Ostatnie wypowiedzi pracowników Ministerstwa Rodziny, Pracy i Polityki Społecznej sugerują, że z końcem I kwartału 2024 r. uda się wreszcie uporać z uchwaleniem ustawy o ochronie osób zgłaszających naruszenia prawa (potocznie tak zwana ustawa o sygnalistach) – informuje Grzegorz Leśniewski, Ekspert w firmie M3M.
Sprawa wejścia w życie ustawy powinna stanowić jeden z głównych priorytetów toczących się prac legislacyjnych, tym bardziej, że ostatecznych i jednoznacznych zapisów prawa w tym zakresie oczekują nie tylko prywatne i publiczne podmioty prawne, ale przede wszystkim pracownicy i osoby mogące uzyskać ochronę prawną przynależną sygnalistom.
Polska w ogonie Europy – co na to pracodawcy?
Zgodnie z delegacją wynikającą z przyjętych, także przez Polskę, zobowiązań międzynarodowych zapisy Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii powinny być stosowane już od grudnia 2021 r., a w przypadku podmiotów zatrudniających od 50 do 249 osób od 17 grudnia 2023 r. Niestety przedłużający się proces legislacyjny sprawia, że krajowych rozwiązań w tym zakresie jeszcze nie widać. Jedynie dwa kraje zobowiązane, w tym Polska, wciąż nie przyjęły przepisów wykonawczych. Pojawiające się w dyskusji publicznej doniesienia o kolejnych projektach polskiej ustawy o ochronie osób zgłaszających naruszenia prawa wywołują wśród pracodawców kolejne pytania o ostateczny kształt przepisów regulujących proces ochrony sygnalistów. Niektórzy z nich, działający w ramach międzynarodowych grup kapitałowych, pomimo przedłużania się procesu legislacyjnego, już teraz tworzą wewnętrzne procedury ochrony osób zgłaszających naruszenia prawa. Zazwyczaj kierują się przy tym dobrymi praktykami obszaru zapewnienia zgodności (compliance) oraz rozwiązaniami prawnymi przyjętymi w krajach właścicieli lub spółek posiadających dominującą rolę w grupach kapitałowych.
Ochrona sygnalistów – czy warto zwlekać?
Część przedsiębiorców wstrzymuje się z wdrożeniem rozwiązań w swoich organizacjach, podejmują oni taką decyzję głównie wobec faktu, że ostatnim projektem ustawy z dnia 8 stycznia 2024 r. ponownie przesunięto termin jej wejścia w życie po ogłoszeniu w dzienniku ustaw. Wydłużenie vacatio legis do miesiąca nie powinno stanowić jednak pretekstu do odwlekania działań. Z mojego doświadczenia jasno wynika, że jeden miesiąc to stanowczo za mało na prawidłowe wypełnienie nakazanych tym aktem prawnym wymagań. Tych rozwiązań po prostu nie da się dobrze wdrożyć w pośpiechu.
Doświadczenia zagraniczne wskazują, że najskuteczniejszą drogą do spełnienia wymagań określonych w przepisach opisujących problematykę ochrony osób zgłaszających naruszenia prawa, prowadzących w konsekwencji do projektowania skutecznych rozwiązań w tej materii, jest podjęcie kolejno następujących kroków:
- szczegółowej analizy obowiązujących rozwiązań compliance;
- wyboru formy, kanałów i narzędzi (platform) dokonywania zgłoszeń o naruszeniach prawa;
- wyznaczenia niezależnego (nie obarczonego ryzykiem konfliktu interesów) zespołu prowadzącego postępowania wyjaśniające (postępowania następcze);
- przygotowania i uzgodnienia niezbędnej dokumentacji procesu ochrony sygnalistów, w tym wymaganych procedur i rejestrów oraz przeprowadzenia szerokiej kampanii edukacyjnej.
Na realizację powyższych kroków zdecydowana większość przedsiębiorców potrzebuje znacznie więcej, niż trzydziestu dni.
Przyjmować zgłoszenia – tylko jak?
