Bezsprzecznie podstawowym prawem sygnalisty jest uprawnienie do zgłaszania zawiadomień o dostrzeżonych przez siebie naruszeniach prawa. Jest ono skorelowane z zakazem zignorowania jego zgłoszenia oraz przyznaną mu na gruncie ustawy (nomen omen „o ochronie praw sygnalistów”) ochroną przed działalnością odwetową. Wbrew obawom, powyższe nie oznacza, że ochrona sygnalisty jest absolutnie bezwzględna i rozciąga się w każdym przypadku na przekazanie opinii publicznej informacji o nieprawidłowościach (z pominięciem złożenia zawiadomienia).

Ten ostatni przypadek może mieć zasadniczo miejsce tylko wtedy, gdy kanały zgłaszania nieprawidłowości (czy to te wdrożone w naszej organizacji, czy to te zewnętrzne prowadzone przez Rzecznika Praw Obywatelskich i inne organy publiczne) zawiodą i sygnalista nie będzie mógł poczucia, że jego zgłoszenie zostanie prawidłowo rozpoznane.

Kanały zgłaszania nieprawidłowości, są w rzeczywistości miejscami w których sygnalista może złożyć swoje zawiadomienie o dostrzeżonym naruszeniu prawa (w granicach dziedzin prawa wskazanych w ustawie lub dodatkowo tych, które dany pracodawca obejmie swoją procedurą).

Każdy podmiot, na rzecz którego według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób (czyli także w innych formach niż na podstawie umowy o pracę), a także wszystkie podmioty wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska niezależnie od tego ile osób zatrudniają, zobowiązane ustanawiać odpowiednie wewnętrzne kanały zgłaszania nieprawidłowości oraz wewnętrzne procedury przyjmowania zgłoszeń i podejmowania działań następczych w związku ze zgłoszeniami.

Obowiązek ten ma na celu zapewnienie, aby informacje o faktycznych lub potencjalnych przypadkach naruszenia szybko docierały do osób znajdujących się najbliżej źródła problemu, które dysponują największymi możliwościami zbadania danego problemu oraz uprawnieniami do jego rozwiązania, o ile będzie to możliwe.

Na gruncie Dyrektywy to właśnie wewnętrzne kanały zgłaszania nieprawidłowości miały być pierwszym miejscem, z którego sygnalista powinien skorzystać. Dopiero jeżeli wspomniane kanały nie funkcjonowałyby lub nie można byłoby oczekiwać, że będą funkcjonowały, osoby zgłaszające miały mieć prawo zgłaszania nieprawidłowości właściwym organom administracji publicznej oraz – w ostateczności – ujawnić je opinii publicznej / mediom. Polska ustawa o ochronie sygnalistów nieznacznie zmieniła tę zasadę, zrównując kanały wewnętrzne, z zewnętrznymi (prowadzonymi chociażby przez Rzecznika Praw Obywatelskich, czy też organy publiczne), dając sygnaliście wybór, gdzie chce dokonać zgłoszenia. Nie zmieniła się jednak zasada, co do ujawnienia publicznego (czyli w dużym uproszczeniu, prawa sygnalisty do poinformowania świata o naruszeniach prawa).

Ta konstrukcja, od początku budziła pewne wątpliwości. Pojawiały się w przestrzeni publicznej głosy wątpliwości, czy w takim razie jest to ograniczenie roli mediów w wykrywaniu nieprawidłowości. Tak treść Dyrektywy jak i ustawy w żaden sposób na to nie wskazuje. Unijny prawodawca wyraźnie podkreślił, że media, w tym w szczególności dziennikarze śledczy pełnią istotną rolę w procesie ujawniania naruszeń prawa. Co pokazały jednak liczne sprawy publicznego ujawnienia naruszeń (takie jak Dieselgate, LuxLeaks, Panama Papers, Cambridge Analytica czy też Danske Bank), gdy sprawa trafi do mediów, dana organizacja (nawet jeżeli jej Zarząd nie wiedział o naruszeniu) musi się mierzyć, z kolosalnym wyzwaniem utraty publicznej renomy, koniecznością ponoszenia znacznych kosztów obrony przed zarzutami, a w niektórych przypadkach może się nawet mierzyć z widmem bankructwa.

