W dniu 17 grudnia 2021 roku w Polsce zaczęła obowiązywać Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii Europejskiej (zwana dalej „Dyrektywą”). Uwarunkowania zawarte w niniejszym dokumencie, uregulowane zostaną także krajową Ustawą, której na tą chwilę istnieje jedynie projekt. Dyrektywa określa wymagania stawiane podmiotom prawnym w sektorach państwowych i prywatnych w zakresie ustanowienie właściwych kanałów zgłoszeń naruszenia prawa unii oraz ściśle związanych z nią regulacji dotyczących ochrony praw osób dokonujących takiego zgłoszenia, których określa się jako sygnalistów.
Kogo dotyczy Dyrektywa ?
Regulacjom prawnym zawartym w Dyrektywie podlegać będą podmioty prawne z sektora publicznego, a także podmioty prawne działające w sektorze prywatnym. Dodatkowo ustawodawca przewiduje możliwość wyłączenia z tego obowiązku podmiotów z sektora publicznego dla gmin zamieszkanych przez mniej niż 10 tys. Mieszkańców, a także podmiotów prywatnych zatrudniających mniej niż 50 pracowników.
Warto także zauważyć, iż wszystkie podmioty prawne określone jako – Instytucje obowiązane w rozumieniu ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu podlegają wymaganiom dyrektywy niezależnie od tego czy należą do sektora publicznego, czy prywatnego oraz niezależnie od liczby zatrudnionych w nich pracowników. Pozostałe podmioty nie ujęte wskazanymi wymaganiami, mogą zostać natomiast objęte regulacjami prawnymi przez ustawodawcę krajowego.
Wchodzące w życie przepisy ustanawiają także odstępstwo od terminu 17 grudnia 2021 r – obowiązującego podmioty publiczne, gdzie odstępstwo polega na przesunięciu terminu wdrożenia i stosowania wymagań Dyrektywy dla podmiotów prywatnych zatrudniających poniżej 250 osób przesunięto o dwa lata – czyli do 17 grudnia 2023 roku.
Wszystkie wymienione podmioty prawne będą miały także obowiązek ustanowienia dedykowanych procedur, rozwiązań prawnych i organizacyjnych oraz ustanowienia dedykowanych kanałów zgłoszeń.
Kim jest Sygnalista ?
Dyrektywa precyzuje definicję osoby dokonującej zgłoszenia w zakresie naruszenia prawa unii jako tzw. Sygnalisty. Zgodnie z nią sygnalistą jest osoba dokonująca zgłoszenia, pracująca w sektorze prywatnym lub publicznym, która uzyskała informacje na temat naruszenia w kontekście związanym z pracą. Jest to bardzo szeroka decyzja i obejmuje ona np.: osoby ze stosunku pracy, osoby biorące udział w rekrutacji, osoby prowadzące działalność gospodarczą, akcjonariuszy, członków zarządów spółek, rad nadzorczych, podwykonawców, kontrahentów, dostawców, a nawet wolontariuszy, stażystów oraz byłych pracowników.
Co bardzo istotne, środki przewidziane w Dyrektywie w celu ochrony sygnalistów stosuje się także do innych osób pomagających w dokonaniu zgłoszenia, osób powiązanych z sygnalistą (rodzina, krewni, przyjaciele, współpracownicy etc.), które mogą doświadczyć działań represyjnych w związku z dokonanym zgłoszeniem a nawet podmiotów prawnych, które są własnością sygnalisty czy dla których pracuje.
Jakich naruszeń dotyczy Dyrektywa ?
Dyrektywa ustanawia w zakresie przedmiotowym obszary dziedzin jakie podlegają jej uwarunkowaniom. Są to:
- Zamówienia publiczne,
- Usługi, produkty i rynki finansowe oraz zapobieganie praniu brudnych pieniędzy i finansowanie terroryzmu,
- Bezpieczeństwo produktów oraz ich zgodność z wymogami,
- Bezpieczeństwo transportu,
- Ochrona środowiska,
- Ochrona radiologiczna i bezpieczeństwo jądrowe,
- Bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt,
- Zdrowie publiczne,
- Ochrona konsumentów,
- Ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informatycznych.
Ochronie podlegają również naruszenia interesów finansowych UE oraz naruszenia dotyczące rynku wewnętrznego.
Jak chroniony jest Sygnalista ?
Działania sygnalisty zapewne będą się spotykać bardzo różnym przyjęciem, w szczególności może to dotyczyć działań osób, których zgłoszenie bezpośrednio dotyczy. Efektywny ale i bezpieczny system zgłaszania naruszeń powinien w sposób realny chronić sygnalistów. Dyrektywa nakazuje wprost stosowanie środków ochrony, zabezpieczających sygnalistów przed negatywnymi konsekwencjami zgłoszenia takimi jak zwolnienie, dyskryminacja czy wstrzymanie awansu. Dyrektywa przewiduje dodatkowo środki wsparcia dla sygnalistów (m.in. pomoc prawną i psychologiczną czy też ułatwienia w kontaktach z odpowiednimi organami państwowymi). Ustanawia ona również sankcje wobec osób, które mogą utrudniać dokonywanie zgłoszeń, podejmować działania odwetowe lub naruszają obowiązek zachowania w poufności tożsamości osób dokonujących zgłoszenia, jeśli nie było ono anonimowe. Warto także zwrócić uwagę, iż przygotowywany projekt ustawy reguluje także sankcje karne wobec osoby, która dokonuje zgłoszenia lub ujawnienia informacji nieprawdziwych.
