Jakie działania mają być podjęte po przyjęciu zgłoszenia przez upoważnioną do tego osobę lub komórkę organizacyjną? Jak przeprowadzić postępowanie wyjaśniające i czy można odmówić w jego trakcie zeznań? W jaki sposób prowadzić rejestr zgłoszeń, a jednocześnie nie ujawniać danych osobowych sygnalisty i powiązanych z nim osób? Czy można narzucić sygnaliście, że będzie dokonywał tylko zgłoszeń wewnętrznych, rezygnując z zewnętrznych?
Sprawa zgłoszona przez sygnalistę musi zostać rzetelnie wyjaśniona
To tylko kilka z pytań, na które odpowiadamy w dzisiejszym poradniku. W pierwszej części poradnika z 6 września 2024 r. (DGP nr 174) odpowiadaliśmy m.in. na pytania o to, kto może być sygnalistą i czy taki status uzyska także osoba, która sama dopuściła się naruszeń, ale jednocześnie dokonała zgłoszenia, jak dokonać takiego zgłoszenia oraz na jaką ochronę może liczyć sygnalista.
A wątpliwości dotyczących m.in. procedury zgłaszania przez sygnalistów nieprawidłowości na kilka dni przed wejściem w życie ustawy z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. poz. 928; dalej: u.o.s.) – zaczyna ona obowiązywać już 25 września br. – jest więcej.
prowadzenie działań następczych – ogólne zasady
1. Co to są działania następcze?
Są to wszystkie działania następujące po przyjęciu zgłoszenia, które zmierzają do wyjaśnienia sprawy i podjęcia kroków wobec osoby winnej naruszenia prawa. Do działań następczych należą postępowania wyjaśniające (śledztwa wewnętrzne), postępowania dyscyplinarne, wysłuchania dyscyplinarne, a także decyzje podjęte po zakończeniu postępowania. Do działań następczych można też zaliczyć działania naprawcze, czyli decyzje oparte na ustaleniach postępowania wewnętrznego, które mają minimalizować ryzyko występowania nieprawidłowości i naruszeń prawa w przyszłości.
Działaniem następczym nie są już postępowania prawne wszczynane na podstawie ustaleń postępowań wewnętrznych (np. zawiadomienie o podejrzeniu popełnienia przestępstwa przez osobę winną naruszenia prawa czy pozew cywilny przeciwko takiej osobie).
2. Kto podejmuje działania następcze?
Zgodnie z u.o.s. procedura zgłoszeń wewnętrznych musi wskazywać osobę zatrudnioną lub komórkę organizacyjną, która jest upoważniona do podejmowania działań następczych. Taka osoba lub komórka organizacyjna powinna zapewniać bezstronność podejmowanych działań. Nie może to być podmiot zewnętrzny (np. globalny/centralny zespół compliance, ethics & compliance itp.). W praktyce rolę taką pełnią osoby zatrudnione w dziale prawnym, dziale compliance. Rzadziej spotykaną praktyką jest wyznaczenie do tej funkcji członków zarządu.
Ważne! Pracodawca może wyznaczyć więcej niż jedną osobę lub komórkę organizacyjną do podejmowania działań następczych, np. do poszczególnych typów takich działań.
Możliwe jest też upoważnianie kolejnych osób lub komórek, w miarę rozwoju działań następczych. Można np. wyznaczyć komórkę organizacyjną do prowadzenia postępowania wewnętrznego (np. dział prawny lub compliance), a następnie przedstawiciela działu personalnego do podjęcia działań naprawczych (np. szkolenia pracowników lub rozwiązania umowy o pracę).
Wskazane jest, żeby w procedurach wewnętrznych przewidziana była możliwość powierzenia działań następczych różnym osobom lub komórkom organizacyjnym, w zależności od rodzaju naruszenia, które jest przedmiotem zgłoszenia. Inne osoby/zespoły powinny zajmować się weryfikowaniem zgłoszeń dotyczących korupcji, a inne – zgłoszeniami dotyczącymi ochrony środowiska. Procedura może wskazywać ogólnie osobę (np. compliance officer) lub komórkę organizacyjną (np. dział prawny/compliance) odpowiedzialne za podejmowanie działań następczych. Taka ogólnie odpowiedzialna osoba/komórka organizacyjna może upoważniać do prowadzenia konkretnych działań inne osoby lub komórki organizacyjne.
3. Czy osoba upoważniona w ramach struktury organizacyjnej podmiotu prawnego do podejmowania działań następczych musi być pracownikiem tego podmiotu?
Nie, nie ma takiego wymogu. Taka osoba musi być ujęta w strukturze organizacyjnej podmiotu prawnego np. na podstawie uchwały zarządu tego podmiotu. W szczególności taka osoba może być pracownikiem, osobą świadczącą pracę/usługi na podstawie innej umowy cywilnoprawnej, a nawet osobą, z którą podmiotu prawnego nie łączy żaden bezpośredni stosunek prawny (ale działania tej osoby wynikają np. z umowy zawartej ze spółką matką, która zatrudnia tę osobę). Możliwe jest upoważnienie takiej osoby poprzez wskazanie pełnionej funkcji w organizacji (np. określenie, że do podejmowania działań następczych zarząd upoważnia każdorazowego dyrektora działu prawnego/compliance/HR).
4. Jak zapewnić bezstronność osoby/komórki organizacyjnej prowadzącej postępowanie?
Ustawa o ochronie sygnalistów błędnie posługuje się określeniem „bezstronnej osoby lub komórki organizacyjnej”, które mają być upoważnione do podejmowania działań następczych. Bezstronność może dotyczyć tylko konkretnej sprawy, nie jest cechą organizacyjną ani przymiotem przynależnym danej osobie lub komórce organizacyjnej w ogóle. Rekomendujemy, żeby w procedurze do podejmowania działań następczych była wyznaczona osoba lub komórka organizacyjna, która ma najlepsze przygotowanie merytoryczne, tj. rozeznanie w przepisach prawa oraz działalności danego podmiotu. Taką osobą może być choćby compliance officer, a komórką – np. dział prawny lub dział compliance. Bezstronność powinna zostać zapewniona poprzez możliwość powierzenia konkretnego postępowania osobie/osobom, które nie mają żadnych zawodowych (służbowych) lub pozazawodowych relacji z osobami związanymi z daną sprawą. Chodzi o zapewnienie obiektywizmu podejmowanych działań i brak podejrzeń o stronniczość w ramach danego działania następczego.
5. Czy zewnętrzny podmiot może prowadzić działania następcze, w tym postępowanie wyjaśniające?
Przepisy u.o.s. wymagają, by w procedurze wewnętrznej do podejmowania działań następczych, w tym prowadzenia postępowań wyjaśniających, wyznaczyć osobę upoważnioną w ramach struktury organizacyjnej podmiotu albo wewnętrzną komórkę organizacyjną. Taka osoba lub komórka organizacyjna może podejmować działania następcze w sprawie każdego zgłoszenia, bez potrzeby uzyskania osobnego upoważnienia, ważnego w konkretnej sprawie. Nie ma jednak przeszkód, aby osoba lub komórka organizacyjna upoważniona do podejmowania działań następczych powierzyła prowadzenie konkretnego postępowania lub podjęcie innego działania następczego innej osobie. Compliance officer może np. zdecydować, że konkretną sprawę powinien rozpoznać szef działu relacji pracowniczych, z uwagi na specyfikę sprawy. Osoba, którą compliance officer upoważni do podejmowania działań następczych, powinna uzyskać pisemne upoważnienie do prowadzenia działań następczych w tej konkretnej sprawie. Upoważnienia może udzielić albo kierownik działu prawnego (lub zarząd), albo osoba upoważniona do podejmowania działań następczych i przedkładania dalszych upoważnień do podejmowania takich działań w konkretnych sprawach.
To samo dotyczy podmiotów zewnętrznych, czyli np. agencji detektywistycznych, kancelarii prawnych czy firm audytorskich. Można też upoważnić zewnętrzne podmioty do prowadzenia poszczególnych działań następczych. Zewnętrzne podmioty, działając jako „podwykonawcy” wyznaczonej i upoważnionej osoby lub komórki organizacyjnej, są zobowiązane do podejmowania działań następczych zgodnie z procedurą wewnętrzną podmiotu prawnego. Odpowiedzialność za zgodność z prawem tych działań ponosi upoważniona w procedurze osoba lub komórka organizacyjna.
