24 czerwca 2024 r. w Dzienniku Ustaw opublikowana została ustawa o ochronie sygnalistów. Nowe przepisy zaczną co do zasady obowiązywać już 25 września 2024 r. (z wyłączeniem regulacji dotyczących zgłoszeń zewnętrznych, które wejdą w życie 25 grudnia 2024 r). Po wejściu w życie nowych przepisów wiele podmiotów będzie miało obowiązek wprowadzenia procedury zgłoszeń wewnętrznych i zapewnienia ochrony sygnalistom zgłaszającym naruszenia. Oznacza to, że podmioty prywatne oraz jednostki publiczne mają zaledwie 3 miesiące na wdrożenie nowych procedur, aby sprostać obowiązkom jakie nakłada na nie ustawa. Niespełnienie wymagań w zakresie ochrony sygnalistów i nieustanowienie procedury zgłoszeń wewnętrznych lub ustanowienie jej z istotnym naruszeniami wymogów wynikających z ustawy obarczone jest karą grzywny! Dlatego nie warto ryzykować i czekać z tym do ostatniej chwili. Zobacz, jak możemy pomóc Twojej organizacji w kompleksowym wdrożeniu systemu ochrony sygnalistów.
Kogo obowiązuje ustawa o sygnalistach?
Obowiązki związane z ochroną sygnalistów oraz wdrożeniem procedury zgłoszeń wewnętrznych dotyczą podmiotów publicznych i prywatnych, które na dzień 1 stycznia lub 1 lipca danego roku zatrudniają co najmniej 50 pracowników – także na innej podstawie niż stosunek pracy w przeliczeniu na pełne etaty.
Próg ten nie ma zastosowania do podmiotu prawnego, wykonującego działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska.
Ustawy nie stosuje się do jednostek organizacyjnych gmin lub powiatów liczących mniej niż 10 000 mieszkańców.
Trzy kanały zgłoszeń
Ustawa o ochronie sygnalistów wyróżnia trzy kanały zgłaszania naruszeń prawa:
- zgłoszenie wewnętrzne w ramach struktur pracodawcy;
- zgłoszenia zewnętrzne kierowane do organu publicznego lub organu centralnego (Rzecznik Praw Obywatelskich)
- ujawnienie publiczne dokonywane za pośrednictwem mediów tradycyjnych czy społecznościowych.
Dla pracodawców kluczowa jest kwestia związana z wprowadzeniem procedury zgłoszeń wewnętrznych, ponieważ procedura zewnętrzna i ujawnienie publiczne, co do zasady pozostają poza sferą wpływu pracodawcy.
Poza tym, koniecznie jest utworzenie efektywnych kanałów zgłoszeń oraz prowadzenie rejestru zgłoszeń i realizacja tzw. działań następczych, realizowanych przez uruchomienie procedur wyjaśniających i dochodzeń wewnętrznych.
Procedura zgłoszeń wewnętrznych
Procedura zgłoszeń wewnętrznych to dokument określający tryb, w którym sygnaliści dokonują zgłoszeń naruszeń prawa i podejmowanie przez przedsiębiorcę działań następczych.
Procedura ta powinna określić m.in.:
- wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego albo podmiot zewnętrzny upoważniony przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych;
- sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę;
- bezstronną wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, upoważnioną do podejmowania działań w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącego przedmiotem zgłoszenia (działania następcze);
- tryb postępowania z informacjami o naruszeniach zgłoszonymi anonimowo;
- maksymalny termin na przekazania sygnaliście informacji zwrotnej.
Procedura zgłoszeń wewnętrznych powinna gwarantować ochronę tożsamości sygnalisty i jego anonimowości, a także eliminować możliwość podejmowania działań odwetowych, czyli działań o negatywnych konsekwencjach dla sygnalisty, który dokonał zgłoszenia.
Wprowadzenie procedury zgłoszeń wewnętrznych powinno być poprzedzone konsultacjami z zakładową organizacją związkową albo przedstawicielami osób świadczących pracę na rzecz podmiotu prawnego, wyłonionymi w trybie przyjętym w podmiocie prawnym, jeżeli nie działa w nim zakładowa organizacja związkowa.
Procedura zgłoszeń wewnętrznych wchodzi w życie po upływie 7 dni od dnia podania jej do wiadomości osób wykonujących pracę w sposób przyjęty w podmiocie prawnym.
Kanały zgłoszeń
Pracodawca jest zobowiązany utworzyć kanały zgłoszeń, które umożliwiać będą sygnaliście realizację jego obowiązków ustawowych.
