Co znajdziesz w tym materiale:
Już za niecałe trzy miesiące, a dokładnie 25 września 2024 r. wejdą w życie przepisy ustawy o ochronie sygnalistów. Nowe regulacje wdrażają do polskiego prawa unijną dyrektywę o ochronie osób zgłaszających naruszenia prawa (czyli tzw. sygnalistów). Ustawa nakłada na przedsiębiorców szereg obowiązków związanych z utworzeniem w firmie systemu zgłoszeń i ochroną sygnalistów. W tym artykule omówię najważniejsze dla biznesu kwestie wynikające z ustawy o ochronie sygnalistów.
Podsumowanie na start!
- Wejście w życie ustawy o ochronie sygnalistów: Już 25 września 2024 r. zaczną obowiązywać w Polsce przepisy ustawy o ochronie sygnalistów, wprowadzające unijną dyrektywę o ochronie osób zgłaszających naruszenia prawa. Ustawa ta nakłada na przedsiębiorstwa obowiązek utworzenia wewnętrznych systemów zgłoszeń i zapewnienia ochrony sygnalistów.
- Obowiązek tworzenia systemu zgłoszeń: Przedsiębiorcy muszą stworzyć warunki do składania wewnętrznych zgłoszeń naruszeń, co obejmuje utworzenie kanałów zgłoszeń, podejmowanie działań następczych oraz zakaz działań odwetowych wobec sygnalistów.
- Przyjmowanie zgłoszeń anonimowych: Ustawa nie wymaga, by przedsiębiorstwa przyjmowały zgłoszenia anonimowe. Decyzja o tym, czy przyjmować takie zgłoszenia, pozostaje w gestii każdego podmiotu. Anonimowość może wymagać zastosowania dedykowanego oprogramowania komputerowego.
- Obowiązek wprowadzenia procedury zgłoszeń: Przedsiębiorstwa, w których pracuje co najmniej 50 osób, są zobowiązane do wprowadzenia procedury zgłoszeń wewnętrznych. Wprowadzenie tej procedury obejmuje konsultacje z pracownikami oraz zakładowymi organizacjami związkowymi.
- Zakaz działań odwetowych: Ustawa chroni sygnalistów przed działaniami odwetowymi, takimi jak zwolnienie z pracy czy odmowa awansu. Ochrona ta obejmuje również próby lub groźby działania odwetowego.
- Rejestr zgłoszeń: Każde przedsiębiorstwo jest zobowiązane prowadzić rejestr zgłoszeń, który zawiera szczegóły dotyczące zgłoszenia, dane osobowe sygnalisty, informacje o podjętych działaniach następczych oraz datę zakończenia sprawy.
- Ochrona danych osobowych sygnalisty: Przyjmowanie i obsługa zgłoszeń wewnętrznych wymaga przetwarzania danych osobowych, co musi być zgodne z obowiązującymi przepisami RODO i innymi regulacjami o ochronie danych.
Ochrona sygnalistów w ramach systemu zgłoszeń wewnętrznych
Podstawowym obowiązkiem przedsiębiorców jest stworzenie warunków do dokonywania zgłoszeń wewnętrznych. To nie tylko sama dokumentacja (o której więcej poniżej), ale cały system ochrony sygnlistów na który składa się przede wszystkim utworzenie kanałów zgłoszeń, podejmowanie działań następczych i zakaz działań odwetowych.
Koniecznym więc w mojej ocenie jest myślenie o ochronie sygnalistów jako o kompletnym systemie funkcjonującym w przedsiębiorstwie, który umożliwi nie tylko dokonanie zgłoszenie sygnaliście, zgodnie z wewnętrzną procedurą, ale również który zapewni należyte rozpoznanie zgłoszenia i wdrożenie środków zaradczych. Tylko w ten sposób można uznać ochronę sygnalistów za rzeczywiście funkcjonującą i spełniajacą wymogi ustawowe.
Porozmawiaj z ekspertem 🎯
Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną i ustalimy termin 15-minutowej darmowej konsultacji. Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu!
Kanały zgłoszeń. Czy trzeba przyjmować zgłoszenia anonimowe?
