OCHRONA SYGNALISTÓW – CO MUSISZ WIEDZIEĆ PRZED WEJŚCIEM W ŻYCIE DYREKTYWY?

Dyrektywa o sygnalistach – podstawowe informacje

bezpieczny kanał dla sygnalistów7 października 2019 roku Unia Europejska (UE) przyjęła dyrektywę w sprawie ochrony osób zgłaszających naruszenia prawa UE (dyrektywa dotycząca sygnalistów). Państwa członkowskie mają czas do 17 grudnia 2021 na wdrożenie nowych przepisów do prawa krajowego.

Dyrektywa dotycząca sygnalistów określa minimalne wspólne standardy ochrony sygnalistów w całej UE. Jej celem jest wprowadzenie skutecznych, poufnych i bezpiecznych kanałów zgłaszania nieprawidłowości. Nowe prawo zakazuje represji i wprowadza zabezpieczenia przed zawieszeniem, degradacją, zastraszaniem lub innymi formami odwetu wobec sygnalistów.

Dlaczego dyrektywą dotyczącą sygnalistów warto zainteresować się już teraz? Głównie dlatego, że dyrektywa obejmuje szeroki zakres podmiotów, obszarów i osób. Księgowi, biegli rewidenci, a także inne osoby kierujące przedsiębiorstwami z sektora prywatnego i publicznego, już teraz powinni przeprowadzić audyt procedur obowiązujących w organizacji. 

Poufność i anonimowość

Poufność i anonimowość to kluczowe cechy solidnej ochrony sygnalistów. Każda organizacja kieruje się jednak w tym zakresie innymi koncepcjami. Wymogi dotyczące poufności przewidują sytuację, w której znana jest tożsamość demaskatora przez konkretne osoby. Mają one obowiązek nie dopuścić do tego, aby tożsamość ta została ujawniona innym.

Dyrektywa nakłada obowiązek zachowania poufności informacji, które bezpośrednio lub pośrednio mogą identyfikować osobę sygnalisty. Na upoważnionych osobach ciąży obowiązek przeprowadzenia testu skuteczności kanału raportowania. Bezpieczny kanał dla sygnalistów ma za zadanie zapewnić prawidłowy przepływ informacji, przy jednoczesnym zachowaniu anonimowości osobom je przekazującym.

Anonimowość należy definiować szerzej. Jeśli tożsamość sygnalisty ma być anonimowa – nigdy nie  powinna zostać ujawniona. Anonimowość ma zapewniać system raportowania, który umożliwia odpowiednio wprowadzony kanał w całym systemie ochrony sygnalistów.

Dyrektywa zawiera zobowiązanie dotyczące zachowania anonimowości. Ma ono zapewnić sygnalistom skuteczną ochronę w sytuacji, gdy tożsamość osoby anonimowo zgłaszającej nieprawidłowości, została przypadkowo ujawniona. W takich przypadkach organizacja musi zapewnić poufność i ochronę przed odwetem w takim samym stopniu, jak sygnalistom korzystającym z innych kanałów zgłaszania naruszeń. 

Praktyki innych krajów wskazują, że umożliwienie anonimowego zgłaszania nieprawidłowości wzmacnia ochronę sygnalistów. Zwiększa też zaufanie publiczne. Brak wprowadzenia kanału anonimowego zgłaszania nieprawidłowości może natomiast doprowadzić do nieujawnienia naruszeń szczególnie niebezpiecznych, które mogą negatywnie odbić się na działaniu całej organizacji.

Rozwiązanie? Bezpieczne narzędzia informatyczne w służbie ochrony sygnalistów, w tym bezpieczny kanał raportowania dla sygnalistów

Technologia służy olbrzymim wsparciem w obszarze ochrony sygnalistów. Szyfrowanie, bezpieczne certyfikaty czy blockchain – to tylko część z technologii, które można wykorzystać w celu zwiększenia ochrony anonimowości osób zgłaszających nieprawidłowości. Rozwiązania te będą mieć szczególne znaczenie w komunikacji z organami publicznymi oraz mediami. 

