Dyrektywa o ochronie sygnalistów – stan wdrożenia w krajach UE

Wkrótce minie 17 miesięcy od określonego w Dyrektywie o ochronie sygnalistów terminu wdrożenia przepisów w krajach członkowskich UE. Ostatnie pół roku przyniosło pozytywne informacje o wdrożeniu dyrektywy w kolejnych państwach członkowskich UE, ale wciąż są też kraje – w tym Polska – które takich przepisów jeszcze nie uchwaliły.

Zakładany termin
 

Wdrożenie zapisów dyrektywy dotyczących dużych przedsiębiorstw (zatrudniających 250 i więcej pracowników) do legislacji krajów członkowskich UE miało nastąpić do 17 grudnia 2021 r. Mniejsze przedsiębiorstwa (zatrudniające między 50 a 249 pracowników) nowymi przepisami mają zostać objęte do 17 grudnia 2023 r. Dyrektywa nakłada na przedsiębiorstwa szereg obowiązków takich jak utworzenie wewnętrznych, poufnych i bezpiecznych kanałów przyjmowania zgłoszeń od sygnalistów czy też podejmowanie działań wyjaśniających oraz przekazywanie sygnaliście informacji zwrotnych, zarówno o przyjęciu zgłoszenia jak i o podjętych w związku z nim działaniach.
 

Stan wdrożenia – podstawowe liczby
 

Po okresie wielomiesięcznych opóźnień zdecydowana większość członków Unii Europejskiej – 20 krajów – wdrożyła przepisy Dyrektywy o ochronie sygnalistów do lokalnych przepisów prawa. Są to: Austria, Belgia, Bułgaria, Chorwacja, Cypr, Dania, Finlandia, Francja, Grecja, Hiszpania, Holandia, Irlandia, Litwa, Łotwa, Malta, Portugalia, Rumunia, Słowenia, Szwecja, Włochy. 

Natomiast siedem państw jest w trakcie procesu wdrożeniowego: Czechy, Estonia, Niemcy, Luksemburg, Polska, Słowacja i Węgry. Warto nadmienić, że opóźnienia we wdrażaniu lub błędna implementacja przepisów Dyrektywy o ochronie sygnalistów skłoniły Komisję Europejską w lutym 2023 do skierowania do Trybunału Sprawiedliwości Unii Europejskiej sprawy [1] przeciwko ośmiu państwom członkowskim, w tym przeciw Polsce.

Przykłady ostatnio uchwalonych przepisów…

22 grudnia 2022 r. weszły przepisy wdrażające dyrektywę w Rumunii. Duże przedsiębiorstwa (zatrudniające 250 lub więcej pracowników) nie miały okresu przejściowego i zostały objęte obowiązkiem wdrożenia przepisów już w dniu wejścia w życie ustawy. Przepisy dopuszczają zgłoszenia anonimowe, ponadto rozszerzają ochronę sygnalistów także w przypadku naruszenia prawa krajowego. W razie naruszenia poufności danych sygnalisty, nieustanowienia wewnętrznych kanałów zgłaszania lub działań odwetowych wobec sygnalisty, przepisy przewidują grzywny w wysokości do 8 000 EUR. Dane osobowe związane ze zgłoszeniem mogą być przechowywane przez pięć lat od dokonania zgłoszenia.

1 stycznia 2023 r. weszły w życie przepisy wdrażające dyrektywę w Finlandii. Duże przedsiębiorstwa zobowiązane były do ustanowienia wewnętrznych kanałów zgłaszania nieprawidłowości do 1 kwietnia 2023 r. Przepisy dopuszczają zgłoszenia anonimowe oraz rozszerzają ochronę sygnalistów także na naruszenia prawa krajowego (z ograniczeniami w zakresie organizacji publicznej służby zdrowia oraz zamówień publicznych w dziedzinie obronności). Dane osobowe związane ze zgłoszeniem mogą być przechowywane przez pięć lat od dokonania zgłoszenia.