Zdając sobie sprawę z faktu, że nie wszystkie zgłoszenia nieprawidłowości znajdują pokrycie w rzeczywistości, a znaczna część z nich może mieć miejsce bez świadomości osób zarządzających organizacją, wprowadzenie wewnętrznych oraz zewnętrznych kanałów zgłaszania naruszeń oraz uzależnienie od skorzystania z nich możliwości ujawnienia publicznego, należy traktować jako danie organizacjom szansy na usunięcie z danej firmy elementu, który ją psuje od środka (nawet w przypadku zgłoszenia zewnętrznego, rolą organu jest przeprowadzenie w firmie kontroli, która nie powinna na koniec dnia skutkować wyciekiem informacji o naruszeniach do przestrzeni publicznej). Powyższa zasada jest aktualna tak długo jak tylko dane kanały zgłaszania istnieją oraz będą dawały sygnaliście gwarancję, że działają prawidłowo – czyli, że sygnalista będzie mógł racjonalnie oczekiwać, że w przypadku dokonania zgłoszenia w takich kanałach nie dzieląc losu kanarka, będzie należycie chroniony, a jego prawa będą respektowane.

Gdy (1) wewnętrzne kanały przyjmowania zgłoszeń nie funkcjonują prawidłowo (np. na skutek zgłoszenia nie zostaną podjęte żadne działania następcze, ani do sygnalisty nie trafi informacja zwrotna) lub (2) dokonanie zgłoszenia zewnętrznego narazi sygnalistę na działania odwetowe, lub (3) w przypadku dokonania zgłoszenia zewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania naruszeniu prawa z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów, istnienia zmowy między organem publicznym a sprawcą naruszenia lub udziału organu publicznego w naruszeniu (a także w przypadku gdy naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie interesu publicznego, w szczególności gdy istnieje ryzyko nieodwracalnej szkody) sygnalista będzie uprawniony do publicznego ujawnienia sprawy, nadal korzystając z ochrony przyznanej sygnaliście (w tym w zakresie możliwości zwolnienia sygnalisty z pracy, ze względu na działanie na szkodę spółki lub ujawnienie tajemnicy przedsiębiorstwa).

Z tego względu, aby uniknąć ryzyka publicznego ujawnienia spraw (o których co należy jeszcze raz podkreślić, możemy nawet nie wiedzieć z poziomu Zarządu Spółki), nie mając jednocześnie pewnego panowania nad tym jak będą rozpatrywane zgłoszenia przez organy publiczne i czy ktoś w takim postępowaniu nie zapomni wysłać sygnaliście informacji zwrotnej o sposobie rozpoznania jego zgłoszenia, tak ważne jest tworzenie kanałów przyjmowania zgłoszeń, które w prosty sposób umożliwią dokonanie zawiadomienia, ale też – co chyba nawet istotniejsze – budowanie wewnątrz organizacji kultury otwartości na tego typu zawiadomienia (pełnego systemu zarządzania zgodnością w organizacji). Biorąc pod uwagę, że większość dotychczasowych głośnych spraw publicznego ujawnienia naruszeń, mających miejsce w poszczególnych firmach, wynikała bądź z uzasadnionego strachu przed odwetem, bądź braku podjęcia jakichkolwiek działań po zasygnalizowaniu przez pracownika, że w organizacji występuje problem, bądź wręcz na skutek zastosowania odwetu, jeżeli tylko chcemy ograniczać nasze ryzyka związane z ujawnieniem publicznym (a nawet ryzyka adresowania przez pracowników swoich obaw i zastrzeżeń do organy publicznego, który na skutek tego mógłby chcieć nas poddać kontroli) całkowicie niezbędne jest zaprzestanie traktowania sygnalistów jako potencjalnego ryzyka i potraktowanie ich jako cennego źródła informacji, które może nam przynieść wiele korzyści – tak długo jak przekonamy ich, że sama firma jest najlepszym miejscem do informowania o nieprawidłowościach na które zwrócili uwagę.

O czym trzeba pamiętać, tworząc kanały przyjmowania zgłoszeń, każdy podmiot jest uprawniony do samodzielnego określania rodzaju kanałów zgłaszania nieprawidłowości, które są wdrażane w jego organizacji. Dopuszczalne jest tak osobiste przyjmowanie zgłoszeń, zgłaszanie drogą pocztową, zgłaszanie za pomocą fizycznych skrzynek skarg, zgłaszanie drogą telefoniczną – przez gorącą linię, zgłaszanie za pośrednictwem platformy internetowej (intranetowej lub internetowej), czy też outsourcing wskazanej usługi do zewnętrznego podmiotu odpowiedzialnego za procesowanie zgłoszeń. Ważne jest przy tym, aby co najmniej jeden kanał, zapewniał poufność zgłoszenia (co wyklucza ograniczanie się do takich narzędzi jak zgłoszenia osobiste, czy zgłoszenia za pomocą skrzynek skarg, które w ocenie prawodawcy nie gwarantują poufności tożsamości osoby zgłaszającej), a także dla każdego z kanału stosować odpowiednie środki, aby nawet gdy sygnalista nie chce zachować w poufności swojej tożsamości, jego dane, w tym treść skargi, były dostępne jedynie dla osób upoważnionych.

