Sygnaliści – wszystko co powinieneś wiedzieć

We wpisie omówiono podstawowe pojęcia związane z tematyką sygnalistów tj.: zjawisko whistleblowingu, system dla sygnalistów, zgłaszanie naruszeń prawa, dyrektywa o ochronie sygnalistów, polityka, kanały, działania odwetowe, środki ochronne, norma ISO 37002.

sygnalizowanie o nadużyciach (whistleblowing)

Tematyka sygnalistów cieszy się w Polsce coraz większą popularnością. Głównym powodem takiego wzrostu zainteresowania jest tzw. europejska dyrektywa o sygnalistach, której zapisy powinny zostać zaimplementowane do systemów prawnych państw członkowskich, a więc także i do polskiego prawa. Z uwagi na wejście w życie obowiązków zawartych we wspomnianej regulacji, wiele firm oraz podmiotów publicznych czeka kolejna rewolucja w obszarze zgodności – porównywana z tą, jaka miała miejsce w związku z wejściem w życie przepisów RODO. Dzięki lekturze tego wpisu poznasz najważniejsze pojęcia związane z tematyką sygnalistów (whistleblowing), co powinno pomóc Ci przygotować swoją organizację na nadchodzące zmiany.  

Najbardziej fundamentalnym pojęciem dla zrozumienia kontekstu tzw. dyrektywy o sygnalistach jest zjawisko whistleblowingu

Whistleblowing, czyli sygnalizowanie o nadużyciach/nieprawidłowościach to pojęcie dość ogólne i różnie definiowane. Na ogół jednak whistleblowing rozumie się jako praktykę (zjawisko) ujawniania informacji o działaniach nieetycznych, szkodliwych, czy wprost nielegalnych występujących w organizacji – podejmowaną przez osobę związaną w jakiś sposób z tą organizacją. 

Kluczową postacią w procesie whistleblowingu (tak, whistleblowing należy rozumieć w kategoriach pewnego wieloelementowego procesu!) –  jest sygnalista.

Sygnalista (whistleblower) – to osoba która dobrowolnie, w dobrej wierze dokonuje zgłoszenia o zaobserwowanej lub podejrzewanej nieprawidłowości. W szerokim rozumieniu tego słowa sygnalistą może być w zasadzie każdy, np.: osoba zatrudniona w organizacji, kontrahent, klient, czy były pracownik. W węższym ujęciu – w stronę którego skłania się zarówno europejska dyrektywa jak i polska ustawa – za sygnalistę może zostać uznana osoba spełniająca powyższe warunki, która informuje o naruszeniu prawa mającym miejsce w organizacji w „kontekście związanym z pracą” (w takim rozumieniu zatem np. klient firmy, czy pacjent szpitala nie może zostać uznany za sygnalistę, gdyż nawet jeśli zgłosi naruszenie prawa, nie spełnia warunku „kontekstu związanego z pracą” i nie będzie mu przysługiwała ochrona jaką w takiej sytuacji mógłby uzyskać np. pracownik lub kontrahent!).  

Dla uznania danej osoby za sygnalistę nie jest ważne kto jest adresatem zgłoszenia (kogo sygnalista informuje). 

Zobacz jak dokładnie sygnalistę definiuje polska ustawa o ochronie sygnalistów, i jakie warunki trzeba spełnić, aby skorzystać z prawnej ochrony jako osoba zgłaszająca naruszenie.

W praktyce występują trzy zasadnicze formy whistleblowingu. 

Formy whistleblowingu – wyróżnić można trzy zasadnicze  formy whistleblowingu, które zależą od tego jaki podmiot jest adresatem przekazanych przez sygnalistę informacji o nieprawidłowościach: 

  • Zgłoszenia wewnętrzne (sygnalista informuje o nadużyciach swoją organizację lub organizację, z którą związany jest relacją biznesową np. jest jej dostawcą),
  • Zgłoszenie do organów państwowych (polega na powiadomieniu o nieprawidłowości organu publicznego potencjalnie zainteresowanego daną sprawą, czyli np. KNF czy PUODO). W ujęciu polskiej ustawy o ochronie sygnalistów organem centralnym „w sprawach sygnalistów” będzie Rzecznik Praw Obywatelskich, 
  • Zgłoszenie do mediów (ujawnienie publiczne, czyli np. zgłoszenie się z „newsem” do redakcji poczytnego czasopisma)

Czasami whistleblowing dzieli się tylko na wewnętrzny (raportowanie do organizacji) oraz zewnętrzny (powiadamianie służb lub/i mediów). Tak prosty podział wynika z faktu, że każde zgłoszenie zewnętrzne to potencjalnie wielki problem  dla organizacji – niezależnie czy jest ona podmiotem prywatnym czy publicznym. Nieprawidłowości, które wyszły poza „granice organizacji” otwierają znaczny obszar ryzyka, na który organizacja zazwyczaj nie ma większego wpływu. Wynikiem takiego stanu rzeczy są duże (a czasami wręcz olbrzymie) koszty, od których po prostu nie sposób uciec. Wszystko to uzmysławia dlaczego tak istotne dla organizacji jest wdrożenie i promocja skutecznego wewnętrznego systemu sygnalizowania o nadużyciach, aby sygnalista w pierwszej kolejności kierował się do własnej organizacji.

