brak wszystkich wymaganych elementów procedury
Ustawodawca określił minimalny zakres wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych oraz sposób jej wdrożenia w podmiotach. Błędem będzie więc przygotowanie i wdrożenie regulacji, w której przedsiębiorca nie uwzględni wszystkich elementów obligatoryjnych, np. nie wskaże, jaki podmiot w jego instytucji przyjmuje zgłoszenia. Nieprawidłowe będzie także nieopisanie, jaki podmiot w ramach struktury wewnętrznej rozpoznaje zgłoszenia. Należy przy tym pamiętać, że na gruncie ustawy o ochronie sygnalistów podmiotem zewnętrznym jest też spółka matka w stosunku do spółki córki, która może mieć siedzibę za granicą, np. we Francji. W procedurze trzeba też określić kanały przekazywania zgłoszeń wewnętrznych – co najmniej ustnie lub pisemnie.
Potencjalny sygnalista, który będzie czytał procedurę, powinien się z niej także dowiedzieć, że pracodawca musi mu potwierdzić przyjęcie zgłoszenia w terminie siedmiu dni od dnia jego otrzymania, chyba że sygnalista nie poda adresu do kontaktu. Co więcej, powinien również przeczytać, że maksymalny termin na przekazanie mu informacji zwrotnej, po rozpoznaniu zgłoszenia, wynosi trzy miesiące. Jeżeli nie uwzględnimy tych terminów w naszej procedurze, popełnimy błąd.
Poza opisaniem wewnętrznego procesu przyjmowania i rozpatrywania zgłoszeń w dokumencie tym musimy także zamieścić zrozumiałe i łatwo dostępne informacje na temat dokonywania zgłoszeń zewnętrznych do rzecznika praw obywatelskich albo organów publicznych oraz – w stosownych przypadkach – do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej. Ustawodawca zdecydował o wydłużonym vacatio legis dla przepisów dotyczących zgłoszeń zewnętrznych, które wejdą w życie 25 grudnia 2024 r. Jeżeli 26 grudnia w procedurze nie będzie informacji nt. zgłoszeń zewnętrznych, nie będzie ona zgodna z ustawą.
WAŻNE! Pracodawcy muszą w swojej procedurze zgłoszeń wewnętrznych uwzględnić wszystkie ustawowe wymogi . Mogą w niej natomiast – według własnego uznania – zawrzeć dodatkowe zagadnienia.
niedostosowanie procedury do specyfiki firmy
Wprowadzenie procedury whistleblowingowej bez uwzględnienia specyfiki przedsiębiorstwa może doprowadzić do uniemożliwienia zgłoszenia naruszenia przez sygnalistę i w rezultacie do odpowiedzialności karnej. Przykładowo, jeżeli pracodawca, korzystając z gotowych wzorów procedur, zapisał, że podmiotem rozpatrującym zgłoszenie jest stały zespół składający się z trzech osób, którego pracami kieruje dyrektor ds. biura zarządu, a w strukturze spółki wdrażającej procedurę brak jest takiego stanowiska, to działanie pracodawcy należy uznać za nieprawidłowe.
Ponadto należy pamiętać, aby opisane w procedurze kanały zgłoszeń były dostępne, łatwe w obsłudze i dawały zgłaszającym poczucie bezpieczeństwa. Błędem byłoby np. wskazanie tylko formy pisemnej zgłoszeń wrzucanych do skrzynek umiejscowionych w siedzibie pracodawcy, podczas gdy większość pracowników wykonuje pracę w formie zdalnej albo w terenie. I odwrotnie – nierekomendowany byłby wybór formy elektronicznej, np. poprzez wysyłanie mailowo zgłoszeń na wskazany adres, jeśli prawie cała załoga wykonuje pracę fizyczną, bez dostępu do komputera.
