Zgodnie z opublikowanym w lipcu 2022 r. projektem ustawy o ochronie osób zgłaszających naruszenia prawa (dalej: „projekt ustawy”), podmioty prywatne na których rzecz wykonuje lub świadczy pracę więcej niż 50 osób będą miały obowiązek wdrożenia wewnętrznej procedury zgłaszania naruszeń. Wdrażając wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych, podmiot wdrażający ma możliwość uwzględnienia w niej pewnych elementów fakultatywnych.
Swoboda decyzyjna pozostawiona podmiotom wdrażającym determinuje konieczność przeprowadzenia analizy, które z możliwych elementów fakultatywnych będą miały korzystny wpływ na funkcjonowanie systemu zgłaszania nadużyć. W zależności od kultury organizacyjnej oraz ostatecznego kształtu stosowanych rozwiązań mogą one zaważyć na funkcjonowaniu wewnętrznego kanału zgłoszeń (zgłoszenia anonimowe), a także wpłynąć korzystnie na budowanie kultury compliance w organizacji i wspierać działanie przedsiębiorstwa (możliwość zgłoszenia naruszenia procedur wewnętrznych i standardów etycznych).
Dlatego też przy wdrażaniu poszczególnych rozwiązań wynikających z projektu ustawy, nie warto ograniczać się do wypełnienia „wariantu minimum”.
Możliwość zgłoszenia naruszenia procedur wewnętrznych
Projekt ustawy przewiduje katalog naruszeń prawa, które pracownik powinien móc zgłosić poprzez wewnętrzny system. W zbiorze określonym w art. 3 ust. 1 projektu ustawy umieszczono takie dziedziny prawa jak m.in. zamówienia publiczne, ochrona konsumentów, ochrona środowiska i ochrona prywatności i danych osobowych [1].
Na podstawie art. 3 ust. 2 projektu ustawy – tworząc wewnętrzny system zgłaszania naruszeń prawa – podmiot wdrażający może rozszerzyć zakres jego stosowania o możliwość zgłaszania naruszeń dotyczących regulacji wewnętrznych lub obowiązujących standardów etycznych [2].
Pomimo tego, że wprowadzenie możliwości zgłaszania naruszeń regulacji wewnętrznych jest fakultatywne, w mojej ocenie warto dokonać takiego rozszerzenia.
Po pierwsze bowiem, dla budowania kultury compliance w przedsiębiorstwie niezwykle istotne jest, aby nadać regulacjom wewnętrznym odpowiednią doniosłość i pokazać, że ich przestrzeganie jest ważne. Umożliwienie pracownikom zgłaszania naruszeń procedur wewnętrznych realizuje to założenie. W zakresie raportowania nieprawidłowości, takie rozwiązanie stawia regulacje wewnętrzne na jednym poziomie z przepisami powszechnie obowiązującego prawa. Pozostawienie procedur wewnętrznych poza zakresem potencjalnych zgłoszeń daje natomiast sygnał, że ich przestrzeganie jest dla przedsiębiorcy mniej istotne.
Po drugie, pracownicy nie zawsze będą w stanie rozpoznać, czy dane naruszenie, które zaobserwowali, stanowi naruszenie przepisów prawa, czy wyłącznie procedury wewnętrznej. W interesie pracodawcy natomiast jest, aby nie musieli się oni zastanawiać nad rozróżnieniem tych kwestii i odpowiednim zakwalifikowaniem danego zachowania. Dla zapewnienia efektywności funkcjonowania systemu zgłoszeń pracownicy powinni mieć możliwość zgłoszenia wszelkich sytuacji, w których upatrują „nieprawidłowość”. Natomiast jej zaszeregowanie do kategorii naruszeń prawa lub naruszeń procedur wewnętrznych powinno być zastrzeżone dla osób posiadających odpowiednie kompetencje. Co istotne, niekiedy naruszenie procedur wewnętrznych może bowiem wygenerować dla przedsiębiorcy ryzyka większe niż naruszenia prawa – szczególnie w obszarach reputacyjnych.
Po trzecie, sygnalizowany powyżej potencjalny brak wiedzy jak zaszeregować dane zdarzenie może odstraszać potencjalnych sygnalistów. Jeśli bowiem system zgłaszania nieprawidłowości będzie dotyczył (a przy tym i chronił) wyłącznie zgłaszających naruszenia prawa, to część z potencjalnych sygnalistów może nie zdecydować się na dokonanie zgłoszenia w obawie przed błędnym zaszeregowaniem zgłoszenia, a co za tym idzie, nieobjęciem zgłaszającego ochroną. W konsekwencji, zarówno po stronie osób zgłaszających, jak i organizacji takie rozwiązanie zwiększa efektywność funkcjonowania systemu zgłoszeń. Osoba raportująca jest bowiem zwolniona z obowiązku dokonywania wstępnej analizy rodzaju zgłoszenia, natomiast organizacja zwiększa zakres przedmiotowy kwestii objętych funkcją nadzorczą realizowaną przez system compliance.
