KRWLEGAL rekomendowana w rankingu IFLR1000„Rzeczpospolita” 2022

Wdrożenie dyrektywy o sygnalistach w instytucjach rynku finansowego

Przedłuża się proces implementacji przepisów dyrektywy o ochronie sygnalistów do prawa krajowego. Dla wielu podmiotów wdrożenie nowych regulacji będzie stanowiło nie lada wyzwanie. Z oczywistych względów brak terminowej implementacji przepisów dyrektywy dodatkowo komplikuje sprawę.

16 lutego 2022

Instytucje finansowe są w o tyle lepszej sytuacji niż pozostałe podmioty objęte obowiązkami uregulowanymi przepisami dyrektywy o ochronie sygnalistów, że wymóg stosowania procedur whistleblowingu nie stanowi dla nich nowości. Warto potraktować konieczność dostosowania się do nowych wymogów, jako okazję do poprawy efektywności dotychczas stosowanych procedur.

Sygnaliści, czyli osoby, które pracują w ramach danej organizacji lub utrzymują z nią kontakt, zazwyczaj jako pierwsi pozyskują wiedzę o nieprawidłowościach. Jak wynika z badań stowarzyszenia ACFE, statystycznie ponad 40 % naruszeń w organizacjach jest ujawnianych dzięki zgłoszeniu sygnalistów, podczas gdy systemy audytu wewnętrznego stanowią źródło wiedzy tylko o 15 % ujawnionych nadużyć.

Jak najwcześniejsze wykrycie nieprawidłowości pozwala na zasadnicze ograniczenie szkód, nie tylko wizerunkowych, ale przede wszystkim majątkowych, będących konsekwencją dokonanych naruszeń. Dlatego warto podejść do wyzwania jakie niesie za sobą konieczność dostosowania do wymogów dyrektywy o ochronie sygnalistów, w taki sposób, aby nie tylko móc na koniec dnia stwierdzić, że działalność danej organizacji jest zgodna z przepisami dyrektywy, ale przede wszystkim, żeby mieć uzasadnione przekonanie, że obrany sposób dostosowania działalności, w sposób wymierny poprawia jakość zarządzania organizacją.

Prace nad implementacją dyrektywy

Przypomnieć wypada, że Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (”Dyrektywa”) wprowadza wspólne minimalne normy w zakresie ochrony sygnalistów przed działaniami odwetowymi oraz nakłada na pracodawców szereg obowiązków, które dotyczą: przyjęcia regulaminu zgłoszeń wewnętrznych, wyznaczenia podmiotu wewnętrznego upoważnionego do przyjmowania zgłoszeń oraz podejmowania działań następczych, ustanowienia kanałów dokonywania zgłoszeń, prowadzenia rejestru zgłoszeń wewnętrznych, zapewnienia zachowania poufności osobie zgłaszającej oraz zapoznania pracownika z treścią regulaminu zgłoszeń wewnętrznych.

Termin na implementację Dyrektywy minął w dniu 17 grudnia 2021 r. Do tego czasu wszystkie państwa członkowskie powinny były wprowadzić w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy. Polski ustawodawca (zresztą nie tylko polski – sytuacja w wielu państwach członkowskich nie jest wcale lepsza) nie dotrzymał tego terminu, a opublikowany w dniu 18 października 2021 r. projekt ustawy o ochronie osób zgłaszających naruszenia prawa („Projekt”), przygotowany przez Ministra Rodziny i Polityki Społecznej nie został dotychczas nawet skierowany do Sejmu.

Dopiero w dniu 30 grudnia 2021 r. na stronie RCL zostały opublikowane uwagi zgłoszone w ramach uzgodnień, konsultacji publicznych oraz opiniowania do projektu ustawy o ochronie osób zgłaszających naruszenia prawa.

Zgodnie z informacją przekazaną przez Wiceministra Rodziny i Polityki Społecznej, ostateczna wersja Projektu powinna zostać opublikowana w I kwartale 2022 r.

Podmioty zobowiązane do wdrożenia rozwiązań chroniących sygnalistów

Dyrektywa przewiduje dwa terminy na wdrożenie odpowiednich procedur dokonywania zgłoszeń i ochrony sygnalistów: 17 grudnia 2021 r. dla dużych pracodawców z sektora prywatnego (tj. podmiotów zatrudniających co najmniej 250 pracowników), instytucji publicznych zatrudniających minimum 50 pracowników i podmiotów finansowych bez względu na liczbę pracowników oraz 17 grudnia 2023 r. dla pracodawców z sektora prywatnego zatrudniających co najmniej 50 pracowników.

