18 października 2021r, Rządowe Centrum Legislacji zaprezentowało długo wyczekiwany projekt ustawy o ochronie osób zgłaszających naruszenia prawa (dalej „Ustawa”). Akt ten, zgodnie z założeniami dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz. Urz. UE L z 2019 r. nr 305, str. 17) (dalej „Dyrektywa”), powinien wejść w życie najpóźniej do dnia 17 grudnia 2021 r. Vacatio legis ograniczono do 14 dni. Biorąc pod uwagę znaczący wpływ regulacji na otoczenie biznesowe oraz fakt, że polski biznes nie jest wystarczająco przygotowany do wdrożenia wymogów Dyrektywy, okres ten wydaje się wymagający.
Przedsiębiorcy zatrudniający przynajmniej 250 pracowników zobowiązani będą do wdrożenia nowych przepisów jeszcze w 2021 roku. Pracodawcy z sektora prywatnego zatrudniający minimum 50 pracowników mają czas do 17 grudnia 2023 roku.
Kluczowe obowiązki, którym podmioty gospodarcze będą musiały sprostać obejmują między innymi:
- wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem,
- udostępnienie kanałów umożliwiających poufne zgłoszenie naruszenia,
- przekazanie pracownikom jasnych informacji dotyczących trybu dokonywania zgłoszeń,
- wyznaczenie niezależnego podmiotu upoważnionego do podejmowania działań następczych z zachowaniem należytej staranności,
- wypracowanie zasad rozpatrywania zgłoszeń oraz przekazywania sygnalistom informacji zwrotnej w ściśle określonych terminach,
- określenie środków, jakie mogą zostać zastosowane w przypadku naruszenia prawa,
Zgodnie z zapowiedzią, katalog spraw, które mogą być przedmiotem zgłoszenia został rozszerzony o przepisy krajowe. Doprecyzowano, że naruszenie będące przedmiotem zgłoszenia może polegać nie tylko na działaniu sprzecznym z przepisami ustawy ale także na zaniechaniu działania lub obejściu przepisów. Wskazany katalog stanowi minimum, jednak Ustawa przewiduje, że każda organizacja może go rozbudować o akty prawne, w szczególności o przyjęte wewnętrznie regulacje oraz standardy etyczne.
Organizacje będą musiały mieć na uwadze, że aby dokonać zgłoszenia zewnętrznego sygnalista nie będzie zobowiązany do wyczerpania ścieżki wewnętrznej. Jednak już przy ujawnieniu publicznym sygnalista będzie zobowiązany dokonać wcześniej co najmniej zgłoszenia zewnętrznego.
Projekt zawiera katalog otwarty działań odwetowych oraz przerzuca ciężar dowodu na pracodawcę, który w razie stosowania działań odwetowych będzie musiał udowodnić, że kierował się obiektywnymi powodami. Rozszerzono także ochronę przysługującą sygnaliście o osoby z nim powiązane oraz osoby, które pomagały mu w zgłoszeniu, pod warunkiem jednak, że osoby te łączy stosunek prawny z pracodawcą.
Projekt Ustawy przewiduje, że zgłoszenia anonimowe będą dopuszczalne w dwóch sytuacjach:
- jeżeli taka forma zgłoszenia przewidziana będzie przez wewnętrze regulaminy pracodawcy lub / oraz
- jeżeli będzie ją przewidywać procedura zgłaszania naruszeń prawa organowi publicznemu.
Jednocześnie, tożsamość zgłaszającego dokonującego zgłoszenia w formie anonimowej będzie podlegała standardowej ochronie wynikającej z projektu. Warto dodać, że projekt Ustawy rozwiewa dwie główne wątpliwości, które powstały w ciągu ostatnich kilku miesięcy na gruncie postanowień RODO. Po pierwsze przetwarzanie danych osobowych osoby, której dotyczy zgłoszenie może odbywać się bez zgody tej osoby. Po drugie administrator tych danych nie będzie musiał informować osoby, której dotyczy zgłoszenie o źródle pochodzeniach danych, chyba że okaże się, iż zgłaszający działał w złej wierze. Przetwarzanie danych osobowych będzie oczywiście musiało się odbywać zgodnie z RODO, a administrator danych będzie musiał zapewnić ich poufność – te elementy wynikały już wcześniej z dyrektywy. Okres przechowywania danych określono na maksymalnie 5 lat od dnia przyjęcia zgłoszenia. Istotnym elementem ochrony tożsamości osób w ramach systemu zgłaszania nieprawidłowości, jest dopuszczenie do procesu przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych, wyłącznie takich osób, które posiadają pisemne upoważnienie pracodawcy.
Warto odnotować, że zarówno proces przyjmowania zgłoszeń jak i podejmowania działań następczych będzie mógł być outsourcowany.
Zgodnie z projektem Ustawy zmiany planowane w organizacjach będą musiały zostać skonsultowane ze związkami zawodowymi lub przedstawicielami pracowników.
Projekt przewiduje także sankcje za:
- utrudnianie zgłoszeń,
- podejmowanie działań odwetowych,
- naruszenie obowiązku zachowania poufności,
- dokonywanie fałszywych zgłoszeń oraz
- niewdrożenie systemu zgłaszania nieprawidłowości.
Działanie wbrew Ustawie, niedopełnienie lub obejście jej przepisów, zagrożone będzie grzywną, karą ograniczenia albo pozbawienia wolności do lat trzech.
O dalszych losach projektu ustawy o ochronie osób zgłaszających naruszenia prawa będziemy informować na bieżąco.
Współautorem niniejszego artykułu jest Mateusz Balcerzyk.
Zobacz również
Wstecz