6. Czy osoby z zewnątrz mogą pomagać w działaniach następczych?
Tak. Takie osoby mogą być członkami komisji lub zespołów, które prowadzą działania następcze, w tym postępowania wyjaśniające. Mogą to być zarówno wyspecjalizowane firmy prowadzące tego rodzaju postępowania, jak i agencje detektywistyczne, kancelarie prawne, doradcy podatkowi itd. W działaniach następczych prowadzonych w odpowiedzi na konkretne zgłoszenie mogą także brać udział przedstawiciele zagranicznych spółek dominujących.
postępowania wyjaśniające
7. Co należy zrobić po otrzymaniu zgłoszenia?
Należy wysłać osobie zgłaszającej informację, że zgłoszenie zostało przyjęte i zostanie rozpatrzone zgodnie z procedurą. Systemy przeznaczone do obsługi zgłoszeń zwykle przekazują takie potwierdzenie automatycznie, bezpośrednio po zatwierdzeniu zgłoszenia przez osobę zgłaszającą. W takim przypadku nie jest już konieczne osobne potwierdzanie zgłoszenia.
Jeżeli zgłoszenie w oczywisty sposób nie dotyczy naruszenia prawa, to można poinformować o tym osobę zgłaszającą – nie będzie ona sygnalistą.
Jeżeli zgłoszenie jest prawidłowe, to należy przekazać sprawę osobie lub komórce organizacyjnej, która jest odpowiedzialna za podejmowanie działań następczych. W ramach przyjęcia zgłoszenia nie należy nawiązywać dalszego kontaktu z sygnalistą, np. prosić go o dodatkowe wyjaśnienia lub informacje. Można natomiast przekazać podstawowe informacje o obowiązującej procedurze zgłoszeń wewnętrznych, przewidywanych działaniach następczych (np. przebiegu postępowania wyjaśniającego) i przewidywanym czasie ich trwania. Informacja zwrotna przekazywana po przyjęciu zgłoszenia może też zawierać informacje o zasadach ochrony sygnalistów i zasadach przetwarzania jego danych osobowych.
8. Czy w ramach postępowań wewnętrznych pracodawca może przesłuchiwać świadków?
Podmioty prawne mogą w ramach prowadzonych działań następczych pozyskiwać informacje i wiadomości od innych osób. Takich czynności nie należy jednak nazywać „przesłuchaniami”, gdyż sugeruje to, że pracodawcy uzyskują uprawnienia podobne do organów władzy publicznej. W praktyce obrotu gospodarczego przyjęło się mówić o „wywiadach” lub „rozmowach wyjaśniających” zamiast o „przesłuchaniach”.
9. Czy pracownicy muszą brać udział w postępowaniach wyjaśniających?
Obowiązek udziału w wyjaśnianiu okoliczności opisanych w zgłoszeniach o naruszeniu prawa wynika z ogólnego obowiązku dbałości o dobro zakładu pracy. Może on zostać wprowadzony przepisami wewnętrznymi, np. w regulaminie pracy albo w samej procedurze dokonywania zgłoszeń wewnętrznych. Obowiązek wspierania pracodawcy w wyjaśnianiu nieprawidłowości i realizowaniu ustawowych obowiązków musi uwzględnić interesy pracowników. Nie można np. zmusić do udziału w postępowaniu wyjaśniającym osoby, która jest podejrzewana o naruszenie prawa. Obowiązek udziału w postępowaniach wyjaśniających może polegać na udzieleniu prowadzącemu działania następcze informacji, pomocy, wyjaśnień, przekazaniu dokumentów itp.
10. Czy odmowa złożenia zeznań w postępowaniu wyjaśniającym jest naruszeniem obowiązków pracownika?
Tak, ale każdy przypadek powinien być oceniany indywidualnie. Nie można nikogo zmuszać do tego, aby brał udział w postępowaniu, które dotyczy go osobiście (np. gdy jest podejrzewany o naruszenie prawa). Jeżeli dana osoba nie jest podejrzewana o naruszenie prawa, to można uznać, że jej udział w wyjaśnieniu sprawy to obowiązek pracownika, który wynika z nakazu dbałości o dobro zakładu pracy. Taką powinność mogą też wprowadzać procedury i dokumenty wewnętrzne. W uzasadnionych przypadkach odmowa udziału w rozmowie wyjaśniającej może stanowić podstawę rozwiązania umowy o pracę. Trzeba przy tym pamiętać, że udział w postępowaniach wyjaśniających nie powinien powodować dla pracownika żadnych negatywnych przeżyć. Spotkania powinny się odbywać w godzinach pracy pracownika, w dogodnym dla niego miejscu i warunkach.
11. Czy obowiązkiem udziału w postępowaniach wyjaśniających mogą być objęte także inne osoby niż pracownicy?
Pracodawca może w procedurze zobowiązać także osoby zatrudnione na podstawie innych umów niż umowa o pracę do współdziałania z pracodawcą przy prowadzeniu postępowań wyjaśniających. Może także zobowiązać do tego kontrahentów (dostawców, wykonawców, podwykonawców). W takim przypadku umowy zawierane z takimi osobami lub jednostkami powinny wyraźnie wskazywać, że podpisując umowę z pracodawcą, takie osoby/jednostki zgadzają się na stosowanie procedury zgłoszeń wewnętrznych.
12. Czy osoba przesłuchiwana w ramach postępowania wyjaśniającego odpowiada za złożenie fałszywych zeznań?
Wyjaśnienia składane w ramach postępowania wyjaśniającego nie są zeznaniami przed organami publicznymi. Złożenie fałszywych wyjaśnień nie podlega odpowiedzialności karnej. Również odmowa udzielenia wyjaśnień nie jest zagrożona karą na podstawie przepisów ustawy z 6 czerwca 1997 r. ‒ Kodeks postępowania karnego (t.j. Dz.U. z 2024 r. poz. 37; ost.zm. Dz.U. z 2024 r. poz. 1248), ustawy z 17 listopada 1964 r. ‒ Kodeks postępowania cywilnego (t.j. Dz.U. z 2023 r. poz. 1550; ost.zm. Dz.U. z 2024 r. poz. 1237; dalej: k.p.c.)czy ustawy z 14 czerwca 1960 r. ‒ Kodeks postępowania administracyjnego (t.j. Dz.U. z 2024 r. poz. 572). Może to być jednak naruszenie procedury zgłoszeń wewnętrznych oraz działanie sprzeczne z interesem pracodawcy i z zasadami współżycia społecznego. Co więcej, może to uzasadniać nawet rozwiązanie umowy o pracę.
13. Czy osoba przesłuchiwana jest zobowiązana do zachowania poufności?
Postępowania wyjaśniające są poufne, a na pracodawcy ciąży obowiązek zachowania ich w tajemnicy oraz ochrony tożsamości i prywatności sygnalisty, osoby, której dotyczy zgłoszenie („podejrzanego”) i każdej innej osoby uczestniczącej w postępowaniu. Prowadzący postępowanie wyjaśniające powinien zobowiązać każdą osobę, która uczestniczy w postępowaniu, do zachowania w tajemnicy wszelkich informacji, jakie uzyska w wyniku udziału w takim postępowaniu. Może to przybrać formę podpisania przez taką osobę oświadczenia o zobowiązaniu do zachowania poufności (NDA, czyli z ang. non-disclosure agreement). Jednak nawet w przypadku, gdy taki dokument nie zostanie podpisany, przyjęcie na siebie zobowiązania do zachowania poufności jest wystarczające.
14. Czy naruszenie przez osobę uczestniczącą w postępowaniu obowiązku poufności jest karalne?
Jeżeli osoba „przesłuchiwana” zobowiąże się do zachowania poufności informacji uzyskanych w trakcie postępowania, a następnie ujawni je albo wykorzysta dla własnych celów, to może się spodziewać, że będzie odpowiadać dyscyplinarnie za naruszenie obowiązków pracowniczych. W szczególnie ważnych przypadkach może nawet podlegać karze za przestępstwo opisane w art. 266 par. 1 ustawy z 6 czerwca 1997 r. ‒ Kodeks karny (t.j. Dz.U. z 2024 r. poz. 17; dalej k.k.). Zgodnie z nim „kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.