W odróżnieniu od innych anonimowych metod zgłaszania nieprawidłowości (np. fizycznych skrzynek, do których można wrzucić anonimowe pismo), odpowiednie systemy informatyczne spełniają jeszcze jeden wymów dyrektywy. Pozwalają one na komunikację z sygnalistą w czasie rzeczywistym. To doskonałe rozwiązanie, które może zachęcić sygnalistów do zgłaszania naruszeń. 

Organizacje muszą mieć jednak świadomość, że systemy informatyczne oferują różne stopnie bezpieczeństwa i różne rozwiązania. Nie każdy taki system będzie sprawnie funkcjonował w danej organizacji z uwagi na ograniczenia w jego implementacji. 

Uwzględnij kanały raportowania w zakresie dyrektywy sygnalistów, stwórz bezpieczny kanał dla sygnalistów

Dyrektywa umożliwia zgłaszanie nieprawidłowości poprzez trzy kanały raportowania – wewnętrzny, zewnętrzny i publiczny. W pierwszej kolejności sygnalista powinien wykorzystać wewnętrzny kanał raportowania i dokonać zgłoszenia np. swojemu pracodawcy. Dlatego tak ważne jest, aby kanał wewnętrzny był bezpiecznym kanałem dla sygnalistów.  Dyrektywa jednocześnie wskazuje, że sygnalista ma pewną dowolność w wyborze najodpowiedniejszego kanału zgłaszania nieprawidłowości. Może zatem wybrać, czy dokonać zgłoszenia wewnętrznego, czy bezpośrednio do organów krajowych. Jeśli potencjalni sygnaliści mają poczucie, że wewnętrzny kanał nie jest bezpieczny, nie będą skłonni z niego korzystać. To uniemożliwi organizacji wczesną reakcję i poniesie za sobą oczywiste konsekwencje. Dlatego tak ważny jest bezpieczny kanał dla sygnalistów w firmie. Ujawnienia publicznego (np. mediom) można natomiast dokonać po spełnieniu pewnych warunków.

Kanał wewnętrzny raportowania w zakresie dyrektywy sygnalistów

Organizacje w sektorze prywatnym i publicznym mają obowiązek ustanowienia wewnętrznego kanału raportowania, wdrożenia odpowiednich procedur raportowania i monitorowania zgłoszeń. Wewnętrzne kanały mogą być obsługiwane w ramach organizacji (przez wyznaczoną osobę lub dział). To zadanie można będzie również zlecić osobie trzeciej, jeśli zapewni ona odpowiednią  gwarancję poufności i ochrony danych. Osobami trzecimi upoważnionymi do obsługi wewnętrznego kanału raportowania w imieniu podmiotów prywatnych i publicznych mogą być zewnętrzni dostawcy platform raportowania, a także kancelarie prawne, audytorzy itd. 

Procedury wewnętrznego informowania o nieprawidłowościach i monitorowania zgłoszeń powinny obejmować w szczególności:

  • bezpieczny kanał przyjmowania zgłoszeń zapewniający nieujawnianie tożsamości sygnalistów i osób trzecich; kanał powinien umożliwiać dokonywanie zgłoszeń pisemnie i/lub ustnie, a na żądanie sygnalisty powinno mu się umożliwić także fizyczne spotkanie w rozsądnym czasie od zgłoszenia,
  • wyznaczenie bezstronnej osoby lub działu do monitorowania zgłoszeń i utrzymywania komunikacji z sygnalistami, zwracania się o dalsze informacje i przekazywania informacji zwrotnej sygnalistom,
  • system skutecznego sprawdzania zgłoszenia przez wyznaczoną osobę lub dział,
  • rozsądny termin na przekazanie sygnalistom informacji zwrotnej na temat zgłoszeń, nieprzekraczający trzech miesięcy od potwierdzenia ich otrzymania,
  • jasne i łatwo dostępne informacje dotyczące warunków i procedur składania sprawozdań zewnętrznych do właściwych organów.

W przypadku, gdy kanały wewnętrzne nie istnieją lub nie działają prawidłowo, sygnalista (zgłaszający na zewnątrz) będzie korzystał z ochrony przed odwetem.