System sygnalizowania o nadużyciach (także: system zgłaszania nadużyć, czy po prostu system dla sygnalistów/system whistleblowingowy) – dający się wyodrębnić obszar funkcjonowania organizacji, który nakierowany jest na obsługę zgłoszeń przyjmowanych od sygnalistów. Występujące w organizacjach systemy sygnalizowania o nadużyciach często znacznie różnią się pod kątem skomplikowania i dojrzałości. Istotnymi elementami takich systemów są: 

  • Kanał/kanały poprzez które sygnaliści mogą zgłaszać zaobserwowane nieprawidłowości, 
  • Polityka/program/ regulamin/ procedura sygnalizowania o naruszeniach (czyli wewnętrzna regulacja tego obszaru),
  • Komórki/osoby/osoba odbierające zgłoszenia oraz badające (oceniające) zasadność przyjętego zgłoszenia (co istotne – nie zawsze podmiot przyjmujący zgłoszenia zajmuje się także badaniem ich wiarygodności!). 

W ujęciu funkcjonalnym system dla sygnalistów powinien przede wszystkim określać sposób zgłaszania nadużyć, sposób przyjmowania zgłoszeń, sposoby ochrony sygnalistów i wreszcie sposób wyjaśniania i eliminowania zidentyfikowanych nieprawidłowości. 

W wąskim ujęciu system dla sygnalistów może także oznaczać po prostu kanał do zgłaszania nieprawidłowości, zazwyczaj w formie „elektronicznej”: np. w postaci infolinii lub aplikacji internetowej. Choć trzeba pamiętać, że sprowadzenie problematyki whistleblowingu wyłącznie do kanału służącego do sygnalizowania nadużyć, to zdecydowanie za mało. Takie minimalistyczne podejście nie pozwoli także wywiązać się z obowiązków prawnych przewidzianych w prawie ochrony sygnalistów.    

O ile obecnie w Polsce realnie funkcjonujące, dojrzałe systemy dla sygnalistów należą raczej do rzadkości i możemy je spotkać zwykle w dużych organizacjach, przeważnie działających w obszarach regulowanych (głównie w obszarze finansowym), sytuacja ta wkrótce ulegnie zmianie w związku z implementacją do naszego porządku prawnego europejskiej dyrektywy poświęconej ochronie sygnalistów.  

Dyrektywa o sygnalistach (także dyrektywa o ochronie sygnalistów) – właściwie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 27 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Głównym celem tej regulacji jest ochrona interesu publicznego, która ma być realizowana poprzez zachęcenie potencjalnych sygnalistów do zgłaszania niewłaściwych praktyk. Czynnikami mający kształtować motywacje do informowania o takich praktykach są przede wszystkim: 

  • Utworzenie w organizacji odpowiednich kanałów poprzez które sygnaliści mogliby dokonać zgłoszenia, 
  • Stworzenie procedur pozwalających na skuteczną obsługę zgłoszenia i udzielenie sygnaliście informacji zwrotnej, 
  • Zagwarantowanie ochrony tożsamości sygnalisty,  
  • Zapewnienie sygnaliście ochrony przed negatywnymi konsekwencjami zgłoszenia. 

Dyrektywa co do zasady nie ma bezpośredniego zastosowania w krajach członkowskich UE i wymaga wdrożenia jej do porządków prawnych w poszczególnych państwach. Termin w niej przewidziany minął 17 grudnia 2021r. Na dzień dzisiejszy Polska jest jednym z dwóch krajów członkowskich UE, które nie implementowały jeszcze dyrektywy o ochronie sygnalistów.

18 października 2021 r. na stronie Rządowego Centrum Legislacji pojawił się pierwszy projekt ustawy o ochronie osób zgłaszających naruszenia prawa. Obecnie na stronie dostępna jest już kolejna (sam zgubiłem się już w rachubie, która dokładnie) wersja projektu „ustawy o sygnalistach”, mimo to nadal trudno powiedzieć jednoznacznie jaki kształt ostatecznie przyjmą przepis. Szczególnie jeśli weźmiemy pod uwagę zmianę ekipy rządzącej.