Dla takiej odpowiedzialności nie jest konieczne podpisanie umowy lub zobowiązania do zachowania poufności. Przyjęcie zobowiązania może mieć formę ustną, a nawet konkludentną (czyli przyjęcie do wiadomości pouczenia osoby „przesłuchującej” i obowiązku poufności).
15. Czy pracodawca może analizować korespondencję (e-mailową, telefoniczną, na komunikatorach) osób zaangażowanych w sprawę?
Tak, z zastrzeżeniem, że chodzi o korespondencję służbową, prowadzoną z użyciem służbowego sprzętu i narzędzi (np. telefon, komputer, służbowy komunikator lub służbowa skrzynka pocztowa). Podmiot prawny (praco dawca) bez zgody osoby uprawnionej nie może analizować jakichkolwiek danych prywatnych ani prywatnych telefonów czy nośników danych. Przeglądanie służbowych nośników pamięci powinno się odbywać zgodnie z obowiązującą u danego podmiotu polityką bezpieczeństwa IT, albo innymi podobnymi regulacjami, oraz z poszanowaniem prywatności pracownika.
16. Czy pracodawca może analizować prywatne zasoby pracowników, np. wszelkiego rodzaju wiadomości z prywatnego telefonu?
Takie dane można przeglądać i analizować wyłącznie za zgodą danej osoby oraz pod jej nadzorem. Trzeba także pamiętać, że tylko szczególne okoliczności mogą uzasadniać taki przegląd (np. z zabezpieczonej już służbowej korespondencji można wnioskować, że istotne dowody znajdują się w prywatnej korespondencji pracowników). Jeżeli w trakcie wspomnianego przeglądu zostaną ujawnione jakiekolwiek dane, które nie są potrzebne dla celów postępowania, to w żaden sposób nie powinny być one utrwalane. Jeśli dojdzie do ich przypadkowego pozyskania, to powinny być niezwłocznie usunięte (maksymalnie w ciągu 14 dni od ich uzyskania).
17. Jak długo może trwać postępowanie wyjaśniające?
Przyjmuje się, że postępowanie powinno się zakończyć w terminie trzech miesięcy od dnia przyjęcia zgłoszenia. W tym terminie podmiot prawny (osoba lub komórka organizacyjna upoważniona do podejmowania działań następczych) musi przekazać sygnaliście informację zwrotną o podjętych lub planowanych działaniach i powodach ich podjęcia.
Pracodawca nie ma jednak obowiązku zakończyć postępowania w terminie trzech miesięcy. W informacji zwrotnej przekazywanej w tym terminie można poinformować sygnalistę o konieczności podjęcia dalszych czynności, z uzasadnieniem, dlaczego jest to niezbędne.
18. Co powinna zawierać informacja zwrotna przekazywana sygnaliście po zakończeniu postępowania?
W informacji zwrotnej należy powiadomić sygnalistę o wykonanych czynnościach i powodach ich podjęcia. W zależności od podjętych przez pracodawcę decyzji może chodzić np. o uzasadnienie przeprowadzenia postępowania wyjaśniającego lub powody odstąpienia od przeprowadzania takiego postępowania. Informacja powinna zawierać także uzasadnienie tych decyzji.
Jednak w informacji zwrotnej nie należy podawać danych osobowych uczestników postępowania, chyba że jest to szczególnie uzasadnione konkretną sytuacją. W niektórych przypadkach informacja może być bardziej szczegółowa, zwłaszcza wtedy, gdy charakter podejmowanych działań następczych powoduje, że i tak zostaną one ujawnione (np. rozwiązanie umowy o pracę z kierownikiem zespołu).
19. Czy sygnalistę należy informować o wynikach postępowania, np. o ustaleniu, że dana osoba naruszyła prawo?
Zgodnie z u.o.s. czym innym jest informacja zwrotna, którą pracodawca musi przekazać sygnaliście, a czym innym informacja o wynikach postępowania, którą jest zobowiązany przekazać sygnaliście organ publiczny.
W informacji zwrotnej, przekazywanej w terminie trzech miesięcy od przyjęcia zgłoszenia wewnętrznego, nie muszą być zawarte dane o wynikach postępowania i podejmowanych w związku z tym działaniach. To od podmiotu prawnego zależy, czy w danej sprawie przekaże on sygnaliście jedynie informację o zakończeniu postępowania, czy też bardziej szczegółowe informacje o tym postępowaniu, innych podejmowanych działaniach następczych i działaniach naprawczych. Każdorazowo podmiot prawny powinien brać pod uwagę uzasadniony interes:
- sygnalisty,
- innych osób uczestniczących w postępowaniu,
- osoby podejrzewanej o naruszenie prawa.
20. Czy pracodawca musi sporządzić raport z postępowania wyjaśniającego?
Nie, sporządzenie raportu nie jest obowiązkowe. Jest ono uzasadnione w tych wypadkach, gdy w wyniku działań następczych (postępowania wyjaśniającego) zostanie ustalone, że doszło do naruszenia prawa. Osoba lub komórka prowadząca działania następcze powinna wówczas wskazać, jakie środki naprawcze należy podjąć, aby zminimalizować ryzyko podobnych naruszeń w przyszłości, i wskazać, jakie należy podjąć kroki w stosunku do osoby winnej naruszenia prawa. Wówczas raport, który zwykle jest kierowany do innej osoby lub komórki organizacyjnej, jest istotnym dokumentem uzasadniającym takie rekomendacje.
21. Co powinno się znaleźć w raporcie z postępowania?
Jeżeli osoba prowadząca postępowanie (odpowiednio: zespół, komisja) decyduje się sporządzić raport, to powinien on zawierać opis zgłoszenia, przebieg postępowania (liczbę przesłuchanych osób, analizowane materiały źródłowe itp.), wnioski z postępowania (ustalenia co do naruszenia prawa) oraz rekomendacje co do podjęcia dalszych działań. Ale uwaga! Raport nie powinien zawierać danych osobowych, poza danymi osoby podejrzewanej o naruszenie prawa. Powinno za to znaleźć się w nim uzasadnienie faktyczne i prawne, zwłaszcza w zakresie rekomendowanych działań naprawczych.
W raporcie można rekomendować różnorodne działania naprawcze, w tym zmianę obowiązujących u danego podmiotu procedur, polityk lub procesów, przeprowadzenie szkolenia dla danych grup pracowników, zmianę organizacji pracy itp. Rekomendacje mogą też zawierać sugestie co do decyzji personalnych, np. rozwiązania z daną osobą umowy o pracę lub zawiadomienia o podejrzeniu popełnienia przestępstwa.
22. Czy rekomendacje zawarte w raporcie są wiążące?
Nie, są one tylko wskazówką. Oczywiście adresat raportu (np. zarząd) powinien wziąć je pod uwagę i szczegółowo rozważyć. Co istotne, adresat rekomendacji zwykle nie uczestniczy bezpośrednio w podejmowaniu wcześniejszych działań następczych (postępowaniu) i powinien działać w zaufaniu do bezstronności, obiektywizmu i profesjonalizmu osób prowadzących te działania i sporządzających raport.
rejestr zgłoszeń
23. Kto odpowiada za prowadzenie rejestru zgłoszeń?
Odpowiedzialny jest pracodawca (podmiot prawny), który jest zarazem administratorem danych osobowych. W przypadku gdy nie ma szczególnych postanowień, rejestr prowadzi organ zarządzający. Wskazane jest jednak (i w pełni dopuszczalne, zgodnie z u.o.s.), aby obowiązek prowadzenia rejestru powierzyć innej osobie lub komórce organizacyjnej, np. wyznaczonej do przyjmowania zgłoszeń lub upoważnionej do podejmowania działań następczych. W praktyce dane do rejestru zgłoszeń należy wprowadzać już od momentu przyjęcia zgłoszenia, np. zarejestrowanie od razu numeru sprawy ułatwia późniejsze jej procedowanie bez podawania jakichkolwiek danych osobowych.
24. Jak długo przechowuje się dane w rejestrze?
Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez trzy lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Ten drugi przypadek dotyczy np. postępowania cywilnego lub karnego przeciwko osobie winnej naruszenia prawa. Przez taki sam okres przechowywane są dokumenty i inne nośniki zawierające dane osobowe zgromadzone w toku podejmowania działań następczych (np. protokoły z rozmów wyjaśniających, wiadomości e-mailowe, notatki ze spotkań komisji prowadzącej sprawę itp.).
25. Jakie dane należy ujawnić w rejestrze zgłoszeń?
W rejestrze należy podać:
- numer zgłoszenia (np. 124/2025),
- przedmiot naruszenia prawa (np. korupcja),
- dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób (w przypadku zgłoszeń anonimowych oczywiście nie podaje się danych sygnalisty),
- adres do kontaktu sygnalisty, jeżeli został podany,
- datę dokonania zgłoszenia (można uzupełnić tę informację o sposób dokonania zgłoszenia),
- informację o podjętych działaniach następczych (np. podanie, że wszczęto postępowanie wyjaśniające albo przeprowadzono rozmowę dyscyplinującą),
- datę zakończenia sprawy (chodzi o zamknięcie sprawy, np. podpisanie raportu).
26. Czy można informować spółkę dominującą o postępowaniach wyjaśniających prowadzonych w reżimie ustawowym przy zanonimizowaniu danych osobowych?
Tak. Szczególną ochroną objęte są wszelkie informacje zawarte w zgłoszeniu albo ujawnione w trakcie podejmowania działań następczych, które bezpośrednio lub pośrednio mogłyby ujawnić dane osobowe sygnalisty, osoby, której dotyczy zgłoszenie, albo innej osoby. Takie dane i dokumenty mogą być udostępnione wyłącznie osobom, które zostały imiennie upoważnione do podejmowania działań następczych i do przetwarzania danych osobowych. Krąg takich osób powinien być minimalizowany do osób faktycznie uczestniczących w podejmowaniu działań następczych.
Nie ma jednak przeszkód, aby przedstawiać spółkom dominującym dane zanonimizowane (np. w celach statystycznych), uniemożliwiające identyfikację tożsamości osób zaangażowanych w działania następcze.
Polecamy: „Sygnaliści w biurze rachunkowym”
Polecamy: „Sygnaliści w firmie. Przewodnik dla pracodawcy”
Polecamy: „Sygnaliści w administracji publicznej. Procedura dla pracodawcy”
procedura zgłoszeń wewnętrznych
27. Kto ma obowiązek ustanowić procedurę zgłoszeń wewnętrznych?
Obowiązek obejmuje wszystkie jednostki organizacyjne (w tym m.in. spółki, fundacje, stowarzyszenia), na rzecz których według stanu na 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób.
Limit nie obowiązuje w stosunku do niektórych podmiotów, w tym wykonujących działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, a także bezpieczeństwa transportu i ochrony środowiska.
28. Kiedy trzeba przyjąć procedurę zgłoszeń wewnętrznych?
Przepisy ustawy o ochronie sygnalistów wchodzą w życie 25 września 2024 r. Tego samego dnia zacznie obowiązywać przepis wykroczeniowy przewidujący karę za nieustanowienie procedury . Dotychczas, jeszcze przed wejściem w życie przepisów, zarysowały się aż trzy stanowiska co do daty, kiedy należy ustanowić procedurę, przeprowadzić konsultacje ze stroną społeczną i ogłosić to wszystkim zainteresowanym.
▶ Według pierwszego poglądu 25 września 2024 r. procedura powinna już wejść w życie albo co najmniej zostać ogłoszona. Zwolennicy tego poglądu argumentują, że ustawa została ogłoszona 24 czerwca 2024 r., a 1 lipca minął pierwszy termin badania stanu zatrudnienia i przekroczenia progu 50 osób zatrudnionych. Firmy zatrudniające 1 lipca 2024 r. co najmniej 50 osób powinny przed 25 września br. ustanowić procedurę, czyli przygotować jej projekt i przeprowadzić konsultację oraz ogłosić ją.
▶ Zgodnie z drugim poglądem nie ma podstaw prawnych do przeprowadzenia konsultacji przed 25 września 2024 r. Dopiero tego konkretnie dnia można rozpocząć konsultacje, które będą trwać od 5 do 10 dni od dnia przedstawienia projektu procedury stronie społecznej. Ogłoszenie procedury może więc przypaść na okres od 1 do 6 października – wówczas wejdzie ona w życie 7 dni później, czyli 8 lub 14 października.
▶ Według trzeciego poglądu (zaprezentowanego przez Ministerstwo Pracy, Rodziny i Polityki Społecznej) procedurę są zobowiązane wdrożyć podmioty, na rzecz których pracę zarobkową wykonuje co najmniej 50 osób wedle stanu na 1 stycznia lub 1 lipca. Pierwszym terminem po wejściu u.o.s. w życie, w którym taki podmiot będzie mógł określić swój poziom zatrudnienia, będzie 1 stycznia 2025 r. W opinii resortu pracy tego dnia podmioty zatrudniające co najmniej 50 osób powinny ogłosić procedury. Faktycznie jednak 1 stycznia firmy przekraczające próg zatrudnienia (50 osób) będą dopiero mogły przystąpić do przygotowania projektu procedury, konsultacji oraz ogłoszenia go.
Stanowisko MPRiPS jest wewnętrznie niespójne i sprzeczne z u.o.s. Zastosowanie się do niego jest ryzykowne. Firmy, które aż do 1 stycznia 2025 r. nie podejmą żadnych kroków w celu ustanowienia procedury zgłoszeń wewnętrznych, narażają się na duże ryzyko. Uważamy, że należy się zastosować do pierwszego lub drugiego stanowiska i wskazanych w nich dat.
Niezależnie od podmiotów zobowiązanych obecnie do ustanowienia procedury zgłoszeń wewnętrznych, każdego 1 stycznia i 1 lipca danego roku podmioty prywatne powinny ustalić, czy przekraczają próg 50 osób zatrudnionych. Jeżeli tak, to niezwłocznie powinny przystąpić do ustanowienia procedury, konsultacji i ogłoszenia procedury. Niestety u.o.s. nie przewiduje terminu, w jakim „nowe” podmioty zobowiązane mają obowiązek przystąpić do opracowania procedury.
29. Kto oprócz pracowników jest wliczany do progu 50 osób wykonujących pracę zarobkową?
Do liczby 50 osób wykonujących pracę zarobkową na rzecz podmiotu prawnego wlicza się pracowników w przeliczeniu na pełne etaty lub osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób (czyli nie powierzają jej podwykonawcom, lecz wykonują ją osobiście) ‒ niezależnie od podstawy zatrudnienia. Mogą to być zatem osoby wykonujące czynności na podstawie umowy zlecenia czy umowy o świadczenie usług. Istotne jest, aby świadczyły one te usługi osobiście i stale na rzecz danego podmiotu prawnego.
30. W jaki sposób należy przeliczać liczbę pracowników na pełne etaty?
Przeliczenie na pełne etaty wymaga grupowania pracowników według wymiaru zatrudnienia oraz dokonania odpowiednich obliczeń. Jeśli więc np. podmiot zatrudnia 30 pracowników na pełen etat, 20 pracowników na 1/2 etatu i 20 pracowników na 1/4 etatu, to łącznie zatrudnia 45 pracowników w przeliczeniu na pełne etaty.
31. Kto ustanawia procedurę wewnętrzną?
Nie ma znaczenia, kto opracuje projekt procedury – może to być wewnętrzna komórka organizacyjna (np. dział prawny, dział compliance) lub zewnętrzny doradca (np. kancelaria prawna).
Projekt procedury należy skonsultować z zakładowymi organizacjami związkowymi działającymi u pracodawcy, a w przypadku ich braku – z przedstawicielami osób świadczących pracę zarobkową.
Po konsultacjach procedura powinna zostać formalnie przyjęta przez organ zarządzający danym podmiotem. W szczególności może to nastąpić w drodze uchwały zarządu albo wewnętrznego zarządzenia. Warto zadbać o to, aby pod procedurą widniały podpisy osób ją przyjmujących, aby nie było wątpliwości co do treści przyjętej procedury.