W swojej praktyce zauważam, że organizując proces ochrony osób zgłaszających naruszenia prawa wiele organizacji ma problem na etapie wyboru kanału komunikacji z sygnalistami. Rozwiązania prawne dopuszczają organizację systemu zgłoszeń ustnych dokonywanych telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej, w tym za pośrednictwem nagrywanej linii telefonicznej lub innego rejestrowanego systemu komunikacji głosowej lub ustnie „do protokołu”, a także na piśmie, w formie papierowej lub elektronicznej. W wielu krajach europejskich szczególną popularnością cieszą się elektroniczne, dostosowane do specyfiki prowadzonej działalności biznesowej, platformy internetowe wspomagające proces komunikacji z osobami zgłaszającymi naruszenia prawa, przy czym wariantem pożądanym jest, aby narzędzie to było bezpieczne, elastyczne, zarządzalne, proste w implementacji i obsłudze, zawierające moduły komunikacji z sygnalistą i członkami zespołu prowadzącego postępowanie wyjaśniające oraz moduł raportowy, a przede wszystkim, by wspomagało proces ochrony sygnalistów w pełnym zakresie.
Warto pamiętać, że integralną częścią procesu ochrony sygnalistów jest konieczność zapewnienia transparentności prowadzonych działań, ale także regularny monitoring przestrzegania prawa i obowiązujących regulacji, w tym wymagań określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, także RODO). Dlatego też, przyjmując rozwiązania technologiczne przedsiębiorcy muszą pamiętać, by stosowane przez nich rozwiązania zapewniały bezpieczeństwo techniczne i organizacyjne gromadzonych danych, gwarantowały anonimowość sygnalistom oraz umożliwiły spełnienie wszelkich wymagań wynikających z planowanych rozwiązań prawnych opisujący proces ochrony osób zgłaszających naruszenia prawa.
Wdrażając proces ochrony osób zgłaszających naruszenia prawa organizacje powinny skoncentrować się na specyfice wyzwań stojących przed branżą, w której działają, zakresie prowadzonej działalności oraz na indywidualnych potrzebach biznesowych. Wszak każdy proces, także proces ochrony sygnalistów, by był skuteczny musi być prosty i zrozumiały, co w konsekwencji pozwoli na budowanie zaufania na linii organizacja-pracownik-klient, a także zapewni możliwość szybkiego reagowania na sytuacje dotknięte nawet potencjalnym ryzykiem naruszenia prawa.
Samodzielnie czy z pomocą?
Spektrum wymaganych działań jest szerokie, często wykraczające poza możliwości organizacyjne, kompetencje i doświadczenie zarządów firm. Być może właśnie dlatego procedowana ustawa przewidziała udział podmiotów zewnętrznych – na zasadzie outsourcingu opisanego odrębną umową – w realizowanych działaniach wdrożeniowych i operacyjnych. Katalog możliwych do delegowania podmiotowi zewnętrznemu spraw obejmuje m.in. przyjmowanie od sygnalistów zgłoszeń naruszenia prawa oraz podejmowanie działań następczych w ramach postępowania wyjaśniającego, mającego na celu ocenę prawdziwości informacji zawartych w zgłoszeniu oraz przeciwdziałanie naruszeniu prawa będącemu przedmiotem zgłoszenia, a także przygotowanie i zastosowanie – zgodnie z decyzją podmiotów zobowiązanych – rekomendacji będących wynikiem prowadzonego postępowania następczego.
Więcej: Wtórpol (wtorpol.com.pl)
Autor: Grzegorz Leśniewski – Ekspert w firmie M3M, odpowiadającej za zabezpieczenie danych w takich firmach, jak PGE, AXA, Rankomat, Idea Bank. Absolwent wydziału Prawa i Administracji, ekspert ds. szeroko pojętego bezpieczeństwa organizacji, zabezpieczenia danych i compliance. Obszary jego specjalizacji to min. GDPR/ RODO i DORA, Data Protection & Governance, ochrona sygnalistów, cyberbezpieczeństwo, AI, AML. Posiada ponad 20 lat doświadczenia w obszarze bezpieczeństwa, które zdobywał w jednostkach administracji publicznej oraz biznesie, w takich branżach jak telekomunikacja, energetyka, finanse, ubezpieczenia, logistyka i produkcja. Aktywnie wspiera kampanie na rzecz świadomości w obszarze bezpieczeństwa danych. Absolwent Politechniki Warszawskiej i Szkoły Głównej Handlowej, doktorant.
