzyć sytuacja, że osoba będzie chciała zgłosić jakieś zdarzenie, które miało miejsce u pracodawcy. Wobec braku kanału komunikacji spełniającego wymagania prawne, może ona skorzystać z innych kanałów, np. wysłać wiadomość e-mail czy zostawić informacje w skrzynce na listy, ale również zgłosić sytuację wykorzystując kanały zewnętrzne, czyli poinformować stosowne organy państwowe czy media" - tłumaczy.

Podobnie wygląda kwestia mniejszych firm nie objętych dyrektywą - nie mają one obowiązku wdrażania systemu whistleblowingowego, ale osoba chcąca zgłosić nieprawidłowości może to zrobić w dowolny sposób i podlega ochronie. "W interesie organizacji jest więc zapewnienie takiej osobie odpowiednich narzędzi, by jej zgłoszenie trafiło jednak do wewnętrznej komórki, a firma miała szansę na podjęcie działań naprawczych. W grę wchodzi tu ochrona reputacji firmy i ograniczenie ryzyka otrzymania kary finansowej, utraty pracowników czy klientów" - wyjaśnia Rafał Barański.

Jak zorganizować ochronę sygnalistów?

Aby więc minimalizować ryzyko i być w zgodzie z regulacjami prawnymi, wskazuje Barański, firmy i instytucje powinny wdrożyć system whistleblowingowy w swoich strukturach, czyli wewnętrzne procedury oraz kanały komunikacji. "Oczywiście wiele organizacji nie posiada działów compliance czy prawnych, ani osób o odpowiednich do tego kompetencjach, ale jest wiele podmiotów zewnętrznych, u których znajdą wsparcie" - mówi ekspert w rozmowie dla naszego portalu.

Podobnie sprawa wygląda w przypadku kanałów komunikacji. "W ubiegłym roku przeprowadziliśmy badanie z ARC Rynek i Opinia, z którego wynika, że jeśli organizacje posiadały kanały do zgłaszania nieprawidłowości, to w zdecydowanej większości nie spełniały one założeń dyrektywy. Skrzynki na listy, dedykowane adresy e-mail, linie telefoniczne czy zgłoszenia osobiste mogą funkcjonować jako kanały pomocnicze, ale nie gwarantują bezpieczeństwa danych zawartych w zgłoszenie, nie chronią tożsamości sygnalisty" - tłumaczy Barański.

Badanie pokazało też, że temat sygnalistów w większości podmiotów nie był do tej pory odpowiednio zagospodarowany. Nawet jeśli firmy posiadały procedury albo kanały komunikacji, to w zdecydowanej większości przypadków nie spełniały one nowych wymogów, bo nie gwarantowały poufności. W rzeczywistości pracownicy rzadko zgłaszali nieprawidłowości w firmie z obawy przed konsekwencjami służbowymi, jakie ich mogą spotkać lub z braku wiary, że problemy zostaną rozwiązane.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.