Tak przyjęta procedura powinna następnie zostać ogłoszona w sposób zwyczajowo przyjęty w danej organizacji. W szczególności można wywiesić procedurę na tablicy ogłoszeń lub zamieścić w intranecie organizacji, informując o tym osoby wykonujące pracę zarobkową.
32. Na czym polegają konsultacje procedury?
W ramach konsultacji strona społeczna ma możliwość przedstawienia swoich komentarzy do projektu procedury (który należy jej udostępnić). W zamierzeniu ustawodawcy konsultacje mają pozwolić na wypracowanie lepszego projektu procedury, uwzględniającego punkt widzenia nie tylko organizacji, lecz także jej pracowników czy szerzej ‒ osób zatrudnionych.
Konsultacje mają trwać od 5 do 10 dni. Rozpoczyna je przekazanie zakładowym organizacjom związkowym lub wyłonionym przedstawicielom projektu procedury z prośbą o ustosunkowanie się do niego. Dalszy tryb konsultacji wynika z istniejących porozumień między pracodawcą a zakładowymi organizacjami związkowymi/przedstawicielami osób zatrudnionych i może polegać jedynie na przesłaniu uwag do wiadomości pracodawcy, wymianie poglądów, spotkaniu i dyskusji itp.
W przypadku braku szczególnych zasad prowadzenia takich konsultacji wystarczy, aby podmiot poprosił, przekazując projekt procedury, o ustosunkowanie się przez stronę społeczną do treści procedury w określonym czasie (minimum 5, a maksimum 10 dni).
Uwaga! Warto sporządzić notatkę (protokół) z konsultacji, który potwierdzi ich przeprowadzenie i stanowiska stron.
33. Czy podmiot i strona społeczna mogą skrócić lub wydłużyć okres konsultacji?
Nie, strony nie mają takiego uprawnienia. Termin od 5 do 10 dni jest terminem sztywnym, bez możliwości jego skracania czy przedłużania, nawet za zgodą obu stron konsultacji. Naruszenie czasu trwania konsultacji nie wpływa na ważność procedury i jej obowiązywanie, ale naraża pracodawcę na odpowiedzialność karną za wykroczenie (ustanowienie procedury z naruszeniem przepisów u.o.s.).
34. Czy można ustanowić procedurę wbrew stanowisku strony społecznej i bez jej zgody?
Tak, podmiot może nie zaakceptować stanowiska strony społecznej i nie zmienić projektu procedury wedle jej wniosków. Nie wpływa to jednak na ważność procedury.
35. Czy trzeba konsultować procedurę ze wszystkimi związkami zawodowymi działającymi w zakładzie pracy?
Nie, konsultacje prowadzi się wyłącznie z tymi związkami, którym przysługują uprawnienia zakładowej organizacji związkowej. Chodzi zarówno o liczebność organizacji, jak i aktualność jej uprawnień. Uprawnienia zakładowej organizacji związkowej nie przysługują np. związkowi zawodowemu, który nie wywiązał się z obowiązku informacyjnego odnośnie do liczby swoich członków.
36. Czy rada pracowników może odgrywać rolę „przedstawicieli osób zatrudnionych” na potrzeby konsultacji procedury zgłoszeń wewnętrznych?
Nie, taka rada bowiem, powołana na podstawie ustawy z 7 kwietnia 2006 r. o informowaniu pracowników i prowadzeniu z nimi konsultacji (Dz.U. z 2006 r. nr 79, poz. 550; ost.zm. Dz.U. z 2008 r. nr 120, poz. 778) nie jest uprawniona do prowadzenia takich konsultacji. Członkami rady pracowników są pracownicy, natomiast u.o.s. wymaga przeprowadzenia konsultacji z przedstawicielami osób zatrudnionych.
37. Kim są przedstawiciele osób zatrudnionych i jak ich wskazać?
Chodzi o przedstawicieli zarówno pracowników, jak i osób zatrudnionych na podstawie innych umów. Zasady ich wyłonienia określa pracodawca.
Jeżeli w dniu wejścia w życie u.o.s. u pracodawcy są wyłonieni przedstawiciele pracowników, a pracodawca zatrudnia wyłącznie pracowników, to tacy przedstawiciele co do zasady mogą uczestniczyć w procesie konsultacji ‒ chyba że podczas wyborów pracodawca wąsko określił ich kompetencje, np. ograniczył je do spraw związanych z funduszem socjalnym. Jeżeli to uprawnienie zostało ustalone szeroko, to należy uznać, że tacy przedstawiciele są upoważnieni do konsultacji brzmienia procedury.
Natomiast w sytuacji, gdy pracodawca zatrudnia również osoby na podstawie innych umów, a te osoby nie brały udziału w wyborze przedstawicieli pracowników, to pracodawca powinien albo ponowić wybory, aby wyłonić przedstawicieli osób zatrudnionych, albo dokooptować do wybranych przedstawicieli pracowników przedstawicieli osób zatrudnionych na podstawie innych umów. Takie osoby powinny zostać zaakceptowane przez osoby zatrudnione na podstawie innych umów.
38. Co grozi pracodawcy za nieprzeprowadzenie konsultacji?
Ustawa o ochronie sygnalistów nie określa skutków braku przeprowadzenia konsultacji. Skoro jednak wyniki konsultacji nie są wiążące dla podmiotu, to brak konsultacji nie powinien się przekładać na ważność procedury ogłoszonej przez podmiot. Ważniejszą kwestią jest bowiem ustanowienie kanałów zgłoszeń i ich przyjmowania. Ustanowienie procedury z pominięciem konsultacji będzie natomiast sprzeczne z art. 58 u.o.s. Jest to wykroczenie zagrożone karą grzywny do 5 tys. zł. Karę poniesie wówczas przedstawiciel podmiotu prawnego (np. członkowie zarządu).
Ponadto w przypadku pominięcia w konsultacjach zakładowej organizacji związkowej może to być poczytane za utrudnianie działalności związkowej. To z kolei może być uznane za przestępstwo w rozumieniu art. 35 ustawy z 23 maja 1991 r. o związkach zawodowych (t.j. Dz.U. z 2022 r. poz. 854).
39. Czy tryb ustanowienia procedury zgłoszeń wewnętrznych stosuje się także do zmian w procedurze?
Ustawa o ochronie sygnalistów nie reguluje w ogóle trybu przyjęcia zmian do procedury zgłoszeń wewnętrznych. Można zatem przyjąć, że w przypadku zmian procedury nie trzeba przeprowadzać konsultacji z organizacjami związkowymi/przedstawicielami osób zatrudnionych.
Jednak skoro w tworzeniu procedury bierze udział strona społeczna, to można też przyjąć, że zmiana procedury, szczególnie dotycząca jej istotnych postanowień, też powinna być z nią konsultowana.
Uważamy, że skoro u.o.s. wprost nie nakłada obowiązku konsultacji zmian w procedurze, to nie będzie wykroczeniem z art. 58 u.o.s. pominięcie konsultacji przy wprowadzaniu takich zmian.
40. Czy powiązane spółki mogą przyjąć wspólną procedurę zgłoszeń wewnętrznych?
Podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt 14 ustawy z 16 lutego 2007 r. o ochronie konkurencji i konsumentów (t.j. Dz.U. z 2024 r. poz. 594; ost.zm. Dz.U. z 2024 r. poz. 1237; dalej: u.o.k.k.) mogą ustalić wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z u.o.s.
Zgodnie ze wspomnianą regulacją przez grupę kapitałową „rozumie się wszystkich przedsiębiorców, którzy są kontrolowani w sposób bezpośredni lub pośredni przez jednego przedsiębiorcę, w tym również tego przedsiębiorcę”. Przedsiębiorcą zaś jest osoba fizyczna lub jednostka organizacyjna mająca zdolność prawną, która prowadzi we własnym imieniu działalność gospodarczą. Definicja „przedsiębiorcy” nie obejmuje podmiotów zagranicznych.
