Ustawa o sygnalistach – Przepisy ogólne

Ustawa regulująca zagadnienia dotyczące ochrony sygnalistów powinna obowiązywać od 17 grudnia 2021 roku. Wtedy właśnie minął termin jakie UE wyznaczyła państwom członkowskim na implementacje Dyrektywy 2019/1937 z dnia 23 października 2019 roku. Pierwszy projekt ustawy przygotowany przez Ministerstwo Rodziny i Polityki społecznej pojawił się jednak dopiero 14 października 2021 roku, czyli na dwa miesiące przed upływem terminu. Można było odnieść wrażenie, że został przygotowany na szybko, bez odpowiedniego przemyślenia. Projekt został poddany konsultacjom publicznym, a jako że dotyczy praktycznie całego rynku pracy w Polsce, wiele podmiotów, instytucji, różnego rodzaju związków i organizacji zgłosiło do niego swoje zastrzeżenia. Pół roku później otrzymujemy nowy projekt, który jest wynikiem tych konsultacji. Wiele rzeczy zostało poprawionych i doprecyzowanych, niestety jest w nim kilka zapisów, które moim zdaniem spowodują tyle, że realizacja celów, które zakładała Dyrektywa UE, będzie niemożliwe.

Przejdźmy jednak do analizy projektu, bo nie ma co liczyć, żeby się zmienił ponownie. Ministerstwo ma świadomość ogromnego opóźnienia i myślę, że ustawa zostanie przyjęta w takim brzmieniu. Można się jednak spodziewać, że po pierwszym okresie obowiązywania doczekamy się nowelizacji, pewnie nie jednej.

Co reguluje ustawa?

  • Warunki objęcia ochroną zgłaszającego
  • Środki ochrony
  • Zasady dotyczące zgłoszeń wewnętrznych i podejmowania działań następczych
  • Zasady dokonywania zgłoszeń zewnętrznych i właściwość organów publicznych
  • Zasady dotyczące ujawnienia publicznego

Przydatne terminy

Na początek należy przytoczyć kilka terminów opisanych w art. 2 projektu ustawy. Nie będę omawiał wszystkich, a tylko te niezbędne do zrozumienia dalszych zapisów. Trzeba też wspomnieć o jednym terminie, którego ewidentnie brakuje w projekcie, a mianowicie „sygnalisty”, ustawodawca pozostał przy „osobie zgłaszającej naruszenia prawa”, a przecież „sygnalista” to termin już rozpowszechniony i zrozumiały. Jest to zmarnowana szansa, żeby jasno wskazać różnice między sygnalistą, a donosicielem. Więcej na ten temat piszę w:

Kim NIE jest sygnalista!

Zgłoszenie – dokonane ustnie, w postaci papierowej lub elektronicznej, przekazane zgodnie z wymogami ustawy.

Informacja o naruszeniu prawa – będzie to każda informacja, a nawet uzasadnione podejrzenie dotyczące faktycznego lub potencjalnego naruszenia prawa w organizacji, z którą zgłaszający utrzymuje jakikolwiek kontakty w kontekście związanym z pracą. Będzie to także informacja o próbie ukrycia takiego naruszenia.

Kontekst związany z pracą – Informacje o których mowa wyżej, muszą zostać uzyskane w związku z wykonywaniem pracy na podstawie stosunku pracy lub każdego innego stosunku prawnego, którego celem jest świadczenie pracy, usług lub pełnienia funkcji na rzecz danego podmiotu.

Działania odwetowe – są to wszystkie (pośrednie i bezpośrednie) działania lub zaniechania w kontekście związanym z pracą, które są spowodowane zgłoszeniem, a równocześnie naruszają lub mogą naruszać prawa zgłaszającego. Należy przez to rozumieć po prostu wszelkie działania mające negatywny skutek dla zgłaszającego. Wyszczególnione zostało, że dotyczy to również wszczynania uciążliwych postępowań przeciwko zgłaszającemu.