25 lutego 2023 r. weszły w życie przepisy w Austrii. Duże przedsiębiorstwa zobowiązane są do wdrożenia wewnętrznych kanałów zgłaszania najpóźniej do 25 sierpnia 2023 r. Przepisy dopuszczają zgłoszenia anonimowe oraz rozszerzają w porównaniu z zapisami dyrektywy ochronę również na osoby zgłaszające naruszenia związane z korupcją. Kładą również duży nacisk na zgodność wdrożonych kanałów whistleblowingowych z odpowiednimi przepisami o ochronie danych osobowych, w tym z GDPR. Naruszenia obowiązków nałożonych przez ustawę mogą skutkować grzywną do 20 000 EUR (lub dwukrotnością tej kwoty w przypadku powtórnego naruszenia przepisów).

… i tych w trakcie uchwalania

Jednym z największych krajów UE, który wciąż nie wdrożył przepisów dyrektywy są Niemcy. Projekt ustawy został uchwalony przez Bundestag 16 grudnia 2022 r., ale został odrzucony przez izbę wyższą parlamentu. Ważną regulacją projektu jest nałożenie na przedsiębiorstwa obowiązku umożliwienia sygnalistom zgłaszania nieprawidłowości w sposób anonimowy – zgodnie z projektem firmy mają na to czas do 1 stycznia 2025 r. Odnośnie do danych osobowych, projekt ustanawia trzyletni czas ich przechowywania liczony od momentu zamknięcia zgłoszenia.

Wśród krajów będących w trakcie wdrażania lokalnych przepisów są również Węgry. Warto przypomnieć, że kraj ten długo były jedynym członkiem UE, który nie podjął żadnych działań w związku z implementacją dyrektywy. Zmieniło się to w 2023 roku, kiedy ustawa wdrażająca dyrektywę trafiła do węgierskiego parlamentu. Została ona uchwalona 11 marca 2023 r., niemniej nie weszła w życie ze względu na zawetowanie jej przez prezydent Węgier. Dokładna data wznowienia prac nad projektem nie jest obecnie znana. W przypadku uchwalenia ustawy, zgodnie z obecnym brzmieniem projektu, duże przedsiębiorstwa (zatrudniające 250 lub więcej pracowników) będą zobowiązane do wdrożenia przepisów w ciągu 60 dni od momentu wejścia w życie ustawy.

Prace nad wdrożeniem przepisów dyrektywy trwają również w Polsce – ostatnia wersja projektu ustawy została opublikowana 10 stycznia 2023 na stronach Rządowego Centrum Legislacji. Nie jest znana publicznie data zakończenia rządowego etapu prac i przekazania projektu pod obrady Sejmu.

Podsumowanie

Wdrożenie przepisów Dyrektywy o ochronie sygnalistów w większości krajów Unii Europejskiej jest niewątpliwie dobrą informacją zarówno dla potencjalnych sygnalistów jak i przedsiębiorstw, które poznają zasady, według których powinny przyjmować i rozpatrywać zgłoszenia. Spełnienie nowych obowiązków może jednak być również wyzwaniem, zwłaszcza dla organizacji działających na rynkach UE. Jak zostało wskazane powyżej, obowiązują różne terminy wdrożenia przepisów oraz retencji danych. Te ostatnie liczone też mogą być w odmienny sposób – albo od dnia przyjęcia zgłoszenia albo od daty zamknięcia postępowania wyjaśniającego. Ponadto występują też lokalne różnice rozszerzające zakres stosowania dyrektywy. Wszystkie te zmienne przedsiębiorstwa działające na rynkach zagranicznych powinny uwzględnić zarówno projektując lub dostosowując istniejące procedury wewnętrzne jak wdrażając kanały zgłaszania zapewniające odpowiednią ochronę tożsamości sygnalisty. Może to być na tyle złożone i czasochłonne zadanie, że warto podjąć odpowiednie działania już teraz, nie czekając z rozpoczęciem przygotowań na uchwalenie polskich przepisów.

