Na kim spoczywa obowiązek wdrożenia ustawy o sygnalistach?
Ochrona sygnalistów jest obowiązkowa dla kilku grup podmiotów, co sprawia, że obejmie ona znaczną część rynku. Kto jest zobligowany do jej wdrożenia, a kto może zrobić to dobrowolnie?
Firmy zatrudniające minimum 50 pracowników
Zgodnie z art. 23 polskiej ustawy obowiązek wdrożenia procedury ochrony sygnalistów spoczywa przede wszystkim na przedsiębiorcach, którzy na dzień 1 stycznia lub 1 lipca danego roku kalendarzowego zatrudniają minimum 50 osób. Ustawodawca posługuje się określeniem „podmiot prawny”, który obejmuje sobą zarówno firmy prywatne, jak i przedsiębiorstwa sektora publicznego.
Należy przy tym zaznaczyć, że liczbę tę należy rozumieć szeroko. Nie chodzi bowiem wyłącznie o osoby zatrudnione na podstawie umowy o pracę, ale także osoby wykonujące pracę zarobkową na innej podstawie (np. umowa zlecenia, B2B, kontrakt menadżerski), jeżeli firma nie zatrudnia do tego celu innych osób, niezależnie od podstawy zatrudnienia. Warto pamiętać, że obowiązki w zakresie sygnalistów to kolejna grupa wymogów, które muszą spełniać podmioty zatrudniające 50 osób lub więcej. Do innych obowiązków takich podmiotów można wymienić obowiązek wprowadzenia regulaminu pracy oraz regulaminu wynagradzania.
Ochrona sygnalistów niezależnie od wolumenu zatrudnienia
Od powyższej reguły przewiduje się wyjątek odnoszący się do ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu („ustawa AML”), a mianowicie, do wdrożenia ustawy o sygnalistach będą zobligowani wszyscy przedsiębiorcy, którzy posiadają status instytucji obowiązanej na podstawie ww. ustawy AML, czyli np. biura rachunkowe, pośrednicy w obrocie nieruchomościami, podmioty świadczące usługi w zakresie kryptowalut, przedsiębiorcy w zakresie, w jakim przyjmują lub dokonują płatności za towary w gotówce o wartości równej lub przekraczającej równowartość 10 000 euro, instytucje finansowe, kantory wymiany walut, lombardy, instytucje kredytowe, a także wiele innych (Krajowe oraz Małe Instytucje Płatnicze).
Należy podkreślić, że w przypadku powyższych podmiotów bez znaczenia pozostaje to, czy zatrudniają 50 osób, czy też nie – konieczność wdrożenia ustawy o sygnalistach występuje nawet w przypadku podmiotów, które nie zatrudniają żadnych pracowników.
Kiedy jednostka samorządu terytorialnego musi wdrożyć przepisy o ochronie sygnalistów?
Przepisy ustawy o sygnalistach są też obligatoryjne dla jednostek samorządu terytorialnego liczących przynajmniej 10 tysięcy mieszkańców.
Wszystkie pozostałe grupy podmiotów, to jest firmy zatrudniające mniej niż 50 osób oraz jednostki samorządu terytorialnego o liczbie ludności poniżej 10.000 mieszkańców mogą, ale nie muszą stworzyć wewnętrzną procedurę ochrony sygnalistów. Z punktu widzenia transparentności prowadzenia działalności gospodarczej warto rozważyć jednak zastosowanie nowych przepisów nawet wtedy, gdy nie jest to obowiązkowe. W tym celu zachęcamy do skontaktowania się z naszą Kancelarią.
Kiedy stosuje się przepisy o ochronie sygnalistów?
Ochronę sygnalistów stosuje się od chwili dokonania zgłoszenia lub ujawnienia publicznego pod warunkiem, że taka osoba ma podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa i stanowi informację o naruszeniu prawa.
