Zapraszamy do lektury drugiej części artykułu poświęconego nowym przepisom o zgłaszaniu nieprawidłowości. Tym razem analizujemy środki ochrony sygnalistów, a także omawiamy procedury zgłaszania nieprawidłowości i wyjaśniamy, czym są działania zastępcze.
Zakaz działań odwetowych
Działanie odwetowe to bezpośrednie lub pośrednie działanie lub zaniechanie mające miejsce w kontekście związanym z pracą, które jest spowodowane zgłoszeniem wewnętrznym lub zewnętrznym lub ujawnieniem publicznym i które wyrządza lub może wyrządzić nieuzasadnioną szkodę dla osoby dokonującej zgłoszenia.
Państwa członkowskie muszą przeciwdziałać nie tylko podejmowaniu takich działań, ale także groźbom oraz próbom podejmowania działań odwetowych.
Dyrektywa precyzuje, iż działania odwetowe w szczególności mogą przybierać formę:
- zawieszenia, przymusowego urlopu bezpłatnego, zwolnienia lub równoważnych środków;
- degradacji lub wstrzymania awansu;
- przekazania obowiązków, zmiany miejsca pracy, obniżenia wynagrodzenia, zmiany godzin pracy;
- wstrzymania szkoleń;
- negatywnej oceny wyników lub negatywnej opinii o pracy;
- nałożenia lub zastosowania jakiegokolwiek środka dyscyplinarnego, nagany lub innej kary, w tym finansowej;
- przymusu, zastraszania, mobbingu lub wykluczenia;
- dyskryminacji, niekorzystnego lub niesprawiedliwego traktowania;
- nieprzekształcenia umowy o pracę na czas określony w umowę o pracę na czas nieokreślony, w sytuacji gdy pracownik mógł mieć uzasadnione oczekiwania, że zostanie mu zaoferowane stałe zatrudnienie;
- nieprzedłużenia lub wcześniejszego rozwiązania umowy o pracę na czas określony;
- szkody, w tym nadszarpnięcia reputacji danej osoby, zwłaszcza w mediach społecznościowych, lub strat finansowych, w tym strat gospodarczych i utraty dochodu;
- umieszczenia na czarnej liście na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego, co może skutkować tym, że dana osoba nie znajdzie w przyszłości zatrudnienia w danym sektorze lub danej branży;
- wcześniejszego rozwiązania lub wypowiedzenia umowy dotyczącej towarów lub umowy o świadczenie usług;
- odebrania licencji lub zezwolenia;
- skierowania na badania psychiatryczne lub lekarskie.
Z perspektywy pracodawców istotne jest, iż państwo członkowskie jest obowiązane do ustanowienia sankcji wobec osób fizycznych lub prawnych, które:
- utrudniają lub usiłują utrudniać dokonywanie zgłoszeń;
- podejmują działania odwetowe wobec osób zgłaszających;
- wszczynają uciążliwe postępowania przeciwko osobom zgłaszającym;
- dopuszczają się naruszeń obowiązku zachowania poufności tożsamości osób dokonujących zgłoszenia.
Procedury zgłaszania nieprawidłowości
Dyrektywa zakłada, iż państwa członkowskie muszą zapewnić trzy kanały (modele) zgłaszania naruszeń:
- zgłoszenia wewnętrzne,
- zgłoszenia zewnętrzne,
- ujawnianie publiczne
Z punktu widzenia przedsiębiorców – pracodawców najważniejsze jest omówienie procedury wewnętrznego zgłaszania naruszeń.
Zgłoszenia wewnętrzne
Ustawodawca unijny daje pierwszeństwo zgłaszania naruszeń za pośrednictwem kanałów wewnętrznych, jeśli naruszeniu można skutecznie zaradzić wewnątrz organizacji, a osoba dokonująca zgłoszenia uważa, że nie zachodzi ryzyko działań odwetowych.
Ustanawia się obowiązek ustanowienia wewnętrznych kanałów dokonywania zgłoszeń. Obowiązek ten polega na tym, iż państwa członkowskie mają zapewnić, by podmioty prawne w sektorze prywatnym i publicznym ustanowiły kanały i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, po konsultacji i w porozumieniu z partnerami społecznymi, jeżeli tak przewiduje prawo krajowe.
Kogo dotyczy ten obowiązek? W przypadku sektora prywatnego dotyczy on podmiotów zatrudniających co najmniej 50 pracowników. Przy czym próg ten nie ma zastosowania wg Ustawy o sygnalistach do podmiotów z sektora usług finansowych praz przeciwdziałania praniu brudnych pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska.