Kanał zewnętrzny raportowania w zakresie dyrektywy sygnalistów

Sygnaliści mają też mieć możliwość zgłaszania nieprawidłowości za pomocą kanałów zewnętrznych. Będą mogli tego dokonać w sytuacji, gdy skorzystali z kanału wewnętrznego i  w ciągu trzech miesięcy nie podjęto żadnych działań zaradczych lub też poprzez bezpośrednie zgłoszenie nieprawidłowości do właściwych organów. Z uwagi na to, organy publiczne będą musiały ustanowić niezależne i autonomiczne kanały dokonywania zgłoszeń oraz procedury – tak jak w przypadku kanałów wewnętrznych.

Raportowanie publiczne zgodnie z dyrektywą o ochronie sygnalistów

W sytuacji raportowania publicznego tj. ujawnienia informacji o nieprawidłowościach sygnaliści będą chronieni, jeśli zajdzie jeden z warunków: 

  1. pomimo zgłoszenia kanałem wewnętrznym organizacja nie podjęła odpowiednich działań zaradczych (albo żadnych innych działań), 
  2. nie podjęto takich działań po zgłoszeniu kanałem zewnętrznym, 
  3. w przypadku zgłoszeń zewnętrznych istnieje ryzyko odwetu lub niskie prawdopodobieństwo wyjaśnienia naruszenia przez organizację.

Czy to działa? Ochrona sygnalistów – audyt i analiza, zanim nadejdzie kontrola

Dyrektywa nakłada na państwa członkowskie obowiązek uzupełnienia procedur informowania o nieprawidłowościach o mechanizmy monitorowania ich skuteczności. Będzie się  to objawiać poprzez zobowiązanie podmiotów publicznych i prywatnych do prowadzenia ewidencji każdego zgłoszenia otrzymanego zgodnie z wymogami ochrony danych – pod kątem zarówno dyrektywy, jak i innych przepisów UE (np. RODO). 

Zasady dotyczące zewnętrznych kanałów dokonywania zgłoszeń ujęte w dyrektywie przewidują, że należy regularnie dokonywać przeglądu zgłaszania nieprawidłowości (przynajmniej raz na trzy lata). W wyniku takiego okresowego przeglądu właściwe organy mają zdobyć potrzebne doświadczenie i dostosować procedury, aby jeszcze lepiej chronić sygnalistów.

Myślisz, że nic z tego nie będzie? Błąd. Państwa członkowskie zostały zobowiązane do corocznego przekazywania Komisji Europejskiej informacji o liczbie zgłoszeń i podjętych dochodzeniach. Jeśli będzie to możliwe, będą musiały również oszacowywać szkody finansowe oraz kwoty odzyskane w wyniku postępowań wyjaśniających i postępowań dotyczących naruszeń będących przedmiotem zgłoszenia. Przekazywane informacje mają posłużyć do przeglądu skuteczności środków ochrony sygnalistów w obecnym prawodawstwie europejskim. 

Mechanizmy monitorowania i przeglądu procedur są słabym punktem wielu systemów informowania o nieprawidłowościach. Zapewnienie spójności procedur oraz wykazanie przejrzystości działań w organizacji skutecznie zwiększa zaufanie sygnalistów do całego systemu. Zwiększa również poczucie, że zgłoszenia są traktowane poważnie. 

Niestety dyrektywa nie określa, w jaki sposób przegląd procedur powinien odbywać się na poziomie krajowym (w tym zakresie należy poczekać na polski projekt ustawy). Dlatego sugerujemy, żeby prócz prowadzenia ewidencji przeprowadzonych dochodzeń, operatorzy kanałów zewnętrznych rejestrowali też sytuacje, w których nie podejmowano dochodzenia. Przydatne może się też okazać zebranie danych dotyczących wyników postępowań wszczętych w wyniku dokonania zgłoszenia. Warto kontrolować również liczbę stwierdzonych przypadków ewentualnych środków odwetowych, a także świadomie fałszywych zgłoszeń. 

Masz pytania lub wątpliwości z zakresu nowych obowiązków, jakie będziesz mieć po 17 grudnia 2021 r.? Zapraszamy do zadawania pytań na office@ipsolegal.pl. Warto także śledzić nasze media społecznościowe oraz stronę internetową www.ochronasygnalistow.info. Będą tam pojawiać się analizy i informacje dotyczące dyrektywy o ochronie praw sygnalistów.

Share