Zgodnie z art. 3 ustawy, chodzi tutaj o działanie lub zaniechanie niezgodne z prawem, lub mające na celu obejście prawa, ale nie w zakresie wszystkich możliwych praw i obowiązków, a jedynie powiązanych z:
- korupcją;
- zamówieniami publicznymi;
- usługami, produktami i rynkami finansowymi;
- przeciwdziałaniem praniu pieniędzy i finansowaniem terroryzmu;
- bezpieczeństwem produktów i ich zgodności z wymogami;
- bezpieczeństwem transportu;
- ochroną środowiska;
- ochroną radiologiczną i bezpieczeństwem jądrowym;
- bezpieczeństwem żywności i pasz;
- zdrowiem i dobrostanem zwierząt;
- zdrowiem publicznym;
- ochroną konsumentów;
- ochroną prywatności i danych osobowych;
- bezpieczeństwem sieci i systemów teleinformatycznych;
- interesami finansowymi Skarbu Państwa, jednostki samorządu terytorialnego lub Unii Europejskiej;
- rynkiem wewnętrznym Unii Europejskiej, w tym zasadami konkurencji i pomocy państwa oraz opodatkowaniem osób prawnych;
- z konstytucyjnością i ochroną praw człowieka i obywatela w relacji osoby fizycznej z organami władzy publicznej w zakresie innym niż wskazany w powyższych punktach.
Dodatkowo ochronę można dobrowolnie rozszerzyć na zgłoszenia nieprawidłowości dotyczące wewnętrznych regulacji danego podmiotu oraz standardów etycznych. Jest to szczególnie istotne dla podmiotów notowanych na giełdzie, które decydują się na wdrożenie ładu korporacyjnego.
Kto może skorzystać z ochrony przewidzianej dla sygnalistów?
Sygnalistą (ang. whistleblower) określa się osobę, która w dobrej wierze zgłasza przełożonemu dostrzeżone w zakładzie pracy nieprawidłowości, działania nielegalne, nieetyczne, niezgodne z zakładowymi wewnętrznymi procedurami, czy też inne szeroko rozumiane naruszenia prawa.
Prawo do zgłaszania naruszeń i związana z tym ochrona przysługują szerokiemu kręgowi podmiotów. Ma to istotne znaczenie z punktu widzenia przygotowywanej procedury, ponieważ pracodawca powinien pamiętać, że nie projektuje jej wyłącznie dla pracowników etatowych. Sygnalistą może być:
- pracownik oraz pracownik tymczasowy;
- osoba świadcząca pracę na innej podstawie niż stosunek pracy, np. umowa o dzieło, zlecenie;
- przedsiębiorca w relacjach B2B;
- prokurent;
- akcjonariusz lub wspólnik (ustawa nie wprowadza w tym zakresie ograniczeń uzależnionych od liczby posiadanych udziałów lub akcji – zgłoszenia może dokonać nawet wspólnik czy też akcjonariusz mniejszościowy);
- członek organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej;
- osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy;
- stażysta, wolontariusz i praktykant;
- funkcjonariusz służb;
- żołnierz.
Istotne znaczenie ma również to, że sygnalistą może być osoba, która powzięła informacje o naruszeniu przed nawiązaniem stosunku pracy lub innego stosunku będącego podstawą świadczenia pracy (np. podczas procesu rekrutacji) lub też po jego ustaniu.
Aby sygnalista mógł skorzystać z ochrony, musi spełnić łącznie dwie przesłanki:
- mieć uzasadnione przekonanie, że zgłasza prawdziwe informacje,
- dokonać zgłoszenia zgodnie z prawem i w sposób przyjęty przez ustawę o sygnalistach.
W jaki sposób wprowadzić procedurę ochrony sygnalistów?
