Natomiast siedem państw jest w trakcie procesu wdrożeniowego: Czechy, Estonia, Niemcy, Luksemburg, Polska, Słowacja i Węgry. Warto nadmienić, że opóźnienia we wdrażaniu lub błędna implementacja przepisów Dyrektywy o ochronie sygnalistów skłoniły Komisję Europejską w lutym 2023 do skierowania do Trybunału Sprawiedliwości Unii Europejskiej sprawy [1] przeciwko ośmiu państwom członkowskim, w tym przeciw Polsce.
Przykłady ostatnio uchwalonych przepisów…
22 grudnia 2022 r. weszły przepisy wdrażające dyrektywę w Rumunii. Duże przedsiębiorstwa (zatrudniające 250 lub więcej pracowników) nie miały okresu przejściowego i zostały objęte obowiązkiem wdrożenia przepisów już w dniu wejścia w życie ustawy. Przepisy dopuszczają zgłoszenia anonimowe, ponadto rozszerzają ochronę sygnalistów także w przypadku naruszenia prawa krajowego. W razie naruszenia poufności danych sygnalisty, nieustanowienia wewnętrznych kanałów zgłaszania lub działań odwetowych wobec sygnalisty, przepisy przewidują grzywny w wysokości do 8 000 EUR. Dane osobowe związane ze zgłoszeniem mogą być przechowywane przez pięć lat od dokonania zgłoszenia.
1 stycznia 2023 r. weszły w życie przepisy wdrażające dyrektywę w Finlandii. Duże przedsiębiorstwa zobowiązane były do ustanowienia wewnętrznych kanałów zgłaszania nieprawidłowości do 1 kwietnia 2023 r. Przepisy dopuszczają zgłoszenia anonimowe oraz rozszerzają ochronę sygnalistów także na naruszenia prawa krajowego (z ograniczeniami w zakresie organizacji publicznej służby zdrowia oraz zamówień publicznych w dziedzinie obronności). Dane osobowe związane ze zgłoszeniem mogą być przechowywane przez pięć lat od dokonania zgłoszenia.
25 lutego 2023 r. weszły w życie przepisy w Austrii. Duże przedsiębiorstwa zobowiązane są do wdrożenia wewnętrznych kanałów zgłaszania najpóźniej do 25 sierpnia 2023 r. Przepisy dopuszczają zgłoszenia anonimowe oraz rozszerzają w porównaniu z zapisami dyrektywy ochronę również na osoby zgłaszające naruszenia związane z korupcją. Kładą również duży nacisk na zgodność wdrożonych kanałów whistleblowingowych z odpowiednimi przepisami o ochronie danych osobowych, w tym z GDPR. Naruszenia obowiązków nałożonych przez ustawę mogą skutkować grzywną do 20 000 EUR (lub dwukrotnością tej kwoty w przypadku powtórnego naruszenia przepisów).
… i tych w trakcie uchwalania
Jednym z największych krajów UE, który wciąż nie wdrożył przepisów dyrektywy są Niemcy. Projekt ustawy został uchwalony przez Bundestag 16 grudnia 2022 r., ale został odrzucony przez izbę wyższą parlamentu. Ważną regulacją projektu jest nałożenie na przedsiębiorstwa obowiązku umożliwienia sygnalistom zgłaszania nieprawidłowości w sposób anonimowy – zgodnie z projektem firmy mają na to czas do 1 stycznia 2025 r. Odnośnie do danych osobowych, projekt ustanawia trzyletni czas ich przechowywania liczony od momentu zamknięcia zgłoszenia.
Wśród krajów będących w trakcie wdrażania lokalnych przepisów są również Węgry. Warto przypomnieć, że kraj ten długo były jedynym członkiem UE, który nie podjął żadnych działań w związku z implementacją dyrektywy. Zmieniło się to w 2023 roku, kiedy ustawa wdrażająca dyrektywę trafiła do węgierskiego parlamentu. Została ona uchwalona 11 marca 2023 r., niemniej nie weszła w życie ze względu na zawetowanie jej przez prezydent Węgier. Dokładna data wznowienia prac nad projektem nie jest obecnie znana. W przypadku uchwalenia ustawy, zgodnie z obecnym brzmieniem projektu, duże przedsiębiorstwa (zatrudniające 250 lub więcej pracowników) będą zobowiązane do wdrożenia przepisów w ciągu 60 dni od momentu wejścia w życie ustawy.
Prace nad wdrożeniem przepisów dyrektywy trwają również w Polsce – ostatnia wersja projektu ustawy została opublikowana 10 stycznia 2023 na stronach Rządowego Centrum Legislacji. Nie jest znana publicznie data zakończenia rządowego etapu prac i przekazania projektu pod obrady Sejmu.
Podsumowanie
Wdrożenie przepisów Dyrektywy o ochronie sygnalistów w większości krajów Unii Europejskiej jest niewątpliwie dobrą informacją zarówno dla potencjalnych sygnalistów jak i przedsiębiorstw, które poznają zasady, według których powinny przyjmować i rozpatrywać zgłoszenia. Spełnienie nowych obowiązków może jednak być również wyzwaniem, zwłaszcza dla organizacji działających na rynkach UE. Jak zostało wskazane powyżej, obowiązują różne terminy wdrożenia przepisów oraz retencji danych. Te ostatnie liczone też mogą być w odmienny sposób – albo od dnia przyjęcia zgłoszenia albo od daty zamknięcia postępowania wyjaśniającego. Ponadto występują też lokalne różnice rozszerzające zakres stosowania dyrektywy. Wszystkie te zmienne przedsiębiorstwa działające na rynkach zagranicznych powinny uwzględnić zarówno projektując lub dostosowując istniejące procedury wewnętrzne jak wdrażając kanały zgłaszania zapewniające odpowiednią ochronę tożsamości sygnalisty. Może to być na tyle złożone i czasochłonne zadanie, że warto podjąć odpowiednie działania już teraz, nie czekając z rozpoczęciem przygotowań na uchwalenie polskich przepisów.