W definicji ustawowej jest też mowa o tym, że są to działania, które mogą wyrządzić lub wyrządzają „nieuzasadnioną szkodę” zgłaszającemu. Nie potrafię sobie jednak wyobrazić sytuacji, w której wyrządzenie szkody byłoby uzasadnione.

Działania następcze – to działania podjęte przez podmiot prawny (pracodawcę) lub organ publiczny, w celu weryfikacji faktów zawartych w zgłoszeniu, zapobieganiu naruszeniom lub naprawienia szkód jakie to naruszenie prawa spowodowało.

W ramach działań następczych możemy wyróżnić np.

  • Postępowanie wyjaśniające
  • Kontrola lub postępowanie administracyjne
  • Windykacja środków finansowych

Informacja zwrotna – informowanie zgłaszającego na temat planowanych lub podjętych działań następczych oraz powodach tych działań.

Podmiot prawny – Zawiera w sobie zarówno podmioty prywatne jak i publiczne. Aby zrozumieć, jakie organizacje będą podlegały zapisom omawianej ustawy musimy dokładnie wyjaśnić co się kryje pod terminami podmiot publiczny i prywatny.

Podmiot prywatny

  • Osoba fizyczna prowadząca działalność gospodarczą.
  • Osoba prawna
    • Spółki kapitałowe – akcyjne i z o.o.
    • Spółdzielnie
    • Stowarzyszenia
    • Związki zawodowe
    • Fundacje
    • Kościoły
    • Związki wyznaniowe
  • Jednostka organizacyjna nie posiadająca osobowości prawnej, lecz posiadająca zdolność prawną na mocy ustawy:
    • Spółki jawne, partnerskie, komandytowe, komandytowo-akcyjne
    • Wspólnota mieszkaniowa
    • Spółka akcyjna w organizacji
    • Stowarzyszenie zwykłe

Podmiot publiczny – definicję podmiotu publicznego zaczerpnięto z art. 3 ustawy o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego z dnia 11 sierpnia 2021 roku (Dz. U. poz.1641).

Jeśli podmiot jest finansowany z budżetu państwa, podlega administracji publicznej lub organom samorządu terytorialnego to prawie na pewno mieści się w definicji podmiotu publicznego i w związku z tym podlega przepisom tej ustawy.

Zgłoszenie wewnętrzne – to zgłoszenie dokonane do podmiotu prawnego w ramach wewnętrznej procedury.

Zgłoszenie zewnętrzne – dokonane do Rzecznika Praw Obywatelskich lub innego organu publicznego.

Ujawnienie publiczne – ujawnienie informacji o naruszeniu prawa bezpośrednio opinii publicznej

Zakres przedmiotowy – co można zgłaszać?

Według projektu naruszeniem prawa, które podlega zgłoszeniu jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa dotyczące następujących dziedzin:

  • Zamówienia publiczne
  • Usługi, produkty i rynki finansowe
  • Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu
  • Bezpieczeństwo produktów i ich zgodności z wymogami
  • Bezpieczeństwo transportu
  • Ochrona środowiska
  • Ochrona radiologiczna i bezpieczeństwo jądrowe
  • Bezpieczeństwo żywności i pasz
  •  Zdrowie i dobrostan zwierząt
  • Zdrowie publiczne
  • Ochrona konsumentów
  • Ochrona prywatności i danych osobowych
  • Bezpieczeństwo sieci i systemów teleinformatycznych
  • Interesów finansowych RP oraz UE
  • Rynku wewnętrznego UE, w tym unijnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych

Katalog ten jest powtórzeniem zakresu minimum z dyrektywy UE. Są to kategorie ogólne i można do nich będzie przypasować całe spektrum różnych nadużyć. Szkoda jednak, że ustawodawca nie zdecydował się rozszerzyć tego katalogu o naruszenia Kodeksu i Pracy i wprost nie dopisał przestępstw pospolitych. Wprowadzane rozwiązania mają na celu zachęcić pracowników do zgłaszania naruszeń prawa, co pozwoli sprawniej je wykrywać i przeciwdziałać ich negatywnym skutkom. O ile zrozumiałe jest, że Państwu zależy na wykrywaniu naruszeń w tych kluczowych sektorach, to jednak dla wielu podmiotów powyższe kategorie nie mają żadnego znaczenia, a dla ich pracowników są to terminy abstrakcyjne. Bardzo trudno będzie wytłumaczyć pracownikom co mogą zgłaszać. Jeśli organizacja zdecyduje się przekazać informację minimum i np. w wewnętrznej procedurze napisze, że pracownicy mogą zgłaszać naruszenia prawa dotyczące tych działów, to będzie zgodne z wymogami ustawy, ale w większości przypadków sprawi, że będzie to procedura niezrozumiała.

Istnieje jednak furtka, dla tych organizacji, które będą chciały realnie korzystać z wewnętrznego systemu dla sygnalistów, czerpać z niego korzyści i chronić się przed nadużyciami, a nie tylko wprowadzić papierowe, pozorne rozwiązania.

Ustawa mówi, że podmiot prawny może dodatkowo ustanowić zgłaszanie naruszeń dotyczących regulacji wewnętrznych lub standardów etycznych. Dzięki temu do procedury wewnętrznej można dodać możliwość zgłaszania wszystkich istotnych z punktu widzenia organizacji nieprawidłowości. Naruszenia regulaminu pracy, zasad bhp, konflikt interesów, sytuacje korupcyjne, oszustwa i kradzieże na szkodę pracodawcy, przypadki mobbingu, molestowania, dyskryminacji etc. Jeśli obecnie w organizacji brak jest regulaminów, czy odpowiednich polityk to nic prostszego jak stworzyć bardzo ogólny Kodeks postępowania, który w prosty sposób przekazuje wartości i zasady panujące w firmie. Wtedy wystarczy rozszerzyć katalog możliwych do zgłaszania naruszeń o przypadki łamania tego kodeksu.

Co ważne, jeśli organizacja w ten sposób rozwiąże tę kwestię, to może być pewna, że wrażliwe informacje pozostaną wewnątrz, gdyż ustawodawca zastrzega, że w przypadku tych dobrowolnie dodanych naruszeń nie będzie można skorzystać ze zgłoszenia zewnętrznego, czy ujawnienia publicznego. Będę namawiał do tego wszystkich naszych klientów. Jeśli i tak już musimy wdrożyć system, poświęcić na to czas i ponieść koszty, to niech spełnia on swoją rolę i przynosi korzyści w postaci wykrywania nadużyć i przeciwdziałania startom jakie powodują.

Zakres podmiotowy – Kto może zgłaszać

Zgłoszenia (wewnętrzne, zewnętrzne, ujawnienie publiczne), na zasadach opisanych w ustawie, mogą być dokonywane przez każdą osobę fizyczną, o ile informacja została uzyskana w kontekście związanym z pracą. W szczególności będą to:

  • Pracownicy
  • Pracownicy tymczasowi
  • Osoby świadczące pracę na podstawie umów cywilnoprawnych
  • Przedsiębiorcy
  • Akcjonariusze i wspólnicy
  • Członkowie organów osób prawnych
  • Wykonawcy, podwykonawcy oraz dostawcy
  • Stażyści wolontariusze
  • Praktykanci
  • Funkcjonariusze Policji, ABW, AW, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, CBA, Straży Gnomicznej, Straży Marszałkowskiej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Więziennej oraz ich rodzin
  • Żołnierze zawodowi

Dodatkowo trzeba również pamiętać, że zgłoszeń dokonywać mogą osoby, które dopiero zamierzają nawiązać lub już zakończyły stosunek pracy lub inny polegający na świadczeniu usług lub pełnieniu funkcji w danym podmiocie. Oznacza to, że ustawie podlegają również kandydaci do pracy, przyszli kontrahenci lub dostawcy, którzy mogli uzyskać informacje na temat naruszeń prawa podczas procesu rekrutacyjnego lub negocjacji umowy o współpracę. Nietrudno sobie wyobrazić, że może to dotyczyć na przykład sytuacji korupcyjnych lub konfliktu interesów występującego podczas prowadzeniu wyboru współpracowników, dostawców… Druga grupa, czyli osoby, które zakończyły współpracę z danym podmiotem też mogą posiadać wiele istotnych informacji, a ustanie stosunku zależności może być impulsem do podzielania się swoją wiedzą.

