Ochrona osób zgłaszających naruszenia prawa Unii (sygnaliści)

Obowiązek wdrożenia Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Kim są sygnaliści?

Sygnalista to osoba zgłaszająca wewnętrzne nieprawidłowości czy też błędne zachowania w organizacji. Musi to być osoba pracująca lub osoba, która jest byłym pracownikiem danego przedsiębiorstwa. Charakterystyki sygnalisty nie spełnia ktokolwiek, kto jest spoza organizacji, np. klienci, którzy złożyli skargę, czy też dziennikarz śledczy szukający wyjaśnienia lub zdemaskowania danej sprawy.

Zgłoszenie sygnalisty jest etyczne oraz wynika z obowiązku dbałości o dobro zakładu pracy i jego prawidłowego funkcjonowania. Zgłoszenia mogą dotyczyć nadużyć wszelkiego rodzaju zasad etyczno-moralnych, aż po nieprawidłowości względem standardów w miejscu wykonywania pracy.

Zgłoszenia o wyżej wymienionej charakterystyce powinny być w pierwszej kolejności dostarczone do przełożonego lub pracodawcy, brak odzewu z ich strony i zignorowanie nieprawidłowości powoduje, że pracownik wysyła zgłoszenie do osób z zewnątrz lub do opinii publicznej.

Sygnaliści jednak nie są odpowiednio chronieni względem ochrony danych osobowych. Ochronę zapewnienia dyrektywa 2019/1937.

Dyrektywa Parlamentu Europejskiego w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii

Dyrektywa bezpośrednio odnosi się do poszczególnych osób, które pracują w danej organizacji prywatnej bądź publicznej, a także utrzymują z nimi bliski stosunek zawodowy względem swojej działalności.
Dyrektywa nakłada obowiązek zaprojektowania i utworzenia skutecznego systemu, przez który pracownicy będą mieli możliwość zgłaszania naruszeń w sposób w pełni poufny.

Systemy mogą mieć różne formy, dostosowane do organizacji, np.:

  • Platforma do zgłoszeń;
  • Osobiste spotkanie;
  • Infolinia;
  • List do Rady Nadzorczej, Zarządu, itp.

Dyrektywa daje możliwość wybrania dogodnego systemu, jednakże kładzie szczególny nacisk na:

  • Pełną poufność danych zawartych w zgłoszeniu – to nie tylko dane osobowe sygnalisty, lecz także informacje dotyczące tajemnic przedsiębiorstwa,
  • Wyznaczenie odpowiedniej osoby bądź działu, który zajmie się procedurą przyjęcia i prowadzeniem postępowania wyjaśniającego, raportowania z wyciągiem wniosków, a także udzielaniem dalszych rekomendacji. Przy wyznaczaniu takiej osoby bądź działu należy brać pod uwagę konfliktów interesów, który nie może wystąpić.

Przede wszystkim ochroną mają zostać objęte osoby, które mogą stać się sygnalistami. Ochrona będzie dotyczyć przede wszystkim zabezpieczenia przed tzw. odwetem ze strony pracodawcy, który był zgłoszony.

Z jakiego obszaru mogą być zgłaszane naruszenia?

Zgłoszenia mogą dotyczyć m.in.:

  • Zamówień publicznych,
  • Ochrony środowiska,
  • Zdrowia publicznego,
  • Ochrony konsumentów,
  • Ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów informacyjnych,
  • Naruszeń mających wpływ na interesy finansowe Unii,
  • Naruszeń rynku wewnętrznego,
  • Praktyk mających na celu uzyskanie korzyści podatkowej, sprzecznymi z przepisami prawa,
  • Zapobiegania praniu pieniędzy i finansowaniu terroryzmu,
  • Bezpieczeństwa i zgodności z wymogami dotyczące produktu,
  • Bezpieczeństwa transportu.

Kogo dotyczą nowe obowiązki?

Obowiązek wdrożenia kanałów bezpiecznych dla sygnalistów, zgodnie z Dyrektywą Unii Europejskiej, dotyczyć będzie:

  • organizacji publicznych, jakimi są publiczne władze centralne i lokalne, włącznie z jednostkami samorządu terytorialnego,
  • organizacji prywatnych,
  • przedsiębiorstw zatrudniających powyżej 50 pracowników oraz administrację publiczną w gminach liczących co najmniej 10 000 mieszkańców,
  • instytucji finansowych, jakimi są m. in.: fundusze inwestycyjne, banki, fundusze emerytalne, domy maklerskie (niezależnie od liczny osób zatrudnionych).

Wdrażanie procedury wynikającej z Dyrektywy Unii Europejskiej

Dyrektywa wymusza przyjęcie regulacji prawnych, które dotyczyć będą sygnalistów, formy zgłaszania oraz rozpatrzenia i zakończenia całej procedury w wyznaczony sposób. Głównym celem ma być ochrona sygnalistów.

Dyrektywa wymaga jednak implementacji przez państwo. Projekt ustawy o ochronie osób zgłaszających naruszenia prawa nie jest w pełni ukończony przez co nie zostanie wprowadzony z wymaganym terminem, jakim jest 17 grudnia 2021 r. Projekt ustawy nie różni się znacząco od Dyrektywy 2019/1937, co daje możliwość wdrażania systemów i obowiązków właśnie na jej podstawie już teraz, aby uniknąć zbędnych kosztów i ewentualnej odpowiedzialności prawnej.

Zaczynając projektowanie wybranej formy systemu zgłaszania dla sygnalistów, należy zwrócić uwagę na:

  • uwzględnienie zasady ochrony danych – należy mieć na uwadze zasadę privacy by design (art.25 RODO), która mówi o prawidłowej ochronie danych osobowych oraz analizie ryzyka,
  • spełnienie obowiązku informacyjnego, który wynika z art. 14 RODO.
  • okres retencji danych,
  • aktualizację rejestru czynności przetwarzania danych, aby zawrzeć tam wdrażany system.

Sprawdź jakie to są dokumenty związane ze stosunkiem pracy, jak dzielone są akta osobowe oraz jak należy przechowywać dokumentację pracowniczą.
Informacje te znajdziesz w artykule: RODO jak przechowywać dokumenty