Mamy czerwiec a ustawy, która miała implementować Dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa Unii (czyli w skrócie „Sygnalistów”) – jak nie było tak nie ma. Najpierw z pierwszym projektem ustawy można było zapoznać się na Rządowym Centrum Legislacji jeszcze przed 17 grudnia poprzedniego roku. Następnie były konsultacje (jak to bywa z opiniowaniem projektów – dość dużą ilością uwag), a w kwietniu opublikowano drugi projekt ustawy. Zawarto w nim sporo poprawek. Omówmy te, które bezpośrednio wpływają na obowiązki pracodawców, a także na tych, którzy już w blokach startowych czekają, aby te nieprawidłowości zgłosić.
Pierwsza poprawka dotyczy pracodawców, którzy są zobowiązani do tego, aby dane procedury i kanały zgłoszeń wewnętrznych wdrożyć. Zmiana dotyczy przede wszystkim podmiotów publicznych. Postanowiono odwołać się do art. 3 ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego. Zmiana ta poszerza i w niektórych sytuacjach ułatwia jednoznacznie wskazać zobowiązanych.
Druga poprawka dotyczy poszerzenia zakresu czynów zabronionych. Nie będą one ograniczone do przypadków, gdy w danym obszarze prawa naruszenie jest regulowane wyłącznie określonym przepisem prawa unijnego lub implementującym go aktem prawa krajowego.
Trzecia poprawka wprowadza niestety niepewność interpretacyjną dot. definicji „osób”. Kanały wewnętrzne mają być wdrożone w podmiotach, rzecz których wykonuje pracę co najmniej 50 osób (wyjątki dot. instytucji finansowych oraz urzędów i jednostek samorządu terytorialnego). Nie ma w słowniku definicji „osób”. Z uzasadnienia wynika, że projektodawca myśli o pracownikach, czyli osobach zatrudnionych na umowach o pracę. Dyrektywa jednak traktuje pojęcie pracownika szerzej (tak jak w pierwszym projekcie). Nie wiadomo również, na jaki dzień mamy liczyć stan zatrudnienia. Obie te rzeczy mają wyjątkowe znaczenie dla podmiotów, u których poziom zatrudnienia jest na granicy lub się waha (pracownicy sezonowi).
Czwarta zmiana dotyczy kanałów zgłoszeń. Projektodawca wskazał, że muszą one być ustne, pisemne i elektroniczne. Ostatni kanał wpisuje się niejako w trend, który wypracowuje się już od kilku miesięcy. Jako osoba odpowiedzialna również za ochronę informacji muszę przyznać, że sam taki kanał preferuję (o ile jest on dobrze „napisany”). Ma to nie tylko znaczenie dla wygody pracodawcy jak i samego zgłaszającego. Mam tu na myśli nie tylko łatwość i szybkość przesłania zgłoszenia, ale również jego odebrania, obsłużenia i zarchiwizowania. Taki kanał w największym stopniu gwarantuje zachowanie jednego z najważniejszych wyzwań – czyli zasady poufności. A to jak poważnie trzeba potraktować tę zasadę pokazują przepisy karne, które proponuje projektodawca na końcu omawianego projektu ustawy.
W pierwszym projekcie znajdował się zapis, że pracodawca sam może zdecydować czy będzie przyjmował również zgłoszenia anonimowe. W drugim projekcie wyłączono przyjmowanie anonimów z pewnymi wyjątkami (dot. np. prawa bankowego, ale to temat na inną dyskusję). Osobiście zgadzam się z tym kierunkiem. Nigdy nie byłem zwolennikiem anonimów, które nie niosą za sobą żadnego ciężaru odpowiedzialności. A to często prowadzi do zgłoszeń, które mają niewiele wspólnego z rzeczywistością. Zresztą dochodzą tutaj kwestie czysto praktyczne – jak zweryfikować czy osoba, która zgłosiła anonimowo informacje o nieprawidłowościach mieści się w zakresie podmiotowym? Dlatego klientom doradzałem wyłączenie takiej możliwości. Szeroko też opisano tę zmianę w uzasadnieniu do projektu ustawy:
Rezygnacja z możliwości dokonywania zgłoszeń anonimowo uzasadniona jest przesłankami o charakterze praktycznym, takimi jak ryzyko nadmiernego wpływu informacji przypadkowych i o niskiej wartości z perspektywy rzeczywistego przeciwdziałania naruszeniom czy trudności w uzyskaniu dodatkowych informacji od zgłaszającego, gdy już przekazane informacje są istotne, lecz niepełne. W przypadku zgłoszeń anonimowych problematyczne byłoby także niekiedy późniejsze udowodnienie, na potrzeby jakiegokolwiek postępowania, związku przekazanej informacji z osobą zgłaszającego. Należy mieć także na uwadze koszty i obciążenie organizacyjne związane z przetwarzaniem licznych informacji, potencjalnie bezwartościowych, w ramach ustanowionych mechanizmów zgłaszania.