Ustawodawca daje dużą swobodę w zakresie implementacji procedury chroniącej sygnalistów. W przepisach znajdziemy jedynie zakres postanowień, jakie w takim regulaminie powinny się znaleźć. Należy w nim uwzględnić:
- wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury podmiotu prawnego albo podmiot zewnętrzny upoważniony do przyjmowania zgłoszeń;
- sposoby przekazywania zgłoszeń wewnętrznych wraz ze wskazaniem adresu korespondencyjnego lub adresu poczty elektronicznej do kontaktu;
- bezstronną wewnętrzną jednostkę organizacyjną lub osobę upoważnioną do podejmowania działań następczych (np. weryfikacja zgłoszenia i kontakt z sygnalistą);
- tryb postępowania z anonimowymi zgłoszeniami;
- obowiązek podjęcia działań następczych z zachowaniem należytej staranności;
- maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nie dłuższy niż 3 miesiące;
- zrozumiałe i łatwo dostępne informacje o możliwości dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich albo organów publicznych, a w stosownych przypadkach do instytucji, organów lub jednostek Unii Europejskiej.
Dodatkowo podmiot prawny może uzupełnić treść procedury o następujące elementy:
- wskazanie, że sygnaliści mogą zgłaszać również naruszenia dotyczące ładu korporacyjnego;
- wskazanie czynników ryzyka, które zwiększają prawdopodobieństwo wystąpienia określonych naruszeń, mając na względzie profil działalności podmiotu. Dzięki temu pracownicy wiedzą, na co konkretnie powinni zwracać uwagę w swoim otoczeniu;
- wskazanie, że naruszenie może być zgłoszone bezpośrednio do Rzecznika Praw Obywatelskich lub organów władzy publicznej z pominięciem procedury wewnętrznej;
- określenie systemu zachęt do korzystania z procedury zgłoszeń wewnętrznych, jeżeli naruszeniu prawa można zaradzić, a sygnalista uważa, że nie występuje ryzyko wystąpienia działań odwetowych.
Sama budowa procedury ochrony sygnalistów raczej nie budzi wątpliwości, ale jak wdrożyć ją w konkretnym przypadku? Dobór środków pozwalających na wypełnienie przepisów ustawy pozostawiono przedsiębiorcom, którzy stosują procedurę ochrony sygnalistów. Muszą one zadbać o to, aby procedura pozwalała ona na realizację obowiązków w tym zakresie zgodnie z ustawą. Przepisy wskazują jedynie, że procedura musi przewidywać ustne oraz pisemne zgłaszanie naruszeń oraz gwarantować zachowanie poufności.
Ochrona sygnalistów – praktyczne przykłady wdrożenia procedury
W praktyce takim rozwiązaniem może być wydzielony numer telefonu, pod którym można zgłaszać naruszenie. Rozmowa powinna być albo nagrywana tak, aby dało się ją odszukać albo protokołowana w sposób kompletny i dokładny. Sygnalista może zażądać również spotkania w tym celu. Przyjmując takie rozwiązanie, warto wydzielić w firmie specjalne pomieszczenie przeznaczone do tego rodzaju spotkać, gwarantujące prywatność i np. możliwość spotkania się z pracownikiem po godzinach pracy.
Wydaje się jednak, że lepszym rozwiązaniem będzie wdrożenie w celu ochrony sygnalistów systemu informatycznego albo też dostosowanie obecnej infrastruktury IT do nowych potrzeb, ponieważ stosując zaawansowane rozwiązania kryptograficzne, łatwiej będzie można zadbać o anonimowość sygnalisty i ochronić go przed ryzykiem odwetu. Na czym mogą polegać takie zabezpieczenia?
- Wprowadzenie szyfrowania wiadomości standardem AES 256-bitów;
- rezygnacja z managera haseł tak, aby każdorazowo trzeba logować się do systemu lub klienta poczty od nowa;
- wykorzystanie narzędzi do szyfrowania dwuskładnikowego;
- instalacja oraz aktualizacja oprogramowania antywirusowego, oraz typu antyspyware.