Wybierając zaś kanał pisemny – listownie na adres pracodawcy – należy przeanalizować strukturę przedsiębiorstwa. Jeżeli jest kilka miejsc prowadzenia działalności (kilka fabryk i jeden biurowiec, gdzie pracują pracownicy tzw. administracyjni), w procedurze trzeba wskazać ten adres, pod którym pracuje osoba odbierająca zgłoszenia. W ten sposób ograniczymy ryzyko dłuższego czasu oczekiwania na potwierdzenie przyjęcia zgłoszenia oraz dostępu osób nieupoważnionych.
Pracodawca, który chce ustanowić kanał pisemny w postaci skrzynek umieszczonych w siedzibie, musi zaś pamiętać o tym, by były one zawieszone w miejscach ogólnodostępnych, a zarazem zapewniających poufność osobie wrzucającej zgłoszenie i niemonitorowanych za pomocą kamer. Przykładowo: skrzynka przy szklanej ścianie, za którą czynności swoje wykonuje zarząd, nie będzie spełniała tych parametrów, a sygnalista zostanie właściwie pozbawiony możliwości zgłoszenia naruszenia.
niedostateczne zapewnienie poufności
Wdrożenie systemu zgłoszeń wewnętrznych na podstawie ustawy o ochronie sygnalistów wymaga od pracodawcy spełnienia wielu obowiązków w zakresie ochrony tożsamości sygnalistów. Jednym z podstawowych błędów, które można popełnić w trakcie wdrażania takiego systemu, jest niedostateczne zapewnienie poufności.
Pracodawca, jako administrator danych osobowych, jest zobowiązany do zapewnienia, że tylko upoważnione osoby będą miały dostęp do danych dotyczących zgłoszeń.
Zgodnie z art. 27 ustawy o ochronie sygnalistów system zgłoszeń wewnętrznych musi być tak zaprojektowany, aby uniemożliwić nieuprawnionym osobom dostęp do informacji objętych zgłoszeniem oraz zapewnić ochronę poufności tożsamości sygnalistów. Innymi słowy, to pracodawca musi zagwarantować, że podczas procedury zgłoszeń wewnętrznych, a następnie przetwarzania danych osobowych związanych z przyjmowaniem zgłoszeń, nieupoważnione osoby nie uzyskają dostępu do informacji objętych zgłoszeniem. Co więcej, pracodawca musi zagwarantować ochronę poufności tożsamości nie tylko sygnaliście. Jest obowiązany chronić dane osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Przy czym ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.
Także brak odpowiednich środków technicznych, takich jak szyfrowanie danych, bezpieczne logowanie czy regularne audyty systemów IT, może prowadzić do przypadkowego lub celowego ujawnienia tożsamości sygnalisty.
Kolejnym błędem jest brak odpowiednich szkoleń dla osób upoważnionych do obsługi zgłoszeń. Osoby te powinny być świadome, że mają obowiązek zachowania tajemnicy dotyczącej zgłoszeń oraz danych sygnalistów. W praktyce niewłaściwe przygotowanie lub brak wiedzy na temat obowiązków może prowadzić do nieumyślnego naruszenia poufności.
Brak mechanizmów monitorowania i raportowania naruszeń poufności w systemie zgłoszeń jest kolejnym istotnym problemem. Pracodawca powinien regularnie kontrolować, czy procedury dotyczące poufności są przestrzegane, oraz wprowadzić jasne zasady raportowania ewentualnych incydentów związanych z naruszeniem danych osobowych sygnalistów. Elementy te można uwzględnić w wewnętrznej polityce ochrony danych osobowych.
Należy mieć także na uwadze, że zgodnie z art. 56 ustawy o ochronie sygnalistów, który stanowi „kto wbrew przepisom ustawy ujawnia tożsamość sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.