Zaznaczyć przy tym należy, iż zróżnicowanie terminu objęcia pracodawców wymogami Dyrektywy, w zależności od liczby zatrudnionych pracowników nie dotyczy instytucji finansowych. Zasadniczo te podmioty, jeszcze przed wejściem w życie Dyrektywy zobowiązane były do opracowania procedur zgłaszania naruszeń prawa. Wymóg opracowania przez te podmioty odpowiednich procedur w zakresie ochrony sygnalistów wynika choćby z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, a także został określony w poszczególnych regulacjach sektorowych, tj. w prawie bankowym, czy w ustawie o nadzorze nad rynkiem kapitałowym.

Oczywiście, pomiędzy obowiązującymi obecnie instytucje finansowe regulacjami, a wymogami Dyrektywy, zachodzą istotne różnice. Po pierwsze katalog spraw, których dotyczyć mają zgłoszenia dokonywane zgodnie z wymogami Dyrektywy jest znacznie szerszy, niż wynikało to dotychczas z regulacji obowiązujących instytucje finansowe. Po drugie zbiór osób, które mogą dokonać zgłoszenia naruszeń określonych w Dyrektywie nie ogranicza się wyłącznie do pracowników lub osób wykonujących czynności na rzecz podmiotu. Po trzecie wreszcie, zgłoszenia na podstawie obowiązujących instytucje finansowe przepisów co do zasady dokonywane są anonimowo, podczas gdy w myśl przepisów projektowanej ustawy zgłoszenia anonimowe będą miały charakter opcjonalny.

Jaki powinien być zakres naruszeń podlegających zgłoszeniu?

Dyrektywa zawiera katalog możliwych do zgłoszenia naruszeń prawa unijnego, pozostawiając jednocześnie państwom członkowskim uprawnienie do rozszerzenia tego katalogu.

W ślad za postanowieniami dyrektywy, Projekt zakłada stosowanie wymogów związanych z ochroną sygnalistów do naruszeń prawa dotyczących m. in.: usług, produktów i rynków finansowych, zapobiegania praniu pieniędzy i finansowaniu terroryzmu, ochrony konsumentów, ochrony prywatności i danych osobowych, czy bezpieczeństwa sieci i systemów teleinformatycznych.

Projekt przewiduje jednocześnie możliwość rozszerzenia katalogu spraw przez pracodawców na gruncie wewnętrznych regulacji oraz standardów etycznych. Zgodnie z obecnym brzmieniem Projektu, pracodawca ma być uprawniony do przyjęcia, że przedmiotem zgłoszenia mogą być również inne niż wskazane w ustawie naruszenia, jak chociażby mobbing czy dyskryminacja.

Kto może być sygnalistą?

Przepisy projektowanej ustawy mają być stosowane do osoby fizycznej, zgłaszającej lub publicznie ujawniającej informacje o naruszeniach prawa uzyskane w kontekście związanym z pracą. Katalog osób, które mogą być sygnalistami jest otwarty - mogą to być nie tylko pracownicy, ale także byli pracownicy, kandydaci na pracowników, osoby świadczące pracę na podstawie innej niż stosunek pracy, przedsiębiorcy, akcjonariusze, wspólnicy, członkowie organów osoby prawnej, osoby świadczącej pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej, a także stażyści i wolontariusze.

Ochrona sygnalisty

Zgodnie z przepisami Dyrektywy oraz Projektu, pracodawca ma być zobowiązany do zapewnienia sygnalistom ochrony przed działaniami odwetowymi. Katalog takich działań został określony w Projekcie i obejmuje m. in. odmowę nawiązania stosunku pracy, wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy, obniżenie wynagrodzenia za pracę, wstrzymanie awansu albo pominięcie przy awansowaniu, zawieszenie w wykonywaniu obowiązków pracowniczych lub służbowych itp. Jest to katalog otwarty – co do zasady każde działanie lub zaniechanie, bezpośrednie lub pośrednie, spowodowane zgłoszeniem lub ujawnieniem publicznym i naruszające lub mogące naruszyć prawa zgłaszającego lub wyrządzające lub mogące wyrządzić szkodę zgłaszającemu może zostać uznane za działanie odwetowe. Co więcej, w Projekcie zdecydowano się na wprowadzenie analogicznego rozwiązania, jak w przypadku spraw o dyskryminację w zatrudnieniu, tj. przeniesienie na pracodawcę ciężaru dowodu, który ma być zobowiązany do udowodnienia, że kierował się obiektywnymi powodami podejmując dane działania względem sygnalisty.

Warte odnotowanie jest również, że ochrona przed działaniami odwetowymi ma przysługiwać nie tylko sygnaliście, ale również osobie pomagającej w dokonaniu zgłoszenia, osobie powiązanej ze zgłaszającym oraz osobie prawnej lub innej jednostce organizacyjnej powiązanej ze zgłaszającym, w szczególności stanowiącej własność lub zatrudniającej zgłaszającego.

Ograniczona anonimowość zgłoszeń

Zgodnie z treścią Projektu, sygnalista będzie mógł skorzystać z trzech kanałów zgłaszania naruszeń: wewnętrznego (do pracodawcy), zewnętrznego (do właściwego organu publicznego) oraz publicznego (do mediów). Co do zasady zgłoszenia mają być imienne, a podmiot przyjmujący zgłoszenie ma być zobowiązany do zapewnienia ochrony poufności tożsamości osoby dokonującej zgłoszenia i osoby, której dotyczy zgłoszenie. Projekt ustawy przewiduje możliwość dokonywania zgłoszeń anonimowo, gdy taką możliwość przewiduje regulamin zgłoszeń wewnętrznych, stosowany przez pracodawcę.

W rezultacie, anonimowość zgłoszeń nie jest wymagana przez Dyrektywę. Wynika to z faktu, iż przeprowadzenie działań następczych po odebraniu zgłoszenia jest w praktyce znacząco utrudnione, w sytuacji, w której nie ma możliwości kontaktu z osobą zgłaszającą naruszenie. Z drugiej strony jednak, brak możliwość dokonywania anonimowych zgłoszeń może negatywnie rzutować na gotowość osób do sygnalizowania nieprawidłowość. W praktyce dużą rolę w tym zakresie odgrywa kultura danej organizacji.

W odniesieniu do instytucji finansowych, innym argumentem przemawiającym za wprowadzeniem zasady anonimowości zgłoszeń we wszystkich sprawach objętych Dyrektywą, jest fakt, iż taki tryb zgłaszania naruszeń przewidują aktualnie obowiązujące te podmioty regulacje, jak chociażby przepisy prawa bankowego. Ujednolicenie standardów przyjmowania zgłoszeń miałoby z pewnością pozytywny wpływ na przejrzystość obowiązujących w danej organizacji zasad ochrony sygnalistów, a w konsekwencja na efektywność systemu informowania o nieprawidłowościach.

W tym kontekście należy zwrócić uwagę, że aktualne brzmienie Projektu budzi istotne wątpliwości, czy ustawa zapewni dostateczną ochronę poufności tożsamości osoby dokonującej zgłoszeń. Wynika to z faktu, iż projektowany art. 8 ust. 2 ustawy przewiduje ograniczenie obowiązku informacyjnego określonego w art. 14 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”) jedynie w zakresie informacji na temat źródła pochodzenia danych osobowych osoby, której dotyczy zgłoszenie. Powyższe oznacza, że osoba ta nie zostanie co prawda poinformowana o tym, kto dokonał zgłoszenia, ale otrzyma szereg innych informacji, na podstawie których potencjalnie będzie możliwe zidentyfikowanie tożsamości sygnalisty. Co więcej, wskazane powyżej ograniczenie odnosi się jedynie do art. 14 RODO, co oznacza, że osoba, której dotyczy zgłoszenie będzie uprawniona do żądania udzielenie informacji na temat przetwarzania jej danych osobowych, oraz m. in. informacji o źródle, z którego pochodzą dane osobowe, na podstawie art. 15 RODO.

Należy liczyć na korektę propozycji przepisów w tym zakresie.

Sankcje

W Projekcie uregulowano również kwestię odpowiedzialności karnej grożącej osobom, które utrudniają dokonywanie zgłoszeń, podejmą działania odwetowe wobec osoby, która dokonała zgłoszenia lub ujawnienia publicznego, naruszą obowiązek zachowania poufności tożsamości sygnalisty, nie ustanowią wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych. czy dokonają  zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji.

