Przedsiębiorcy powinni zacząć już myśleć nad budowaniem specjalnych wewnętrznych systemów zgłaszania im przez zatrudnionych przypadków naruszania prawa, narażającego firmę na spory z urzędami, fiskusem, a w konsekwencji na sankcje. Co ważne, muszą stworzyć do tego takie warunki, aby do informowania o nieprawidłowościach nie zraziła nikogo obawa przed jakąkolwiek formą zemsty – przed przykładowo bezpodstawnym pogorszeniem warunków zatrudnienia, pozbawieniem awansów czy wręcz rozwiązaniem stosunku pracy albo innej umowy, a także podważaniem wiarygodności i oczernianiem. Autorzy sygnałów o „podejrzanych” praktykach mają być przed ewentualnymi represjami chronieni. Pracodawca nie może do nich dopuścić, inaczej sam poniesie przykre konsekwencje.
Kogo to dotyczy
Kwestie te będą uregulowane ustawowo przez wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii. Jej głównym celem jest właśnie ochrona ludzi sygnalizujących nieprawidłowości w funkcjonowaniu firm. Sygnalistą może być przede wszystkim pracownik, ale nie tylko – może być nim też osoba zatrudniona i związana z firmą na innej podstawie, a więc m.in. stażysta, członek zarządu, menedżer, wspólnik czy przedstawiciel podwykonawcy, dostawcy.
Dyrektywa przewiduje wprowadzanie tych zasad etapowo. Najpierw do jej wymagań mają dostosować się największe firmy. Pierwsi do obowiązków związanych z zapobieganiem ryzyku naruszeń prawa poprzez raportowanie takich nadużyć (coraz częściej eksperci używają na to określenia whistleblowing) powinni zacząć przygotować się pracodawcy zatrudniający co najmniej 250 osób. I wydaje się, że mają na to czas w zasadzie do końca roku, aczkolwiek nie są jeszcze znane szczegóły ani dokładny harmonogram. Pod koniec ubiegłego roku premier wyznaczył do przeprowadzenia prac wdrożeniowych Ministerstwo Rozwoju, Pracy i Technologii. Na razie jednak nie przedstawiono odpowiedniego projektu ustawy. Trzeba też wiedzieć, że dyrektywa daje krajom członkowskim prawo przyjęcia rozwiązań korzystniejszych.
Do grudnia 2023 r. nowe przepisy unijne mają objąć przedsiębiorstwa zatrudniające od 50 do 249 osób. W niektórych sektorach regulacje te mają być stosowane niezależnie od liczby zatrudnionych, czyli nawet w podmiotach liczących mniej niż 50 pracowników. Dotyczy to m.in. firm prowadzących działalność w branży usług finansowych, a także narażonych na ryzyko związane z praniem brudnych pieniędzy.
Co do zgłoszenia
Dyrektywa nie obejmuje wszelkiego rodzaju zgłoszeń o nieprawidłowościach, lecz sygnały o naruszeniu interesów finansowych Unii Europejskiej oraz zasad rynku wewnętrznego. Ponadto dotyczy nieprzestrzegania i łamania prawa w określonych sferach, m.in. w zamówieniach publicznych, ochronie środowiska, zdrowiu publicznym, ochronie konsumentów i wspomnianych usługach finansowych.
– Wymienione w dyrektywie rodzaje naruszeń stanowią minimum zakresu ochrony. To oznacza, że Polski ustawodawca w ustawie wdrażającej unijne regulacje może zawrzeć przepisy chroniące również sygnalistów zgłaszających naruszenia występujące w innych dziedzinach – mówi Magdalena Wilkoszewska, radca prawny, dyrektor działu prawa pracy w TGC Corporate Lawyers.
Wyjaśnia, że – jak wynika z analizy dyrektywy – zgłoszenia mogą dotyczyć np. nieprawidłowości księgowych lub podatkowych, zachowań korupcyjnych czy niewłaściwej ochrony danych osobowych. Mogą być to też sprawy związane z nieprzestrzeganiem zasad ochrony środowiska czy bezpieczeństwa produktów.
Warto przypomnieć, że nie tylko te przepisy mają regulować obowiązek chronienia sygnalistów przed działaniami represyjnymi. Nie przesądzono jeszcze np. o losach przygotowanego przez resort sprawiedliwości projektu nowej ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione, która wymagałaby od firm należytej staranności w przestrzeganiu prawa i reagowaniu na zgłaszane nieprawidłowości. Rozwiązania tam przewidziane to niemal kalka tego, czego wymaga omawiana tu dyrektywa – zarówno co do obowiązku stworzenia ścieżek przepływu takich sygnałów, jak i chronienia ich autorów.
