W poprzednim wpisie tłumaczyłem kto może być sygnalistą i jakiej ochronie podlega. Dziś przyjrzymy się bliżej temu, jakie organizacje muszą wdrożyć przepisy ustawy o ochronie sygnalistów, co muszą w związku z tym zrobić, do kiedy mają na to czas, a także jakie konsekwencje grożą za niezgodność z przepisami.
Czy moja organizacja podlega pod przepisy o ochronie sygnalistów
Najważniejsze dla pracodawcy jest określenie, czy pod nowe prawo w ogóle podlega.
Obowiązki określone przez ustawę o ochronie sygnalistów odnoszą się do dwóch zasadniczych grup podmiotów:
- Organizacji, które muszą utworzyć wewnętrzny (organizacyjny) kanał do przyjmowania zgłoszeń naruszeń prawa (tzw. kanał wewnętrzny) oraz regulującą go procedurę zgłoszeń wewnętrznych) – obowiązek dotyczy zarówno wybranych podmiotów publicznych jak i prywatnych;
- Organizacji, które muszą utworzyć zewnętrzny kanał do przyjmowania zgłoszeń naruszeń prawa płynących spoza organizacji (tzw. zgłoszeń zewnętrznych) – obowiązek dotyczy wyłączenie wybranych podmiotów publicznych.
Co istotne, w przypadku wielu organizacji publicznych – są one zobligowane do utworzenia zarówno kanału wewnętrznego jak i zewnętrznego!
W tym wpisie zajmiemy się tylko kanałami służącymi do przyjmowania zgłoszeń naruszeń związanych z funkcjonowaniem organizacji – czyli kanałami wewnętrznymi.
Co decyduje o tym czy organizacja musi utworzyć kanał zgłoszeniowy?
O tym czy organizacja musi utworzyć wewnętrzny kanał do przyjmowania zgłoszeń od sygnalistów decyduje głównie jej wielkość liczona liczbą pracujących dla niej osób. I tak podmioty zatrudniające co najmniej 50 osób (według stanu na dzień 1 stycznia lub 1 lipca danego roku) będą musiały utworzyć „system dla sygnalistów”.
Pisząc „system” mam na myśli co najmniej kanał zgłoszeniowy i jego regulację w postaci procedury zgłoszeń wewnętrznych. System nie oznacza „aplikacji” do obsługi zgłoszeń – tego typu rozwiązanie technologiczne to tylko jeden z możliwych do wyboru typów kanałów zgłoszeniowych, który ma swoje zalety, ale także niepozbawiony jest wad.
Limit 50 osób nie dotyczy wyłącznie pracowników zatrudnionych w oparciu o umowę o pracę, ale także osób świadczących pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, o ile nie zatrudniają one podwykonawców. Czyli np. osoba związana z firmą na zasadach B2B działająca jako indywidualny wykonawca wlicza się do limitu 50 osób.
Przelicznik dotyczy pełnych etatów. Zatem przykładowo: organizacja zatrudniająca 40 osób na pełen etat i 12 osób na pół etatu nie będzie musiała tworzyć kanału zgłoszeniowego (liczy bowiem łącznie tylko 46 „etatów”), z kolei organizacja zatrudniająca 52 pracowników na pełen etat już tak.
Uwaga wyjątki!
Wyjątkiem od wspomnianego progu 50 osób są pracodawcy wykonujący działalność w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy o sygnalistach. Zatem podmioty prowadzące działalność, w którymś z tych obszarów, niezależnie od ilości zatrudnianych osób muszą przyjąć procedurę zgłoszeń wewnętrznych.
