Na stronie internetowej Rządowego Centrum Legislacji pojawił się długo wyczekiwany projekt ustawy o ochronie osób zgłaszających naruszenia prawa, implementujący Dyrektywę o ochronie sygnalistów do polskiego porządku prawnego. Prezentujemy wstępną analizę projektu ustawy przeprowadzoną „na gorąco” i ograniczoną do najważniejszych aspektów. W kolejnych artykułach wrócimy ze szczegółowym komentarzem i wskazówkami dotyczącymi wdrożenia.

Czas na wdrożenie

Mniejsze firmy z sektora prywatnego mogą odetchnąć. Projekt ustawy, w ślad za Dyrektywą, oddala w czasie obowiązki dla pracodawców prywatnych zatrudniających co najmniej 50 i mniej niż 250 pracowników. Mogą oni poczekać z wdrożeniem wewnętrznego kanału zgłoszeń naruszeń prawa do 17 grudnia 2023 r.

Natomiast pracodawcy prywatni zatrudniający powyżej 250 pracowników i pracodawcy z sektora publicznego zatrudniający co najmniej 50 pracowników, muszą działać już teraz, i to szybko. Z uwagi na to, że ustawa nie udziela dodatkowego terminu na przygotowanie się do nowych obowiązków należy wnosić, że pracodawcy ci powinni być gotowi na ich realizację od chwili wejścia w życie ustawy, czyli z upływem 14 dni od jej ogłoszenia. Daje to bardzo krótki termin na wdrożenie. Będzie on trudny do dotrzymania tym bardziej, że ustawa nakazuje, by pracodawca ustalił regulamin zgłoszeń wewnętrznych po konsultacji z zakładową organizacją związkową albo przedstawicielami pracowników, wyłonionymi w trybie przyjętym u danego pracodawcy – jeżeli u pracodawcy nie działa zakładowa organizacja związkowa.

Pracodawcy zatrudniający mniej niż 50 pracowników mogą, ale nie muszą wdrażać u siebie kanału zgłoszeń wewnętrznych, chyba że działają w szczególnie wrażliwych branżach (wykonują działalność w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska)

Zgłoszenia anonimowe

Projekt ustawy nie nakłada na pracodawców obowiązku przyjmowania i rozpoznawania zgłoszeń anonimowych, pozostawia to pracodawcy. Jeśli pracodawca na to się zdecyduje i w procedurze wewnętrznego kanału zgłoszeń taką możliwość przewidzi, będzie musiał zgłoszenia takie przyjmować i rozpatrywać. Projekt stanowi, że przepisy ustawy stosuje się do zgłoszenia informacji o naruszeniu prawa anonimowo, wyłącznie w przypadkach, gdy możliwość zgłoszenia informacji o naruszeniu prawa anonimowo przewiduje regulamin zgłoszeń wewnętrznych, stosowany przez pracodawcę, określający wewnętrzną procedurę zgłaszania naruszeń prawa.

Projekt przewiduje przy tym, że regulamin zgłoszeń wewnętrznych powinien przewidywać obowiązek potwierdzenia zgłaszającemu przyjęcia zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że zgłaszający nie podał adresu, na który należy przekazać potwierdzenie. Można więc wnosić, że jeśli zgłaszający anonimowo nie podał swojego adresu do kontaktu, pracodawca jest zwolniony z obowiązku potwierdzenia przyjęcia zgłoszenia. Niepokojący jest natomiast brak analogicznego zapisu dotyczącego obowiązku przekazania zgłaszającemu informacji o sposobie rozstrzygnięcia zgłoszenia. Mogłoby to oznaczać, że decydując się na możliwość składania zawiadomień anonimowych pracodawca powinien jednak zainwestować w narzędzie, które umożliwiając zgłoszenia anonimowe jednocześnie zapewnia możliwość kontaktu zwrotnego.

Pracodawcy niepokoili się, że nie znając tożsamości osoby dokonującej zgłoszenia, nie będą mogli odpowiednio go chronić. Projekt ustawy rozwiewa wątpliwości co do ochrony sygnalisty dokonującego zgłoszenia anonimowego. Pojawia się przepis przesądzający, że ochrona przewidziana ustawą przysługuje, jeżeli informacja o naruszeniu prawa została zgłoszona anonimowo pracodawcy, a następnie doszło następnie do ujawnienia tożsamości zgłaszającego, który doświadczył działań odwetowych.