Zobacz również

Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków

Serdecznie zapraszamy do udziału w webcaście pt. „Ryzyko sankcyjne w biznesie – omówienie wymogów na podstawie rzeczywistych przypadków”

Compliance Roadmap: Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach Compliance Officera

Weź udział w bezpłatnym webcaście z cyklu Compliance Roadmap. Regulacyjny sprint czy maraton zgodności? Okiem praktyka o wyzwaniach compliance officera".

Dyrektywa o ochronie sygnalistów, a postępowania wyjaśniające

Jednym z nowych obowiązków nakładanych przez dyrektywę o ochronie sygnalistów jest konieczność prowadzenia wewnętrznych postępowań wyjaśniających. Sednem tego zagadnienia, a jednocześnie kluczowym wyzwaniem dla spółek i organów zarządczych będzie kwestia wykazania, że przy podejmowaniu działań następczych dochowano należytej staranności. W przeciwnym razie spółka może narażać się na negatywne konsekwencje.

Trzy linie obrony - kto jest odpowiedzialny za zarządzanie ryzykiem?

Model trzech linii obrony, do którego odwołują się m.in. Dobre praktyki spółek notowanych na GPW, wskazuje, że za zarządzanie ryzykiem odpowiedzialni są (w różnym stopniu i zakresie): pracownicy operacyjni jako właściciele ryzyk, ich przełożeni, czyli menedżerowie ryzyk, którzy stoją na drugiej linii obrony oraz audyt wewnętrzny będący trzecią linią obrony, który podobnie jak w przypadku pozostałych procesów pełni funkcję stricte kontrolną.

Ochrona sygnalistów przed odwetem

Najistotniejszym celem dyrektywy o ochronie sygnalistów, jest uniemożliwienie stosowania działań odetowych wobec sygnalisty zgłaszającego przypadki naruszenia prawa Unii Europejskiej.

Kto to jest sygnalista?

Polska jest w gronie państw, w których obowiązek wdrożenia rozwiązań umożliwiających zgłaszanie nieprawidłowości jest uregulowany tylko częściowo. Wynika to np. z ustaw regulujących działalność instytucji finansowych.

Ochrona sygnalistów (whistleblowing)

Prawo dotyczące ochrony sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Sprawdź jak możemy pomóc w dostosowaniu firmy do nowych przepisów.

Sankcje gospodarcze - sklep on-line

Od lutego 2022 firmy z obszaru Unii Europejskiej muszą przestrzegać sankcji gospodarczych nałożonych w bezprecedensowej skali na Rosję i Białoruś. Nasz zespół ma unikalne doświadczenie w tematach sankcyjnych – edukacji, weryfikacji kontrahentów oraz wdrażaniu odpowiednich procedur. Pomagamy ograniczyć ryzyko kar finansowych i odpowiedzialności karnej wynikające z naruszeń przepisów sankcyjnych.

Polska ustawa sankcyjna

16 kwietnia 2022 r. weszła w życie polska ustawa sankcyjna. Dotyczy szczególnych rozwiązaniań w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego. Jakie zmiany wprowadza?

Sankcje gospodarcze nałożone na Rosję z perspektywy polskich przedsiębiorstw. Co zmienia zakaz eksportu do Rosji?

UE, USA i Wielka Brytania wprowadzają kolejne pakiety sankcje gospodarcze nałożone na Rosję., m.in. zakaz eksportu do Rosji i Białorusi. W konsekwencji zostały wprowadzone sankcje odwetowe Rosji. Co to oznacza dla polskich przedsiębiorców?

Ryzyko sankcyjne. Co oznaczają sankcje gospodarcze dla przedsiębiorców?

Jak działają sankcje gospodarcze? Co to są listy sankcyjne i ryzyko sankcyjne? Sprawdź, jak wprowadzane sankcje wpływają na prowadzenie biznesu i jak bronić się przed ryzykiem sankcyjnym?


    Kontakt

    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.