24.06.2024r. po długotrwałych zawirowaniach w końcu ukazała się ustawa o ochronie sygnalistów, która wdraża bezpośrednio europejską dyrektywę o ochronie osób zgłaszających naruszenia prawa.

Zgodnie z zapisami polskiej ustawy o o ochronie sygnalistów, przewidziane w niej obowiązki będą dotyczyć:

  • podmiotów publicznych zatrudniających co najmniej 50 pracowników;
  • podmiotów prywatnych zatrudniających co najmniej 50 pracowników;
  • podmiotów z wybranych branż regulowanych niezależnie od ilości zatrudnianych pracowników.

Wdrożenie i utrzymanie skutecznego systemu dla sygnalistów to ogromne wyzwanie dla organizacji. Z jednej strony wymaga bowiem poważnego namysłu i działań na wielu polach (m.in. uwzględnienia tematyki ochrony danych osobowych przetwarzanych w systemie), z drugiej jednak strony wysiłki te mogą zostać łatwo zaprzepaszczone poprzez błąd krytyczny (np. błędne zakomunikowanie pracownikom przeznaczenia wdrożonego systemu, czy brak zaangażowania w proces kierownictwa organizacji). Jeden z pierwszych kroków wdrożeniowych, a także istotny element zarządzania systemem stanowi sformułowanie organizacyjnej polityki sygnalizowania o nieprawidłowościach. (polska ustawa posługuje się terminem „procedura zgłoszeń wewnętrznych”, ale w gruncie rzeczy chodzi o wewnętrzną regulację tego obszaru i sama jej nazwa nie jest szczególnie istotna.)

Polityka sygnalizowania o nieprawidłowościach – to górnolotne określenie może oznaczać rzeczywiście politykę korporacyjną w pełnym tego słowa znaczeniu: przyjmującą postać osobnego dokumentu zatwierdzonego przez władze organizacji i regulującą kompleksowo kwestię funkcjonowania organizacyjnego systemu dla sygnalistów. Może jednak także odnosić się do zwykłej, relatywnie prostej procedury określającej kanały do sygnalizowania, sposób zgłaszania nieprawidłowości, ich obsługi oraz zasady ochrony sygnalistów. O skuteczności tego dokumentu paradoksalnie nie decyduje jednak jego forma, a nawet treść, ale przede wszystkim czynniki związane z szeroko rozumianą kulturą organizacyjną oraz przebieg samego procesu wdrożenia organizacyjnego systemu dla sygnalistów.  

Kanały dla sygnalistów – to tak naprawdę kanały komunikacyjne, poprzez które sygnaliści mogą zgłaszać nieprawidłowości. Bez istnienia w organizacji choćby jednego takiego kanału trudno w ogóle mówić o systemie dla sygnalistów.  Niektóre kanały zapewniają także możliwość dwustronnej komunikacji, tzn. organizacja może przesłać sygnaliście wiadomość (np. z prośbą o doprecyzowanie przekazanej informacji o nadużyciu lub w celu powiadomienia sygnalisty o wyniku wszczętego postępowania wyjaśniającego dotyczącego zgłoszenia). Kanały dla sygnalistów mogą być administrowanej zarówno przez samą organizację jak i przez podmiot trzeci (np. kancelarię prawną lub dostawcę internetowej platformy dla sygnalistów) – oba rozwiązania mają zarówno mocne jak i słabe strony, które należy brać pod uwagę w czasie podejmowania decyzji o wyborze któregoś z rozwiązań. 

Kanał dla sygnalistów może przyjmować rożną postać: w niektórych przypadkach wystarczająca będzie skrzynka na listy ustawiona w miejscu zapewniającym sygnaliście możliwość dokonania poufnego zgłoszenia, w innych konieczne okaże się skorzystanie z bardziej złożonych rozwiązań jak np. dedykowana infolinia czy platforma internetowa. Kanały dla sygnalistów, zgodnie z brzmieniem Dyrektywy, mogą być bowiem oparte o informacje ustną lub pisemną. Ważne natomiast żeby niezależnie od formy, spełniały łącznie trzy warunki, a więc były: skuteczne, poufne i bezpieczne.  

Poufność, a w niektórych przypadkach wręcz anonimowość kanałów jest kluczowa z punktu widzenia skuteczności systemu sygnalizowania nadużyć. Jest to podstawowy i bodaj najistotniejszy środek ochrony sygnalisty chroniący go przed ewentualnymi działaniami odwetowymi. Trzeba jednak zaznaczyć, że zarówno Dyrektywa jak i polska ustawa stawiają na poufność a nie anonimowość zgłoszeń.

Działania odwetowe – to wszelkie negatywne konsekwencje jakie mogą spotkać osobę dokonującą zgłoszenia naruszenia. Mogą one przybierać przeróżną postać od wykluczenia takiej osoby np. poprzez odebranie jej dostępu do istotnych informacji, aż po działania zagrażające zdrowiu lub życiu sygnalisty bądź bliskim dla niego osobom.  