– Pracodawcy objęci dyrektywą zostaną zobowiązani do opracowania procedur i utworzenia wewnętrznych kanałów bądź dostosowania już istniejących, które umożliwiają zgłaszanie naruszeń z jednoczesnym zapewnieniem ochrony danych osobowych sygnalisty. Taki kanał ma być niezależny i autonomiczny, a więc powinien być zaprojektowany i obsługiwany w sposób zapewniający kompletność, integralność i poufność informacji. Musi być zabezpieczony przed dostępem nieupoważnionych osób – podkreśla Magdalena Wilkoszewska.
Dr Beata Baran, radca prawny w kancelarii BKB Baran Książek Bigaj, mówi, że w pierwszym etapie przygotowania firmy do nowych obowiązków należy stworzyć także zasady prowadzenia wewnętrznych postępowań wyjaśniających sygnalizowane naruszenia, których nie można pozostawić bez żadnej reakcji.
– Kolejny krok to przygotowanie infrastruktury pozwalającej na przekazywanie raportów. Istotnym elementem wdrożenia systemu whistblowingu jest odpowiednie przeszkolenie personelu, któremu zostaną udostępnione kanały zgłaszania nieprawidłowości. Edukacja załogi to proces, więc przygotowując się do stosowania tych procedur warto zadbać o merytoryczną kampanię informacyjną oraz materiały edukacyjne i szkoleniowe. Kluczowe znaczenie ma także dobór adresata przyjmującego raporty i osób lub podmiotów prowadzących postępowania wyjaśniające – zwraca uwagę dr Beata Baran.
Zgłoszenia będzie można przekazywać na piśmie lub ustnie – w trakcie rozmowy telefonicznej, poprzez inny system komunikacji głosowej lub podczas spotkania. Pracodawca powinien wybrać odpowiedni sposób umożliwiający zgłaszanie naruszeń i w tym celu może np. stworzyć specjalny adres mailowy, numer telefonu lub aplikację.
Jest sygnał, co dalej
– Pracodawca będzie musiał poinformować sygnalistę o przyjęciu jego zgłoszenia, o sposobie jego rozpoznania lub o dalszym procedowaniu. W razie stwierdzenia naruszeń w funkcjonowaniu firmy będzie ona zobowiązana do podjęcia działań następczych, w tym np. przekazania sprawy do odpowiednich organów państwowych lub wszczęcia postępowania dyscyplinarnego wobec osoby odpowiedzialnej za naruszenie. Ponadto dyrektywa wymaga prowadzenia rejestru zgłoszeń oraz przechowywania ich przez określony czas – informuje przedstawicielka TGC Corporate Lawyers.
Przestrzega przy tym, że za niezapewnienie właściwej ochrony sygnalistom, utrudnianie im zgłoszeń lub podejmowanie działań odwetowych firmom będą groziły sankcje. Ich ustanowienie na poziomie lokalnym, czyli krajowym, leży w gestii poszczególnych państw UE.
Magdalena Wilkoszewska podpowiada, że rozpatrywanie sygnałów o nieprawidłowościach można zlecić zarówno osobom z firmy, jak i zewnętrznym wyspecjalizowanym podmiotom.
– Myślę, że przedsiębiorcy staną przed dylematem, czy lepiej opłacić własnych pracowników kierowanych do takich zadań, czy zlecić je na zewnątrz – mówi dr Beata Baran.
Jej zdaniem taką obsługą mogą zajmować się kancelarie prawne objęte tajemnicą zawodową. Ponadto obsługę kanałów dla sygnalistów można powierzyć firmom dostarczającym oprogramowanie. Radca zwraca uwagę, że takie podmioty powinny mieć doświadczenie w kwestiach whistleblowingu. Poufność prowadzenia postępowań wymaga bowiem znajomości nie tylko norm prawnych, ale także know-how samych działań operacyjnych.
Firmy zobowiązane do stosowania wymagań dyrektywy muszą uwzględnić w swoich budżetach także inne związane z tym wydatki.
– To koszty opracowania wewnętrznych regulacji prawnych związanych z funkcjonowaniem systemu whistleblowingu i operacyjnego wdrożenia kanałów zgłaszania nieprawidłowości – wyjaśnia dr Beata Baran.
Jak ocenia, najbardziej kosztochłonny będzie pierwszy etap przygotowania firmy do nowych obowiązków. Późniejsze wydatki będą związane z obsługą zgłoszeń naruszeń i prowadzeniem postępowań wyjaśniających.