Zasadniczym motywem wprowadzenia nowego prawa było przekonanie, iż istnieje konieczność ochrony osób, które zgłaszają występujące w organizacjach nieprawidłowości (sygnaliści). Prawodawca unijny uznał, że w związku z faktem, iż niejednokrotnie jako pierwsze dowiadują się one o zagrożeniach lub szkodach dla interesu publicznego, odgrywają kluczową rolę w procesie ujawniania przypadków naruszenia prawa i zapobiegania im oraz w procesie ochrony interesu społecznego. Czynnikiem zniechęcającym do takiego działania może być jednak obawa przed odwetem.
Co istotne „współcześni ustawodawcy, co do zasady, nie uzależniają dopuszczalności zgłoszenia od motywacji zgłaszającego, kluczowa jest bowiem sama informacja, jej jakość i prawdziwość, bez względu na powody, jakimi kierował się sygnalista”.
Stwierdzono, iż w Unii Europejskiej istnieją różnorodne i niejednolicie stosowane mechanizmy ochrony sygnalistów. Wspólne normy zapewniające minimalne standardy skutecznej ochrony powinny zatem obowiązywać w odniesieniu do tych działań i tych obszarów polityki, w przypadku których:
Osoby zgłaszające nieprawidłowości w ramach swojej działalności zawodowej narażają się na ryzyko odwetu w miejscu pracy i wymagają szczególnej ochrony prawnej. Wynika to z ich niestabilnej sytuacji ekonomicznej, będącej skutkiem tego, że ich pozycja zawodowa, w tym sam fakt posiadania pracy, uzależniona jest od konkretnego pracodawcy. A contrario - w przypadkach, w których nie istnieje taka nierównowaga jak w stosunku pracy (np. zwykłych skarg składanych przez obywateli do np. właściwych urzędów), zapewnienie takiej ochrony nie wydaje się konieczne.
Sam mechanizm uznać wiec można jako swego rodzaju prewencję i narzędzie służące zarządzaniu ryzykiem w organizacji.
Prawodawca unijny szacuje, iż nowe przepisy przyniosą korzyści gospodarcze, społeczne oraz dla środowiska, w tym na polu ujawniania nadużyć finansowych i korupcji w kontekście budżetu UE, szacowanych rocznie na kwotę 179–256 mld euro. W dziedzinie zamówień publicznych korzyści wynikające ze skutecznej ochrony sygnalistów w UE szacuje się na kwotę 5,8–9,6 mld euro rocznie. Sygnaliści mają również pomóc w walce z unikaniem opodatkowania (przenoszenie zysków to straty szacowane na ok 50–70 mld euro).
Celem regulacji jest więc poprawa egzekwowania prawa i polityki Unii w określonych obszarach poprzez ustanowienie wspólnych minimalnych norm ochrony osób zgłaszających działania niezgodne z prawem lub przykłady nadużywania prawa w następujących obszarach:
Nie zapomniano również o ochronie interesów finansowych Unii, która wiąże się ze zwalczaniem nadużyć finansowych, korupcji i wszelkich innych bezprawnych działań wywierających wpływ na wydatki Unii, pobieranie przychodów i funduszy przez Unię lub składniki majątku Unii.
Należało również ustanowić wspólne minimalne normy ochrony sygnalistów w odniesieniu do naruszeń związanych z rynkiem wewnętrznym, o którym mowa w art. 26 ust. 2 Traktatu o Funkcjonowaniu Unii Europejskiej TFUE z 26.10.2012 r (Dz.Urz.UE.C Nr 326, s. 47). Dyrektywa obejmuje również zgłaszanie nieprawidłowości w zakresie wykrywania przypadków naruszenia unijnego prawa konkurencji i zapobiegania takim naruszeniom.
Ostatnim obszarem są działania prowadzące do naruszenia przepisów i ustaleń regulujących kwestie związane z podatkiem od osób prawnych podejmowane w celu odniesienia korzyści podatkowej i uchylenia się od zobowiązań prawnych.