WAŻNE! Naruszenia w zakresie niedostatecznego zapewnienia poufności są jednym z najpoważniejszych problemów przy wdrażaniu systemu zgłoszeń wewnętrznych. Nieodpowiednie zabezpieczenia techniczne, niewystarczające szkolenia pracowników oraz brak procedur monitorowania mogą prowadzić do poważnych konsekwencji dla pracodawcy oraz sygnalistów, w tym działań odwetowych, sankcji prawnych i utraty zaufania do całego systemu.
brak jasno określonych terminów działań
Zgodnie z art. 25 ustawy o ochronie sygnalistów pracodawca musi ustanowić procedury, które regulują sposób dokonywania zgłoszeń wewnętrznych, w tym określić terminy związane z poszczególnymi etapami postępowania. Przepisy nakładają na pracodawcę obowiązek nie tylko stworzenia procedur, lecz także ich właściwego wdrożenia, z uwzględnieniem wymogów formalnych, w tym terminowości działań.
Jednym z podstawowych terminów, który musi być określony w procedurze, jest czas, w jakim pracodawca powinien potwierdzić otrzymanie zgłoszenia od sygnalisty. Zgodnie z przepisami ustawy pracodawca musi potwierdzić przyjęcie zgłoszenia w terminie siedmiu dni od jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należałoby przekazać takie potwierdzenie.
Kolejnym istotnym terminem jest czas, w jakim pracodawca jest zobowiązany podjąć działania następcze. Ustawa wskazuje, że powinny one zostać podjęte z zachowaniem należytej staranności. Jednocześnie ustawa wymaga, aby pracodawca określił maksymalny termin na przekazanie sygnaliście informacji zwrotnej. Nie może on przekraczać trzech miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego lub – w przypadku nieprzekazania potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego – trzech miesięcy od upływu siedmiu dni od dnia dokonania zgłoszenia wewnętrznego, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać informację zwrotną.
Brak jasno określonych terminów działań może również prowadzić do poważnych opóźnień w realizacji procedur związanych z rozpatrywaniem zgłoszeń, co w praktyce może zniechęcać sygnalistów do tych zgłoszeń.
Dodatkowo, brak wyraźnie ustalonych terminów może skutkować nieuzasadnionym przedłużeniem działań następczych. Zgodnie z przepisami sygnaliści powinni otrzymać informację o podjętych działaniach następczych, a także o powodach ich zastosowania, co zapewnia transparentność i odpowiednią ich ochronę prawną. W przypadku gdy pracodawca nie określi w procedurach terminów dla tych działań, może dojść do sytuacji, w której sygnalista nie otrzymuje odpowiedzi w wymaganym czasie, co stanowi naruszenie jego praw.
Warto podkreślić, że ustawa przewiduje sankcje za niewłaściwe wdrożenie procedur ochrony sygnalistów, w tym brak określenia terminów na podejmowanie działań. Zgodnie z art. 58 ustawy kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny.
Podsumowując, brak jasno określonych terminów działań w wewnętrznej procedurze ochrony sygnalistów stanowi poważne naruszenie wymogów ustawy o ochronie sygnalistów. Pracodawcy, którzy nie wprowadzają precyzyjnych ram czasowych dotyczących poszczególnych etapów postępowania, narażają się na odpowiedzialność prawną, sankcje oraz utratę zaufania pracowników do wewnętrznego systemu zgłoszeń. Spełnienie wymogu terminowości działań jest kluczowe dla zapewnienia skutecznej ochrony sygnalistów i prawidłowego funkcjonowania procedur zgłoszeń wewnętrznych.
Uwaga! Ustawa o ochronie sygnalistów wymaga, aby procedury zgłoszeń wewnętrznych były zrozumiałe i łatwo dostępne dla osób świadczących pracę na rzecz podmiotu prawnego, a ich struktura powinna zapewniać terminowość podejmowania działań.