Polski ustawodawca nie zdecydował się na wprowadzenie obowiązku przyjmowania zgłoszeń anonimowych. Zostało to pozostawione do decyzji każdego podmiotu. Przedsiębiorstwo więc może w ramach procedury zgłoszeń wewnętrznych określić, że przyjmowane i rozpatrywane są zgłoszenia anonimowe, ale nie jest to obowiązkowe.
Projektując zatem kanały zgłoszeń w ramach systemu ochrony sygnalistów należy uwzględnić to, czy zgłoszenia mogą być przyjmowne anonimowo, czy też nie.
Z pewnością umożliwienie dokonywania anonimowych zgłoszeń stawia dużo wyższe wymogi przed całym sytemem ochrony sygnalistów funkcjonującym w firmie, z uwagi na to, że kluczowe w takiej sytuacji będzie zapewnienie faktycznej anonimowości osobie dokonującej zgłoszenia.
Wykluczone więc raczej wydaje się ograniczenie wówczas kanałów zgłoszeń wyłącznie do poczty elektronicznej, ponieważ zagwarantowanie realnej anonimowości sygnaliście przy tym środku komunikacji jest bardzo trudne. Konieczne może być w takiej sytuacji skorzystanie z dedykowanego oprogramowania komputerowego, umożliwiającego obsługę zgłoszeń.
Na szczęście, jak wspomniałem, przyjmowanie zgłoszeń anonimowych nie jest obowiązkowe i przedsiębiorstwo w procedurze zgłoszeń wewnętrznych może określić, że przyjmowane i rozpatrywane są wyłącznie zgłoszenia zawierające dane sygnalisty.
Procedura zgłoszeń wewnętrznych. Kto musi ją wprowadzić?
Jednym z podstawowych obowiązków wynikających z nowej ustawy o ochronie sygnalistów jest obowiązek wdrożenia procedury zgłoszeń wewnętrznych. Co istotne wprowadzenie takiej procedury jest obowiązkowe w przypadku podmiotów dla których pracę zarobkową wykonuje co najmniej 50 osób.
Stan zatrudnienia ustala się na dzień 1 stycznia lub 1 lipca danego roku. Do liczby 50 osób wykonujących pracę zarobkową na rzecz podmiotu wlicza się pracowników w przeliczeniu na pełne etaty lub osoby świadczące samodzielnie pracę za wynagrodzeniem na innej podstawie niż stosunek pracy.
Taka procedura może być wprowadzona również w przypadku przedsiębiorców z mniejszym stanem zatrudnienia. Będzie to szczególnie rekomendowane w przypadku podmiotów, które zbliżają się do ustawowego progu 50 osób wykonujących pracę zarobkową.
Opracowanie wewnętrznego regulaminu zgłoszeń będzie też konieczne w przypadku podmiotów, które co prawda nie zatrudniaja 50 osób, ale chcą, aby zgłoszenia mogły również dotyczyć wewnętrznych procedur obowiązujących w przedsiębiorstwie np. polityk antymobbingowych.
Ustawa bowiem określa szereg obszarów, których mogą dotyczyć zgłoszenia, ale jednocześnie wskazuje, że wewnętrzna procedura może umożliwiać dokonywanie zgłoszeń dotyczących obowiązujących w organizacji regulacji wewnętrznych lub standardów etycznych.
Wprowadzenie procedury zgłoszeń wewnętrznych wymaga konsultacji z pracownikami. Takie konsultacje należy przeprowadzić z zakładową organizacją związkową, a w przypadku jej braku z przedstawicielami pracowników. Ustawa wprost okresla, że takie konsultacje muszą trwać co najmniej 5 dni, ale nie dłużej niż 10 dni od dnia przedstawienia projektu. Procedura zgłoszeń wewnętrznych wchodzi w życie po upływie 7 dni od podania jej do wiadomości w sposób przyjęty w danym przedsiębiorstwie.
PRZYGOTUJ SWOJĄ FIRMĘ NA NOWE PRZEPISY DOTYCZĄCE OCHRONY SYGNALISTÓW!
Już 25 września 2024 r. zaczną obowiązywać nowe przepisy prawne dotyczące ochrony sygnalistów. Czy Twoja firma jest na nie gotowa?