Regulacja ma zastosowanie do osób pracujących w sektorze prywatnym lub publicznym, które uzyskały informacje na temat naruszeń w kontekście związanym z pracą. Jako adresatów regulacji wskazuje się m.in następujące osoby:
Co ciekawe, gdy informacje dotyczące naruszenia zostaną uzyskane w trakcie procesu rekrutacji lub innych negocjacji poprzedzających zawarcie umowy, Dyrektywa ma również zastosowanie do osób, których stosunek pracy zostanie dopiero nawiązany. Pewne wątpliwości budzi wyrażenie użyte w odniesieniu do stosunku pracy, który „ma zostać dopiero nawiązany”, gdyż sugeruje ono, że sam fakt pozostawania w procesie rekrutacji nie wystarczy, aby kandydat do pracy nabył uprawnienia objęte Dyrektywą. Z konstrukcji art. 4 ust. 3 zdaje się wynikać, że taki stan rzeczy odnosi się do procesów rekrutacyjnych w ich końcowej fazie, tj. np. w fazie negocjacji poprzedzających zawarcie umowy.
Osoby dokonujące zgłoszenia kwalifikują się do objęcia ochroną pod warunkiem, że:
Prawodawca sformułował również szereg definicji w tym m. in.:
Zgłoszenie może mieć formę zgłoszenia wewnętrznego lub zewnętrznego, przy czym pierwszeństwo przyznaje się zgłoszeniom wewnętrznym. Należy zapewnić, by podmioty prawne w sektorze prywatnym i publicznym ustanowiły kanały i procedury na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych, po konsultacji i w porozumieniu z partnerami społecznymi, jeżeli tak przewiduje prawo krajowe.
W sektorze prywatnym dotyczy to do podmiotów, które zatrudniają co najmniej 50 pracowników (próg ten nie ma zastosowania do podmiotów objętych zakresem stosowania aktów Unii wymienionych w części I.B i II załącznika, tj. usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwo transportu, ochrona środowiska).
Po dokonaniu odpowiedniej oceny ryzyka, uwzględniającej charakter działalności podmiotów i wynikający z niej poziom ryzyka, w szczególności w dziedzinie środowiska i zdrowia publicznego, można zobowiązać do ustanowienia wewnętrznych kanałów i procedur dokonywania zgłoszeń podmioty prawne w sektorze prywatnym, które zatrudniają mniej niż 50 pracowników.
Prawodawca uwzględnił także możliwość dzielenia się zasobami w zakresie przyjmowania zgłoszeń i wszelkich prowadzonych postępowań wyjaśniających przez podmioty zatrudniające od 50 do 249 pracowników.
Obowiązek ustanawiania kanału i procedur stosuje się do wszystkich podmiotów w sektorze publicznym, w tym do podmiotów będących własnością lub znajdujących się pod kontrolą takich podmiotów, przy czym można zwolnić z tego obowiązku:
lub inne podmioty zatrudniające mniej niż 50 pracowników.
Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych obejmują następujące elementy:
Zgłoszenia takiego dokonać można od razu lub po uprzednim wykorzystaniu kanału wewnętrznego.
Trzeba zapewnić, aby właściwe organy:
Zewnętrzne kanały dokonywania zgłoszeń uznaje się za niezależne i autonomiczne, pod warunkiem że zostały zaprojektowane i ustanowione oraz są obsługiwane w sposób zapewniający kompletność, integralność i poufność informacji oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu właściwego organu, a także pozwalają na przechowywanie informacji w sposób trwały, aby umożliwić prowadzenie dalszego postępowania wyjaśniającego.
Podobnie jak w przypadku kanałów wewnętrznych musi istnieć możliwość dokonywania zgłoszeń na piśmie lub ustnie. Ustnego zgłoszenia można dokonywać telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej, a na wniosek osoby dokonującej zgłoszenia – za pomocą bezpośredniego spotkania zorganizowanego w rozsądnym terminie.
Należy także dopilnować, aby właściwe organy publikowały na swoich stronach internetowych w oddzielnej, łatwej do zidentyfikowania i łatwo dostępnej sekcji stosowne informacje (komu, kiedy i na jakich zasadach przysługuje ochrona, jaka procedura i zasady poufności mają zastosowanie).
Państwa członkowskie podjąć muszą niezbędne środki, aby zakazać wszelkich form działań odwetowych, w tym gróźb działań odwetowych i prób podejmowania takich działań, w tym w szczególności w formie: zawieszenia, przymusowego urlopu bezpłatnego, zwolnienia, degradacji lub wstrzymania awansu, wstrzymania szkoleń, negatywnej oceny, czy te nieprzedłużenia lub przedterminowego rozwiązania umowy o pracę na czas określony.
Należy zapewnić ochronę osób zgłaszających, w szczególności odpowiednie informacje i pomoc organów państwa.
Dokonujący zgłoszenia informacji na temat naruszeń lub dokonujący ujawnienia publicznego nie naruszają ponadto żadnych ograniczeń w zakresie ujawniania informacji i nie ponoszą żadnej odpowiedzialności w zw. z takim zgłoszeniem lub ujawnieniem publicznym, pod warunkiem że miały uzasadnione podstawy, by sądzić, że zgłoszenie lub ujawnienie publiczne takich informacji jest niezbędne do ujawnienia naruszenia.
Również w postępowaniach przed sądem lub innym organem dotyczących szkody poniesionej przez osobę dokonującą zgłoszenia, jeżeli osoba ta twierdzi, iż w wyniku zgłoszenia lub dokonania ujawnienia publicznego poniosła szkodę, przyjmuje się, że została ona wyrządzona w ramach działań odwetowych i to na osobie, która podjęła działania powodujące szkodę, spoczywa ciężar udowodnienia, że przeprowadziła je z należycie uzasadnionych powodów.
Ustanowić trzeba skuteczne, proporcjonalne i odstraszające sankcje stosowane wobec osób fizycznych lub prawnych, które:
Analogiczne sankcje przewidziane muszą zostać wobec osób dokonujących zgłoszenia, a wobec których ustalono, że świadomie posłużyły się nieprawdziwymi informacjami. Wprowadzić należy również przepisy przewidujące środki odszkodowawcze za szkodę wynikającą z takiego działania.
Przetwarzania danych osobowych dokonuje się zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L 2016 Nr 119, str. 1; dalej: RODO) i Parlamentu Europejskiego i Rady (UE) 2016/680 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE L 119 z 04.05.2016, str. 89) (tzw. dyrektywa policyjna). Wymiany i przekazywania informacji przez instytucje, organy lub jednostki organizacyjne Unii dokonuje się zgodnie z rozporządzeniem (UE) 2018/1725.
Co ciekawe prawodawca wyraźnie podkreślił, iż dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki.
Wyrażona w Dyrektywie zasada poufności zarówno w odniesieniu do zgłoszenia wewnętrznego, jak i zewnętrznego, odnosi się do ochrony tożsamości osoby dokonującej zgłoszenia, co oznacza, że nie może ona zostać ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu, właściwym do przyjmowania zgłoszeń i podejmowania w zw. z nimi działań następczych. W polskich realiach jest to podejście rewolucyjne i z pewnością będzie wymagało zmiany w sposobie myślenia na poziomie organizacyjnym, wręcz zmiany mentalności.
W drodze odstępstwa, tożsamość może zostać ujawniona jedynie wtedy, gdy takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa Unii lub prawa krajowego w kontekście prowadzonych przez organy krajowe postępowań wyjaśniających lub postępowań sądowych, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.
Takie ujawnianie jest jednak objęte odpowiednimi zabezpieczeniami zgodnie z obowiązującymi przepisami unijnymi i krajowymi. W szczególności zanim tożsamość osób dokonujących zgłoszenia zostanie ujawniona, muszą one zostać o tym powiadomione (wraz z wyjaśnieniem powodów takiego działania), chyba że takie powiadomienie mogłoby zagrozić powiązanemu postępowaniu wyjaśniającemu lub postępowaniu sądowemu.
Należy także zapewnić, aby właściwe organy otrzymujące informacje na temat naruszeń, które zawierają tajemnice przedsiębiorstwa, nie wykorzystywały ani nie ujawniały tych tajemnic przedsiębiorstwa do celów wykraczających poza to, co jest niezbędnie do podejmowania odpowiednich działań następczych.
W ramach środków ochrony prawnej przysługujących sygnalistom zapewnia się także ochronę tożsamości osób, których dotyczy zgłoszenie, tak długo jak postępowania wyjaśniające uruchomione na skutek danego zgłoszenia lub ujawnienia publicznego są w toku. Przepisy dotyczące ochrony tożsamości osób dokonujących zgłoszenia stosuje się w tym przypadku również do ochrony tożsamości osób, których zgłoszenie dotyczy.
Pierwszą branżą w Polsce, objętą regulacjami whistleblowingu była branża finansowa (banki), ale z praktycznym stosowaniem tych regulacji na bazie kodeksów wewnętrznych spółek stykaliśmy się już od samego początku gospodarki rynkowej. W pierwszej kolejności oczywiście dotyczyło to spółek należących do międzynarodowych koncernów, które miały wypracowane własne mechanizmy whistleblowingu, ale stopniowo te dobre praktyki, bo tak je traktowano, zaczęły trafiać do spółek z rodzimym kapitałem, w końcu i do administracji publicznej. Przykładem tego były kodeksy etyki wdrażane w wielu podmiotach państwowych.