Przykłady podmiotów zobowiązanych do wdrożenia procedury niezależnie od liczby zatrudnianych osób
Przykładami podmiotów zobowiązanych do wdrożenia systemu dla sygnalistów niezależnie od liczby pracujących tam osób są instytucje obowiązane podlegającego pod przepisy o przeciwdziałaniu praniu pieniędzy i finansowania terroryzmu. Zaliczają się do nich m.in.:
– Biura rachunkowe
– Pośrednicy w sprzedaży nieruchomości
– Biegli rewidenci,
– Doradcy podatkowi
– Fundusze inwestycyjne
– Banki
– Instytucje finansowe
– Instytucje pieniądza elektronicznego
– Stowarzyszenia i fundacje
– Kantory wymiany walut
– Portale i domy aukcyjne
– Bukmacherzy
– Zawody prawnicze
– Biura Usług Płatniczych
– Krajowe Instytucje Płatnicze
– Towarzystwa ubezpieczeniowe i pośrednicy ubezpieczeniowi
– Operatorzy pocztowi
– Lombardy
– Przedsiębiorcy handlujący dziełami sztuki, przedmiotami kolekcjonerskimi oraz antykami
Jeśli zaś chodzi o zwolnienia z obowiązku wdrożenia procedury sygnalizacyjnej, ustawodawca przewidział, że dotyczy ono jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 000 mieszkańców.
Przykład podmiotu zwolnionego z ustawowych obowiązków
Przykładem zwolnionego podmiotu może być szkoła, która co prawda zatrudnia ponad 50 pracowników, ale jest jednostką organizacyjną gminy liczącej tylko 7000 mieszkańców.
Co istotne, ustawodawca dopuszcza również tworzenie systemów dla sygnalistów w organizacjach, które z mocy ustawy nie są do tego zobligowane. Zarówno z mojego doświadczenia, jak i licznych badań wynika, że taki system ma trudny do przeceniania wpływ na bezpieczeństwo organizacji. Oczywiście pod warunkiem, że działa prawidłowo.
Dlaczego w ogóle warto mieć system dla sygnalistów
Jeśli Twoja firma bądź instytucja, zgodnie z ustawą, nie musi wdrażać systemu dla sygnalistów, warto żebyś miał świadomość korzyści kryjących się za tym rozwiązaniem. Kto wie, może uznasz, że to narzędzie, które pozytywnie wpłynie na Twoją organizację.
Poniższa lista korzyści, może przydać się również do przekonania do idei whistleblowingu „sceptycznie” usposobionych decydentów.
Organizacyjny system dla sygnalistów służy do:
- Wykrywania naruszeń i ograniczenia strat finansowych
- Ograniczenia liczby innych nieprawidłowości
- Poprawy organizacyjnego bezpieczeństwa
- Wczesnego rozwiązywania problemów organizacyjnych
- Ograniczenia możliwości wystąpienia kryzysu (spowodowanego np. zgłoszeniem zaobserwowanego naruszenia bezpośrednio do organów publicznych)
- Ochrony oraz budowania reputacji organizacji
- Wsparcia obszaru compliance, zarządzania ryzykiem i jakością
- Doskonalenia organizacji.
Więcej szczegółów na temat korzyści z posiadania systemu do zgłaszania nieprawidłowości znajdziesz tutaj.
Co trzeba wdrożyć
Formalnie przystosowanie organizacji do przepisów o ochronie sygnalistów jest relatywnie proste. Organizacja musi tylko:
- Przyjąć procedurę zgłoszeń wewnętrznych zawierającą co najmniej elementy wskazane w ustawie (patrz ramka poniżej) oraz poinformować o niej potencjalnych sygnalistów (w tym także kandydatów do pracy!). Przed wdrożeniem, procedurę należy skonsultować z organizacją związkową lub przedstawicielami pracowników w ciągu 5-10 dni;
Co powinna zawierać procedura zgłoszeń wewnętrznych
Zgodnie z art. 25. ust. 1. procedura zgłoszeń wewnętrznych określa:
1) wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych;
2) sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę wraz z jego adresem korespondencyjnym lub adresem poczty elektronicznej, zwanymi dalej „adresem do kontaktu”;
3) bezstronną wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, upoważnione do podejmowania działań następczych, włączając w to weryfikację zgłoszenia wewnętrznego i dalszą komunikację z sygnalistą, w tym występowanie o dodatkowe informacje i przekazywanie sygnaliście informacji zwrotnej; funkcję tę może pełnić wewnętrzna jednostka organizacyjna lub osoba, o których mowa w pkt 1, jeżeli zapewniają bezstronność;
4) tryb postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo;
5) obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie;
6) obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych przez wewnętrzną jednostkę organizacyjną lub osobę, o których mowa w pkt 3;
7) maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nieprzekraczający 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego lub – w przypadku nieprzekazania potwierdzenia, o którym mowa w pkt 5 – 3 miesięcy od upływu 7 dni od dnia dokonania zgłoszenia wewnętrznego, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać informację zwrotną;
8) zrozumiałe i łatwo dostępne informacje na temat dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich albo organów publicznych oraz – w stosownych przypadkach – do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.
2. Procedura zgłoszeń wewnętrznych może dodatkowo objąć w szczególności:
1) wskazanie naruszeń, o których mowa w art. 3 ust. 2, jeżeli podmiot prawny przewidział możliwość zgłaszania takich naruszeń;
2) wskazanie czynników ryzyka odpowiadających profilowi działalności podmiotu prawnego, sprzyjających możliwości wystąpienia określonych naruszeń prawa związanych w szczególności z naruszeniem obowiązków regulacyjnych lub innych obowiązków określonych w przepisach prawa lub z ryzykiem korupcji;
3) wskazanie, że informacja o naruszeniu prawa może być w każdym przypadku zgłoszona również do Rzecznika Praw Obywatelskich albo organu publicznego z pominięciem procedury zgłoszeń wewnętrznych;
4) określenie systemu zachęt do korzystania z procedury zgłoszeń wewnętrznych, w przypadku gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych.
- Udostępnić co najmniej jeden kanał zgłoszeniowy (pisemny lub ustny). Przyjęte kanały zgłoszeniowe powinny być skuteczne, bezpieczne, poufne lub anonimowe (anonimowość kanału jest opcją, na którą może zdecydować się organizacja, sama ustawa stawia na poufność).
- Wyznaczyć i pisemnie upoważnić bezstronne osoby odpowiedzialne za przyjmowanie i wyjaśnianie zgłoszeń.
- Prowadzić rejestr zgłoszeń zawierający informacje przewidziane ustawą (patrz ramka poniżej).
Co zwiera rejestr zgłoszeń wewnętrznych
Art. 29 ust. 4 Rejestr zgłoszeń wewnętrznych obejmuje:
1) numer zgłoszenia;
2) przedmiot naruszenia prawa;
3) dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;
4) adres do kontaktu sygnalisty;
5) datę dokonania zgłoszenia;
6) informację o podjętych działaniach następczych; 7) datę zakończenia sprawy.
Do tego dochodzi kilka obowiązków związanych z szeroko rozumianym funkcjonowaniem systemu dla sygnalistów. Tak więc organizacja musi też:
- Zapewnić poufność zgłoszeń, w tym tożsamości sygnalisty oraz treści zgłoszenia.
- Potwierdzić sygnaliście otrzymanie jego zgłoszenia w terminie 7 dni od dnia jego wpłynięcia.
- Zapewnić sygnalistom ochronę przed działaniami odwetowymi.
- Zapewnić należytą staranność i bezstronność działań następczych oraz informować o wynikach przeprowadzonego postępowania wyjaśniającego w okresie maksymalnie 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia.
- Zapewnić zgodność z prawem przetwarzania danych osobowych gromadzonych na potrzeby obsługi zgłoszeń wewnętrznych.
Poniżej skrótowe podsumowanie tego „co musi zrobić” organizacja w postaci infografiki.
Pod tymi relatywnie prostymi do „odhaczenia” wymaganiami, niestety kryje się cała masa wyzwań i potencjalnych pułapek, które jeśli nie zostaną zaadresowane na etapie prac wdrożeniowych będą w niewidoczny sposób sabotować działanie systemu. Zaś nieskuteczny system zgłoszeń wewnętrznych, to proszenie się o sytuację, w której sygnalista zgłosi nieprawidłowość na zewnątrz lub ujawni ją w mediach, co wydaje się najczarniejszym scenariuszem dla organizacji.
Do kiedy trzeba być gotowym
Gdy już wiesz, że Twoja organizacja musi przygotować się do wejścia w życie przepisów ustawy o sygnalistach, musisz wiedzieć ile czasu na to pozostało.
W największym skrócie, organizacja musi wprowadzić zasady dotyczące sygnalistów do 25 września 2024 roku.
Jak zwykle jednak, diabeł tkwi w szczegółach. A przyglądając się z bliska ustawowym obowiązkom, trzeba stwierdzić, że: najpóźniej w dniach 6-11 września procedura zgłoszeń wewnętrznych musi zostać skonsultowana z przedstawicielami pracowników lub związkami zawodowymi. Dobrze wiedzieć też, że:
- Do 17 września procedura zgłoszeń wewnętrznych musi zostać ogłoszona, by mogła obowiązywać od 25 września (procedura zgłoszeń wewnętrznych wchodzi bowiem w życie po upływie 7 dni od jej ogłoszenia osobom wykonującym pracę w danym podmiocie prawnym).
- Od 25 września sygnaliści mogą zgłaszać już naruszenia.
- Od 25 września zaczynają też obowiązywać przepisy karne za brak implementacji procedury ochrony sygnalistów.
Podsumowując, organizacja musi mieć gotową procedurę do 6–11 września 2024 r., aby ta regulacja wewnętrzna mogła zacząć obowiązywać formalnie od 25 września – co pozwoli zmieścić się w ustawowych ramach czasowych.
Jakie sankcje przewiduje ustawa o ochronie sygnalistów
Komu i co grozi za nieprzestrzeganie prawa ochrony sygnalistów? Ustawa przewiduje kilkukierunkową odpowiedzialność. I tak odpowiedzialność można ponieść za:
- Niewdrożenie lub niewłaściwe wdrożenie procedury – osoba odpowiedzialna za ustanowienie procedury zgłoszeń wewnętrznych, która nie spełni tego obowiązku lub ustanowi procedurę z istotnym naruszeniem wymogów, podlega karze grzywny. Odpowiedzialność tą ponosi najwyższe kierownictwo organizacji (konkretne osoby) i może ona wynieść 5 tys. zł.
- Uniemożliwianie lub istotne utrudnianie dokonania przez sygnalistę zgłoszenia – sprawca takiego działania podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku, a w przypadku stosowania wobec sygnalisty przemocy, groźby lub podstępu, podlega karze pozbawienia wolności do 3 lat.
- Podejmowanie działań odwetowych wobec sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą – sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 2 lub aż 3 lat – jeśli działał w sposób uporczywy.
- Bezprawne ujawnienie tożsamość sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą – sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
- Dokonywanie zgłoszenia lub ujawnienia publicznego, wiedząc, że do naruszenia prawa nie doszło – sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do 2 lat.
Reasumując, ukaranym można zostać za: niewdrożenie lub niewłaściwe wdrożenie procedury zgłoszeń wewnętrznych, uniemożliwianie lub utrudnianie zgłoszenia sygnaliście, podejmowanie działań odwetowych, ujawnienie tożsamości sygnalisty lub powiązanej osoby, a także za fałszywe zgłoszenie lub ujawnienie publiczne (czyli kierowanie się „złą wiarą”).
Co istotne, wszystkie kary będą nakładane w ramach toczonych postępowań sądowych. Ustawa nie przewiduje istnienia typowego organu nadzorczego, jak np. w przypadku RODO, gdzie takim organem jest Prezes Urzędu Ochrony Danych Osobowych.
W kolejny wpisie pochylimy się nad tematem wdrożenia skutecznego systemu dla sygnalistów w organizacji (systemu zgłoszeń wewnętrznych).
Jeśli jesteś zainteresowany tematyką sygnalistów – zapraszam do grupy wsparcia merytorycznego na Facebooku: https://www.facebook.com/groups/1175814776888637
PODOBAJĄ CI SIĘ TREŚCI NA BLOGU?
Dołącz do subskrybentów newslettera, aby otrzymywać ciekawe treści, które pomogą Ci zatroszczyć się o bezpieczeństwo Twoje i Twojej organizacji.
KLIKNIJ W PONIŻSZY PRZYCISK!