Kluczowe znaczenie nadal ma jednak edukacja pracowników w zakresie bezpiecznego korzystania z urządzeń IT. Wylogowywanie się z systemu, regularna zmiana danych dostępowych oraz tworzenie silnych haseł znacząco zmniejszają ryzyko, że ktoś inny niż nadawa i adresat zgłoszenia poznają treść wiadomości.
Należy pamiętać, że z ochrony przewidzianej dla sygnalistów może korzystać bardzo szeroki krąg podmiotów. Dlatego mechanizmy zgłoszeniowe powinny zostać zaprojektowane w taki sposób, aby umożliwić przekazanie informacji każdej z docelowych grup osób, choćby nie były one zatrudnione na podstawie umowy o pracę czy też nie miały dostępu do systemów informatycznych przedsiębiorstwa przeznaczonych dla pracowników. Podobnie funkcjonuje np. instytucja Inspektora Ochrony Danych i zgłaszanie naruszeń w związku z uchybieniami RODO. Na potrzeby osób spoza organizacji funkcję kanału do zgłoszeń może pełnić specjalnie w tym celu utworzony adres e-mail.
Kiedy procedura ochrony sygnalistów wchodzi w życie?
Warto pamiętać, że procedura zgłoszeń wewnętrznych nie wchodzi w życie od razu, a pracodawca nie określa jej samodzielnie. Nowe przepisy obligują go do konsultacji procedury z:
- zakładową organizacją związkową (lub kilkoma, jeśli w zakładzie działa ich więcej niż jedna);
- przedstawicielami osób świadczących pracę na rzecz podmiotu prawnego, jeżeli w zakładzie nie działa żadna organizacja związkowa.
Procedura ochrony sygnalistów zaczyna obowiązywać z upływem 7 dni od dnia podania jej do wiadomości osób wykonujących pracę na rzecz podmiotu prawnego w sposób przyjęty w zakładzie. Mając na względzie docelową skalę prowadzenia działalności przez firmy objęte regulacją, zwykle będzie to wewnętrzna sieć intranet lub inne, podobne rozwiązanie.
Jakie kary grożą za niewdrożenie nowych rozwiązań dotyczących sygnalistów?
Ustawodawca penalizuje nie tylko zaniedbanie wdrożenia ochrony sygnalistów, ale także inne działania naruszające przepisy ustawy. Podmiot, który nie zaimplementuje procedury wcale lub też zrobi to z istotnym naruszeniem wymogów (np. pomijając istotne elementy), podlega karze grzywny. Z kolei ujawnienie sygnalisty lub osoby, która z nią współpracuje, jest zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku. Sankcje zostały przewidziane również w przypadku utrudniania lub uniemożliwiania zgłoszenia oraz podjęcia działań odwetowych względem sygnalisty, a także zgłoszenie naruszenia z tą świadomością, że do niego nie doszło.
Wiele firm stanęło przed dylematem, w jaki sposób prawidłowo wdrożyć ochronę sygnalistów. Aby mieć pewność, że stosowane procedury odpowiadają przepisom ustawy, warto skorzystać z pomocy doświadczonych specjalistów. Nasza Kancelaria pomoże opracować i wdrożyć ochronę sygnalistów z uwzględnieniem specyfiki prowadzonej przez przedsiębiorcę działalności, uwzględniając potencjalne czynniki ryzyka oraz koszty związane z implementacją.
Wdrożenie ochrony sygnalistów przez kancelarię RPMS – co oferujemy
WDROŻENIE PROCEDUR OCHRONY SYGNALISTÓW (*element obowiązkowy)
1. Opracowanie koncepcji wdrożenia wewnętrznej procedury dotyczącej ochrony sygnalistów, tj. zaprojektowanie procesu zgłaszania, przyjmowania oraz obsługi zgłoszeń potencjalnych naruszeń, ustalenie bezpiecznych i anonimowych kanałów dokonywania zgłoszeń potencjalnych naruszeń, w zależności od możliwości i stanu faktycznego organizacji.
