Aktualizacja
W dalszym ciągu nie znamy ostatecznego brzmienia ustawy o ochronie osób zgłaszających naruszenia prawa (tzw. ustawy o ochronie sygnalistów), jednak wobec zbliżających się terminów na spełnienie obowiązków nałożonych na znaczącą grupę podmiotów sektora prywatnego oraz publicznego, należy jak najwcześniej rozpocząć prace nad zaprojektowaniem skutecznego systemu whistleblowingowego w organizacji.
Jakich podmiotów dotyczą przepisy?
Docelowo przepisom o ochronie tzw. sygnalistów podlegać będą podmioty zarówno z sektora publicznego jak i prywatnego.
Regulacje wewnętrzne w zakresie sygnalistów zobowiązane są wdrożyć:
- podmioty publiczne, a jednostki samorządu terytorialnego, zatrudniające powyżej 50 pracowników
- podmioty prywatne zatrudniające powyżej 250 pracowników do 17 grudnia 2021 roku.
- podmioty prywatne zatrudniające od 50 do 250 pracowników do 17 grudnia 2023 r.
- podmioty prywatne zatrudniające mniej niż 50 osób mogą ustalić procedurę zgłoszeń wewnętrznych.
Obowiązek ustanowienia kanałów zgłoszeń
Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających naruszenia prawa Unii nakazuje zobowiązanym m. in. ustanowienie kanałów na potrzeby dokonywania zgłoszeń. Powinny one zapewniać uprawnionym osobom dokonywanie zgłoszeń informacji na temat naruszeń prawa.
Przepisy unijne w żaden sposób nie skonkretyzowały rodzajów kanałów zgłoszeń ani wymogów z nimi związanych. Najnowszy projekt polskiej ustawy z dnia 6 kwietnia 2022 r. wskazuje, że zgłoszenie wewnętrzne może zostać dokonane w formie ustnej, papierowej lub elektronicznej. Zobowiązana organizacja ma wobec tego obowiązek ustanowienia przynajmniej jednego z powyższych kanałów.
Zgłoszenia ustne
Najbardziej obwarowanym wymogami rodzajem kanałów w aktualnym projekcie ustawy są zgłoszenia ustne.
Pierwsza grupa obejmuje zgłoszenia telefoniczne lub za pośrednictwem innych systemów komunikacji głosowej dokonane za zgodą zgłaszającego, które muszą być dokumentowane w formie nagrania rozmowy, umożliwiającego jej wyszukanie lub kompletnej i dokładnej transkrypcji rozmowy. Jeżeli natomiast wykorzystywana jest nienagrywana linia telefoniczna lub inny nienagrywany system komunikacji głosowej, musi zostać sporządzony protokół z takiej rozmowy. W obydwu przypadkach, zgłaszający musi mieć możliwość dokonania sprawdzenia, poprawienia i zatwierdzenia transkrypcji rozmowy lub protokołu rozmowy przez ich podpisanie.
Druga grupa, to zgłoszenie osobiste. Na wniosek zgłaszającego może być ono dokonane za pomocą bezpośredniego spotkania zorganizowanego w terminie 7 dni od dnia otrzymania takiego wniosku. W takim przypadku, za zgodą zgłaszającego, zgłoszenie jest dokumentowane w formie nagrania rozmowy, umożliwiającego jej wyszukanie, lub dokładnego protokołu spotkania. I w tym przypadku zgłaszający musi mieć możliwość dokonania sprawdzenia, poprawienia i zatwierdzenia transkrypcji rozmowy lub protokołu rozmowy przez ich podpisanie.
Zgłoszenia pisemne i elektroniczne
Kolejne rodzaje kanałów zgłoszeń przewidziane przez ustawodawcę, to kanały pisemne i elektroniczne. Nie zostały do nich przewidziane żadne konkretne obowiązki lub wymogi.
W praktyce najczęściej spotykanymi kanałami z tych grup, są zgłoszenia listowne, papierowe do przeznaczonej do tego celu skrzynki na terenie organizacji, dedykowany adres e-mail, ankiety dostępne w ramach popularnych usług office czy specjalne oprogramowanie (których dostępnych jest coraz więcej na rynku).
Przy projektowaniu procedur oraz wybieraniu formy zgłoszeń warto brać pod uwagę eliminowanie ryzyka finansowego, reputacyjnego oraz prawnego. Warto zwrócić uwagę czy kanał pozwala na dwustronną, szyfrowaną, w pełni poufną komunikację z sygnalistą.
Które kanały wybrać?
Należy pamiętać, że każdorazowo wybór kanału lub kilku kanałów zgłoszeń powinien zostać poprzedzony dokładną analizą. Nadrzędnym celem, który powinien zostać zrealizowany jest ochrona poufności tożsamości sygnalisty, naruszyciela i innych osób, które mogą się w nim pojawić (np. świadków).
Każdy z kanałów generuje inne ryzyka, które mogą skutkować naruszeniem wspomnianej poufności tożsamości. Poniżej zostało wskazanych kilka przykładów.
- Zgłoszenia pisemne – monitoring pomieszczenia, w którym znajduje się skrzynka do dokonywania zgłoszeń.
- Zgłoszenia listowne – nieopatrzenie koperty odpowiednią adnotacją, a w konsekwencji zapoznanie się z korespondencją przez osoby nieuprawnione.
- Zgłoszenia e-mailowe – włamanie do skrzynki e-mail/aplikacji (niewłaściwe zabezpieczenia, m. in. brak logowania dwuskładnikowego) czy brak kontroli nad wiadomościami wysłanymi i odebranymi (możliwość usunięcia z serwera).
- Zgłoszenia za pomocą aplikacji – brak odpowiednich zabezpieczeń (np. kanały nieszyfrowane), brak odpowiedniej rozliczalności działań w programie lub kontroli dostępu.
Ponadto należy mieć na uwadze potencjalną skuteczność stworzonego systemu whistleblowingowego. Inne kanały będą odpowiednie w firmie produkcyjnej, a inne w consultingu. Mogą również istnieć organizacje, w których właściwych będzie kilka kanałów zgłoszeń, w zależności od departamentu, oddziału i personelu.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 20 września 2023 r.
autor: