Dyrektywa Parlamentu Europejskiego i Rady (EU) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej zwana: „Dyrektywą”) nałożyła nowe zobowiązania na przedsiębiorców w obszarze compliance poprzez ustanowienie wspólnych minimalnych norm zapewniających wysoki poziom ochrony osób zgłaszających naruszenia prawa Unii (tzw. sygnalistów).
Państwa członkowie zostały zobligowane do wdrożenia zapisów dyrektywy co do zasady – z perspektywy sektora prywatnego, do dnia 17 grudnia 2021 roku (duzi przedsiębiorcy zatrudniający od 250 pracowników), natomiast przedsiębiorstwa zatrudniające pomiędzy 50 a 249 pracowników, mają zostać objęte omawianymi przepisami od 17 grudnia 2023 roku.
Choć nie jest znany jeszcze projekt polskich przepisów w tym zakresie, to w oparciu o przepisy Dyrektywy można odkodować szereg kroków niezbędnych do podjęcia przez dużych przedsiębiorców w zakresie ochrony sygnalistów – istotnym jest bowiem, że Dyrektywa stawia przed przedsiębiorcami szereg wyzwań.
Istotne dla przedsiębiorców jest, że przepisy Dyrektywy mają mieć zastosowanie również do podmiotów prywatnych zatrudniających mniej niż 50 pracowników, objętych zakresem stosowania aktów Unii wymienionych w części I.B i II załącznika do Dyrektywy, jak również upoważniają państwa członkowskie – po dokonaniu odpowiedniej oceny ryzyka i uwzględnieniu charakteru działalności podmiotów, do zobowiązania podmiotów prywatnych zatrudniających mniej niż 50 pracowników, do ustanowienia wewnętrznych kanałów i procedur dokonywania stosownych zgłoszeń. Tym samym obowiązku wynikające z przepisów Dyrektywy mogą zostać nałożone na znaczną część przedsiębiorców.
Podkreślenia wymaga, że Dyrektywa definiuje pojęcie sygnalisty szeroko - przede wszystkim odnosi się do osób działających w dobrej wierze, a przy tym posiadających status pracownika, jak i prowadzących, działalność na własny rachunek, członków organów korporacyjnych, a także wolontariuszy i stażystów, czy też osób pracujących pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców.
Odnosząc przepisy Dyrektywy do przedsiębiorców prywatnych należy przede wszystkim odnotować konieczność wprowadzenia mechanizmów gwarantujących ochronę sygnalistów w związku z realizowanymi zgłoszeniami:
• zapewnienie ochrony przed ewentualnym odwetem ze strony przedsiębiorcy (np. w formach zawieszenia, przymusowego urlopu bezpłatnego, zwolnienia lub równoważnych środków, degradacji lub wstrzymania awansu czy przekazania obowiązków, zmiany miejsca pracy, obniżenia wynagrodzenia, zmiany godzin pracy);
• ochrony tożsamości osoby dokonującej zgłoszenia – bez wyraźnej zgody sygnalisty na ujawnienie, nie będzie można ujawnić tożsamości sygnalisty żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych;
Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych, muszą obejmować następujące elementy:
• utworzenie kanałów przyjmowania zgłoszeń zaprojektowanych, ustanowionych i obsługiwanych w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu;
• potwierdzenie osobie dokonującej zgłoszenia przyjęcia zgłoszenia w terminie siedmiu dni od jego otrzymania; • wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do podejmowania działań następczych w związku ze zgłoszeniami, przy czym może to być ta sama osoba lub ten sam wydział, które przyjmują zgłoszenia, które będą komunikować się z osobą dokonującą zgłoszenia i w stosownych przypadkach zwracać się do osoby dokonującej zgłoszenia o dalsze informacje oraz przekazywać jej informacje zwrotne;
• podejmowanie z zachowaniem należytej staranności działań następczych przez wyznaczoną osobę lub wyznaczony wydział;
• podejmowanie z zachowaniem należytej staranności działań następczych, jeżeli prawo krajowe przewiduje takie działania, w odniesieniu do zgłoszeń anonimowych;
• rozsądny termin na przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia;
• zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów zgodnie z art. 10 Dyrektywy oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii.
Co więcej, kanały do przyjmowania zgłoszeń od sygnalistów muszą umożliwiać dokonywanie zgłoszeń na piśmie lub ustnie, zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej oraz na wniosek osoby dokonującej zgłoszenia, za pomocą bezpośredniego spotkania zorganizowanego w rozsądnym terminie.
W kontekście powyższego pewnym jest, że przedsiębiorcy będą musieli przygotować i wdrożyć właściwe procedury, a co więcej dostosować je do już obowiązujących przepisów czy wewnętrznych polityk związanych z ochroną danych osobowych, jak i przeprowadzić liczne szkolenia dla personelu związanego z realizacją zobowiązań nałożonych przez przepisy o ochronie sygnalistów. Tym samym już przed implementacją Dyrektywy przedsiębiorcy powinni dokonać weryfikacji wewnętrznych polityk i procedur w zakresie związanym z przepisami Dyrektywy, podjąć decyzję w zakresie najkorzystniejszych dla danej organizacji rozwiązań proceduralnych i technicznych, czy rozpocząć proces uświadamiania pracowników w tym zakresie.
