Jeśli pracuje u niego co najmniej 50 osób – zarówno na podstawie umów o pracę, jak i umów cywilnoprawnych, w tym kontraktów B2B – od 25 września br. musi wdrożyć wewnętrzną procedurę ochrony osób zgłaszających nieprawidłowości. Już powinien zacząć przygotowywać wymagane ustawą dokumenty.

Zobowiązuje ich do tego nowa ustawa z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. poz. 928). Jej regulacje mają wspierać firmy w tworzeniu transparentnego środowiska pracy, w którym zatrudnieni, bez obaw przed konsekwencjami, będą mogli zgłaszać nieprawidłowości.

Naruszenia do zgłoszenia

▶ Ustawa o ochronie sygnalistów definiuje naruszenie prawa jako „działanie lub zaniechanie niezgodne z przepisami lub mające na celu ich obejście”. Oznacza to, że przedmiotem zgłoszeń mogą być wszelkie zachowania, które wprost naruszają konkretny przepis, a także te, które z pozoru nie są niezgodne z prawem, lecz w rzeczywistości zmierzają do osiągnięcia celów zakazanych przez prawo.

▶ Katalog zgłoszeń jest szeroki i obejmuje m.in. kwestie związane z: korupcją, ochroną konsumentów, zdrowiem publicznym, zamówieniami publicznymi czy ochroną środowiska. Brak tu jednak kwestii związanych z prawem pracy. Te bowiem, jak wskazał ustawo dawca w toku prac nad ustawą, znajdują się w wielu innych regulacjach chroniących pracownika ujawniającego naruszenia prawa oraz umożliwiających mu informowanie odpowiednich organów o takich naruszeniach.

▶ Ustawa o ochronie sygnalistów umożliwia fakultatywne rozszerzenie katalogu naruszeń prawa o obowiązujące w firmie regulacje wewnętrzne lub standardy etyczne – chodzi tu w szczególności o kodeksy etyki oraz polityki dotyczące: spraw personalnych, przeciwdziałania korupcji czy ochrony środowiska. ©℗

Wskazany we wspomnianym akcie prawnym próg zatrudnienia nie dotyczy jednak przedsiębiorców wykonujących działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska. Oni bowiem są zobowiązani do wdrożenia odpowiednich procedur związanych z ochroną sygnalistów i ich danych osobowych niezależnie od stanu zatrudnienia. Z kolei firmy, w których pracuje mniej niż 50 osób, mogą je wprowadzić, choć nie są do tego zobligowane.

Nowe procedury wewnętrzne

Konieczne będzie wyznaczenie w przedsiębiorstwie osoby (lub osób) odpowiedzialnej za przyjmowanie i weryfikację zgłoszeń. Powinna być ona odpowiednio przeszkolona, mieć jasne wytyczne dotyczące postępowania ze zgłoszeniami oraz pisemne upoważnienie w tej sprawie od przedsiębiorcy. Taką funkcję może pełnić osoba, która już zajmuje w firmie stanowisko, które umożliwia zgłaszanie naruszeń bezpośrednio osobom zarządzającym, np. dyrektor ds. zgodności z przepisami lub dyrektor ds. zasobów ludzkich czy pracownik zajmujący się kwestiami prawnymi lub etycznymi.

Nic nie stoi na przeszkodzie, aby podmiotem odpowiedzialnym za przyjmowanie zgłoszeń była też osoba spoza organizacji lub firma zewnętrzna. Dobór odpowiedniego podmiotu zewnętrznego ma niezwykle istotne znaczenie nie tylko z perspektywy właściwego wypełnienia obowiązków nałożonych ustawą o ochronie sygnalistów, lecz także z punktu widzenia bezpieczeństwa danych osobowych. Przedsiębiorcę i podmiot zewnętrzny będzie bowiem łączyła umowa powierzenia przetwarzania danych, a w związku z tym taki podmiot musi dać gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z RODO. Dodatkowo muszą zostać spełnione wytyczne wynikające z ustawy o ochronie sygnalistów, czyli trzeba zapewnić ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie oraz osoby wskazanej w zgłoszeniu, a także uwzględnić wymagania ustawowe dotyczące usuwania danych dotyczących zgłoszenia.

Warto też wiedzieć, że przedsiębiorcy muszą zapewnić co najmniej jeden bezpieczny i łatwo dostępny wewnętrzny kanał zgłaszania naruszeń. Mogą nim być np. platforma elektroniczna (stworzona w ramach firmy lub udostępniona przez zewnętrzny podmiot, o którym mowa powyżej), skrzynka fizyczna na papierowe zgłoszenia czy przeznaczony do tego adres e-mail lub telefon zaufania.

Procedura powinna określać także tryb postępowania z informacjami o naruszeniach zgłoszonych anonimowo. Do nich bowiem nie trzeba będzie stosować niektórych przepisów ustawy (m.in. związanych z obowiązkiem informacyjnym względem sygnalisty dotyczącym podjętych czynności lub ich braku), co wymusza określenie w procedurze odrębnego trybu dla tego typu zgłoszeń. Przy czym ustawodawca nie zdecydował się na wprowadzenie obligatoryjnego wdrożenia anonimowego trybu zgłoszeń wewnętrznych i pozostawił tę decyzję przedsiębiorcom.

Konsultacje z pracownikami

Przedsiębiorca musi wspomnianą procedurę skonsultować z zakładową organizacją związkową lub przedstawicielami pracowników wyłonionymi w trybie przyjętym w ich firmie. Jeżeli jednak taki tryb nie był dotychczas uregulowany, to jest dobry moment, aby do 25 września br., kiedy zaczną obowiązywać przepisy ustawy o sygnalistach, uzupełnić braki proceduralne w tym zakresie (np. wdrożyć regulamin wyboru przedstawicielstwa pracowników). Przy czym należy mieć na uwadze, że ustawa szczegółowo określa m.in. czas trwania konsultacji z organizacją związkową czy wejścia w życie procedury – co trzeba uwzględnić w planowanym wdrożeniu nowych obowiązków.