Sposób dokonywania zgłoszeń wraz ze wskazaniem dedykowanych do tego narzędzi (np. aplikacji/ formularzy) powinny być opisane w procedurze zgłoszeń wewnętrznych. Pracodawca powinien umożliwić dokonywanie zgłoszeń co najmniej ustnie lub pisemnie.
Procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych powinny uniemożliwiać nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniać ochronę poufności tożsamości:
- sygnalisty,
- osoby, której dotyczy zgłoszenie,
- oraz osoby trzeciej wskazanej w zgłoszeniu.
Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość ww. osób.
Postępowanie wyjaśniające
Po wpłynięciu zgłoszenia sygnalisty, pracodawca jest zobowiązany przeprowadzić postępowanie wyjaśniające w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa, będącego przedmiotem zgłoszenia.
Sposób prowadzenia tego postępowania także powinien zostać uregulowany w procedurze zgłoszeń wewnętrznych.
Po zakończeniu postępowania wyjaśniającego pracodawca powinien zawiadomić sygnalistę o jego wynikach – co do zasady w terminie nie dłuższym niż 3 miesiące od daty potwierdzenia przyjęcia zgłoszenia.
Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań.
Rejestr zgłoszeń wewnętrznych
Pracodawca jest zobowiązany prowadzić rejestr zgłoszeń wewnętrznych, który obejmować powinien następujące dane:
- numer sprawy;
- przedmiot naruszenia;
- dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;
- adres do kontaktu sygnalisty;
- datę dokonania zgłoszenia wewnętrznego;
- informację o podjętych działaniach następczych;
- datę zakończenia sprawy.
Pracodawca jest administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.
Podmiot zewnętrzny uprawniony do przyjmowania zgłoszeń wewnętrznych
Ustawa dopuszcza zaangażowanie w procedurę przyjmowania zgłoszeń wewnętrznych podmiot zewnętrzny. Wymaga to zawarcia odpowiedniej umowy w celu:
- powierzenia obsługi przyjmowania zgłoszeń wewnętrznych;
- potwierdzania przyjęcia zgłoszenia;
- przekazywania informacji zwrotnej;
- oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą.
Umowa z podmiotem zewnętrznym powinna określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 RODO.
Zawarcie umowy, nie uchyla odpowiedzialności podmiotu prawnego za dochowanie obowiązków określonych w ustawie, w szczególności dotyczących zachowania poufności, udzielenia informacji zwrotnej oraz podjęcia działań następczych.
Ochrona sygnalistów – w czym możemy pomóc?
Jak widać wdrożenia rozwiązań z ustawy o ochronie sygnalistów do firmy to wieloaspektowy proces, przy którym warto skorzystać z pomocy ekspertów.
Jeśli szukasz profesjonalnego wsparcia we wdrożeniu w Twojej firmie przepisów dotyczących ochrony sygnalistów i zarządzania zgłoszeniami – Zespół GGL służy pomocą. Sprawnie i kompleksowo wdrożymy niezbędne regulacje oraz udzielimy bieżącego wsparcia w zakresie systemu ochrony sygnalistów.
Na czym polega nasze wsparcie w zakresie wdrożenia ochrony sygnalistów?
- Przeprowadzimy wewnętrzny audyt z zakresu zgodności dokumentacji i wewnętrznych regulacji podmiotu z obowiązującymi przepisami dotyczącymi ochrony sygnalistów.
- Przygotujemy niezbędne regulacje, w tym procedurę zgłoszeń wewnętrznych, rejestr zgłoszeń wewnętrznych, upoważnienia do przyjmowania zgłoszeń sygnalistów.
- Przygotujemy lub zweryfikujemy umowę z podmiotem zewnętrznym, uprawnionym do przyjmowania zgłoszeń wewnętrznych tak, aby maksymalnie zabezpieczała ona Twoje interesy oraz odpowiadała wymogom poufności oraz ochrony danych osobowych.
- Udzielimy bieżącego profesjonalnego wsparcia prawnego w zakresie obsługi zgłoszeń sygnalistów oraz podejmowania działań następczych.
- Udostępniam narzędzie IT, za pomocą którego, sam lub z naszą pomocą, będziesz realizował ustawowe obowiązki.
- Przeprowadzimy przystępne szkolenia dla osób zatrudnionych w Twojej firmie z zakresu obowiązków i praw wynikających z ustawy o ochronie sygnalistów.
Autor: radca prawny Jan Hasik