GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Ochrona sygnalistów w kontekście zapewnienia zgodności (compliance)

Czerwony gwizdek w bańce na szarym tle

Ochrona sygnalistów w kontekście zapewnienia zgodności (compliance)

W ubiegłym miesiącu w mediach pojawiała się informacja, że Rada Ministrów wraca do prac nad projektem ustawy o odpowiedzialności podmiotów zbiorowych. Pierwsze przymiarki do przyjęcia tej ustawy miały miejsce jeszcze podczas poprzedniej kadencji parlamentu, kiedy to projekt przygotowany przez Radę Ministrów został nawet wniesiony pod obrady Sejmu. Niestety, nie udało się go wtedy przyjąć. Obecnie mamy więc drugie podejście rządu do tego tematu.

Czym jest odpowiedzialność podmiotów zbiorowych?

Przepisy o odpowiedzialności podmiotów zbiorowych mają – w swoim założeniu – kłaść istotny nacisk na wdrożenie w podmiotach zbiorowych (m.in. w spółkach) wewnętrznych procedur, których celem będzie zapewnienie, że organizacje dołożyły wszelkich starań aby nie doszło do wystąpienia po stronie tych podmiotów czynów niedozwolonych, popełnienia przestępstw. Chodzi np. o łamanie praw konsumentów, stosowanie niedozwolonych substancji w produktach czy naruszanie ochrony środowiska naturalnego. Choć nie znamy jeszcze treści nowej propozycji, zgodnie z doniesieniami medialnymi projekt ten w niewielkim zakresie ma różnić się od poprzedniego. Możemy więc założyć, że powyższe cele ustawy zostaną utrzymane przez projektodawców.

Musimy pamiętać, że każdy czyn jest w rzeczywistości popełniany przez człowieka lub grupę ludzi pracujących lub w inny sposób związanych z daną organizacją, zajmujących w niej różne stanowiska. Zadaniem organów zarządzających będzie więc zapewnienie, aby podmioty zbiorowe wdrożyły wewnętrzne mechanizmy, które będą miały na celu wykrywanie działań niezgodnych z prawem. W przypadku wejścia w życie nowych przepisów, polskie podmioty, na wzór podmiotów z krajów Unii Europejskiej, będą musiały wdrożyć u siebie kodeksy dobrych praktyk (codes of conduct) oraz inne procedury, dzięki którym będą w stanie wykazać, że dołożyły należytej staranności podczas prowadzenia działalności. Wspomniane kodeksy i polityki staną się od wejścia w życie nowych przepisów podstawowym elementem każdego przedsiębiorstwa i powinny być na co dzień stosowane. Za brak dochowania należytej staranności w prowadzeniu swojego biznesu na podmioty zbiorowe będą mogły zostać nałożone wysokie kary, zakłada się że może to być kwota nawet do 50 mln złotych.

Ochrona sygnalistów, a odpowiedzialność podmiotów zbiorowych

W Unii Europejskiej została przyjęła dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii (tzw. dyrektywa o ochronie sygnalistów), którą Polska, jak również inne kraje UE, są zobowiązane implementować do 17 grudnia 2021 r.

Dyrektywa o ochronie sygnalistów – przedmiot, zakres, praktyczne problemy

Dyrektywa nakłada na państwa członkowskie obowiązek wdrożenia systemowej ochrony sygnalistów, czyli osób informujących o naruszeniach prawa Unii w organizacjach. Ochronę sygnalistów będą musiały wdrożyć zarówno organizacje publiczne jak i prywatne liczące powyżej 50 pracowników. Nowe przepisy będą nakładały na wspomniane organizacje szereg obowiązków, których prawidłowe wypełnianie będzie zabezpieczone sankcją.

Problem zapewnienia skutecznej ochrony sygnalistów stanowi jeden z elementów szerszego zagadnienia jakim jest właśnie odpowiedzialność podmiotów zbiorowych. Sygnalista pojawia się w sytuacji, gdy jeden z pracowników organizacji informuje o podejrzeniu zaistnienia naruszeń wewnętrznych procedur lub przepisów prawa. Takie zgłoszenie powinno odbyć się zgodnie z przyjętą w organizacji procedurą zgłaszania nieprawidłowości (procedura whistleblowing). To zaś powinno uruchomić wewnętrzne procedury mające na celu zarządzenie tym zgłoszeniem oraz wyjaśnienie sytuacji w nim opisanej, w szczególności poprzez przeprowadzenie wewnętrznego śledztwa.

Podstawowym celem systemu ochrony sygnalistów jest zapewnienie osobom, które informują kierownictwo podmiotu zbiorowego o działaniach, które mogą stanowić czyny niedozwolone, ochrony przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania. Należy pamiętać, że osoby te, współpracując na co dzień z naruszycielami, niekoniecznie chcą ujawniać się publicznie jako informatorzy. System zgłaszania nieprawidłowości musi więc zapewnić tym osobom anonimowość (jeśli taka jest ich wola). W przypadku zaś zgody na ujawnienie tożsamości takiej osoby, system powinien zapewniać skuteczną ochronę przed działaniami odwetowymi w miejscu pracy. Organizacja powinna zapewnić nie tylko nieskrępowaną możliwość zgłaszania podejrzeń co do nieprawidłowości, ale i swobodną komunikację z osobą zgłaszającą, np. celem uzupełnienia materiału dowodowego.

Ważne jest, aby zapewnienie anonimowości i ochrony trwało nie tylko w okresie prowadzenia wewnętrznego śledztwa, ale także już po podjęciu decyzji w sprawie usunięcia nieprawidłowości czy zgłoszeniu sprawy do organów ścigania.

Choć Polska obecnie dopiero przygotowuje się do wdrożenia przepisów krajowych mających na celu zapewnienie ram prawnych pozwalających wdrożyć instytucjonalną ochronę wobec sygnalistów, już teraz obowiązujące prawo pozwala na przyjmowanie wewnętrznych polityk i procedur, które dają podstawę do prowadzenia działań mających na celu wykrywanie nieprawidłowości oraz ochronę osób zgłaszających naruszenia prawa. Przykładem są np. przepisy Kodeksu pracy wprowadzające obowiązek zapewnienia ochrony osobom mobbingowanym, molestowanym czy dyskryminowanym w miejscu pracy.

Inne elementy systemu zapewnienia zgodności (compliance)

Zbudowanie skutecznego systemu zapewnienia zgodności będzie dla niektórych podmiotów sporym wyzwaniem. Aby unaocznić z jakimi problemami należy się zmierzyć, przedstawiamy krótki spis polityk i procedur, oprócz polityki whistleblowing i ochrony sygnalistów, które warto będzie wdrożyć, aby zabezpieczyć organizację przed potencjalnymi ryzykami:

Podsumowanie

System zapewnienia zgodności (compliance) ma służyć zabezpieczeniu interesów podmiotu zbiorowego, w szczególności poprzez ograniczenie ryzyk związanych z nieetycznym zachowaniem pracowników lub z naruszaniem przepisów prawa. Przekłada się to korzystnie na zwiększenie transparentności wewnątrz organizacji, a także w stosunku do klientów i kontrahentów. Warto więc, korzystając z dobrych wzorców, zapewnić sobie bezpieczeństwo.