Podsumowując, krąg osób uprawnionych do dokonania zgłoszenia, którym będzie przysługiwała w związku z tym ochrona, jest bardzo szeroki. Należy o tym pamiętać budując wewnętrzny system dla sygnalistów, bo jeśli jakieś grupy nie zostaną w nim ujęte, najprawdopodobniej skorzystają z możliwości jakie im dają zgłoszenie zewnętrzne oraz ujawnienie publiczne.

Wyłączenia

Przepisów ustawy nie stosuje się w stosunku do informacji objętych:

  • Przepisami o ochronie informacji niejawnych
  • Tajemnicą lekarską lub tajemnicą zawodową prawników
  • Tajemnicą narady sędziowskiej
  • Postępowaniem karnym – tajemnica rozprawy

Wyłączone zostają też naruszenia prawa w zakresie zamówień publicznych w dziedzinach obronności i bezpieczeństwa.

Warunki objęcia ochroną

Podstawowym warunkiem objęcia sygnalisty ochroną jest działanie w dobrej wierze. Oznacza to, że zgłaszający w momencie dokonywania zgłoszenia musi mieć uzasadnione przekonanie, że informacje, które przekazuje są prawdziwe i dotoczą naruszenia prawa.

Sygnalista nie musi posiadać ani przedstawiać żadnych dowodów na potwierdzenie zgłaszanych informacji i nie musi wykazać, że przytaczane sytuacje są rzeczywiście naruszeniem prawa (może nie mieć dostatecznej wiedzy i doświadczenia, żeby to ocenić). Wystarcza uzasadnione przekonanie, że tak właśnie jest. Biorąc pod uwagę obiektywne przesłanki, będzie można stwierdzić, czy w danym momencie sygnalista działał w dobrej, czy złej wierze.  

Drugim, niezbędnym warunkiem objęcia ochroną jest uzyskanie tych informacji w kontekście związanym z pracą. Wcześniej już dość dokładnie wytłumaczyłem na czym to polega.

Trzecim, dokonanie zgłoszenia w trybie przewidzianym przez ustawę. Wykorzystując zgłoszenie wewnętrzne, na zasadach określonych w wewnętrznej procedurze. Lub zgłoszenie zewnętrzne i ujawnienie publiczne na zasadach kreślonych w ustawie.

Czwartym, podanie swoich danych osobowych, ale czy na pewno?

Zgłoszenia anonimowe

Ustawodawca nie zdecydował się wprowadzić obowiązku rozpatrywania zgłoszeń anonimowych. Oznacza to, że do skutecznego dokonania zgłoszenia wewnętrznego lub zewnętrznego i uzyskania ochrony sygnalista musi podać swoje dane. Podmiot prawny, RPO, ani organ publiczny nie mają obowiązku rozpatrywać takich zgłoszeń!

W mojej ocenie, jest do wielka wada tego projektu. Chciałbym w związku z tym krótko odnieść się do argumentów jakie pojawiają się w uzasadnieniu do projektu ustawy. Czytamy tam, że zgłoszenia anonimowe niosą za sobą „ryzyko nadmiernego wpływu informacji przypadkowych i o niskiej wartości”. Z mojego doświadczenia przy monitorowaniu funkcjonujących systemów wewnętrznych, jak i z dostępnej literatury oraz badań, nie wynikają takie wnioski. Odpowiednie przeszkolenie pracowników, prowadzenie skutecznej akcji informacyjnej i stworzenie jasnej procedury wewnętrznej sprawiają, że pracownicy nie nadużywają systemu do dokonywania niepoważnych zgłoszeń. W polskich realiach największym wyzwaniem jest przekonanie pracowników, żeby korzystali z możliwości zgłaszania. Brak anonimowości, czyli poczucia bezpieczeństwa sprawią, że większość poważnych zgłoszeń, w ogóle nie dojdzie do skutku.