Choć Dyrektywa kładzie nacisk na zapewnienie sygnaliście anonimowości i nieprzekazywania nikomu poza osobami uprawnionymi jego danych, może tak się zdarzyć, że ujawnienie będzie koniecznym i proporcjonalnym obowiązkiem Pracodawcy wynikającym z prawa UE lub prawa krajowego i dotyczyć będzie prowadzonych przez organy krajowe postępowań wyjaśniających lub sądowych.
Co Oferujemy ?
Nasza oferta w zakresie zapewnienia zgodności z wymaganiami dyrektywy zawiera następujący zakres:
- Ustanowienie dedykowanego elektronicznego kanału zgłoszeń w zakresie naruszenia prawa Unii, który gwarantuje:
- Zgodność z Dyrektywą 2019/1937 w sprawie ochrony osób zgłaszających naruszenie prawa Unii,
- Zgodność z RODO i ustawą o ochronie danych osobowych,
- Możliwość przypisania indywidualnego opiekuna do każdego zgłoszenia,
- Możliwość śledzenia przebiegu zgłoszenie przez użytkownika poprzez unikalny identyfikator zgłoszenia,
- Anonimizację zgłoszenia na żądanie sygnalisty (usunięcie adresu e-mail i adresu IP z serwera),
- Funkcję eksportu zgłoszeń,
- Funkcję całkowitego usunięcia zgłoszenia z systemu na żądanie sygnalisty,
- Nadawanie priorytetów zgłoszeniom,
- Zarządzanie zgłoszeniami poprzez automatyczne nadawanie definiowalnych statusów (np. nowe, oczekuje na odpowiedź, udzielono odpowiedzi, przetwarzanie, zakończono),
- Automatyczne powiadamianie mailowe o każdym nowym zgłoszeniu,
- Rozbudowane raportowanie (np. wg statusów, kategorii zgłoszeń, przydzielonych opiekunów, itd.),
- Elastyczną funkcjonalność (budowanie formularza zgłoszeniowego z poziomu panelu administracyjnego),
- Możliwość połączenia zgłoszeń,
- Opcję uzupełnienia zgłoszenia, dołączenia do niego dodatkowych plików oraz możliwość dodawania komentarzy tekstowych dostępnych dla sygnalisty,
- Ochronę systemu przed botami ( uniemożliwienie wysłania zgłoszenia przez bota),
- Blokowanie niechcianych adresów IP, adresów email, itp.,
- Ochronę systemu przed atakami typu DOS i DDOS – IQ Shield,
- Ochronę systemu poprzez DNS over TLS,
- Ochronę systemu poprzez SSL.
- Opracowanie wymaganej dokumentacji regulującej działania w zakresie obsługi zgłoszeń naruszenia prawa Unii, zawierającej min.:
- Opracowanie komunikatu na stronę internetową z danymi Administratora Danych i Inspektora Ochrony Danych oraz prawami osób dokonujących zgłoszenia naruszenia prawa unii.
- Opracowanie Klauzul informacyjnych.
- Opracowanie Procedury obsługi zgłoszeń.
- Opracowanie rejestrów.
- Obsługę administracyjną zgłoszeń wewnętrznych polegającą na:
- Zwrotnym powiadomieniu sygnalisty o przyjęciu zgłoszenia (w ciągu 7 dni),
- Ocenie poprawności formalnej i merytorycznej zgłoszenia,
- Obsłudze zgłoszeń pisemnych oraz ustnych (zgłoszenia telefoniczne lub w formie bezpośredniego spotkania),
- Wstępnej ocenie prawna otrzymanego zgłoszenia,
- Przekazaniu zgłoszenia Pracodawcy, którego zgłoszenie dotyczy.
Realizacja wymagań Dyrektywy oraz projektowanej Ustawy, to wyzwanie nie tylko w zakresie nowych wdrożeń dokumentacyjnych czy technologicznych. To także wyzwanie kulturowe, stawiające na odpowiedzialność oraz kompetencję. Jak w praktyce potoczą się działania związane z przedstawionymi regulacjami, w dużej mierze zależy od osób w nie zaangażowanych.
Jeśli potrzebujesz wsparcia lub konsultacji w zakresie dostosowania Twojej działalności do wymagań Dyrektywy oraz Ustawy – zapraszamy do kontaktu.
Jeśli potrzebujesz, możesz także samodzielnie sprawdzić Tutaj czy Twoja działalność, na podstawie obecnych przepisów, kwalifikuje się do obowiązku wdrożenia systemy obsługi zgłoszeń wewnętrznych. Tutaj natomiast możesz sprawdzić czy Twoja instytucja musi wdrożyć system obsługi zgłoszeń zewnętrznych.