Ustawa o ochronie sygnalistów nie precyzuje, na czym polega „wspólna” procedura zgłoszeń wewnętrznych i czym różni się ona od „zwykłej” procedury. Zastrzega tylko, że ustanowienie wspólnej procedury jest możliwe pod warunkiem zapewnienia zgodności z prawem czynności wykonywanych przez wszystkie podmioty tworzące grupę kapitałową. To oznacza, że we wspólnej procedurze spółki tworzące grupę mogą:
- ustanowić wspólne kanały zgłaszania naruszeń,
- upoważnić ten sam zewnętrzny podmiot albo tę samą osobę lub komórkę organizacyjną odpowiedzialne za przyjmowanie zgłoszeń (np. dział prawny jednej ze spółek – najczęściej spółki dominującej),
- wyznaczyć i upoważnić tę samą osobę lub komórkę organizacyjną odpowiedzialną za prowadzenie działań następczych (np. dział prawny jednej ze spółek – najczęściej spółki dominującej).
Spółki powinny jednak prowadzić osobne rejestry zgłoszeń wewnętrznych oraz wyznaczyć i upoważnić u siebie osoby do przyjmowania zgłoszeń lub prowadzenia działań następczych.
41. Czy polska spółka zależna od zagranicznej spółki dominującej może mieć wspólną z nią procedurę przyjmowania zgłoszeń i prowadzenia działań następczych?
Nie, zagraniczne spółki dominujące nie tworzą grupy kapitałowej z polskimi spółkami zależnymi w rozumieniu przepisów u.o.k.k. oraz ustawy z 6 marca 2018 r. ‒ Prawo przedsiębiorców (t.j. Dz.U. z 2024 r. poz. 236; dalej: p.p.). W zakresie definicji „grupy spółek” (uprawnionych do przyjęcia wspólnej procedury) u.o.s. odsyła do u.o.k.k. Ta z kolei, definiując „grupę spółek” odwołuje się do pojęcia przedsiębiorcy w ujęciu p.p. Ten ostatni akt prawny przewiduje, że zasady prowadzenia działalności gospodarczej przez przedsiębiorców zagranicznych regulują inne przepisy. Wspomniany system odniesień oznacza, że podmioty zagraniczne nie tworzą grupy spółek w rozumieniu u.o.s.
Jest to zgodne ze stanowiskiem Komisji Europejskiej oraz przepisami innych krajów UE. Zasadą jest, że procedury ustanawiane w danym państwie członkowskim obowiązują jedynie na ich terytorium.
42. Czy pracodawcy należący do tych samych branży lub stowarzyszeń branżowych mogą przyjąć wspólną procedurę?
Nie, gdyż takie podmioty nie funkcjonują w ramach jednej grupy kapitałowej. Podmioty zatrudniające od 50 do 249 pracowników mogą natomiast przyjąć wspólne zasady przyjmowania zgłoszeń i prowadzenia działań następczych bez względu na brak przynależności do tej samej grupy kapitałowej. Przyjęcie wspólnych zasad oznacza, że każdy z takich podmiotów musi przyjąć odrębną procedurę, ustanowić osobne kanały zgłoszeń wewnętrznych i upoważnić samodzielnie podmioty, osoby lub komórki organizacyjne do przyjmowania zgłoszeń i podejmowania działań następczych. Przy czym wewnętrzne procedury takich podmiotów mogą się opierać na tożsamych zasadach, czyli wprowadzać takie same rozwiązania (np. terminy, takie same kanały zgłoszeń, takie same zasady rozpoznawania ich, zasady prowadzenia postępowań wyjaśniających itd.). W praktyce procedury ustanawiane przez odrębne podmioty według tych samych zasad mogą być niemal identyczne – są to jednak odrębne dokumenty, podlegające odrębnym konsultacjom i ustanawiające całkowicie niezależne systemy zgłaszania naruszeń prawa.
43. Co musi się znaleźć w procedurze zgłoszeń wewnętrznych?
Zgodnie z art. 25 ust. 1 u.o.s. procedura obligatoryjnie określa:
„1) wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych;
2) sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę wraz z jego adresem korespondencyjnym lub adresem poczty elektronicznej, zwanym dalej «adresem do kontaktu»;
3) bezstronną wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, upoważnione do podejmowania działań następczych, włączając w to weryfikację zgłoszenia wewnętrznego i dalszą komunikację z sygnalistą, w tym występowanie o dodatkowe informacje i przekazywanie sygnaliście informacji zwrotnej; funkcję tę może pełnić wewnętrzna jednostka organizacyjna lub osoba, o których mowa w pkt 1, jeżeli zapewniają bezstronność;
4) tryb postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo;
5) obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie;
6) obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych przez wewnętrzną jednostkę organizacyjną lub osobę, o których mowa w pkt 3;
7) maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nieprzekraczający 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego lub ‒ w przypadku nieprzekazania potwierdzenia, o którym mowa w pkt 5 ‒ 3 miesięcy od upływu 7 dni od dnia dokonania zgłoszenia wewnętrznego, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać informację zwrotną;
8) zrozumiałe i łatwo dostępne informacje na temat dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich albo organów publicznych oraz ‒ w stosownych przypadkach ‒ do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej”.
44. Czy procedura może zawierać dodatkowe elementy?
Tak, podmiot może zgodnie z art. 25 ust. 2 u.o.s. umieścić w procedurze dodatkowe postanowienia, w tym m.in.:
- wskazanie innych naruszeń niż wymienione w ustawie, jeżeli podmiot prawny chce rozszerzyć zakres zastosowania swojej procedury także na naruszenie innych dziedzin prawa (np. prawa pracy czy ubezpieczeń społecznych) lub także naruszenia wewnętrznych polityk, procedur i zasad etycznych;
- wskazanie czynników ryzyka odpowiadających profilowi działalności podmiotu prawnego, sprzyjających możliwości wystąpienia określonych naruszeń prawa związanych w szczególności z naruszeniem obowiązków regulacyjnych lub innych obowiązków określonych w przepisach prawa lub z ryzykiem korupcji;
- wskazanie, że informacja o naruszeniu prawa może być w każdym przypadku zgłoszona również do rzecznika praw obywatelskich albo organu publicznego z pominięciem procedury zgłoszeń wewnętrznych;
- określenie systemu zachęt do korzystania z procedury zgłoszeń wewnętrznych, w przypadku gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych.
45. Jakie zachęty do dokonywania zgłoszeń wewnętrznych może przewidzieć pracodawca?
Procedura może opisywać ogólne korzyści z dokonywania zgłoszeń wewnętrznych (brak konieczności angażowania zewnętrznych organów, składania formalnych zeznań), mniej sformalizowaną i szybszą procedurę prowadzenia postępowań wyjaśniających.
Ustawa o ochronie sygnalistów nie przewiduje możliwości finansowego nagradzania sygnalistów, chociaż żadne przepisy tego nie zabraniają i podmiot może wskazać w procedurze przyznawanie nagród albo innych świadczeń w przypadku dokonania określonych zgłoszeń (np. pozwalających ograniczyć szkody wynikające z nieprawidłowości czy uniknąć wystąpienia takich szkód). Trzeba podkreślić, że zdaniem polskich organów publicznych (zwłaszcza resortu pracy) nie ma podstaw do materialnego wynagradzania sygnalistów za dokonanie zgłoszenia.
46. Jak należy rozpowszechnić procedurę?
Procedura wchodzi w życie w terminie siedmiu dni od podania jej do wiadomości osób zatrudnionych w sposób przyjęty u danego pracodawcy. Może to polegać np. na umieszczeniu procedury w intranecie, na serwerze dostępnym dla pracowników, na stronie internetowej lub tablicy ogłoszeń. Takie ogłoszenie powinno być powiązane z informacją dla wszystkich zatrudnionych, że ustanowiona zostaje procedura zgłoszeń wewnętrznych.
47. Jak udostępnić procedurę (lub informację o procedurze) kandydatom do pracy i zewnętrznym podmiotom?
Jeżeli procedura będzie ujawniona np. na stronie internetowej, to wystarczy odesłanie do adresu strony. Jeżeli nie, wówczas należy wskazać:
- że procedura obowiązuje,
- gdzie można dokonywać zgłoszeń i
- jak takie zgłoszenia będą rozpatrywane.