Kanał zgłoszeń wewnętrznych dla „nie-pracowników”

Istotną kwestią mającą znaczenie dla wyboru narzędzia zapewniającego możliwość zgłoszeń zewnętrznych jest to, czy musi być ono dostępne dla osób z zewnątrz, czyli nie będących aktualnie pracownikami. Mowa tu o osobach takich jak byli pracownicy, osoby świadczące pracę na rzecz pracodawcy na innej podstawie niż stosunek pracy, akcjonariusze, wspólnicy, członkowie organu zarządzającego lub organu nadzoru, wolontariusze, stażyści oraz osoby pracujące pod nadzorem i kierownictwem wykonawcy, podwykonawcy i dostawcy. Pracodawcy mieli obawy, że wybrane przez nich narzędzie, np. intranet, nie będzie dla takich osób dostępny.

Projekt ustawy pozostawia pracodawcy możliwość udostępniania wewnętrznego kanału zgłoszeń takim osobom, nie wprowadza jednak obowiązku w tym zakresie. Przepis stanowi, że regulamin zgłoszeń wewnętrznych może wyszczególniać innych niż pracownicy osób, od których przyjmowane są zgłoszenia zgodnie z regulaminem zgłoszeń wewnętrznych.

Sposób dokonywania zgłoszeń

Projekt ustawy, podobnie jak Dyrektywa, pozostawia pracodawcy swobodę wyboru narzędzia służącego zgłaszaniu naruszeń. Art. 29 ust 4 projektu przewiduje, że sposoby przekazywania zgłoszeń obejmują przynajmniej możliwość dokonywania zgłoszeń na piśmie lub ustnie. Użycie spójnika „lub” wskazuje, że pracodawca może się zdecydować na jeden z tych sposobów lub na oba z nich. Może więc zapewnić pracownikom możliwość dokonywania zgłoszeń na dedykowany numer telefonu lub na przeznaczony do tego adres mailowy.

Art. 29 ust 5 projektu stanowi, że zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej oraz, na wniosek zgłaszającego, za pomocą bezpośredniego spotkania zorganizowanego w terminie 7 dni od dnia otrzymania zgłoszenia.

Co musi znaleźć się w regulaminie?

W tym zakresie ustawa nie zaskakuje, choć jest znacznie bardziej szczegółowa niż Dyrektywa, która nakazywała jedynie ustanowić regulamin przyjmowania i rozpatrywania zgłoszeń. Art. 29 projektu wymienia co w regulaminie musi się znaleźć, wyliczenie to jednak nie jest wyczerpujące i umożliwia pracodawcy zamieszczenie w nim także innych postanowień.

Zgodnie z tym przepisem regulamin określa w szczególności:

1. podmiot wewnętrzny upoważniony przez pracodawcę do przyjmowania zgłoszeń;
2. sposoby przekazywania zgłoszeń;
3. informację, czy wewnętrzna procedura obejmuje przyjmowanie zgłoszeń anonimowych;
4. niezależny organizacyjnie podmiot, upoważniony do podejmowania działań następczych, włączając w to weryfikację zgłoszenia i dalszą komunikację ze zgłaszającym, w tym występowanie o dodatkowe informacje i przekazywanie zgłaszającemu informacji zwrotnej; rolę tę może pełnić podmiot, o którym mowa w pkt 1;
5. obowiązek potwierdzenia zgłaszającemu przyjęcia zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że zgłaszający nie podał adresu, na który należy przekazać potwierdzenie;
6. obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych przez upoważniony podmiot, o którym mowa w pkt 4;
7. działania następcze podejmowane przez pracodawcę w celu zweryfikowania informacji o naruszeniach prawa oraz środki, jakie mogą zostać zastosowane w przypadku stwierdzenia naruszenia prawa;
8. maksymalny termin na przekazanie zgłaszającemu informacji zwrotnej, nieprzekraczający 3 miesięcy od potwierdzenia przyjęcia zgłoszenia lub, w przypadku nieprzekazania potwierdzenia zgłaszającemu, 3 miesięcy od upływu 7 dni od dokonania zgłoszenia;
9. zrozumiałe i jednoznaczne informacje na temat trybu dokonywania zgłoszeń zewnętrznych do organów publicznych oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.

Przepis wskazuje też na dodatkowe zapisy, które pracodawca może, ale nie musi w regulaminie umieścić – jak na przykład inne niż przewidziane ustawą rodzaje naruszeń prawa czy etyki, które mogą być przez sygnalistów zgłaszane.

Anna Gąsecka, adwokat w Kancelarii Brzezińska Narolski Adwokaci. Specjalizuje się w prawie telekomunikacyjnym, prowadzi obsługę korporacyjną firm z branży telekomunikacyjnej, farmaceutycznej, dystrybucyjnej i usługowej, posiada certyfikat Approved Compliance Officer (ACO).