Przesłanki, które przemawiają przeciwko ukształtowaniu systemu zgłaszania naruszeń w sposób dający pierwszeństwo zgłaszaniu (ujawnianiu) anonimowemu, dobrze podsumowuje opinia przyjęta przez Grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Jak wskazuje się w opinii, anonimowość może być problematycznym rozwiązaniem, zarówno z perspektywy zgłaszającego, jak i organizacji, w ramach której następuje zgłoszenie, zważywszy że:
„- zachowanie anonimowości nie gwarantuje, że inne osoby w firmie nie domyślą się, kto złożył doniesienie;
– trudniej jest prowadzić dochodzenie, jeśli nie można zadać uzupełniających pytań informatorowi;
– jeśli zastrzeżenia są wnoszone jawnie, łatwiej jest zorganizować ochronę informatora przed działaniami odwetowymi, zwłaszcza jeśli taka ochrona jest gwarantowana prawem;
– anonimowe doniesienia mogą prowadzić do koncentrowania uwagi na informatorze
i podejrzeń, że złożył doniesienie w złej wierze;
– organizacja musi liczyć się z ryzykiem stworzenia środowiska, w którym anonimowe, wrogie doniesienia staną się normą;
– atmosfera w organizacji może ulec pogorszeniu, gdy pracownicy będą mieć świadomość, że w każdej chwili ktoś może złożyć na nich anonimowe doniesienie”.
W ww. opinii wskazuje się także, że anonimowe zgłoszenia są problematyczne z uwagi na wymóg, by przetwarzane dane osobowe były gromadzone w sposób rzetelny.
Trudno z ww. argumentami się nie zgodzić.
Kolejną ciekawą zmianą w stosunku do pierwszego projektu jest kwestia rozszerzenia przykładów działań odwetowych. Dopisano do nich m.in. niekorzystne lub niesprawiedliwe traktowanie, spowodowanie straty finansowej, w tym gospodarczej lub utraty dochodu, wyrządzenie innej szkody niematerialnej – i co ciekawe, bo pierwszy raz się spotykam w polskich aktach prawnych: w tym nadszarpnięcia reputacji, zwłaszcza w mediach społecznościowych. Podanie tak szerokiego wachlarza przykładów działań odwetowych jest dla osób interpretujących przepisy, jak i sądów bardzo pomocne. Dlatego tę część projektu również trzeba ocenić pozytywnie.
Zmiany dotyczą również retencji danych, które polegają na ich znacznym skróceniu. Poprzednio było to 5 lat, teraz zaproponowano 15 miesięcy. I jest to kolejna zmiana, którą oceniam bardzo pozytywnie. Po pierwsze ułatwia to życie pracownikom odpowiedzialnym za ich przetwarzanie, ale również zmniejsza prawdopodobieństwo ich wycieku. 5 lat to kawał czasu. Do tego czasu mogą zmienić się i szefowie i pracownicy, którzy te zgłoszenia obsługują.
Ciekawą zmianą jest również możliwość wprowadzenia systemu zachęt. Chodzi o lobbowanie zgłoszeń wewnętrznych, aby sygnaliści wybierali w pierwszej kolejności tę drogę załatwienia sprawy. Niewykluczone będzie zatem np. przyznawanie nagród pieniężnych lub rzeczowych sygnalistom, których zgłoszenia okażą się pomocne. Podobne rozwiązania stosują już większe podmioty prywatne.
Zmiany dotyczą również zróżnicowania odpowiedzialności. I w tym wypadku jest to zmiana w dobrym kierunku. Wcześniejszy pomysł zamykania pracodawcy na 3 lata do więzienia za niewprowadzenie odpowiednich procedur był po prostu niepoważny. Teraz grozi za to grzywna. Choć biorąc pod uwagę przepisy prawa karnego, maksymalna kara i tak może robić wrażenie – nawet 1 080 000 zł.
Na końcu (w końcu!) mamy jakąś kulturę prawną polegającą na wprowadzeniu sensownego vacatio legis (łącznie 3 miesiące). Ma to duże znaczenie biorąc pod uwagę nowość jakim są te przepisy, jak i obowiązek konsultowania tych wewnętrznych procedur ze związkami zawodowymi czy przedstawicielami załogi (od 7 do 14 dni).
Skupiłem się na tych ważniejszych (w mojej opinii) zmianach. Ogólnie oceniam je pozytywnie, poza wprowadzeniem nieszczęsnego terminu „osób”. No i oczywiście fakt, że rozmawiamy o projekcie ustawy, która powinna wejść w życie już w poprzednim roku, nie ułatwia życia doradcom, prawnikom, ale przede wszystkim pracodawcom.
Autor: Tomasz Nowiński | Dyrektor Projektu CompNet Sp. z o.o.