Minimalne standardy wyznaczone w dyrektywie dla procedur wewnętrznego zgłaszania naruszeń to:
- kanały i procedury powinny umożliwiać pracownikom podmiotu dokonywanie zgłoszeń informacji na temat naruszeń,
- kanały dokonywania zgłoszeń mogą być obsługiwane wewnętrznie przez wyznaczoną do tego celu osobę lub wyznaczony dział lub zapewniane zewnętrznie przez osobę trzecią,
- tożsamość osoby dokonującej zgłoszenia nie może zostać ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych (obowiązek zachowania poufności),
- podmioty prowadzą rejestr wszystkich przyjętych zgłoszeń.
Co więcej, dyrektywa określa, jakie elementy musi obejmować (zatem jest to pewien minimalny standard, który państwo członkowskie może rozszerzyć) procedura na potrzeby zgłoszeń wewnętrznych i działań następczych.
Procedura ma obejmować:
- kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu;
- potwierdzenie osobie dokonującej zgłoszenia przyjęcia zgłoszenia w terminie siedmiu dni od jego otrzymania;
- wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do podejmowania działań następczych w związku ze zgłoszeniami;
- podejmowanie z zachowaniem należytej staranności działań następczych przez wyznaczoną osobę lub wyznaczony wydział;
- podejmowanie z zachowaniem należytej staranności działań następczych, jeżeli prawo krajowe przewiduje takie działania, w odniesieniu do zgłoszeń anonimowych;
- rozsądny termin na przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia;
- zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów zgodnie z art. 10 oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii.
Działania zastępcze
Działania następcze to działania podjęte przez odbiorcę zgłoszenia lub właściwy organ w celu oceny prawdziwości zarzutów zawartych w zgłoszeniu. W stosownych przypadkach celem tych działań jest zaradzenie naruszeniu będącemu przedmiotem zgłoszenia, w tym poprzez takie działania, jak dochodzenie wewnętrzne, postępowanie wyjaśniające, wniesienie oskarżenia, działania podejmowane w celu odzyskania środków lub zamknięcie procedury.
Ustawa o ochronie sygnalistów z 23 maja 2024 r.
Z punktu widzenia pracodawców najważniejsze postanowienia ustawy to te dotyczące zakresu podmiotowego (kogo będzie dotyczyć ustawa), zakresu przedmiotowego (jakiego rodzaju naruszeń będzie dotyczyła, wymogów dla procedury zgłoszeń wewnętrznych oraz sankcji za złamanie zakazu działań odwetowych.
- Ustawa obejmie ochroną osoby dokonujące zgłoszenia lub ujawnienia informacji lub uzasadnionych podejrzeń naruszenia prawa, pracujące w sektorze prywatnym lub publicznym, które uzyskały informacje na temat naruszenia w kontekście związanym z pracą. Gwarancje i środki prawne będą przysługiwały osobie dokonującej zgłoszenia naruszenia, niezależnie od podstawy i formy świadczenia pracy lub pełnienia służby (m.in. umowa o pracę, umowa cywilnoprawna, prowadzenie działalności gospodarczej przez osobę fizyczną, kontrakt menedżerski, wolontariat, staż, praktyka czy służba wojskowa),
- Ochrona zgłaszającego zostanie w istotny sposób wzmocniona na gruncie ewentualnych postępowań sądowych, m. in. poprzez odwrócenie ciężaru dowodu[1]. Analogiczne rozwiązania przewidziane zostaną w przypadku osób wykonujących prace na podstawie innego niż stosunek pracy stosunku prawnego (o ile charakter wykonywanej pracy lub służby nie wykluczy zastosowania wobec zgłaszającego takiego działania).
- Wobec dokonującego zgłoszenia wyłączone zostaną: możliwość nałożenia odpowiedzialności, w tym odpowiedzialności dyscyplinarnej lub odpowiedzialności za szkodę, z tytułu naruszenia praw innych osób lub obowiązków określonych w przepisach prawa (zniesławienia, naruszenia dóbr osobistych, praw autorskich, przepisów o ochronie danych osobowych oraz obowiązku zachowania tajemnicy, w tym tajemnicy przedsiębiorstwa).
- Wewnętrzna procedura zgłaszania naruszeń i podejmowania działań następczych będzie przedmiotem konsultacji z zakładowymi organizacjami związkowymi albo z przedstawicielami pracowników (jeśli u pracodawcy nie będą działały zakładowe organizacje związkowe).