Pracodawcy muszą poinformować zatrudnionych o przyjętej procedurze w sposób obowiązujący w danej firmie, np. przez wywieszenie tego dokumentu na tablicy ogłoszeń lub zamieszczenie na stronie internetowej zakładu pracy. Obowiązek poinformowania pracowników o procedurze ochrony sygnalistów dotyczy również osób ubiegających się o zatrudnienie i powstaje wraz z rozpoczęciem rekrutacji lub negocjacji poprzedzających zawarcie umowy.

Rejestr zgłoszeń

To nie wszystko. Przedsiębiorcy bowiem będą musieli prowadzić rejestr zgłoszeń, w którym znajdą się nie tylko informacje od sygnalistów, lecz także opis podjętych działań. Rejestr ten musi być tajny. Przepisy nie określają wymagań co do jego formy, wobec czego należy przyjąć, że może ona być zarówno papierowa, jak i elektroniczna. Warto jednak uwzględnić przy tym m.in. rozmiar przedsiębiorstwa i związaną w tym spodziewaną liczbę zgłoszeń, a także obowiązki dotyczące archiwizacji danych objętych rejestrem.

Przepisy ustawy o sygnalistach określają zakres danych, jakie mają się znaleźć w rejestrze. Są to m.in.:

  • dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób,
  • przedmiot naruszenia prawa,
  • informacja o podjętych działaniach następczych (o tym niżej) czy
  • data zakończenia sprawy.

Umożliwi to właściwe zarządzanie rejestrem, sprawne wyszukiwanie oraz dokumentowanie faktu dokonania konkretnego zgłoszenia.

Przedsiębiorcy muszą też odpowiednio zabezpieczyć informacje o sygnalistach, a także przechowywać je i przetwarzać tak, aby nie doszło do nieautoryzowanego dostępu czy wycieku danych. W praktyce oznacza to konieczność wprowadzenia odpowiednich procedur wewnętrznych czy opracowania polityki prywatności, które szczegółowo będą opisywać, jak dane osobowe sygnalistów muszą być przetwarzane i chronione.

Ważne jest też to, że dane osobowe muszą być przechowywane przez trzy lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Po upływie wymaganego okresu przechowywania dane osobowe trzeba usunąć, a dokumenty związane ze zgłoszeniem zniszczyć.

Podjęcie działań następczych

W ramach działań następczych (po otrzymaniu zgłoszenia), do których – zgodnie z ustawą o sygnalistach – należą:

  • postępowanie wyjaśniające,
  • wszczęcie kontroli lub postępowania administracyjnego,
  • wniesienie oskarżenia,
  • działanie podjęte w celu odzyskania środków finansowych,
  • zamknięcie procedury realizowanej w ramach procedury ochrony sygnalistów,

przedsiębiorcy będą musieli potwierdzić przyjęcie zgłoszenia oraz przeprowadzić jego wstępną weryfikację. Konieczne też będzie powołanie niezależnego i odpowiednio przeszkolonego zespołu do rozpoznania zgłoszenia.

Na podstawie sprawozdania z postępowania wyjaśniającego, przeprowadzonego przez bezstronny wewnętrzny podmiot w ramach struktury przedsiębiorcy, pracodawca zadecyduje o podjęciu odpowiednich kroków, takich jak działania dyscyplinarne, zmiany procedur czy też zgłoszenie sprawy do odpowiednich organów zewnętrznych.

Bardzo ważne jest to, że przedsiębiorca będzie musiał zapewnić sygnaliście ochronę przed działaniami odwetowymi.

Działania odwetowe

Katalog takich działań wymienionych w ustawie o ochronie sygnalistów jest otwarty – należą do nich:

• zawieszenie w wykonywaniu obowiązków,

• przymusowy urlop bezpłatny,

• zwolnienie,

• degradacja lub wstrzymanie awansu,

• przekazanie obowiązków innej osobie zatrudnionej,

• zmiana miejsca pracy,

• obniżenie wynagrodzenia,

• zmiana godzin pracy,

• wstrzymanie szkoleń,

• negatywna ocena wyników lub negatywna opinia o pracy. ©℗

Musi też zagwarantować poufność danych sygnalisty oraz danych zawartych w zgłoszeniu.

Są i sankcje

Przedsiębiorcy będą musieli się liczyć z sankcjami, jeśli:

  • uniemożliwią lub istotnie utrudnią dokonanie zgłoszenia,
  • ujawnią tożsamość osoby zgłaszającej naruszenie czy pomagającej w jego dokonaniu lub powiązanej z sygnalistą,
  • nie ustanowią procedury ochrony sygnalistów.

Dotyczy to również przedsiębiorcy, który dopuści się działań odwetowych. Za to ostatnie grozi kara nawet dwóch lat pozbawienia wolności. Grzywny tymczasem może się spodziewać ten, który nie wprowadza w firmie procedury lub utrudnia takie działanie.

Z kolei sygnalista będzie mógł się domagać odszkodowania za działania wymierzone przeciwko niemu (na etapie przedsądowym w formie wezwania pracodawcy do zapłaty lub sądownie w przypadku braku reakcji pracodawcy). Jego wysokość nie będzie mogła być niższa niż przeciętne miesięczne wynagrodzenie. Sygnalista będzie mógł także otrzymać zadośćuczynienie. ©℗