Co podkreśla się w Dyrektywie o sygnalistach oraz w samej ustawie, ochrona danych osobowych sygnalistów ma kluczowe znaczenie dla uniknięcia niesprawiedliwego traktowania lub nadszarpnięcie reputacji ze względu na ujawnienie danych osobowych. Samo wdrożenie RODO w organizacji, nie jest wystarczającym spełnieniem wymogów określonych Dyrektywą. Dla ochrony sygnalistów, przedsiębiorcy obowiązani są wdrożyć odpowiednie procedury ochronne, skorelowane z wprowadzanymi przez siebie rozwiązaniami umożliwiającymi zgłaszanie naruszeń prawa, a także zapewnić od strony technicznej, że ich dane nie będą podlegały wyciekowi. Pomimo, że dane sygnalisty nie są danymi szczególnie wrażliwymi na gruncie RODO, powinny być one traktowane przez każdą organizację jako dane szczególnie poufne, ze względu na ryzyka jakie wiążą się dla sygnalistów z ich ujawnieniem osobom nieuprawnionym. Wszelkie procedury powinny podlegać regularnym przeglądom i aktualizacjom, także w zakresie eliminacji potencjalnych błędów, które mogłyby uzasadniać po stronie sygnalisty przekonanie, że wewnętrzny kanał nie funkcjonuje prawidłowo.

W kontekście uprzednio przytaczanych zewnętrznych podmiotów, wspierających organizacje w procesie zbierania i rozpatrywania zawiadomień, będzie to w pełni możliwe pod warunkiem, że wskazane podmioty zapewniają należyte gwarancje poszanowania niezależności, poufności, ochrony danych i zachowania tajemnicy.

Aby wewnętrzne kanały zgłaszania nieprawidłowości mogły być uznane za spełniające wymogi Dyrektywy oraz ustawy, a tym samym za funkcjonujące prawidłowo, w procesie rozpatrywania naruszeń powinny zostać wyznaczone odpowiednie osoby do odbierania zgłoszenie i podejmowanie działań następczych (np. dyrektor ds. compliance, czy też dyrektor ds. prawnych wraz z ich zespołami), a także powinny być wyraźnie określone zasady unikania konfliktów interesów. W sam proces mogą być włączane także dodatkowe „osoby zaufane” do których osoby zgłaszające i osoby rozpatrujące zgłoszenie mogą zwrócić się o poufną poradę. W każdym przypadku wymóg zapewnienia poufności, tak na poziomie proceduralnym, jak i technicznym, będzie spoczywał na danej organizacji.

Najmniejsze problemy z prawidłowym wdrożeniem procedur dotyczących sygnalistów powinny mieć organizacje, które prawidłowo wdrożyły procedury przeciwdziałania zachowaniom niepożądanym w miejscu pracy (mobbingowi, dyskryminacji, molestowaniu etc.). Sam model procesu wydaje się być wyjątkowo zbliżony. Tak w przypadku zgłaszania zachowań niepożądanych, jak i naruszeń prawa na gruncie Dyrektywy i ustawy, obowiązkiem podmiotu przyjmującego zgłoszenie jest zapewnienie poufności, anonimowości (gdy jest ona wprowadzona przez daną organizację), rzetelne rozpatrzenie skargi oraz w razie potwierdzenia wystąpienia zdarzenia niezgodnego z przepisami, podjęcie działań mających na celu usunięcie skutków naruszeń oraz wyeliminowanie zagrożenia na przyszłość. Jedyną różnicą jest poziom odpowiedzialności. W przypadku dyskryminacji i mobbingu, dotychczasowe regulacje nie wymusiły wprowadzania znaczących sankcji dla podmiotów uchybiających swoim obowiązkom. W przypadku przepisów o ochronie sygnalistów za (1) utrudnianie lub próbuję utrudniania zgłaszania, czy też (2) dopuszczanie się naruszeń obowiązku utrzymania w tajemnicy tożsamości osób zgłaszających, przewidziano odpowiedzialność karną dla osób za to odpowiedzialnych.

Wszystkie powyższe wskazania prowadzą do prostego wniosku, że jedynym sposobem na uniknięcie problemu nie jest zamknięcie oczu i liczenie, że u nas tak nie wystąpią przypadki naruszeń jak i nie będzie ludzi, którzy będą chcieli o nich mówić, tylko mądre zaprojektowanie systemu przyjmowania i rozpatrywania zgłoszeń, który zaadresuje w odpowiedni sposób potrzeby tych, którzy chcieliby (w dobrej wierze) podzielić się z nami informacjami, które dla nas (z perspektywy organizacji) mogą okazać się bezcenne – chociażby w kontekście uniknięcia zbędnego ryzyka.

Michał Kibil
Michał Kibil
michal.kibil@dgtl.law | zobacz inne wpisy tego autora