Z tych względów, tworząc wewnętrzne procedury i system zgłaszania naruszeń, warto przewidzieć w nich możliwość zgłaszania naruszeń regulacji wewnętrznych i przyznać zgłaszającym takie naruszenia ochronę tożsamą do tej, która udzielana jest w przypadku zgłoszeń naruszenia prawa.
Zgłoszenia anonimowe
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej: „Dyrektywa”), której implementacją ma być projekt ustawy przewiduje swobodę państw członkowskich w podjęciu decyzji, czy podmioty będą miały obowiązek przyjmowania zgłoszeń anonimowych [3].
Anonimowość należy odróżnić od poufności zgłoszenia. O ile poufność stanowi w zasadzie standard funkcjonowania współczesnych systemów compliance i dotyczy ograniczenia kręgu osób, które mają dostęp do informacji na temat osoby dokonującej zgłoszenia, o tyle anonimowość zakłada całkowity brak możliwości identyfikacji osoby dokonującej zgłoszenie. W konsekwencji, umożliwienie dokonywania zgłoszeń anonimowych wymusza wdrożenie odpowiednich narzędzi w zakresie kanałów komunikacji (np. zastosowanie oprogramowania szyfrującego i usuwającego wszelkie dane, umożliwiające zidentyfikowanie osoby raportującej).
W projekcie ustawy, polski ustawodawca nie zdecydował się na zobowiązanie podmiotów do przyjmowania zgłoszeń anonimowych, a jedynie zapewnił, że osoby, które dokonają zgłoszenia anonimowego a następnie ujawnią swoją tożsamość (albo zostaną zidentyfikowane) będą podlegać ochronie wynikającej z projektowanej ustawy.
Takie rozwiązanie, choć spełniające wymogi Dyrektywy, powoduje, że w rzeczywistości bardzo duża część naruszeń może nigdy nie zostać zgłoszona. Z danych dostępnych w raportach na temat funkcjonowania systemów compliance w organizacjach wynika bowiem, że prawie 75% zgłoszeń, to zgłoszenia anonimowe [4]. Statystyka ta wynika głównie z faktu, że obawa przed działaniami odwetowymi może być dla pracowników paraliżująca.
Z tych względów, projektując procedurę zgłaszania naruszeń prawa i działań następczych, warto przewidzieć możliwość dokonywania anonimowych zgłoszeń i zapewnić odpowiednie narzędzia techniczne, które będą umożliwiały dokonywanie takich zgłoszeń. Projekt ustawy nie ogranicza takiej możliwości.
Należy bowiem mieć na względzie, że w toku postępowania wyjaśniającego anonimowy zgłaszający będzie mógł – w oparciu o zbudowane zaufanie – ujawnić swoją tożsamość. Można natomiast mieć pewność, że dla części zgłaszających podjęcie już na wstępie decyzji o ujawnieniu nieprawidłowości połączonym z ujawnieniem swojej tożsamości będzie stanowiło barierę nie do przejścia.
Przypisy:
[1] W katalogu tym nie znalazły się naruszenia z zakresu prawa pracy ani bezpieczeństwa i higieny pracy, przy czym należy mieć nadzieję, że ta kwestia zostanie zmieniona w toku dalszych prac nad projektem ustawy.
[2] W przypadku takiego rozszerzenia zakresu przedmiotowego dokonywanych zgłoszeń, nie będą miały do niego zastosowania rozdziały projektu ustawy dotyczące zgłoszeń zewnętrznych i ujawnienia publicznego.
[3] W zakresie, w którym taki obowiązek nie wynika z już obowiązujących przepisów tj. przepisów AML, prawa bankowego i ustawy o ofercie publicznej, które wprowadzają obowiązek ustanowienia anonimowych kanałów zgłaszania naruszeń.
[4] Dane za PwC: https://www.pwc.pl/pl/pdf/sygnalista-po-polsku-poradnik-pwc.pdf
Napisz do autora:
Magdalena Gutowska
adwokat
Senior Associate
Approved Compliance Expert (ACE)
Approved Whistleblowing Officer