Nie ma się co oszukiwać – ryzyko działań odwetowych w praktyce jest znaczne i trudno przecenić jego wpływ na intencje do zawiadomienia organizacji o nieprawidłowościach. Jednocześnie Dyrektywa oraz polska ustawa przykładają bardzo dużą wagę do zapobiegania działaniom odwetowym oraz do realnej ochrony sygnalisty, a także osób z nim związanych (jak np. współpracownika, członka rodziny, osoby pomagającej dokonać zgłoszenia).

Środki ochronne – ochrona sygnalisty jest bodaj najistotniejszym elementem  wspomnianej już Dyrektywy. Środki ochronne należy rozumieć szeroko. Sygnalista w związku z dokonaniem zgłoszenia nie ponosi odpowiedzialności za naruszenie obowiązku poufności, zniesławienie, naruszenie praw autorskich, naruszenie tajemnicy (w tym tajemnicy przedsiębiorstwa), naruszenie przepisów o ochronie danych osobowych, oraz z tytułu roszczeń odszkodowawczych na podstawie prawa prywatnego, publicznego lub prawa pracy. Jest tylko jeden warunek: ważne żeby istniały uzasadnione podstawy by sądzić, że zgłoszenie jest niezbędne do ujawnienia naruszenia zgodnie z dyrektywą. Ochrona ta rozszerzona jest o zakaz wszelkich form działań odwetowych, o których była już mowa. Co istotne, dyrektywa wprowadza domniemanie, że jeśli sygnalista poniósł szkodę, to jest ona wynikiem działań odwetowych za dokonanie zgłoszenia. Taki stan rzeczy sprawia, że to sprawca czynu godzącego w dobro sygnalisty musi wykazać, że czyn ten nie miał związku z dokonaniem zgłoszenia. 

Z racji tego, że wdrożenie systemu sygnalizowania nadużyć oraz jego codzienna obsługa, to złożone i wieloaspektowe zadanie, w trakcie tego procesu warto odwołać się do źródeł w postaci dobrych praktyk. Jednym z lepszych źródeł wiedzy (oraz względnie łatwo dostępnym) jest norma ISO 37002

Norma ISO 37002 – pierwszy standard Międzynarodowej Organizacji Normalizacyjnej poświęcony całościowo tematyce whistleblowingu. Norma ISO 37002:2021 „Whistleblowing management system – Guidelines” systematyzuje problematykę zgłaszania nieprawidłowości oraz ochrony sygnalistów. Mimo, że nie jest normą uwzględniającą certyfikację, trudno przecenić jej przydatność dla praktyki w obszarze tematyki sygnalizowania o nieprawidłowościach. ISO 37002 bazuje na trzech kluczowych filarach dotyczących systemów dla sygnalistów, tj. zaufaniu, ochronie oraz bezstronności. 

O ile oczywiście sama norma nie stanowi wzoru gotowego do skopiowania, to można uznać ją za źródło cennej inspiracji i refleksji dla wszystkich osób odpowiedzialnych za wdrażanie i zarządzanie systemami dla sygnalistów – niezależnie czy działają w sektorze prywatnym czy publicznym.

Jeśli jesteś zainteresowany tematyką sygnalistów – zapraszam do grupy wsparcia merytorycznego na Facebooku: https://www.facebook.com/groups/1175814776888637

Jeśli Twoja organizacja potrzebuje wsparcia w procesie wdrożenia skutecznego systemu dla sygnalistów bądź chcesz zorganizować szkolenie poświęcone tej tematyce bazujące na rzetelnej wiedzy naukowej i najlepszych praktykach rynkowych…

ZOBACZ RÓWNIEŻ:

Kim jest sygnalista i jaka ochrona mu przysługuje

Dlaczego warto wdrożyć system dla sygnalistów (system whistleblowingowy)

Jakie ryzyka wiążą się z systemem dla sygnalistów

12 błędów związanych z wdrożeniem systemu dla sygnalistów (mój artykuł w Security Magazine)

Słownik Bezpieczeństwa w Biznesie (SBB) #3 – Corporate investigation

Jeśli zaś szukasz bardziej obszernych opracowań na temat whistleblowingu – zajrzyj koniecznie do Czytelni.

PODOBAJĄ CI SIĘ TREŚCI NA BLOGU?

Dołącz do subskrybentów newslettera, aby otrzymywać ciekawe treści, które pomogą Ci zatroszczyć się o bezpieczeństwo Twoje i Twojej organizacji.

KLIKNIJ W PONIŻSZY PRZYCISK!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

17 − sześć =

error: Content is protected !!