Twoja firma zatrudnia co najmniej 50 pracowników (bez względu na podstawę zatrudnienia)? Zgodnie z nowymi przepisami Twoim obowiązkiem jest wdrożenie regulaminu zgłoszeń wewnętrznych!
Procedura zgłoszeń wewnętrznych musi określać co najmniej:
- wewnętrzną jednostkę lub osobę lub podmiot zewnętrznych, upoważnione do przyjmowania zgłoszeń wewnętrznych;
- sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę;
- wewnętrzną jednostkę organizacyjną lub osobę upoważnione do podejmowania działań następczych;
- określenie trybu postępowania z informacjami o naruszeniu prawa zgłoszonymi anonimowo;
- obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie;
- obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych przez wewnętrzną jednostkę organizacyjną lub osobę;
- maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nieprzekraczający 3 miesięcy od potwierdzenia przyjęcia zgłoszenia wewnętrznego lub – w przypadku nieprzekazania potwierdzenia – 3 miesięcy od upływu 7 dni od dnia dokonania zgłoszenia wewnętrznego, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać informację zwrotną;
Nie ustanowienie procedury zgłoszeń wewnętrznych, w przypadku gdy jest to wymagane przez przepisy, zagrożone jest karą grzywny.
Rejestr zgłoszeń. Co powinien zawierać?
Kolejnym obowiązkiem w zakresie systemu ochrony sygnalistów, który wprost wynika z nowych przepisów, jest obowiązek prowadzenia przez podmiot rejestru zgłoszeń. To drugi niezbędny element procedury ochrony sygnalistów obowiązującej w organizacji. Rejestr zgłoszeń wewnętrznych powinien zawierać co najmniej poniższe informacje:
- numer zgłoszenia;
- przedmiot naruszenia prawa;
- dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;
- adres do kontaktu sygnalisty;
- datę dokonania zgłoszenia;
- informację o podjętych działaniach następczych;
- datę zakończenia sprawy.
Zakaz działań odwetowych. Na czym polega ochrona sygnalistów?
Istota ochrony sygnalistów polega na zakazie dokonywania działań odwetowych. Polega to na tym, że osoba, która dokonała zgłoszenia, już od momentu dokonania zgłoszenia, chroniona jest przed jakimikolwiek działaniami, które mogą mieć charakter rewanżu lub ukarania sygnalisty za zgłoszenie naruszenia prawa.
Co istotne, sygnalista chroniony jest nie tylko przed dokonaniem działania odwetowego, ale również przed próbą lub groźbą zastosowania takiego działania. Ustawa określa przykładowy katalog działań, które stanowią działania odwetowe.
Przykładowo zakazane jest odmówienie sygnaliście nawiązania stosunku pracy, wypowiedzenie mu umowy, czy też pominiecie go przy awansie lub premii.
Sygnalista, wobec którego dopuszczono się działań odwetowych, ma prawo do odszkodowania w wysokości nie niższej niż przeciętne miesięczne wynagrodzenie lub prawo do zadośćuczynienia.
Podejmowanie działań odwetowych wobec sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.
Co jednak niezwykle istotne sygnalista korzysta z ochrony przed działaniami odwetowymi wyłącznie w przypadku spełnienia dwóch przesłanek. Po pierwsze w sytuacji gdy miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia jest prawdziwa w momencie dokonywania zgłoszenia. Po drugie, że informacja ta stanowi informację o naruszeniu prawa, czyli mieści się w katalogu naruszeń określonych ustawą (lub określonych procedurą wewnętrzną) i naruszenie to miało miejsce w kontekście związanym z pracą.
Trzeba więc jasno stwierdzić, że to również na sygnaliście dokonującym zgłoszenia spoczywają określone obowiązki w zakresie weryfikacji zgłaszanych informacji. Przede wszystkim w kontekście ich prawdziwości, ale również w zakresie tego czy stanowią one informację o naruszenia prawa w rozumieniu ustawy.
Sygnalista, który świadomie dokonał zgłoszenia nie prawdziwych informacji nie tylko nie korzysta z ochrony przed działaniami odwetowymi, ale również może być zobowiązany do zapłaty odszkodowania osobie, która poniosła szkodę z powodu takiego zgłoszenia. Ponadto taki “fałszywy sygnalista”, czyli osoba, która dokonała zgłoszenia wiedząc, że do naruszenia prawa nie doszło, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Więcej na ten temat przeczytasz w artykule:
Administrator systemu zgłoszeń. Kto może obsługiwać zgłoszenia naruszeń prawa?
Obowiązkiem przedsiębiorstwa jest również ustanowienie jednostki organizacyjnej, osoby lub podmioty, upoważnionego do przyjmowania zgłoszeń wewnętrznych. Zgodnie z przepisami może to być wewnętrzna jednostka organizacyjna lub osoba w ramach struktury organizacyjnej, ale również może to być podmiot zewnętrzny.
Przepisy tego nie określają wprost, ale taka osoba/podmiot może funkcjonować w całym systemie ochrony sygnalistów jako administrator systemu zgłoszeń, czy też pełnomocnik ds. zgłoszeń. Nazewnictwo tutaj jest dowolne, ważna jest to, aby taka osoba lub podmiot gwarantowała przyjęcie i rozpatrzenie zgłoszenia w sposób rzetelny i bezstronny, a także zapewniała ochronę danych osobowych sygnalisty.
Jest to niezwykle istotny element gwarantujący realne fukcjonowanie systemu zgłoszeń wewnętrznych w organizacji. Szczegółowy zakres obowiązków, jak i tryb powoływania takiej osoby/podmiotu powinien określać regulamin zgłoszeń wewnętrznych.
Koniecznie jest w regulaminie również określenie wewnętrznej jednostki organizacyjnej lub osoby w ramach struktury organizacyjnej podmiotu, które w sposób bezstrony podejmować będą działania następcze, włączając w to weryfikację zgłoszenia wewnętrznego i dalszą komunikację z sygnalistą, w tym występowanie o dodatkowe informacje i przekazywanie sygnaliście informacji zwrotnej.
Ochrona danych osobowych sygnalisty
Przyjmownie i obsługa zgłoszeń wenętrznych nierozerwalnie wiąże się z przetwarzaniem danych osobowych. W związku z tym procedura zgłoszeń wenętrznych nie może funkcjonować w oderwaniu od funkcjonujących w firmie procedur i dokumentów dotyczących przetwarzania danych osobowych.
Przykładowo wprowadzenie systemu zgłoszeń wewnętrznych wiąze się z pewnością z koniecznością uzupełnienia Rejestru Czynności Przetwarzania o kolejny, nowy proces przetwarzania w postaci obsługi zgłoszeń naruszeń prawa.
Wobec osób dokonujących zgłoszenia konieczne jest również wypełnienie obowiązku informacyjnego z RODO, co z kolei wiąże się z koniecznością opracowania nowych lub uzupełnienia istniejących klauzul informacyjnych.
Zgodnie nowymi przepisami po otrzymaniu zgłoszenia można przetwarzać dane osobowe w nim zawarte w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych powinno nastąpić w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.
Ochrona sygnalistów. Podsumowanie
Nowe przepisy ustawy o ochronie sygnalistów, które wejdą w życie 25 września 2024 roku, wprowadzają znaczące zmiany dla polskich przedsiębiorstw. Ustawa ta, implementująca unijną dyrektywę, wymaga od firm zatrudniających co najmniej 50 osób wdrożenia wewnętrznych procedur zgłoszeniowych, umożliwiających pracownikom bezpieczne zgłaszanie naruszeń prawa.
Przedsiębiorstwa muszą zapewnić kanały do anonimowych lub nieanonimowych zgłoszeń, prowadzić rejestr zgłoszeń, a także chronić sygnalistów przed działaniami odwetowymi. Dodatkowo, firmy są zobowiązane do ochrony danych osobowych sygnalistów zgodnie z RODO. Nieprzestrzeganie tych przepisów może skutkować sankcjami karnymi.
Doceniasz tworzone przeze mnie treści?
Paweł Głąb
RADCA PRAWNY
Specjalizuję się w prawie e-commerce, prawie własności intelektualnej oraz prawie danych osobowych. Pomagam firmom chronić ich marki, produkty i walczyć z nieuczciwą konkurencją. Przygotowuję regulaminy, polityki prywatności i cookies oraz dokumentację RODO. Zajmuję się również tworzeniem i audytowaniem umów.
Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.