- Minimalne standardy wewnętrznej procedury: wyszczególnienie komórek organizacyjnych lub osób przyjmujących zgłoszenia, podejmujących działania następcze i udzielających informacji zwrotnych, sposoby zgłaszania i potwierdzania przyjęcia zgłoszenia oraz terminy realizowanych czynności.
- Podmiot prawny będzie zobowiązany do przekazania informacji o procedurze zgłoszeń wewnętrznych w trakcie procesu rekrutacji (niezależnie od podstawy prawnej świadczenia pracy lub usług) – wraz z rozpoczęciem rekrutacji lub negocjacji poprzedzających zawarcie umowy.
- Ustawa określa szerszy zakres przedmiotowy „naruszenia”. Przepisy chroniące osoby zgłaszające naruszenia będą miały zastosowanie także do wszystkich naruszeń prawa w odpowiadających wymienionym w dyrektywie dziedzinach prawa krajowego, tzn.: zamówień publicznych, usług, produktów i rynków finansowych, zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa produktów, bezpieczeństwa transportu, ochrony środowiska, ochrony radiologicznej i bezpieczeństwa jądrowego, bezpieczeństwa żywności i pasz, zdrowia i dobrostanu zwierząt, zdrowia publicznego, ochrony konsumentów, ochrony prywatności i danych osobowych, bezpieczeństwa sieci i systemów teleinformatycznych.
- Ustawowa definicja naruszenia nie będzie ograniczona do przypadków, gdy w danym obszarze prawa naruszenie jest regulowane wyłącznie określonym przepisem prawa unijnego.
- Pracodawcy mogą przyjmować zgłoszenia anonimowe. Ustawa pozostawia dowolność, jeśli taka forma zgłoszenia zostanie dopuszczona, należy odpowiednio odzwierciedlić zasady przyjmowania takich zgłoszeń w wewnętrznej procedurze.
- Uniemożliwianie lub istotne utrudnianie dokonania zgłoszenia (wraz z typem kwalifikowanym polegającym na zastosowaniu przemocy, groźby bezprawnej lub podstępu), podejmowanie działań odwetowych (wraz z typem kwalifikowanym polegającym na działaniu w sposób uporczywy) oraz ujawnienie tożsamości osoby, która dokonała zgłoszenia, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą będzie podlegało sankcjom karnym. Z kolei wobec sygnalisty lub ujawniającego będzie dokonanie zgłoszenia lub ujawnienia publicznego, jeżeli wiedział, iż do naruszenia prawa nie doszło. Dodatkowo wprowadzono wykroczenie polegające na braku ustanowienia procedury zgłoszeń wewnętrznych albo ustanowieniu takiej procedury z naruszeniem wynikających z ustawy wymogów.
Podmioty przyjmujące zgłoszenia powinny pamiętać, że postępowanie z danymi zgromadzonymi w związku ze zgłoszeniem powinno być zgodne z zasadą minimalizacji danych. Przetwarzanie danych osobowych powinno odbywać się zatem w zakresie niezbędnym do weryfikacji zgłoszenia i podjęcia działań następczych. Po upływie okresu retencji zebrane dane osobowe powinny zostać usunięte, a dokumenty związane ze zgłoszeniem zniszczone. Okres retencji ulegał wielokrotnym zmianom w toku prac legislacyjnych, a wg. ostatniej wersji projektu wynosi 3 lata liczone po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. Wyjątek mają stanowić dane osobowe przetwarzane przez Rzecznika Praw Obywatelskich w związku z przyjęciem zgłoszenia zewnętrznego – w tym przypadku okres retencji wynosi 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych.
Podkreślenia wymaga, że zgodnie z komunikatem Prezesa UODO, systemy whistleblowingowe ujęte zostały w wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz ten obejmuje rodzaje przetwarzania mogące powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powyższe oznacza, że przed rozpoczęciem przetwarzania administrator danych osobowych powinien wykonać tzw. DPIA (Data Protection Impact Assessment) w zakresie procedury obsługi zgłoszeń, zgodnie z wymogami art. 35 RODO.
Ustawa o sygnalistach wejdzie w życie w terminie 3 miesięcy od dnia ogłoszenia. Biorąc pod uwagę konieczność konsultacji treści procedury wewnętrznej ze związkami zawodowymi lub przedstawicielami pracowników, pracodawcy powinni już rozpocząć prace wdrożeniowe, a bardziej zapobiegawczy, je finalizować.
Autor:
adwokat, partner
[1] Według modelu zbliżonego do obowiązującego w przepisach Kodeksu pracy w postępowaniach z tytułu naruszenia zasady równego traktowania w zatrudnieniu.