Podmiot powinien przekazać te informacje najpóźniej wraz z rozpoczęciem rekrutacji lub negocjacji poprzedzających zawarcie umowy. Należy to zrobić tak, aby można było wykazać, że podmiot wykonał ten obowiązek (np. e-mailowo w zaproszeniu na rozmowę kwalifikacyjną).
zgłoszenia zewnętrzne i ujawnienie publiczne
48. Co to są zgłoszenia zewnętrzne?
Jest to przekazywanie informacji o naruszeniu prawa w kontekście związanym z pracą nie wewnętrznie (organowi pracodawcy), ale organowi publicznemu. Ustawa o ochronie sygnalistów przewiduje przy tym, że nie jest zgłoszeniem zewnętrznym przekazanie takiej informacji na podstawie dotychczas obowiązujących przepisów (np. zawiadomienie o podejrzeniu popełnienia przestępstwa).
49. Czy pracownicy mogą dokonać zgłoszenia zewnętrznego, mimo że pracodawca udostępnił wewnętrzne kanały zgłaszania naruszeń prawa?
Tak, pracownicy (i inni sygnaliści) mogą dokonywać zgłoszeń zewnętrznych, nawet jeśli pracodawca udostępnił kanały wewnętrzne. Wybór formy zgłoszenia (wewnętrzny albo zewnętrzny) należy do pracownika. Procedura zgłoszeń wewnętrznych może zawierać system zachęt do dokonywania zgłoszeń wewnętrznych zamiast zewnętrznych, ale nie może zabraniać dokonywania zgłoszeń na zewnątrz organizacji.
Nie można także wprowadzać wymogu dokonania najpierw zgłoszenia wewnętrznego, zanim sygnalista zdecyduje się na zgłoszenie zewnętrzne.
50. Czy przed dokonaniem zgłoszenia zewnętrznego sygnalista musi dokonać zgłoszenia wewnętrznego?
Nie, może od razu dokonać zgłoszenia zewnętrznego. Zobowiązywanie sygnalistów do dokonania w pierwszej kolejności zgłoszenia wewnętrznego jest zabronione i może nawet stanowić przestępstwo utrudniania dokonania zgłoszenia.
51. Czy uzyskanie zaświadczenia o podleganiu ochronie w związku z dokonaniem zgłoszenia zewnętrznego jest warunkiem uzyskania ochrony?
Nie, sygnalista podlega ochronie od momentu dokonania zgłoszenia zewnętrznego, niezależnie od tego, czy i kiedy zostanie mu wydane zaświadczenie. Takie zaświadczenie, wydawane na żądanie sygnalisty, ma być jedynie ułatwieniem dowodowym na wypadek postępowania sądowego (np. o odszkodowanie za działania odwetowe). Ma ono bowiem charakter dokumentu urzędowego i jest dowodem na to, co w nim zostało stwierdzone (tzn. że dana osoba korzysta z uprawnień i ochrony sygnalisty w związku z dokonanym zgłoszeniem).
52. Co to jest ujawnienie publiczne?
Jest to podanie informacji o naruszeniu prawa do publicznej wiadomości, np. w internecie lub telewizji. Ustawa o ochronie sygnalistów wyłącza jednak ochronę sygnalistów w przypadku, gdy dana osoba ujawnia informacje o naruszeniu prawa dziennikarzowi jako informator albo autor materiału prasowego (zwłaszcza listu do redakcji), zastrzegając swoją anonimowość. W tych sytuacjach sygnaliście przysługuje ochrona wynikająca z przepisów ustawy z 26 stycznia 1984 r. – Prawo prasowe (t.j. Dz.U. z 2018 r. poz. 1914).
53. Kiedy osoba dokonująca ujawnienia publicznego podlega ochronie jako sygnalista?
Sygnalista może publicznie ujawnić informację o naruszeniu prawa, jeśli najpierw dokonał zgłoszenia wewnętrznego lub zgłoszenia zewnętrznego i nie został w terminie siedmiu dni poinformowany, na swój adres kontaktowy, o przyjęciu tego zgłoszenia i podjęciu działań następczych.
Sygnalista wyjątkowo może też dokonać ujawnienia publicznego bez dokonania wcześniej zgłoszenia wewnętrznego lub zewnętrznego, jeżeli ma uzasadnione podstawy by sądzić, że:
- naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie interesu publicznego, w szczególności gdy istnieje ryzyko nieodwracalnej szkody, lub
- dokonanie zgłoszenia zewnętrznego narazi sygnalistę na działania odwetowe, lub
- w przypadku dokonania zgłoszenia zewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania naruszeniu prawa z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów, istnienia zmowy między organem publicznym a sprawcą naruszenia lub udziału organu publicznego w naruszeniu.
ochrona sygnalistów w przypadku podmiotów prywatnych zatrudniających mniej niż 50 osób
54. Czy podmioty prywatne, które zatrudniają mniej niż 50 osób, mogą wdrożyć procedurę?
Tak, takie podmioty mogą wdrożyć procedurę zgłaszania naruszeń prawa na takich samych zasadach, jak podmioty przekraczające ten próg. W takim przypadku do tych podmiotów stosuje się przepisy u.o.s. Procedura powinna zatem spełniać wymogi wskazane w jej przepisach.
55. Czy podmioty zatrudniające mniej niż 50 osób, które nie wprowadziły procedury, są zobowiązane przyjmować zgłoszenia?
Tak, o ile takie zgłoszenia dotyczą naruszenia prawa wskazanego w u.o.s. Poziom zatrudnienia wpływa jedynie na konieczność wdrożenia procedury lub jej brak. Nie wpływa natomiast na obowiązek przyjęcia i wyjaśnienia zgłoszenia, jeżeli dotyczy ono prawa wskazanego w u.o.s.
W konsekwencji nawet pracodawca, który zatrudnia kilkunastu czy kilku pracowników, będzie musiał przyjąć zgłoszenie i przeprowadzić działania następcze zgodnie z przepisami u.o.s. Zgłaszający, w chwili zgłoszenia, otrzyma też ochronę jako sygnalista. Pracodawca ponadto nie będzie mógł podejmować wobec niego działań odwetowych.
odpowiedzialność karna
56. Co grozi za utrudnianie dokonania zgłoszenia?
Uniemożliwienie lub istotne utrudnienie dokonania zgłoszenia (wewnętrznego lub zewnętrznego) to przestępstwo zagrożone karą grzywny, ograniczenia wolności lub pozbawienia wolności do jednego roku. Jeżeli sprawca takiego utrudniania stosuje groźbę bezprawną, przemoc lub podstęp, kara wynosi do trzech lat pozbawienia wolności. Utrudnianie może polegać na odwoływaniu spotkania, przerywaniu rozmowy, w trakcie której sygnalista chce dokonać zgłoszenia, zniechęcaniu do dokonania zgłoszenia, podawaniu błędnych informacji o trybie postępowania itp.
57. Jakie inne przestępstwa przewiduje u.o.s.?
Dopuszczenie się działań odwetowych wobec sygnalisty, osoby powiązanej z sygnalistą lub pomagającej w dokonaniu zgłoszenia jest zagrożone karą grzywny, ograniczenia wolności lub pozbawienia wolności do jednego roku. Jeżeli sprawca działa w sposób uporczywy, kara wynosi do trzech lat pozbawienia wolności.
Przestępstwem jest także wskazana w art. 190 k.k. groźba zastosowania działania odwetowego.
Groźba karalna
Art. 190 k.k.
1. Kto grozi innej osobie popełnieniem przestępstwa na jej szkodę lub na szkodę osoby dla niej najbliższej, jeżeli groźba wzbudza w osobie, do której została skierowana lub której dotyczy, uzasadnioną obawę, że będzie spełniona, podlega karze pozbawienia wolności do lat 3.
2. Ściganie następuje na wniosek pokrzywdzonego. ©℗
Ujawnienie tożsamości sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, wbrew przepisom u.o.s., jest przestępstwem zagrożonym karą grzywny, ograniczenia wolności lub pozbawienia wolności do jednego roku. Takie zachowanie może też stanowić przestępstwo bezprawnego lub nieuprawnionego przetwarzania danych osobowych (określone w art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych: t.j. Dz.U. z 2019 r. poz. 1718; dalej: u.o.d.o.) – jest ono zagrożone karą do dwóch lat pozbawienia wolności.
ochrona danych osobowych
58. Czy wobec sygnalisty należy realizować obowiązek informacyjny z art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; dalej: RODO)?