Zagadnienie walki z nieprawidłowościami w kontekście ochrony danych osobowych dostrzegano już od samego początku funkcjonowania systemu ochrony danych osobowych. Czy to pod rządzami poprzedniej ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r., poz. 922 ze zm. ; dalej: OchrDanychU16), czy obecnie pojawiają się te same problemy związane z rozbieżnymi celami jakie przyświecają z jednej strony instytucji ochrony danych osobowych (prywatności) a z drugiej przeciwdziałaniu nieprawidłowościom (z ang. whistleblowing). Z perspektywy historycznej jak i obecnie widzimy wyraźnie potrzebę ochrony sygnalistów i pozytywne efekty ich działań, ale nie możemy tracić z oczu potrzeby ochrony danych osób uczestniczących w procederze ujawniania nieprawidłowości i to nie tylko tych których dotyczą zawiadomienia, ale i informujących.
Oprócz odpowiedzi na pytania, kto zasadniczo jest administratorem danych, szczególnie przy rozbudowanych systemach whistleblowingu, jak powinien być zbudowany system ochrony danych osobowych, jak prawidłowo rozpisać role w tym procesie, to przede wszystkim problematyczny był obowiązek informacyjny. Przepisy OchrDanychU16 jaki i RODO nakazują realizować ten obowiązek zarówno w przypadku pozyskania danych bezpośrednio od osoby której dane dotyczą (art. 13 i 24 RODO) jak i w przypadku zbierania danych w sposób inny niż od osoby której dane dotyczą (art. 14 i 25 RODO). Problem dotyczył nie tylko samego informowania, ale momentu w którym ono miało nastąpić, oraz skutków dla osoby powiadamiającej, jeśli złożone doniesienie się nie potwierdzi. Zagadnienie jest o tyle szersze, że pomówienie kogoś o coś czego nie zrobił, może być naruszeniem dóbr osobistych dochodzonym na podstawie Kodeksu cywilnego, a którego to uprawnienia nie można odebrać osobie pomówionej.
Wychodząc naprzeciw tym i innym wyzwaniom whistleblowingu, próbując pogodzić sprzeczne interesy stron, już w 2006 roku tzw. Grupa Robocza ds. ochrony danych osobowych powołana na mocy art. 29 poprzedniczki RODO (Grupa 29), tj. Dyrektywy 95/46/WE wydała opinię WP117, w której wskazano m.in., że „Zgodnie z art. 12 dyrektywy 95/46/WE osoba, której dane dotyczą, ma możliwość dostępu do danych zebranych na jej temat w celu sprawdzenia ich poprawności, skorygowania, jeśli są niepoprawne, niekompletne lub nieaktualne (prawo dostępu i sprostowania). W związku z tym system raportowania musi zapewniać osobom fizycznym prawo do dostępu do danych i prostowania niepoprawnych, niekompletnych lub nieaktualnych danych. Jednakże prawa te mogą zostać ograniczone w celu zapewnienia ochrony praw i swobód innych podmiotów objętych systemem. Ograniczenia tych praw powinny być rozpatrywane i nakładane indywidualnie. W żadnym wypadku, w ramach systemu i w oparciu o prawo dostępu osoby oskarżonej, osoba oskarżona w sprawozdaniu informatora nie może uzyskać informacji o jego tożsamości, z wyjątkiem przypadków, gdy informator, działając w złej wierze, składa fałszywe oświadczenie. W każdym innym przypadku należy zapewnić anonimowość informatora”. Oczywiście nie była to wykładnia legalna przepisów, a jedynie wskazówki interpretacyjne, ale ze względu na swoją specjalistyczną wiedzę jak i renomę jaką się cieszyła Grupa 29, jej opinie były brane pod uwagę przez wszystkich uczestników rynku.
Innymi słowy w przytoczonej opinii Gupy 29 naciągnęła w swojej interpretacji przepisy, wskazując że istnieją wyjątkowe sytuacje w których można odstąpić od realizacji bezwzględnego obowiązku informacyjnego (dokonano swoistego wyważenia interesów), ale nie dotyczą one sytuacji, gdy sygnalista działa w zlej wierze. Dokonano więc niemożliwego i pogodzono ogień z wodą.
