EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Jak EY może pomóc
-
Prawo dotyczące ochrony sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Sprawdź jak możemy pomóc w dostosowaniu firmy do nowych przepisów.
Przeczytaj więcej -
Dowiedz się jak EY Virtual Compliance Officer może wesprzeć pracę działu compliance w Twojej organizacji.
Przeczytaj więcej
Po kilku miesiącach oczekiwań, 12 kwietnia 2022 roku Rządowe Centrum Legislacji opublikowało drugi projekt ustawy o ochronie osób zgłaszających naruszenia prawa. Charakter zmian względem pierwszej wersji projektu jest głównie techniczny i doprecyzowujący oraz pozostaje zgodny z duchem przedmiotowej dyrektywy UE. Jednocześnie, projektodawca przychylił się do niektórych postulatów zgłoszonych przez interesariuszy względem pierwszej wersji projektu z listopada 2021 roku.
Kluczowe zmiany, które będą miały wpływ na działania niezbędne do podjęcia przez przedsiębiorców koncentrują się na kilku głównych obszarach.
Przedsiębiorca będzie miał obowiązek zapewnić sygnalistom różnorodne kanały zgłaszania naruszeń. W świetle nowego projektu sygnalista powinien mieć możliwość zgłoszenia naruszenia co najmniej w postaci: 1) ustnej, 2) papierowej, 3) elektronicznej. Forma elektroniczna pojawia się po raz pierwszy w drugim projekcie ustawy i jest spójna z globalnym trendem w tym zakresie. Doprecyzowano także niejasne dotąd zapisy dotyczące anonimowości. Projekt nie stoi w tym zakresie w opozycji do innych przepisów prawa. Jeżeli podmiot jest obowiązany do przyjmowania zgłoszeń anonimowych (na przykład na mocy ustawy AML lub ustawy o ofercie publicznej) powinien takie zgłoszenia przyjmować. Wspomniane wyżej kanały elektroniczne będą w praktyce skuteczną metodą sprzyjającą zachowaniu anonimowości, która choć nie jest wymogiem dla wszystkich podmiotów, może być czynnikiem zachęcającym sygnalistów do zgłaszania naruszeń wewnątrz organizacji. Warto dodać, że naruszenie obowiązku zachowania poufności tożsamości sygnalisty zagrożone jest w świetle nowego projektu karą pozbawienia wolności do 1 roku.
Treść projektu ustawy nie daje jednoznacznej odpowiedzi czy do progu zatrudnienia powyżej którego przedsiębiorca jest zobowiązany do wdrożenia mechanizmów ochronnych względem potencjalnych sygnalistów, powinny zostać włączone osoby na umowach cywilnoprawnych lub pracownicy tymczasowi. W projekcie zastosowano termin „osoby, które wykonują pracę na rzecz podmiotu prawnego”, co może sugerować, że do limitu powinny zostać włączone wszystkie osoby, niezależnie od podstawy świadczenia pracy. Jednocześnie, projekt ustawy nie pozostawia wątpliwości, że status sygnalisty powinien przysługiwać zarówno obecnym, jak i byłym pracownikom, ale także kandydatom, pracownikom tymczasowym, osobom na umowach cywilnoprawnych, stażystom. Takie rozwiązanie pozostaje w zgodzie z duchem dyrektywy unijnej oraz, pozwala na dotarcie do informacji skądinąd niedostępnych.
Katalog zakazanych działań odwetowych został uzupełniony m.in. o niekorzystne lub niesprawiedliwe traktowanie, spowodowanie straty finansowej, w tym gospodarczej lub utraty dochodu, wyrządzenie innej szkody niematerialnej, w tym nadszarpnięcia reputacji, zwłaszcza w mediach społecznościowych. Odpowiedzialność karna za ich stosowanie, próby stosowania lub groźby została ustanowiona w wymiarze do 3 lat pozbawienia wolności.
Utrzymany został wymóg przygotowania wewnętrznych zasad regulujących tryb zgłaszania naruszeń prawa. Procedura musi określać: 1) jak dokonać zgłoszenia, 2) kto przyjmuje zgłoszenia, 3) kto podejmuje działania następcze, 4) jak potwierdzane jest przyjęcie zgłoszenia, 5) jak przekazywana jest sygnaliście informacja zwrotna. Brak wdrożenia wewnętrznej procedury zagrożony jest grzywną w wysokości do 5 tysięcy zł. Przedsiębiorcy nadal będą też zobowiązani do potwierdzania przyjęcia zgłoszenia w terminie 7 dni od daty jego otrzymania oraz udzielania sygnalistom informacji zwrotnej w ciągu kolejnych trzech miesięcy.
Wśród zmian pojawiło się skrócenie obowiązku retencji danych z pięciu lat do 12 miesięcy od zakończenia działań następczych. Biorąc pod uwagę, że działania następcze co do zasady powinny zostać sfinalizowane w ciągu 3 miesięcy od dnia przyjęcia zgłoszenia, efektywny czas przechowywania danych wyniesie ok. 15 miesięcy od dnia przyjęcia zgłoszenia. Oznacza to, że podmioty będą musiały działać w sposób szybki i zdecydowany. Pierwsze zgłoszenia, które przedsiębiorcy otrzymają od sygnalistów po wejściu w życie ustawy będą papierkiem lakmusowym wskazującym czy przyjęte wewnętrznie procedury i proces rozpatrywania zgłoszeń pozwalają na terminową realizację nowych wymogów prawa.
Nie uległy zmianie wytyczne odnośnie outsourcowania procesu przyjmowania zgłoszeń oraz przekazywania sygnalistom informacji zwrotnych o podjętych działaniach następczych. Proces (za wyjątkiem podejmowania działań następczych) będzie można scentralizować oraz outsourcować pod warunkiem zawarcia odpowiedniej umowy, regulującej w szczególności kwestie zapewnienia odpowiedniej poufności.
Przepisy ponownie trafiły do konsultacji społecznych. Dalsze losy ustawy i jej ostateczny kształt pozostają zatem pod znakiem zapytania. Z punktu widzenia biznesu, istotne jest wydłużone do 2 miesięcy vacatio legis. Biorąc pod uwagę, że przedsiębiorstwa będą zobowiązane do wdrożenia nowych wymogów (w tym przeprowadzenia obowiązkowych, określonych czasowo konsultacji wewnętrznych z przedstawicielami związków zawodowych lub rad pracowników) w ciągu 1 miesiąca od dnia wejścia w życie ustawy, na realizację obowiązków z niej wynikających, podmioty będą miały łącznie 3 miesiące od dnia jej wejścia w życie.