ignorowanie obowiązku konsultacji z pracownikami
Przed przyjęciem i ogłoszeniem procedury zgłoszeń wewnętrznych jej treść należy skonsultować z przedstawicielami osób świadczących pracę na rzecz danego podmiotu. Konsultacje takie należy prowadzić z zakładową organizacją związkową lub zakładowymi organizacjami związkowymi albo z przedstawicielami osób świadczących pracę, jeśli nie ma organizacji. Przy czym jeżeli są już wybrani przedstawiciele pracowników dla innych potrzeb – np. konsultowania czy uzgadniania dokumentów związanych z zatrudnieniem – to należy się upewnić, że grono to może również konsultować procedurę zgłoszeń wewnętrznych. Taka weryfikacja jest bardzo ważna, gdyż w odniesieniu do konsultacji whistleblowingowych ustawa o ochronie sygnalistów mówi o przedstawicielach osób świadczących pracę, a więc nie tylko pracownikach, którzy zostali zatrudnieni na podstawie umowy o pracę, lecz także np. o zleceniobiorcach.
To, że w danym podmiocie, który jest zobowiązany do ustanowienia procedury bez względu na poziom zatrudnienia, pracują np. tylko trzy osoby, nie zwalnia go z konieczności wypełnienia zobowiązań ustawowych.
WAŻNE! Konsultacje powinny trwać nie krócej niż pięć dni i nie dłużej niż 10 dni od dnia przedstawienia przez pracodawcę projektu procedury zgłoszeń wewnętrznych. Błędem będzie skrócenie konsultacji np. do trzech dni. Należy przy tym pamiętać, że konsultacje to nie uzgodnienia. To oznacza, że pracodawca może, ale nie musi zmienić przygotowaną procedurę zgodnie z oczekiwaniami przedstawicieli załogi czy działających związków zawodowych.
zaniedbanie szkoleń z zakresu zgłaszania nieprawidłowości w organizacji
System zgłoszeń wewnętrznych umożliwiający pracownikom sygnalizowanie nieprawidłowości w firmach jest nieodłącznym elementem realizacji obowiązków nałożonych ustawą o ochronie sygnalistów. Jednakże, aby one działały skutecznie, istotne jest wewnątrzorganizacyjne przekazanie wiedzy na ten temat.
Brak odpowiednich informacji i zrozumienia istoty systemów zgłaszania nieprawidłowości, a także brak wiedzy w zakresie kompetencji wśród pracowników upoważnionych do obsługi napływających zgłoszeń wewnętrznych mogą przełożyć się na niską skuteczność całego systemu. W szczególności błędna kwalifikacja otrzymanych informacji czy opóźnienia w reakcji na zgłoszenie od sygnalisty to tylko przykładowe nieprawidłowości po stronie podmiotu przyjmującego zgłoszenie. Odpowiednio dobrane do potrzeb i specyfiki organizacji szkolenia z zakresu whistleblowingu mogą przynieść korzyści dla całego podmiotu.
Szkolenia muszą być dostosowane do grupy odbiorców. W pierwszej kolejności warto skoncentrować się na osobach, które będą odpowiedzialne za wewnętrzne kanały zgłoszeniowe. Warto także przeszkolić kadrę zarządzającą różnych szczebli, także z uwagi na tzw. tone from the top (przykład idzie z góry). Jest to istotne z perspektywy kultury organizacji i tworzenia bezpiecznej atmosfery informowania o nieprawidłowościach. Kampania informacyjna skierowana do wszystkich pracowników i innych osób, które są związane z danym podmiotem, wydaje się warunkiem sine qua non do wdrożenia skutecznego i efektywnego systemu zgłaszania nieprawidłowości.
Ustawodawca uregulował obowiązek szkoleń dla pracowników organów publicznych, którzy zostali zobligowani do wprowadzenia systemu zgłoszeń zewnętrznych. Dobre praktyki stanowią, aby również podmioty w sektorze prywatnym i publicznym, w których został wprowadzony system zgłoszeń wewnętrznych, zadbały o podnoszenie wiedzy i kwalifikacji osób zajmujących się obsługą whistleblowingu. ©℗
Podstawa prawna
Podstawa prawna
• ustawa z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. z 2024 r. poz. 928)