Dopuszczenie się ww. naruszeń ma być obwarowane surowymi sankcjami - Projekt przewiduje możliwość nałożenia grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat trzech. Tak duża represyjność spotkała się z licznymi zastrzeżeniami w toku przeprowadzonych konsultacji społecznych.

Wskazać przykładowo należy, że Dyrektywa zobowiązuje państwa członkowskie do wprowadzenia przepisów przewidujących sankcje dla osób dokonujących zgłoszenia, wobec których ustalono, że świadomie dokonały zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji, natomiast projekt polskiej ustawy nie odnosi się do kwestii działania sygnalisty w złej wierze, a jedynie do faktu, iż podane przez niego informacje są nieprawdziwe. Tak skonstruowany przepis może skutecznie zniechęcić potencjalnych sygnalistów do dokonywania zgłoszeń, w szczególności, że osoby te często posiadają jedynie uzasadnione podejrzenie, co do zgłaszanych potencjalnych naruszeń. Podejrzenia te powinny zostać zweryfikowane w trakcie postępowania wyjaśniającego, co nie będzie możliwe, jeżeli sygnalista, z obawy przed grożącą mu odpowiedzialnością karną, odstąpi od dokonania zgłoszenia, co do którego nie będzie miał całkowitej pewności.

Korzyści związane z efektywnym wdrożeniem procedur zgłaszania naruszeń

Niezależnie od zagrożenia sankcjami za brak wdrożenia wymaganych rozwiązań, przede wszystkim warto mieć na względzie, że sprawny system wewnętrznego zgłaszania nadużyć może przynieść liczne korzyści nie tylko w kontekście poprawy egzekwowania prawa, ale również dla samej organizacji wdrażającej systemu zgłaszania naruszeń. Działania sygnalistów mogą stanowić dodatkowe narzędzie do zarządzania ryzykiem w organizacji, przyczynić się do wczesnego wykrycia nieprawidłowości, a w konsekwencji do podjęcia odpowiednich działań następczych i uniknięcia eskalacji problemu poza struktury organizacyjne podmiotu. Jest to istotne zarówno ze względu na potencjalne szkody majątkowe (jak chociażby  kary pieniężne nakładane przez organy nadzoru), jak i te na wizerunku firmy, które w przypadku instytucji finansowych mogą być szczególnie dotkliwe. Nie należy również zapominać, że wdrożenie skutecznego i przejrzystego systemu dokonywania zgłoszeń przez sygnalistów może być istotnym elementem rozwoju kultury etycznej organizacji oraz pozytywnie wpłynąć na atrakcyjność przedsiębiorstwa, jako pracodawcy.

Na  chwilę obecną ciężko jest określić, kiedy ustawa implementująca przepisy Dyrektywy mogłyby  zostać przyjęta i opublikowana w dzienniku ustaw. Wraz z upływem czasu, I kwartał 2022 r. wydaje się być coraz mniej realny.

W związku z tym, że wydłuża się proces przyjęcia przepisów krajowych implementujących postanowienia Dyrektywy, warto wykorzystać obecny czas, na przeanalizowanie sposobu dostosowania działalności do nowych wymogów prawnych, w taki sposób, aby przyjęte rozwiązania w sposób możliwie najbardziej efektywny pozwalały na realizację celów Dyrektywy. Tym bardziej, że prawodawca przewidział dla projektowanej ustawy jedynie czternastodniowe vacatio legis. Tak krótki okres między datą ogłoszenia ustawy, a jej wejściem w życie spotkał się co prawda z licznymi zastrzeżeniami podczas przeprowadzonych konsultacji publicznych, a Ministerstwo Rodziny i Polityki Społecznej w odniesieniu do zgłoszonych poinformowało, że termin powinien zostać wydłużony, jednak na ten moment nie jest pewne czy okres vacatio legis faktycznie będzie dłużysz niż obecnie przewidziany.

Autor: adwokat Tomasz Kamiński, aplikant radcowska Katarzyna Okoń

Kancelaria prawna KRW Legal zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi m. in. w zakresie prawa korporacyjnego oraz prawa pracy.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940

 

  • Kontakt

    ul. Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn