Warszawa, 16 stycznia 2024 r.
Uwagi ZPP do projektu ustawy o ochronie osób zgłaszających naruszenia prawa
Szanowni Państwo,
W imieniu Związku Przedsiębiorców i Pracodawców (dalej jako: „ZPP”), w nawiązaniu do zamieszczonego na stronie internetowej Biuletynu Informacji Publicznej Rządowego Centrum Legislacji w dniu 08.01.2024 r., projektu ustawy o ochronie osób zgłaszających nadużycia prawa (dalej jako: „Projekt”) mającego na celu implementację do polskiego prawa Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej jako “Dyrektywa“). przedkładamy nasze uwagi i propozycje zmian treści Projektu z prośbą o ich analizę oraz uwzględnienie w dalszym toku procesu legislacyjnego.
Jednocześnie ZPP ma nadzieje, że mimo upływu 17 września 2021 r. obowiązku wdrożenia tych przepisów do polskiego porządku prawnego i toczącego się w związku z tym postępowania naruszeniowego przed TSUE, implementacja Dyrektywy odbędzie się z najwyższą starannością i ostrożnością. Jest to szczególnie istotne w kontekście wprowadzanych rozwiązań prawnych przez Projekt, które są długo wyczekiwane przez pracodawców, jak i pracowników, a bez dwóch zdań przyczynią się do ograniczenia nadużyć w środowisku biznesowym.
Uwagi ogólne do Projektu
W najnowszej wersji Projektu prawa w dalszym ciągu utrzymało się stanowisko o braku możliwości podejmowania działań następczych przez podmioty zewnętrzne na podstawie umowy, o której mowa w art. 28 ust. 1 Projektu. Zauważyć należy rozbieżność pomiędzy art. 25 ust. 1 pkt 3, a art. 28 ust. 1 Projektu, gdzie przepis art. 25 ust. 1 pkt 3 dopuszcza do działań następczych osoby, o których mowa w art. 25 ust. 1 pkt 1 (tj. podmiot zewnętrzny upoważniony przez podmiot prawny), jeżeli zapewniają bezstronność. W art. 28 ust. 1 Projektu mowa jest natomiast jedynie o zawarciu umowy z podmiotem zewnętrznym w celu przyjmowania zgłoszeń bez odwołania do działań następczych, czego skutkiem są uzasadnione wątpliwości, czy wobec braku postanowień dotyczących umowy na dokonywanie przez podmiot zewnętrzny działań następczych, ustawa będzie w ogóle dopuszczać możliwość ich wykonywania przez podmioty zewnętrzne i w konsekwencji wyprowadzenie działań następczych z wewnętrznej jednostki organizacyjnej. W związku z faktem, że Projekt nie odnosi się wprost do możliwości zawarcia przez podmiot prawny z podmiotem zewnętrznym umowy obejmującej swoim zakresem uprawnienie do podejmowania działań następczych, uzasadnione jest wniosek, że Projekt taką możliwość wyłącza.
Powyższa interpretacja nie jest jednak jedyną możliwą w przedstawionej sytuacji. Z jednej strony, konieczne jest wskazanie wewnętrznej komórki organizacyjnej, która będzie upoważniona do podejmowania działań następczych, jednak przepis wyraźnie wskazuje, że „rolę tę może pełnić wewnętrzna jednostka organizacyjna lub osoba, o których mowa w pkt 1, jeżeli zapewniają bezstronność”, co może oznaczać, że rolę tę może w praktyce pełnić zarówno komórka wewnętrzna, jak i podmiot zewnętrzny. Ponadto, przyjęcie tak restrykcyjnej i zawężającej interpretacji przepisów Projektu, zgodnie z którą wyłączona jest możliwość podejmowania działań następczych przez podmioty zewnętrzne, jest w naszej ocenie nieuzasadnione, w szczególności ze względu na fizyczny brak możliwości ich podejmowania przez niektóre ze spółek w dużych organizacjach złożonych z wielu podmiotów. W ich przypadku należy brać pod uwagę, że z jednej strony wszyscy pracownicy powinni mieć taki sam dostęp do procedury, a z drugiej – istnieć będą obiektywne ograniczenia w należących do grupy mniejszych spółkach, związane z brakiem rozbudowanych struktur administracyjnych zdolnych do wykonywania działań następczych.
Jednoznaczne przyjęcie w Projekcie rozwiązań umożliwiających podejmowanie działań następczych przez podmioty zewnętrzne na podstawie umowy rozwiązałoby również potencjalny problem spółek należących do grupy, jaki może się pojawić w przypadku zgłoszenia dotyczącego np. bezpośredniego przełożonego lub członków zarządu. W takich przypadkach podejmowanie działań następczych przez upoważniony podmiot zewnętrzny zapewniłoby bezstronność, jednocześnie realizując konieczną przesłankę z art. 25 ust. 1 pkt 3, co także przemawia na korzyść tego rozwiązania.
Zgłoszenia w ramach grup kapitałowych
Tworząc przepisy dotyczące zgłoszeń wewnętrznych dla grup kapitałowych można się oprzeć na przepisach dotyczących zgłoszeń zewnętrznych – w takim wypadku zadania organu publicznego byłyby przypisane grupie kapitałowej, gdzie wskazane, upoważnione jednostki organizacyjne w podmiocie właścicielskim i w podmiotach zależnych realizowałyby zadania określone w ustawie, zgodnie z przyjętym regulaminem i na podstawie zawartych umów. Przepisy w projekcie ustawy, dotyczące zgłoszeń zewnętrznych, w dużej mierze odzwierciedlają obecny sposób postępowania ze zgłoszeniami wewnętrznymi w grupach kapitałowych.
Utworzenie jednego kanału wewnętrznego dla grupy kapitałowej:
- Umożliwia sygnaliście przekazania zgłoszenia do wewnętrznej jednostki organizacyjnej / osoby w ramach wewnętrznej struktury organizacyjnej lub dokonania zgłoszenia do upoważnionej jednostki organizacyjnej / osoby w spółce matce.
W naszej ocenie takie rozwiązanie pozwala na skuteczniejszą ochronę sygnalisty oraz możliwość eskalowania sprawy na poziom spółki matki w razie braku podejmowania działań przez podmiot, którego dotyczy zgaszenie, obaw sygnalisty przed odwetem lub potrzeby zgłoszenia nieprawidłowości z udziałem najwyższego kierownictwa, co w naszej ocenie zgodne jest z celem Dyrektywy, a może nie być możliwe przy zawężeniu możliwości prowadzenia działań następczych wyłącznie przez jednostki wewnętrzne podmiotu.
- Umożliwia prowadzenia centralnej rejestracji zgłoszeń przez upoważnioną jednostkę organizacyjną / osobę w spółce matce wraz z realizacją zadań w zakresie:
- przyjmowania zgłoszeń,
- wstępnej ich weryfikacji/analizy w celu określenia przedmiotu i podmiotu zgłoszenia, co umożliwi właściwe określenie niezbędnych działań następczych i prawidłowe przekierowanie zgłoszenia,
- prowadzenia rejestru zgłoszeń,
- monitorowanie realizacji działań następczych oraz wydanych w związku z nimi rekomendacji i ich skuteczności
- prowadzenia komunikacji z sygnalistą na każdym etapie życia sprawy, w tym w toku działań następczych,
- podejmowania działań zmierzających do ochrony poufności, w tym danych osobowych sygnalisty (np. pseudonimizacja danych, usuwanie danych nadmiarowych) – powyższe umożliwia lepszą ochronę sygnalisty, gdyż jego dane osobowe mogą zostać zabezpieczone już na etapie odbioru i weryfikacji zgłoszenia w spółce dominującej – dane sygnalisty nie są udostępniane podmiotowi zależnemu, którego dotyczy zgłoszenie, w związku z koniecznością podjęcia przez ten podmiot działań następczych.
- monitorowania sytuacji sygnalisty w celu przeciwdziałania odwetowi
Powyższe w naszej ocenie pozwala na prawidłowe kierowane zgłoszeń w celu realizacji działań następczych. Centralna rejestracja i weryfikacja zgłoszeń wraz z prowadzeniem rejestru wszystkich zgłoszeń i działań następczych, pozwala dodatkowo na analizę gromadzonych danych w celu ustalenia m.in.:
- mechanizmów nieprawidłowości,
- powtarzających się przedmiotów zgłoszeń,
- obszarów, w których najczęściej dochodzi do nieprawidłowości, co pozwala na prawidłowe szacownie ryzyka,
- powiązań pomiędzy zgłoszeniami, co umożliwia ich łączenie w toku działań następczych
- umożliwienie podejmowania działań następczych zarówno przez wewnętrzną jednostkę organizacyjną / osobę w ramach struktury organizacyjnej, jak i przez upoważnioną jednostkę organizacyjną / osobę w spółce matce
W naszej ocenie do zagwarantowania realizacji celów dyrektywy w zakresie ochrony sygnalisty i zapewnienia prawidłowego przebiegu działań następczych niezbędne jest umożliwienie podejmowania działań następczych dotyczących podmiotów z grupy kapitałowej na poziomie spółki matki. Należy mieć na uwadze, iż przedmiot zgłoszenia może dotyczyć potencjalnych naruszeń z udziałem najwyższej kadry kierowniczej, jak również nieprawidłowości, do których dochodzi w związku ze współpraca pomiędzy podmiotami, co potwierdza wieloletnia praktyka w zakresie obsługi zgłoszeń w Grupach Kapitałowych.
W ogólnej praktyce przedsiębiorstw można odnotować zgłoszenia, które dotyczą nieprawidłowości, do których dochodzi w kilku podmiotach z grupy, co może być skutecznie wyjaśnianie wyłącznie poprzez działania następcze podejmowane przez spółkę matkę. Tym samym część zgłoszeń, po ich weryfikacji, jest kierowana do wyjaśnienia przez służby wewnętrzne w podmiocie zależnym, ale cześć podlega wyjaśnieniu przez służby w spółce matce.
W części wypadków niezbędne jest prowadzenie działań następczych przez zespoły składające się z pracowników kilku podmiotów zależnych, których dotyczy dane zgłoszenie, oraz pracowników spółki matki. Powyższe wynika ze specyfiki grup kapitałowych, w których obowiązują wspólne standardy (polityki, kodeksy) a część procesów realizowana jest wspólnie przez podmioty z grupy. Tym samym nie ma możliwości rozpatrywania części zgłoszeń wyłącznie w trybie wewnętrznym poszczególnych podmiotów.
W aspekcie powyższego rekomendujemy rozszerzenie zakresu podmiotowego ustawy o grupy kapitałowe. Pozwoli to na spełnienie Motywu 55 Dyrektywy, zgodnie z którym:
„Wewnętrzne procedury dokonywania zgłoszeń powinny umożliwiać podmiotom prawnym w sektorze prywatnym przyjmowanie zgłoszeń od pracowników podmiotu i jego jednostek zależnych lub powiązanych („grupy”), ale także, w miarę możliwości, od wszelkich przedstawicieli i dostawców grupy oraz osób, które uzyskują informacje w ramach swojej działalności zawodowej związanej z danym podmiotem i grupą, i badanie tych zgłoszeń z zachowaniem pełnej poufności”
Funkcjonalna i organizacyjna zależność podmiotów skupionych w jednej grupie przemawia za utworzeniem wspólnej procedury działania w obszarze zgłaszania naruszeń. Należy przy tym podkreślić tendencje legislacyjne krajowe oraz unijne, które idą w kierunku zwiększania odpowiedzialności spółek matek za działania spółek córek oraz zakresu obowiązkowych ujawnień, które obejmują m.in. kwestę funkcjonowania kanałów dla sygnalistów w grupach kapitałowych (wymogi raportowania ESRS, Nowa Taksonomia).
Umożliwienie obsługi zgłoszeń w ramach grup kapitałowych pozwoliłoby również na optymalizację kosztów z uwagi na możliwość współdzielenia zasobów, w tym np. narzędzi informatycznych, obsługi prawnej itd.
Zakres upoważnienia podmiotu zewnętrznego
Zgodnie z treścią projektu ustawy obowiązki obsługi zgłoszeń wewnętrznych dotyczących naruszenia prawa są nałożone na podmioty prawne.
Podmiot prawny realizuje obowiązki wynikające z ustawy, określając w procedurze zgłoszeń wewnętrznych m.in.
- wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń (art. 25.1. ust. 1),
- bezstronną, wewnętrzną jednostkę organizacyjną lub bezstronną osobę w ramach struktury organizacyjnej upoważnione do podejmowania działań następczych, włączając w to weryfikację zgłoszenia i dalszą komunikację ze zgłaszającym, obejmującą występowanie o dodatkowe informacje oraz udzielanie informacji zwrotnej (art. 25.1. ust. 3).
Podmiot prawny może również upoważnić wewnętrzną jednostkę organizacyjną lub osobę, o których mowa w art. 25 ust. 1 pkt 1 lub 3, do prowadzenia rejestru zgłoszeń wewnętrznych (art. 29.2).
W świetle wskazanych powyżej treści przepisów można wnioskować, iż upoważnienie podmiotu zewnętrznego przez podmiot prawny może objąć wyłącznie przyjęcie zgłoszenia. Doprecyzowanie zakresu upoważnienia znajduje się w art. 28 ust. 1, z którego wynika, iż na podstawie zawartej umowy, podmiot zewnętrzny realizuje zadania w zakresie:
- przyjmowania zgłoszeń,
- przekazywani informacji zwrotnej sygnaliście,
- zapewnienia informacji na temat procedury zgłoszeń wewnętrznych.
W naszej ocenie ww. projektowane treści przepisów nie są tym samym ze sobą spójne i wymagają doprecyzowania. Nie jest jasne, jaką rolę, zgodnie z intencją ustawodawcy, ma odgrywać podmiot zewnętrzny, którego podmiot prawny upoważni wyłącznie do odbierania zgłoszeń, potwierdzania przyjęcia zgłoszenia, przekazania informacji zwrotnej oraz zapewnienia informacji na temat procedury zgłoszeń wewnętrznych. Celem dyrektywy jest ochrona sygnalisty. Tym samym w naszej ocenie podmiot zewnętrzny powinien mieć np. możliwość pseudonimizacji danych sygnalisty, jeśli brak takiego działania mógłby narazić osobę zgłaszająca na działania odwetowe w toku dalszych czynności realizowanych przez podmiot prawny.
Zgodnie z art. 28 ust.1 ww. projektu podmiot zewnętrzny ma zapewnić dialog z sygnalistą co najmniej w zakresie udzielania informacji zwrotnej. Informacja zwrotna, zgodnie z definicją ujętą w art. 2 ust. 4 stanowi przekazaną zgłaszającemu informację na temat planowanych lub podjętych działań następczych i powodów takich działań. Jeśli Podmiot zewnętrzny ma zapewnić taką komunikację z sygnalistą, to powinien móc w jakimś zakresie monitorować działania następcze podejmowane w związku z odebranymi zgłoszeniami, a tym samym powinien móc prowadzić rejestr zgłoszeń zawierający informację o planowanych lub podjętych działaniach następczych, bieżącym statusie takich działań następczych oraz powodów tych działań.
W naszej ocenie nie jest to spójne z innymi przepisami zawartymi w projekcie ustawy. Zgodnie z art. 25 ust.1 pkt. 3 do dalszej komunikacji z sygnalistą, w tym udzielania informacji zwrotnej, podmiot prawny powinien upoważnić bezstronną, wewnętrzną jednostkę organizacyjną lub bezstronną osobę w ramach struktury organizacyjnej. Dodatkowo art. 28 ust. 4 doprecyzowuje, iż zawarcie umowy, o której mowa w art. 28 ust. 1, nie uchyla odpowiedzialności podmiotu prawnego za dochowanie obowiązków określonych w rozdziale 3 projektu ustawy, w szczególności zachowania poufności, udzielenia informacji zwrotnej oraz podjęcia działań następczych.
W aspekcie powyższego nie jest jasne, czy dialog z sygnalistą winien być realizowany zarówno przez upoważniony podmiot zewnętrzny jak i upoważnioną bezstronną, wewnętrzną jednostkę organizacyjną lub bezstronną osobę w ramach struktury organizacyjnej.
W naszej ocenie należałoby doprecyzować tę kwestię, określając dokładnie zakres uprawnień, jaki podmiot prawny może w ramach umowy powierzyć podmiotowi zewnętrznemu, lub dając w tym zakresie większą elastyczność i pozostawiając większą decyzyjność o zakresie umowy podmiotowi prawnemu. Z naszego punku widzenia rekomendujemy, z uwagi na cel ustawy, jakim jest ochrona sygnalistów, umożliwienie upoważnienia podmiotu zewnętrznego co najmniej do:
- przyjmowania zgłoszeń,
- wstępnej ich weryfikacji/analizy w celu określenia przedmiotu i podmiotu zgłoszenia, co umożliwi właściwe skierowanie zgłoszenia do dalszego wyjaśniania,
- prowadzenia rejestru zgłoszeń,
- prowadzenia komunikacji z sygnalistą w toku procedowania wyjaśniania zgłoszenia, również w toku działań następczych,
- podejmowania działań zmierzających do ochrony poufności, w tym danych osobowych sygnalisty (np. pseudonimizacja danych, usuwanie danych nadmiarowych).
W naszej ocenie możliwość powierzenia prowadzenia w całości dialogu z sygnalistą podmiotowi zewnętrznemu znacząco zwiększa bezpieczeństwo sygnalistów i zaufanie do samej „instytucji” sygnalisty. Jest to również zasadne ekonomicznie, gdyż przy obecnych przepisach powierzenie podmiotowi zewnętrznemu odbierania zgłoszeń i udzielania informacji zwrotnej nie zwalania podmiotu prawnego z obowiązku realizowania dialogu z sygnalistą przez upoważnione wewnętrzne jednostki organizacyjne lub osobę w ramach struktury organizacyjnej. Może to generować duplikowanie narzędzi do prowadzenia dialogu z sygnalistą i ponoszenia tym samym podwójnych kosztów.
Tymczasem przedmiotem umowy z podmiotem zewnętrznym w założeniu projektu ustawy ma być wsparcie w zakresie usług IT polegających na dostarczeniu platformy do rejestracji zgłoszeń i dialogu z sygnalistą. Jeśli zawarcie takiej umowy nie zwalnia podmiotu gospodarczego z dialogu z sygnalistą, to wówczas może się okazać, iż przepis nie będzie mógł być zastosowany, bo zawieranie umów nie będzie zasadne ekonomicznie. W naszej ocenie przepisy ustawy mogłyby dopuszczać pewną swobodę w formułowaniu postanowień umowy z podmiotem zewnętrznym w zakresie powierzenia dialogu z sygnalistą, co nie musi eliminować wprowadzenia dodatkowych kanałów wewnątrz organizacji.
Obowiązek informacyjny
Problem w rozpatrywaniu zgłoszeń od sygnalistów jest wypełnienie obowiązku informacyjnego zdefiniowanego w art. 14 RODO w stosunku do osób, których dotyczy zgłoszenie. Jeśli przedmiotem zgłoszenia jest naruszenie prawa, wypełnienie obowiązku w określonym terminie, nawet przy wyłączeniu art. 14 ust. 2 lit. f oraz art. 15 ust. 1 lit. g, (Art. 8 ust. 5 i 6 Projektu) nie niweluje ryzyka dla czynności następczych. Jeśli osoba, której dotyczy zgłoszenie, będzie informowana o fakcie przetwarzania jej danych w zgodnie z art. 14 ust. 1-4 istnieje ryzyko podejmowania przez nią kroków utrudniających lub uniemożliwiających wyjaśnienie sprawy. Tym samym zasadne jest rozważenie wyłączenia tego obowiązku w przypadku osób, których dotyczy zgłoszenie i osób, które ujawniono w toku czynności następczych, których dotyczą uzasadnione zarzuty naruszenia prawa lub przyczynienia się do naruszenia prawa. W razie braku możliwości wyłączenia art. 14 ust. 1-4, celowe jest wzmocnienie możliwości skorzystania w ww. przypadku z art. 14 ust. 5, lit. b).
Równoległe kierowanie zgłoszenia do podmiotu prawnego, organu publicznego i mediów
Z praktyki wynika, iż część zgłoszeń jest kierowana równolegle do podmiotu prawnego, w tym za pośrednictwem wskazanych kanałów dla sygnalistów, oraz do organów publicznych i mediów (wynika to z treści przesłanego zgłoszenia, w tym z rozdzielnika).
Niezbędne jest wskazanie ścieżki postępowania z takimi zgłoszeniami – odpowiedzialności w zakresie realizacji zadań wynikających z ustawy. W naszej ocenie dokonanie przez sygnalistę imiennie tego rodzaju zgłoszenia nie wyczerpuje znamion zgłoszenia wewnętrznego.
Warunki objęcia ochroną sygnalisty
Prosimy o rozważenie określenia minimalnego okresu ochrony. Obecnie brakuje zapisów w tym zakresie. Celowe byłoby objęcie ochroną również osób prowadzących działania następcze oraz osób wzywanych do udzielania informacji (świadków).
Dotyczyłoby to ochrony przed działaniami odwetowymi z tytułu wykonywania przez nich obowiązków w ramach realizacji działań następczych. Jest to jeden z poważniejszych problemów utrudniających wyjaśnianie zgłoszeń oraz zaufanie do wdrożonych rozwiązań.
Uwagi szczegółowe do Projektu
- Art. 2 pkt 4)
Zgodnie z art. 2 pkt 4) przez informację zwrotną należy rozumieć przekazanie zgłaszającemu informacji na temat planowanych lub podjętych działań następczych i powodów takich działań. W projektowanej treści brakuje doprecyzowania, że informacja zwrotna nie musi obejmować informacji, których ujawnienie mogłoby wpłynąć na dochodzenie wewnętrzne/ postępowanie wyjaśniające (zgodnie z motywem 57 Dyrektywy). Dodatkowo informacja zwrotna nie powinna zawierać informacji objętych tajemnicą przedsiębiorstwa oraz planowanych działań/czynności/ w stosunku do osób odpowiedzialnych za ew. naruszenie prawa/ osób naruszających prawo.
- Art. 3
W art. 3 Projekt ogranicza się do zgłaszania wskazanych w nim naruszeń prawa i jednocześnie dopuszcza rozszerzenie zgłoszeń przez pracodawcę o naruszenia regulacji wewnętrznych i standardów etycznych. Jednocześnie, zgodnie z art. 10 ust 2 przepisy Projektu nie wyłączają przepisów odrębnych przewidujących szczególny tryb zgłaszania naruszeń prawa, w tym rozpatrywania informacji o naruszeniu prawa zgłaszanych anonimowo.
W aspekcie powyższego prosilibyśmy o doprecyzowanie, czy oznacza to, iż w świetle ww. zapisu ustawa o ochronie osób zgłaszających naruszenia prawa nie będzie lex specialis względem ustawy o ofercie publicznej, która w Art. 97d. określa, iż emitent jest obowiązany posiadać procedury anonimowego zgłaszania przez pracowników wskazanemu członkowi zarządu, a w szczególnych przypadkach – radzie nadzorczej, naruszeń prawa, w szczególności przepisów ustawy, rozporządzenia 2017/1129, oraz procedur i standardów etycznych. Jeśli nie będzie lex specialis, to należy wnioskować, iż w przypadku emitentów niezbędne jest określenie procedury, która obejmie również zgłoszenia naruszenia procedur i standardów etycznych, w tym anonimowe, co znacznie zwiększa zakres odpowiedzialności emitentów giełdowych.
- Art. 3 pkt 14) i pkt 15)
Zgodnie z art. 3 pkt 14) i 15) Projektu: ,,Naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa dotyczące interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej, jednostki samorządu terytorialnego oraz Unii Europejskiej oraz rynku wewnętrznego Unii Europejskiej, w tym publicznoprawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych”.
Dyrektywa odnosi się natomiast do: ,,naruszeń mających wpływ na interesy finansowe Unii, o których mowa w art. 325 TFUE i określone szczegółowo w stosownych środkach unijnych oraz naruszeń dotyczących rynku wewnętrznego, o którym mowa w art. 26 ust. 2 TFUE, w tym naruszenia unijnych zasad konkurencji i pomocy państwa, jak również naruszenia dotyczące rynku wewnętrznego w odniesieniu do działań, które stanowią naruszenie przepisów o podatku od osób prawnych lub do praktyk mających na celu uzyskanie korzyści podatkowej sprzecznej z przedmiotem lub celem mających zastosowanie przepisów o podatku od osób prawnych.”
W konsekwencji zakres przedmiotowy został ujęty w Dyrektywie węziej. W tym przypadku zasadne byłoby wprowadzenie definicji, zbieżnych z tekstem Dyrektywy, aby uniknąć stosowania pojęć nieostrych. Zwłaszcza pojęcie „interesów finansowych” może być rozumiane w sposób nieograniczony, jeżeli nie zostanie powiązane z Dyrektywą. Może to mieć negatywny wpływ na praktykę stosowania nowych przepisów, poprzez nieuzasadnione poszerzenie zakresu ich stosowania ponad wymogi Dyrektywy.
- Art. 4
W art. 4 ust. 2 Projekt wskazuje, że: „ustawę stosuje się także do osoby fizycznej, o której mowa w ust 1, w przypadku zgłoszenia lub ujawnienia publicznego informacji o naruszeniu prawa uzyskanej (…) przed nawiązaniem stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług (…)”. Prosimy o doprecyzowanie, czy przepisy Projektu stosuje się również do osób, które w procesie rekrutacji podpisały „klauzule RODO” zaznaczając, że zgadzają się na przetwarzanie danych tylko podczas jednej rekrutacji?
- Art. 5 ust. 2
Sformułowanie „do których nie stosuje się przepisów tej ustawy” wydaje się zbędne.
- Art. 8 ust. 1
Wnosimy o doprecyzowanie definicji pojęcia „osoba upoważniona”, oraz odpowiedź na pytanie, czy przekazując informacje do poszczególnych jednostek wew. firmy każdy musi posiadać specjalne upoważnienie? Czy będzie to miało zastosowanie także do Zarządu?
- Art. 8 ust. 4, ust. 8 i ust. 9
Wątpliwości budzą sformułowane w projekcie ustawy zapisy określające kwestię czasu przechowywania danych oraz w szczególności obowiązku niszczenia dokumentacji. Praktyka wskazuje, iż dokumentacja sprawy powinna być przechowywana przez okres umożliwiający wznowienie sprawy w razie ujawnienia nowych, istotnych faktów oraz na wypadek wystąpienia roszczeń.
Działania następcze mogą skutkować w niektórych przypadkach podejmowaniem wobec osób działań dyscyplinarnych oraz ruchów kadrowych. Poza tym część działań następczych ujawnia okoliczności wskazujące na możliwość popełnieni przestępstwa, co wiąże się z dokonaniem zgłoszenia i podejmowania działań przez właściwe w sprawie organa państwowe.
Z uwagi na powyższe, w naszej ocenie niszczenie dokumentacji nie jest zasadne. Dokumentacja powinna podlegać archiwizacji zgodnie z obowiązującymi normatywami. Jednocześnie takie podejście nie wyklucza ograniczenia lub zaprzestania przetwarzania danych osobowych, co może być zapewnione przez pseudonimizację i anonimizację.
W naszej ocenie przechowywanie i archiwizacja dokumentacji nie zagraża celowi dyrektywy w zakresie ochrony sygnalistów. Tym samym nie ma potrzeby, w art. 8 ust. 9 wyłączania przepisów Ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach. Takie wyłączenie może stanowić problem w zakresie zarządzania obiegiem dokumentów i archiwizacji dla podmiotów, których dotyczy ww. ustawa. W tym przypadku warto zwrócić uwagę, iż okres 10 lat wiąże się z przedawnienia przestępstw zagrożonych karą pozbawienia wolności powyżej lat 3, zgodnie z art. 101 par. 1 pkt 3) kodeksu karnego. W związku z powyższym wnosimy o przedłużenie do lat 10 określony w art. 8 ust. 8 termin na przechowywanie danych osobowych przetwarzanych w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumentów związanych z tym zgłoszeniem.
Dodatkowo warto odnieść się do regulacji dotyczących postępowań powypadkowych i obowiązków w zakresie przechowywania przez Pracodawcę dokumentacji powypadkowej, gdzie okres przechowywania wynosi 10 lat. Należy również podkreślić, iż przechowywanie danych w rejestrze stanowi podstawę rozliczalności podmiotu z realizacji obowiązków w zakresie odbierania i rozpatrywania zgłoszeń oraz wspiera skuteczne zarządzanie bezpieczeństwem, stanowiąc istotne dane wejściowe dla oceny ryzyka.
W tym wypadku wątpliwości budzi również proponowana treść art. 8 ust. 4. Dotyczący niezwłocznego usuwania danych nadmiarowych zebranych przypadkowo, nie późnij niż w terminie 14 dni od ustalenia, że dane nie mają znaczenia dla sprawy. Należy podkreślić, iż praktyka wskazuje, że dane nadmiarowe są pozyskiwane najczęściej z uwagi na to, iż przekazał je sygnalista w zgłoszeniu. Usuwanie tych danych wiąże się z naruszeniem integralności zgłoszenie, które stanowi dowód w sprawie. W naszej ocenie w takim wypadku właściwsze byłoby ograniczenie przetwarzania takich danych poprzez np. ich pseudonimizację lub inną formę zabezpieczenia. Trwałe usunięcie całości lub fragmentów zgłoszenia lub innego materiału dowodowego mogłoby się spotkać z zarzutami nieuprawnionej ingerencji w dane i matactwa w sprawie.
- Art. 9
Zgodnie z art. 9 Projektu: ,,Przepisy ustawy nie wyłączają przepisów dotyczących praw pracowników do konsultacji ze związkami zawodowymi, ochrony przed nieuzasadnionym szkodliwym działaniem w wyniku takich konsultacji, prawa do zrzeszania się i prawa do zawierania układów zbiorowych.”
Właściwszym rozwiązaniem byłoby wskazanie wprost, że przepisy ustawy nie uchybiają uprawnieniom pracowników i związków zawodowych wynikającym z odrębnych przepisów regulujących działalność związków zawodowych. Natomiast projektowany przepis, mówiący, że: „przepisy ustawy nie uchybiają przepisom dotyczącym praw pracowników do konsultacji ze związkami zawodowymi (…)”, jest niejasny zarówno co do intencji, jaki i zakresu.
Przepisy prawa pracy przewidują konsultację działań pracodawcy ze związkami zawodowymi, natomiast uprawnienia pracowników (wypływające z ustawy z dnia 23 maja 1991 r. o związkach zawodowych a także innych ustaw, np. prawo do zakładania związków zawodowych, zrzeszania się w nich, korzystania z ich obrony itp.) co do zasady nie są określane w taki sposób. W konsekwencji projektowane przepisy mogą prowadzić do nieporozumień. Trudno też powiązać kwestię zgłoszeń naruszeń prawa i związanej z tym ochrony prawnej „sygnalistów” z (cyt.) „autonomią partnerów społecznych i ich prawem do zawierania układów zbiorowych”.
- Art. 14 i art. 15
Wnosimy o doprecyzowanie kwestii prawa do odszkodowania lub zadośćuczynienia. Czy w przypadkach określonych w art. 14 i art. 15 będzie stosowało się zasady ogólne zgodnie z Kodeksem Cywilnym?
- Art. 16 ust. 2
Sama możliwość złożenia przez zgłaszającego wniosku o umorzenie takiego postępowania niewiele daje, ponieważ wystąpić z takim wnioskiem można w każdym czasie. Przepis ten powinien stanowić podstawę do umorzenia postępowania, nie zaś złożenia wniosku.
- Art. 23 ust. 4
Z art. 8 Dyrektywy wynika, że państwa członkowskie mogą zwolnić z obowiązku, o którym mowa w art. 8 ust. 1, jedynie gminy liczące mniej niż 10 000 mieszkańców, podczas gdy art. 23 ust. 4 Projektu zwalnia również powiaty liczące mniej niż 10 000 mieszkańców, co może budzić wątpliwości.
- Art. 24 ust. 3
Wnosimy o zmianę art. 24 ust. 3 poprzez wskazanie, czy procedura powinna zostać skonsultowana tylko za pierwszym razem podczas jej opracowywania, czy przy każdej jej aktualizacji.
Wnosimy także o doprecyzowanie co w sytuacji, w której podmiot prawny nie posiada przedstawicieli osób świadczących pracę.
- Art. 24 ust. 4
Naszym zdaniem termin na przeprowadzenie konsultacji jest zbyt krótki i powinien zostać wydłużony (do 14 dni), ponieważ w wielu przypadkach termin ten jest niemożliwy do dochowania.
- Art. 24 ust. 6
Zgodnie z art. 24 ust. 6: „Osobie ubiegającej się o wykonywanie pracy na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji, lub pełnienia służby podmiot prawny przekazuje informację o procedurze zgłoszeń wewnętrznych wraz z rozpoczęciem rekrutacji lub negocjacji poprzedzających zawarcie umowy”.
Nie jest jasne czy podmiot prawny powinien przekazać informacje o fakcie posiadania właściwej procedury czy przekazać treść procedury osobom wskazanym w art. 24 ust. 6, skoro zgodnie z art. 4 ust. 2 ustawę stosuje się także do osoby fizycznej w przypadku zgłoszenia lub ujawnienia publicznego informacji o naruszeniu prawa uzyskanej w kontekście związanym z pracą, przed nawiązaniem stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w podmiocie prawnym lub na rzecz tego podmiotu, lub pełnienia służby w podmiocie prawnym, lub gdy taki stosunek już ustał.
W przypadku zobowiązania do przekazania treści procedury – taki obowiązek wydaje się nie wynikać wprost z Dyrektywy. Jeżeli Dyrektywa nie obliguje podmiotu do przedstawiania kandydatowi procedury zgłoszeń wewnętrznych, proponujemy wykreślenie ust. 6. Ewentualnie można doprecyzować ten przepis, że podmiot informuje kandydata do pracy, iż obowiązują u niego przepisy dotyczące zgłoszeń wewnętrznych.
- Art. 25 ust. 1 pkt 1)
Zgodnie z art. 25 ust. 1 pkt 1): „Procedura zgłoszeń wewnętrznych określa: 1) wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń”.
Projektowana ustawa nie przewiduje sytuacji w której w ramach grupy kapitałowej, w „spółce matce” utworzona zostaje jednostka/ dział odpowiedzialny za przyjmowanie zgłoszeń, podejmowanie działań następczych, przekazywanie zgłaszającemu informacji zwrotnej w całej grupie kapitałowej, a pracownicy jednostki/ działu są zatrudniani przez spółkę matkę. Przykładowo w spółce matce może funkcjonować jednostka odpowiedzialna za ww. czynności, a spółkom zależnym świadczona jest usługa w zakresie compliance przez spółkę matkę. Obserwujemy, że w praktyce w taki sposób działają grupy kapitałowe.
Wobec powyższego pojawia się wątpliwość czy taka jednostka funkcjonująca w ramach spółki matki, będzie uważana w stosunku do spółek zależnych za wewnętrzną jednostkę organizacyjną czy podmiot zewnętrznych. Postulujemy możliwość utworzenia „centrum compliance” dla całej grupy kapitałowej oraz wnioskujemy o zmianę art. 25 ust. 1 pkt 1) poprzez wskazanie, jak należy traktować jednostkę odpowiedzialną za przyjmowanie zgłoszeń, podejmowanie działań następczych, przekazywanie zgłaszającemu informacji zwrotnej dla całej grupy kapitałowej utworzoną w tzw. spółce matce.
- Art. 25 ust. 1 pkt 7)
Naszym zdaniem wskazane jest określenie stosownych przypadków, które obligują do zgłoszeń organom lub jednostkom Unii Europejskiej. Wnioskujemy o uszczegółowienie zakresu tych informacji.
- Art. 26 ust. 1 i ust. 2
Zgodnie z art. 26 ust. 2: „Zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej”.
To do decyzji podmiotu prawnego powinno pozostać w jakiej formie będzie przyjmował zgłoszenia ustne. Zgłoszenie ustne powinno móc być dokonane również podczas osobistego spotkania – bez konieczności otrzymywania wniosku przez zgłaszającego. Wnosimy o zmianę art. 26 ust 2 poprzez wskazanie, że to do decyzji podmiotu prawnego należy, w jakiej formie będzie przyjmował zgłoszenia ustne, w tym podczas osobistego spotkania. Zasadnym byłoby też doprecyzowanie sposobu dokonywania zgłoszeń telefonicznych.
- Art. 26 ust. 3 i 5
Zgodnie z art. 26 ust. 3 i 5: „Zgłoszenie ustne dokonane za pośrednictwem nagrywanej linii telefonicznej lub innego nagrywanego systemu komunikacji głosowej, za zgodą zgłaszającego, jest dokumentowane w formie:
1) nagrania rozmowy, umożliwiającego jej wyszukanie, lub
2) kompletnej i dokładnej transkrypcji rozmowy przygotowanej przez jednostkę lub osobę, lub podmiot, o których mowa w art. 25 ust. 1 pkt 1.
(…)W przypadku, o którym mowa w ust. 3 pkt 2 oraz ust. 4, zgłaszający może dokonać sprawdzenia, poprawienia i zatwierdzenia transkrypcji rozmowy lub protokołu rozmowy przez ich podpisanie”.
Wprowadzenie powyższego uprawnienia w przypadku rozmów telefonicznych oznaczałoby, że zgłaszający musiałby zapoznać się z transkrypcją. Jest to obowiązek trudny do zrealizowania w praktyce, w szczególności w sytuacji gdy osoba zgłaszająca znajduje się w innej lokalizacji niż osoba przyjmująca zgłoszenie i nie ma możliwości osobistego spotkania – w takiej sytuacji można by było przesłać treść protokołu np. za pośrednictwem poczty e-mail, ale to z kolei oznacza, że należałoby pozyskać dodatkowe dane osobowe osoby zgłaszającej (adres email).
Ponadto, wnosimy o uszczegółowienie jak technicznie powinno być dokonane przedłożenie zgłaszającemu transkrypcji rozmowy lub protokołu rozmowy.
- Art. 28 ust. 3
Wnioskujemy o usunięcie przepisu/jego zmianę, tak aby nie ograniczał ilości zatrudnionych osób w Spółce.
- Art. 40
Zgodnie z art. 40: Rzecznik Praw Obywatelskich może pozostawić bez rozpoznania zgłoszenie zewnętrzne w przypadku, gdy w zgłoszeniu zewnętrznym dotyczącym sprawy będącej już przedmiotem wcześniejszego zgłoszenia przez tego samego lub innego zgłaszającego nie zawarto istotnych nowych informacji na temat naruszeń w porównaniu z wcześniejszym zgłoszeniem zewnętrznym albo jeśli odstąpił od przekazania wcześniejszego zgłoszenia zewnętrznego organowi publicznemu właściwemu do podjęcia działań następczych. Rzecznik Praw Obywatelskich informuje zgłaszającego o pozostawieniu zgłoszenia bez rozpoznania podając uzasadnienie, a w przypadku kolejnego zgłoszenia pozostawia się je bez rozpoznania i nie informuje o powyższym zgłaszającego.
W projekcie brakuje analogicznego uprawnienia dla podmiotu prawnego. W związku z tym, wnioskujemy o wprowadzenie do Projektu analogicznego usprawnienia dla podmiotu prawnego.
- Art. 44 ust. 1
Wydaje się, że brakuje postanowienia, zgodnie z którym pracownicy Biura Rzecznika Praw Obywatelskich będą uprawnieni do kontaktu ze zgłaszającym w celu zwracania się, w razie potrzeby, o wyjaśnienia lub dodatkowe informacje w zakresie przekazanych informacji, jakie mogą być w jego posiadaniu (takie uprawnienie RPO wynika z art. 39 ust. 1 Projektu).
- Art. 45 ust. 3
Wydaje się, że brakuje postanowienia, zgodnie z którym rejestr zgłoszeń zewnętrznych zawiera informację o niepodejmowaniu dalszych działań w przypadku, o którym mowa w art. 40 ust. 1 projektu.
- Art. 56
Zgodnie z art. 56: „Kto wbrew przepisom ustawy ujawnia tożsamość osoby, która dokonała zgłoszenia, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej ze zgłaszającym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.
W praktyce nie można wykluczyć sytuacji w której dane osobowe osoby zgłaszającej zostaną ujawnione na skutek naruszenia/ incydentu bezpieczeństwa informacji. Może być to jednak wynik, błędu, problemów z systemem IT. Sankcjonowana powinna być umyślność/ zamierzone działanie po stronie osoby ujawniającej. Wnioskujemy o zmianę art. 56 Projektu poprzez doprecyzowanie, że odpowiedzialność podlega osoba, która umyślnie ujawniła tożsamość osoby, która dokonała zgłoszenia.
- Art. 62
Zgodnie z projektowanym przepisem realizacja obowiązku ustalenia procedury zgłoszeń wewnętrznych następuje w terminie 1 miesiąca od dnia wejścia w życie ustawy. Ustawa zgodnie z projektowanym art. 62 wchodzi w życie po upływie 1 miesiąca od dnia ogłoszenia. Łącznie podmioty będą więc mieć 2 miesiące na wprowadzenie odpowiednich procedur.
Termin realizacji obowiązku ustalenia procedury wewnętrznych przez podmioty prawne jest zbyt krótki. Ustanowienie wewnętrznych procedur powinno nastąpić z najwyższą starannością oraz powinno uwzględniać wszystkie wymogi stawiane przez przepisy Projektu raz Dyrektywy. Wymagać to będzie zaprojektowania tego procesu w podmiotach prawnych, co jest często czasochłonne, zatem termin realizacji obowiązku powinien to uwzględniać.
Sugerujemy przedłużenie okresu na wprowadzenie procedury zgłoszeń w terminie 2 miesięcy od dnia wejścia w życie ustawy. Podmioty w takim przypadku miałyby 3 miesiące na wprowadzenie w życie odpowiednich procedur, co jest terminem umożliwiającym prawidłowe wdrożenie przepisów Ustawy.
Zobacz: 16.01.2023 Uwagi ZPP do projektu ustawy o ochronie osób zgłaszających naruszenia prawa