Opracowanie koncepcji opiera się na konsultacjach prawnych z Państwem do wypracowania modelu odpowiadającego zgodności z przepisami prawa oraz stanowi faktycznemu w organizacji na dzień wdrożenia. Uwzględnienie procedur ochrony danych w ramach sygnalizacji.
Jest to odpowiedź m.in. na pytania:
- Jakie będą kanały zgłoszeń (czy spółka uruchomi platformę do dokonywania zgłoszeń)?
- Czy spółka będzie przyjmować zgłoszenia anonimowe (jak)?
- Kto będzie upoważniony do przyjmowania zgłoszeń ich weryfikacji i prowadzenia postępowania wyjaśniającego, a także podejmowania działań następczych?
- Czy spółka zleci wykonywanie części obowiązków na zewnątrz?
- Czy spółka chce rozszerzyć zagadnienia do zgłoszeń ponad ustawę?
2. Opracowanie procedury zgłoszeń wewnętrznych i dokumentacji towarzyszącej (np. rejestr zgłoszeń).
3. Opracowanie etapu konsultacji z ZOZ lub przedstawicielami pracowników oraz materiały do ogłoszenia wdrożenia procedur
SZKOLENIA Z ZAKRESU OCHRONY SYGNALISTÓW (*element opcjonalny)
Przeprowadzanie szkolenia z zakresu ochrony sygnalistów i wewnętrznych regulacji
Szkolenie dedykowane dla pracowników/współpracowników, o sposobach działania procedury i konsekwencjach, z materiałami i certyfikatami uczestnictwa. Zakładana forma: online, całość załogi, ok. 3h.
BIEŻĄCA OBSŁUGA W TEMATYCE OCHRONY SYGNALISTÓW (*element opcjonalny), w tym:
- nadzór nad procedurą i dokumentacją wewnętrzną dotyczącą ochrony sygnalistów,
- przeprowadzanie wewnętrznych audytów dotyczących realizacji obowiązków w zakresie whisteblowing oraz funkcjonowania kanału zgłoszeń,
- doradztwo w zakresie obsługi zgłoszeń nieprawidłowości oraz pomoc w wyznaczeniu osoby/zespołu do obsługi zgłoszeń,
- kompleksowe wsparcie w wyjaśnianiu potencjalnych naruszeń zgłaszanych przez sygnalistów.
Pytania i odpowiedzi
Jest to możliwe, ale wymaga zawarcia ze stosownym podmiotem umowy powierzenia przyjmowania zgłoszeń, potwierdzania takich przyjęć, przekazywania informacji zwrotnej oraz dostarczania informacji na temat zgłoszeń. Taka umowa musi również precyzować obowiązki podmiotu trzeciego na gruncie rozporządzenia RODO.
Stosownie do art. 16 ustawy o sygnalistach dokonanie zgłoszenia nie może stanowić podstawy odpowiedzialności pracownika na żadnej płaszczyźnie, włączając w to zniesławienie czy naruszenie dóbr osobistych. Warunkiem wyłączenia odpowiedzialności jest to, aby sygnalista miał uzasadnione podstawy, aby sądzić, że zgłoszenie jest zasadne. Takiej ochrony nie można się zrzec.
Ustawodawca wymaga, aby osoby legitymowane do przyjmowania zgłoszeń od sygnalistów posiadały pisemnej upoważnienie pracodawcy. Ciąży na nich ustawowy obowiązek zachowania tajemnicy w zakresie danych pozyskanych na etapie przyjmowania zgłoszenia, jego weryfikacji oraz podejmowania działań następczych, także po ustaniu podstawy prawnej dla świadczenia pracy.
Zaufali nam:
Jolanta Sylwestrzak says:
Pracodawca dał mi umowę jako wolontariusz aby nie płacić składek i do końca sierpnia otrzymałam wynagrodzenie. Za 10 dni września nie chce mi zapłacić więc co mam robić w tej sprawie gdzie się zgłosić?