W dalszym ciągu nie znamy ostatecznego brzmienia ustawy o ochronie osób zgłaszających naruszenia prawa (tzw. ustawy o ochronie sygnalistów), jednak wobec zbliżających się terminów na spełnienie obowiązków nałożonych na znaczącą grupę podmiotów sektora prywatnego oraz publicznego, należy jak najwcześniej rozpocząć prace nad zaprojektowaniem skutecznego systemu whistleblowingowego w organizacji.
Jakich podmiotów dotyczą przepisy?
Jak było wskazane w jednym z poprzednich artykułów cyklu (Kto jest zobowiązany do wdrożenia systemów whistleblowingowych? | Graś i Wspólnicy (kglegal.pl)), docelowo przepisom o ochronie tzw. sygnalistów podlegać będą podmioty zarówno z sektora publicznego jak i prywatnego. Z tym zastrzeżeniem, że w przypadku podmiotów prywatnych – obowiązek wdrożenia stosownych procedur i kanałów będzie dotyczył jedynie przedsiębiorstw zatrudniających minimum 50 pracowników. W przypadku sektora publicznego – z obowiązku wdrożenia wewnętrznych procedur zgłaszania naruszenia prawa mogą zostać zwolnione jedynie gminy liczące mniej niż 10.000 mieszkańców.
Podmioty prawne działające w sektorze finansowym oraz z branż podlegających konkretnym regulacjom z zakresu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu oraz ochrony środowiska zostały natomiast poddane dyrektywie niezależnie od tego czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych pracowników.
Obowiązek ustanowienia kanałów zgłoszeń
Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających naruszenia prawa Unii nakazuje zobowiązanym m. in. ustanowienie kanałów na potrzeby dokonywania zgłoszeń. Powinny one zapewniać uprawnionym osobom dokonywanie zgłoszeń informacji na temat naruszeń prawa.
Przepisy unijne w żaden sposób nie konkretyzowały rodzajów kanałów zgłoszeń ani wymogów z nimi związanych. Najnowszy projekt polskiej ustawy z dnia 6 kwietnia 2022 r. wskazuje, że zgłoszenie wewnętrzne może zostać dokonane w formie ustnej, papierowej lub elektronicznej. Zobowiązana organizacja ma wobec tego obowiązek ustanowienia przynajmniej jednego z powyższych kanałów.
Zgłoszenia ustne
Najbardziej obwarowanym wymogami rodzajem kanałów w aktualnym projekcie ustawy są zgłoszenia ustne.
Pierwsza grupa obejmuje zgłoszenia telefoniczne lub za pośrednictwem innych systemów komunikacji głosowej dokonane za zgodą zgłaszającego, które muszą być dokumentowane w formie nagrania rozmowy, umożliwiającego jej wyszukanie, lub kompletnej i dokładnej transkrypcji rozmowy. Jeżeli natomiast wykorzystywana jest nienagrywana linia telefoniczna lub inny nienagrywany system komunikacji głosowej, musi zostać sporządzony protokół z takiej rozmowy. W obydwu przypadkach, zgłaszający musi mieć możliwość dokonania sprawdzenia, poprawienia i zatwierdzenia transkrypcji rozmowy lub protokołu rozmowy przez ich podpisanie.
Druga grupa, to zgłoszenie osobiste. Na wniosek zgłaszającego może być ono dokonane za pomocą bezpośredniego spotkania zorganizowanego w terminie 7 dni od dnia otrzymania takiego wniosku. W takim przypadku, za zgodą zgłaszającego, zgłoszenie jest dokumentowane w formie nagrania rozmowy, umożliwiającego jej wyszukanie, lub dokładnego protokołu spotkania. I w tym przypadku zgłaszający musi mieć możliwość dokonania sprawdzenia, poprawienia i zatwierdzenia transkrypcji rozmowy lub protokołu rozmowy przez ich podpisanie.
Zgłoszenia pisemne i elektroniczne
Kolejne rodzaje kanałów zgłoszeń przewidziane przez ustawodawcę, to kanały pisemne i elektroniczne. Nie zostały do nich przewidziane żadne konkretne obowiązki lub wymogi.
W praktyce najczęściej spotykanymi kanałami z tych grup, są zgłoszenia listowne, papierowe do przeznaczonej do tego celu skrzynki na terenie organizacji, dedykowany adres e-mail, ankiety dostępne w ramach popularnych usług office czy specjalne oprogramowanie (których dostępnych jest coraz więcej na rynku).
Które kanały wybrać?
Należy pamiętać, że każdorazowo wybór kanału lub kilku kanałów zgłoszeń powinien zostać poprzedzony dokładną analizą. Nadrzędnym celem, który powinien zostać zrealizowany jest ochrona poufności tożsamości sygnalisty, naruszyciela i innych osób, które mogą się w nim pojawić (np. świadków).
Każdy z kanałów generuje inne ryzyka, które mogą skutkować naruszeniem wspomnianej poufności tożsamości. Poniżej zostało wskazanych kilka przykładów.
- Zgłoszenia pisemne -> monitoring pomieszczenia, w którym znajduje się skrzynka do dokonywania zgłoszeń.
- Zgłoszenia listowne -> nieopatrzenie koperty odpowiednią adnotacją, a w konsekwencji zapoznanie się z korespondencją przez osoby nieuprawnione.
- Zgłoszenia e-mailowe -> włamanie do skrzynki e-mail/aplikacji (niewłaściwe zabezpieczenia, m. in. brak logowania dwuskładnikowego) czy brak kontroli nad wiadomościami wysłanymi i odebranymi (możliwość usunięcia z serwera).
- Zgłoszenia za pomocą aplikacji -> brak odpowiednich zabezpieczeń (np. kanały nieszyfrowane), brak odpowiedniej rozliczalności działań w programie lub kontroli dostępu.
Ponadto należy mieć na uwadze potencjalną skuteczność stworzonego systemu whistleblowingowego. Inne kanały będą odpowiednie w firmie produkcyjnej, a inne w consultingu. Mogą również istnieć organizacje, w których właściwych będzie kilka kanałów zgłoszeń, w zależności od departamentu, oddziału i personelu.
Stan prawny na dzień 15 czerwca 2022 r.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna
autor
