Nie ma przeszkód, żeby robił to ten podmiot zewnętrzny, który przyjmuje i rozpatruje sygnały o nieprawidłowościach. Takie rozwiązanie pozwoli na lepszą koordynację działań następczych.

Zorganizowanie przyjmowania zgłoszeń o naruszeniach prawa i zarządzenie tym procesem to niejedyne obowiązki, jakie ustawa z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. poz. 928; dalej: u.o.s.) nakłada na przedsiębiorców zatrudniających co najmniej 50 osób. Każdy z nich, zgodnie z art. 29 u.o.s., musi prowadzić rejestr zgłoszeń wewnętrznych. Dodatkowo warto zaznaczyć, że podmiot zobowiązany do prowadzenia rejestru jest administratorem zgromadzonych w nim danych osobowych, co może być istotne z perspektywy ich ochrony.

Obowiązkowe elementy rejestru zgłoszeń wewnętrznych

Katalog informacji, które zgodnie z u.o.s. muszą znaleźć się w każdym rejestrze zgłoszeń wewnętrznych, jest następujący:

  • numer zgłoszenia,
  • przedmiot naruszenia prawa,
  • dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób,
  • adres do kontaktu sygnalisty,
  • data dokonania zgłoszenia,
  • informacja o podjętych działaniach następczych,
  • data zakończenia sprawy.

Nie oznacza to jednak, że zakresu informacji w rejestrze nie można rozszerzyć, np. poprzez dodanie rubryki „Inne”, w której osoba odpowiedzialna za prowadzenie rejestru mogłaby dodawać niezbędne informacje wykraczające poza katalog ustawowy. Nie ma również zakazu, aby dodać tam inne rubryki pozwalające np. wskazać osobę prowadzącą działania następcze. Zgodnie z definicją zawartą w art. 2 pkt 1 u.o.s. są to działania podjęte przez podmiot prawny lub organ publiczny w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania na ruszeniu prawa będącemu przedmiotem zgłoszenia. Takie działania to np. postępowanie wyjaśniające, wszczęcie kontroli lub procedury administracyjnej.

Organizacje decydujące się na przyjmowanie zgłoszeń anonimowych również powinny prowadzić pełny rejestr zgodnie z katalogiem ustawowym. W ich przypadku część danych nie będzie jednak znana (np. dane osobowe sygnalisty), wobec czego niektóre rubryki nie zostaną uzupełnione.

W związku z tym, że rejestr zawiera dane dotyczące zgłoszenia (w tym również dane osobowe sygnalisty, jeśli nie jest on anonimowy), nie powinien być powszechnie dostępny.

Nieprawidłowe praktyki, z którymi już można się spotkać, to np. przekazywanie pełnego rejestru zgłoszeń wewnętrznych do spółki matki. [ramka]

Wyciąg dla spółki matki

Część organizacji błędnie zobowiązuje przyjmującego zgłoszenie do przedstawiania rejestru jednostkom centralnym lub członkom zarządu. Obowiązek zachowania w tajemnicy danych zebranych w rejestrze wyklucza takie działanie. Podmioty, które chcą przekazać dane statystyczne, tworzą wyciąg z rejestru, który zostaje pozbawiony jakichkolwiek danych pozwalających na identyfikację zgłaszającego lub pozostałych osób biorących udział w postępowaniu. Informacja taka zwykle zawiera liczbę zgłoszeń przyporządkowanych do konkretnych kategorii naruszeń. W ten sposób globalny dział compliance nie traci możliwości trzymania ręki na pulsie, a obowiązki ustawowe nie są naruszane.

Podmiot prawny zgodnie z art. 27 ust. 1 u.o.s. musi zapewnić ochronę poufności sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Udostępnienie rejestru może zatem oznaczać naruszenie tego obowiązku. Trzeba dodać, że ujawnienie tożsamości sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą jest zagrożone grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.

Procedury rejestru zgłoszeń wewnętrznych

Każdy wpis do rejestru zgłoszeń wewnętrznych musi mieć podstawę w dokonanym zgłoszeniu. Przepisy nie wskazują sposobu prowadzenia takiego rejestru, zatem należy przyjąć dowolność w tym zakresie. Ważne jest to, aby dane w rejestrze były przechowywane przez trzy lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Oznacza to, że rejestr musi mieć formę, która pozwoli na faktyczne przechowywanie w nim informacji – pisemną, elektroniczną, dokumentową.

Rejestry prowadzone będą najczęściej w formie plików MS Word lub MS Excel albo w ramach wewnętrznych systemów firmowych. Firmy mniej scyfryzowane wciąż mogą korzystać z tradycyjnej formy papierowej.

Przedsiębiorcy mogą zlecić prowadzenie rejestru osobie z wewnątrz albo podmiotowi zewnętrznemu. Zwykle będzie to ta sama osoba, która zgłoszenia przyjmuje.

!Organizacje decydujące się na przyjmowanie anonimowych sygnałów również powinny prowadzić pełny rejestr zgłoszeń wewnętrznych zgodnie z katalogiem ustawowym, choć część rubryk nie będzie uzupełniana

Grupa Ekspercka Komisji Europejskiej, która pochylała się nad kwestiami dotyczącymi ochrony sygnalistów, wyjaśniła, że nie ma przeciwwskazań do tego, aby rejestr zgłoszeń wewnętrznych był prowadzony przez zewnętrzny wyspecjalizowany podmiot, który został zobowiązany przez pracodawcę do przyjmowania i rozpatrywania zgłoszeń. Skoro zobowiązana organizacja może przekazać np. kancelarii prawnej kompetencje w zakresie przyjmowania, potwierdzania i rozpatrywania zgłoszeń, to tym bardziej może to zrobić w odniesieniu do rejestru. Jest to szczególnie uzasadnione, jeśli weźmiemy pod uwagę, że podstawą do wpisu w rejestrze jest zgłoszenie, do którego taki zewnętrzny podmiot ma przecież dostęp.

Skorelowanie obowiązków przyjmującego zgłoszenia i prowadzącego rejestr jest bardzo praktycznym rozwiązaniem i pozwala na zmniejszenie obowiązków administracyjnych po stronie organizacji.

PCS Paruch Chruściel Schiffter Stępień Kanclerz | Littler