Tak. Obowiązek ten powinien być zrealizowany „podczas pozyskiwania danych osobowych”. Treść informacji należy sformułować tak, aby przed przekazaniem danych osobowych sygnalista miał możliwość dowiedzenia się, kto jest administratorem jego danych osobowych. Może się okazać, że nie jest to takie oczywiste w przypadku podmiotów o złożonej strukturze.
Obowiązek informacyjny może (ale nie musi) być załącznikiem do procedury zgłoszeń wewnętrznych. Możliwe są różne rozwiązania. Decyzja należy do podmiotu prawnego. Jeżeli np. zgłoszenia przyjmowane są za pośrednictwem kanału elektronicznego, to informacja powinna być tam właśnie umieszczona. Co więcej, możliwe jest zamieszczenie informacji o przetwarzaniu danych osobowych sygnalisty w zakładce na stronie internetowej podmiotu, na której wskazana jest również procedura. Powinna ona być łatwo dostępna i napisana w przystępnej formie.
Należy zwrócić uwagę na to, że przyjmowanie zgłoszeń może się odbywać w sposób zautomatyzowany (np. poprzez interaktywny formularz czy nagranie ). W takich przypadkach koniecznie trzeba sprawdzić, w jaki sposób przeprowadzana jest kwalifikacja zgłoszenia. Należy też zadbać o udział czynnika ludzkiego w tym procesie. Jeżeli natomiast decyzja o przyjęciu lub odrzuceniu zgłoszenia byłaby podejmowana w sposób całkowicie zautomatyzowany, to trzeba o tym poinformować pracowników.
59. Czy wobec osoby, której dotyczy zgłoszenie naruszenia, należy realizować obowiązek informacyjny z art. 14 RODO?
Co do zasady tak, gdyż u.o.s. nie przewiduje wyłączenia tego obowiązku, a jedynie ograniczenie w postaci nieinformowania o źródle danych. Zgodnie z art. 14 RODO administrator danych jest zobowiązany do wykonania obowiązku informacyjnego również w przypadku, gdy danych osobowych nie pozyskano od osoby, której dane dotyczą. Powinien podać informację w rozsądnym terminie ‒ najpóźniej w ciągu miesiąca – uwzględniając przy tym konkretne okoliczności przetwarzania danych osobowych.
Oznacza to, że nie trzeba informować osoby, której dotyczy zgłoszenie, niezwłocznie po jego otrzymaniu. Podmiot prawny ma na to miesiąc. Biorąc pod uwagę trzymiesięczny termin, w ciągu którego co do zasady powinny być zakończone działania następcze, można założyć, że wówczas gdy zgłoszenie dotyczyłoby np. naruszenia prawa do prywatności czy ochrony danych osobowych, do czasu realizacji tego obowiązku powinno się udać zabezpieczyć dowody i przesłuchać kluczowych świadków. Sytuacja znacznie się komplikuje, gdy przedmiotem zgłoszenia sygnalisty będzie chociażby zarzut korupcji. W tym przypadku czynności w ramach postępowania wyjaśniającego przeprowadzane są z dużą ostrożnością i niejednokrotnie mają charakter długotrwały. Dużo większe dla całego procesu jest też ryzyko związane z powzięciem informacji o działaniach następczych.
W takim przypadku należy rozważyć, czy obowiązek informacyjny wobec osoby (osób), której dotyczy zgłoszenie, powinien być w ogóle realizowany przed całkowitym zakończeniem postępowania wyjaśniającego. W zależności bowiem od tego:
- czego dotyczy zgłoszenie,
- jakie są ryzyka związane z niezbadaniem okoliczności faktycznych
‒ można podjąć decyzję o odstąpieniu od realizacji tego obowiązku na podstawie art. 14 pkt 5 lit. b RODO (czyli wtedy, gdy udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych albo do celów statystycznych, lub o ile obowiązek, o którym mowa, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania).
Nie może tu jednak być mowy o działaniu mechanizmu, który polega na odgórnym założeniu, że badanie każdego zgłoszenia byłoby utrudnione, gdyby zrealizowany został obowiązek informacyjny wobec osoby, której dotyczy zgłoszenie. Będzie to wymagało oceny ze strony osób przyjmujących zgłoszenie. Jest to kolejny argument za tym, aby osoby te były dobrze przygotowane do realizacji swoich obowiązków również pod kątem znajomości przepisów z zakresu ochrony danych osobowych.
60. Czy osobie, której dotyczy zgłoszenie, należy (na jej żądanie) wydać kopię zgłoszenia sygnalisty, np. z zamazanym jego imieniem i nazwiskiem?
W przypadku prawa podmiotu danych ‒ w tym przypadku osoby, której dotyczy zgłoszenie – u.o.s. nie przewiduje, aby z kopii tych wyłączyć te, które mogą ujawnić informacje o źródle danych. A to oznacza, że mogłoby dojść do ujawnienia danych osobowych sygnalisty czy też świadków, których wyjaśnienia mogą być dla niej obciążające.
W związku z tym można będzie rozważyć zastosowanie art. 15 ust. 4 RODO (zgodnie z którym prawo do uzyskania kopii danych osobowych podlegających przetwarzaniu nie może niekorzystnie wpływać na prawa i wolności innych) i dokonać oceny, czy prawo osoby, której dotyczy zgłoszenie, do uzyskania kopii danych osobowych podlegających przetwarzaniu, nie wpływałoby negatywnie np. na prawa sygnalisty. Gdyby tak było, uzasadniona będzie odmowa wydania takich duplikatów właśnie z uwagi na ewentualny niekorzystny wpływ przekazania kopii danych na prawa i wolności osób uczestniczących w postępowaniu zainicjowanym zgłoszeniem, czyli prawa i wolności zarówno sygnalisty, jak i świadków.
61. Jakie warunki powinna spełniać umowa z podmiotem zewnętrznym upoważniająca do przyjmowania zgłoszeń wewnętrznych?
Umowa ta powinna być zawarta między podmiotem prawnym a podmiotem upoważnionym do przyjmowania zgłoszeń wewnętrznych. W takim kontrakcie podmiot prawny powinien być zobowiązany do tego, aby podczas realizacji swoich usług stosował rozwiązania techniczne i organizacyjne zapewniające zgodność tych czynności z u.o.s. Zawarcie umowy nie uchyla odpowiedzialności podmiotu prawnego za dochowanie w szczególności obowiązków dotyczących zachowania poufności, udzielenia informacji zwrotnej oraz podjęcia działań następczych.
Ponadto z takiej umowy powinno wynikać, że podmiot upoważnia podmiot zewnętrzny do prowadzenia w jego imieniu przyjmowania zgłoszeń wewnętrznych, ze wskazaniem, co wchodzi w zakres tego przyjmowania; czy będzie to tylko użyczenie platformy elektronicznej za pośrednictwem której zgłoszenia będą przyjmowane, czy też podmiot zewnętrzny będzie realizował jeszcze inne działania, jak np. potwierdzanie przyjęcia zgłoszenia, przekazywanie informacji zwrotnej oraz dostarczanie informacji na temat procedury zgłoszeń wewnętrznych.
Umowa z podmiotem zewnętrznym powinna również określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z powierzeniem przetwarzania danych osobowych. Podmiot prawny (administrator danych osobowych) powinien przed zawarciem tej umowy ocenić, czy podmiot zewnętrzny zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. W tym przypadku nie można się kierować wyborem najtańszego oferenta, gdyż ewentualne naruszenie poufności danych oznacza nie tylko straty wizerunkowe, lecz także odpowiedzialność karną (art. 107 ust. 1–2 u.o.d.o. oraz art. 56 u.o.s.).
W treści umowy powinny się znaleźć zapisy określające:
- przedmiot i czas trwania przetwarzania,
- obowiązki i prawa administratora.
Zapisy umowy powierzenia przetwarzania nie powinny być sprowadzone do przepisania art. 28 RODO, co się jednak często zdarza. W praktyce umowy te mają charakter blankietowy i nienegocjowany przez żadną ze stron. Są zawierane bez świadomości stron co do tego, jakie znaczenie ma właściwy podział odpowiedzialności w ramach powierzenia przetwarzania. Blankietowy charakter tej umowy może prowadzić do naruszenia zasady przejrzystości i rozliczalności przetwarzania danych. ©℗