Wprowadzany w Dyrektywie o ochronie sygnalistów wymóg, zgodnie z którym przyjmujący zgłoszenie zobowiązany jest chronić tożsamość sygnalisty, wyraźnie zwalnia administratora z obowiązku precyzyjnego wskazania źródła uzyskanych informacji. Ochrona tożsamości sygnalisty stanowi bowiem fundament całego mechanizmu i trudno sobie wyobrazić inne rozwiązanie.
Również Prezes Urzędu Ochrony Danych Osobowych w sprawozdaniu z działalności w 2018 r. odniósł się do ochrony osób, które sygnalizowały organom publicznym działania niezgodne z prawem innych podmiotów. W sprawozdaniu PUODO wskazał na potrzebę wyeliminowania praktyk polegających na niezasadnym udostępnianiu danych osobowych tzw. sygnalistów, czyli osób zgłaszających nieprawidłowości w sprawach, w których nie są stroną (ani uczestnikiem), na rzecz stron (uczestników) tych postępowań. „Prezes podkreślił, że niezbędne jest zapewnienie ochrony danych osobowych sygnalistów, którą umożliwia stosowanie zarówno przepisów KPA, dotyczących procedury rozpatrywania skarg i wniosków, jak również RODO. W ocenie organu dane osobowe osób wnoszących taką skargę (sygnalistów) nie podlegają ujawnieniu w toku ww. postępowania. Co więcej, nie mają żadnego znaczenia dla takiego postępowania, którego celem jest zweryfikowanie i wyeliminowanie sygnalizowanych nieprawidłowości. Nawet jeżeli na skutek tych skarg zostaną wszczęte odrębne postępowania, przewidziane przepisami szczególnymi. (…) Tym samym dane takich osób powinny podlegać ochronie szczególnej z uwagi na możliwe konsekwencje w sferze naruszenia ich interesów przez faktyczne strony postępowań zainicjowanych na skutek ich sygnału. Zdaniem Prezesa Urzędu sprawy dotyczące sygnałów osób powinny być prowadzone odrębnie (z odrębną sygnaturą), a o efektach działań podjętych na skutek ich interwencji (sygnału) powinny być one informowane w osobnym piśmie. Sygnaliści nie mają też statusu świadków. Ponadto Prezes Urzędu wskazał, że udostępnienie danych osobowych sygnalistów narusza zasadę celowości. Ustalając cel, administrator powinien odwołać się do okoliczności sprawy i powodu, dla którego te dane zostały zebrane oraz każdorazowo dokonać starannej analizy zasadności udostępnienia danych”.
Na marginesie wspomnieć należy, że temat ochrony sygnalistów będących pracownikami wiąże się
z popularnym ostatnio tematem - w branży prawa pracy oraz ochrony danych osobowych – dotyczącym dopuszczalnych form monitorowania pracowników przez pracodawcę. Powyższą zależność zauważyła Grupa Robocza art. 29 wskazując, że: „Szerokie wykorzystanie technologii monitorowania może również zmniejszyć gotowość (i liczbę kanałów służących do tego celu) pracowników do informowania pracodawców o nieprawidłowościach lub nielegalnych działaniach przełożonych lub innych pracowników, które mogą zaszkodzić działalności (zwłaszcza danym klientów) lub miejscu pracy. Często konieczne jest zapewnienie anonimowości, aby dany pracownik podjął działania i zgłosił takie sytuacje. Monitorowanie naruszające prawa pracowników do prywatności może utrudniać konieczną komunikację z odpowiednimi inspektorami. W takim przypadku ustanowione środki stosowane przez wewnętrznych demaskatorów mogą stracić na skuteczności”.
Nowa Dyrektywa nie tylko stanowi rewolucję, sankcjonując w bardzo szerokim zakresie instytucje whistleblowingu, ale jest też wyzwaniem dla organizacji (tak prywatnych, jak i publicznych), które wdrożyć będą musiały stosowne procedury, a w przypadku naruszenia nowego prawa, spotkać się mogą z sankcjami (których wysokość, szacując na podstawie aktualnych tendencji legislacyjnych, może być znaczna).
Istotna pozostaje również kwestia ochrony danych osobowych w kontekście tożsamości zgłaszającego, a także konieczność oceny przez doktrynę i orzecznictwo, gdzie przebiega granica pomiędzy rzeczywistym sygnalistą a osobą, która z mechanizmu tego korzysta w złej wierze. Ten ostatni element budzi słuszne obawy pracodawców, którzy widzą możliwość nadużywania tych przepisów w celu realizacji partykularnych interesów przez pracowników.
* Pola wymagane
Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.
Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł
Polityka prywatności