Kolejnym argumentem ustawodawcy przeciwko zgłoszeniom anonimowym jest trudność w nawiązaniu kontaktu z anonimowym sygnalistą, jeśli informacje są niepełne. Większość dostępnych na rynku systemów ma funkcjonalność pozwalającą prowadzić dialog z anonimową osobą. Zależy to oczywiście od woli zgłaszającego, tak samo jest, gdy poda swoje dane, nie oznacza to przecież, że można go zmusić do dalszej współpracy.

Dodatkowo bardzo często jest tak, że tylko pierwsze zgłoszenie jest anonimowe, ale w trakcie wyjaśniania sprawy, gdy sygnalista widzi, że ktoś rzeczywiście zajmuje się jego sprawą, a zapisy procedury wewnętrznej są realizowane, decyduje się podać swoje dane i aktywnie współpracuje z pracodawcą.

Kolejne argumenty przytoczę dosłownie, bo wydają mi się kuriozalne:

  • „anonimowe doniesienia (sic!) mogą prowadzić do koncertowania uwagi na informatorze i podejrzeń, że złożył doniesienie (sic!) w złej wierze”
  • „organizacja musi liczyć się z ryzykiem stworzenia środowiska, w którym anonimowe, wrogie doniesienia (sic!) staną się normą”.
  • „atmosfera w organizacji może ulec pogorszeniu, gdy pracownicy będą mieć świadomość, że w każdej chwili ktoś może złożyć na nich anonimowe doniesienie (sic!)”

Autorzy tych opinii w ogóle nie rozumieją sensu wprowadzanych rozwiązań. Właściwe moglibyśmy z tych zdań usunąć słowo „anonimowe” i nadal wydźwięk będzie taki sam. Wprowadzanie sytemu, pozwalającego zgłaszać cokolwiek, będzie niosło ryzyko zepsucia atmosfery w pracy. Już samo użycie słowa „doniesienie” pokazuje stosunek autorów do tematu. Dlatego tak szkoda, że ustawodawca nie zdecydował się wprowadzić do ustawy terminu „sygnalista” i w ten sposób pokazać pozytywne cechy osób, które decydują się w dobrej wierze informować o naruszeniach prawa.

Wyobrażam sobie też, że brak obowiązku rozpatrzenia zgłoszenia anonimowego przez pracodawcę czy organ publiczny spowoduje, że sfrustrowany sygnalista ujawni swoje informacje publicznie, nawet jeśli nie będzie mu to gwarantowało ochrony.

Do tego wszystkiego pojawia się art. 7 projektu, który mówi, że „Jeżeli informacja o naruszeniu prawa została anonimowo zgłoszona podmiotowi prawnemu, RPO lub organowi publicznemu lub ujawniona publicznie, a następnie doszło do ujawnienia tożsamości zgłaszającego i doświadczył on działań odwetowych, przepisy rozdziału 2 (opisuje środki ochrony) stosuje się, jeżeli zostały spełnione warunki określone w art. 6 (dobra wiara).”

Oznacza to, że jednak sygnalista może liczyć na ochronę, w przypadku zgłoszenia anonimowego, jeśli tylko dokonał zgłoszenia w dobrej wierze i w związku z tym spotkał się z działaniami odwetowymi! Oczywiście takie przypadki będą niezwykle rzadkie, bo po prostu procedura wewnętrza, czy zasady przyjmowania i rozpatrywania zgłoszeń określone przez organy publiczne nie będą przewidywały możliwości zgłoszenia anonimowego.

Na koniec tych rozważań, warto jeszcze zwrócić uwagę art. 54 z rozdziału 6, który zawiera sankcje karne dla osób, które świadomie (intencjonalnie) dokonały zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji. Są to kara grzywny, kara ograniczenia wolności lub pozbawienia wolności do lat 3. Warto zwrócić na to uwagę pracowników, zamieścić odpowiedni zapis w wewnętrznej procedurze i wykorzystać podczas szkoleń i w materiałach edukacyjnych. Powinno być to odstraszające dla wszystkich, którzy będą chcieli dokonać fałszywego zgłoszenia, czy anonimowo, czy jawnie.

Ochrona danych osobowych

Główna zasada mówi, że dane sygnalisty, które pozwalają na ustalenie jego tożsamości, oraz inne informacje zawarte w zgłoszeniu, na podstawie których można bezpośrednio lub pośrednio zidentyfikować sygnalistę nie podlegają ujawnieniu, chyba że sam się na to zgodzi.

Wyjątkiem od tej zasady jest przypadek, gdy takie ujawnienie jest obowiązkiem wynikającym z przepisów prawa w kontekście prowadzonych przez organy publiczne postępowań wyjaśniających lub inny organ, postępowań sądowych, które mają zagwarantować prawo do obrony osobie, która została oskarżona o naruszenie przepisów prawa.

W takiej sytuacji należy powiadomić zgłaszającego o tym fakcie i podać powody ujawnienia, chyba że miałoby to zagrozić postępowaniu, co zawsze może być argumentem, żeby jednak tej informacji nie udzielać.

Po otrzymaniu zgłoszenia, podmiot prawny, RPO lub organ publiczny zbiera i przetwarza dane osoby w zakresie niezbędnym do realizacji celów ustawy. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia nie są zbierane, a w razie przypadkowego zebrania, są niezwłocznie usuwane. I tutaj pojawia się problem. Kto będzie decydował o tym, czy zebrane dane mają znaczenie i czy należy je usunąć. Pojawia się tu ryzyko naruszenia integralności treści zgłoszenia i dużej dowolności w usuwaniu jego części. Jeśli damy możliwość edytowania zgłoszeń, jaką mamy pewność, że nie będzie to nadużywane. Co jeśli w przypadku ewentualnego sporu, sygnalista będzie podnosił, że zgłosił coś innego, albo znacznie więcej i właśnie z powodu tego zgłoszenia był ofiarą działań odwetowych?

Ustawa przewiduje wyłączenie obowiązku informowania osoby, której dotyczy zgłoszenie na temat źródła pozyskania tych informacji o ile sygnalista działał w dobrej wierze.

Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia i prowadzenia działań następczych, mogą być przechowywane przez Podmiot prawny i organ publiczny nie dłużej niż przez okres 15 miesięcy od dnia zakończenia działań następczych. Dla RPO będzie to natomiast okres 12 miesięcy od przekazania zgłoszenia do organu publicznego odpowiedzialnego z przeprowadzenie działań następczych.

Trzeba mieć na uwadze, że termin 15 miesięcy zaczyna biec dopiero od zakończenia działań następczych, czyli definitywnym zakończeniu sprawy. Ustawa mówi też, że o przechowywaniu danych „nie dłużej niż 15 miesięcy”. Można w takim razie uznać, że usunięcia danych można dokonać w dniu zakończenia sprawy.

To tylko pierwsza część cyklu, w którym postaram się dokonać całościowej analizy projektu ustawy o ochronie osób zgłaszających naruszenia prawa. W następnym artykule omówię Rozdział 2, który traktuje o Zakazie działań odwetowych i środkach ochrony jakie przysługują sygnalistom.

Autor: Jakub Niemoczyński 🔹 Radca Prawny🔹 Aprooved Complinace Expert 🔹 Dyrektor Generalny SafeLink

Podobne artykuły:

Problemy, których nie widać
System dla sygnalistów - Wsparcie dla HR
Whistleblowing – korzyści dla firmy