Ustawa o sygnalistach. Jak się przygotować do nadchodzących zmian

Fot. elbgau/Pixabay

W pierwszej kolejności obejmować on będzie kilkanaście tysięcy podmiotów, w tym przedsiębiorstwa zatrudniające co najmniej 250 osób, firmy działające w szeroko pojętym sektorze finansowym oraz instytucje publiczne i podmioty będące pod kontrolą państwa. Czasu na dostosowanie się do nowych obowiązków będzie niewiele, bo choć nowy projekt wydłuża vacatio legis z 14 dni do 2 miesięcy i daje podmiotom dodatkowy miesiąc od momentu publikacji aktu prawnego w Dzienniku Ustaw RP, to są to łącznie tylko 3 miesiące. Czy w tak krótkim okresie będzie to w ogóle możliwe?

Wypełnienie ustawowego obowiązku wdrożenia systemu whistleblowingowego, czyli wewnętrznych procedur zgłaszania naruszeń prawa oraz kanałów komunikacji dla sygnalistów, można podzielić na 4 etapy. Z uwagi na stosunkowo krótki czas na przeprowadzenie tego procesu poszczególne etapy mogą być realizowane równolegle.

Analiza sytuacji

Działania powinna poprzedzić staranna diagnoza tego, co już dobrze w firmie funkcjonuje, czego brakuje i co trzeba dostosować. Wiele podmiotów może bowiem posiadać już pewne procedury, związane nawet ze zgłaszaniem nieprawidłowości oraz kanały komunikacji, a więc również doświadczenie w prowadzeniu tego rodzaju działań.


W związku z tym, że nowe wymogi mają już charakter obligatoryjny dla dużej grupy podmiotów i są określone przez precyzyjne przepisy, konieczna będzie też ich dokładna analiza pod kątem prawnym. W przypadku organizacji posiadających w swoich strukturach dział prawny lub compliance działanie to nie powinno być dużym wyzwaniem. Jednak, jeśli nie posiadamy wewnętrznie takich kompetencji, warto skorzystać z pomocy wyspecjalizowanej firmy – kancelarii prawnej lub firmy consultingowej zajmującej się tego typu sprawami, której przekażemy przeprowadzenie całego procesu.

Wyznaczenie osób w organizacji odpowiedzialnych za proces

Następnym krokiem jest wybór osoby lub komórki odpowiedzialnej za stworzenie systemu whistleblowingowego i jego obsługę w przyszłości, czyli przyjmowanie zgłoszeń oraz prowadzenie działań następczych. Ważne jest również zweryfikowanie czy osoba w naszej organizacji posiada odpowiednie kompetencje, by cały proces przeprowadzić własnymi siłami.

W większości przypadków ta odpowiedzialność przypada działowi compliance odpowiadającemu za zgodność procedur firmy z przepisami prawa, ale dość często tworzeniem systemu, a następnie jego obsługą zajmują się również komórki prawne lub HR. Nie ma również przeszkód prawnych, by osoba pełniąca funkcję Inspektora Ochrony Danych (IOD) była odpowiedzialna za whistleblowing, pod warunkiem braku konfliktu interesów, posiadania odpowiednich kompetencji oraz praktycznej możliwości łączenia obu obowiązków z należytą starannością.

Często dobrym rozwiązaniem jest powierzenie poszczególnych elementów takiego projektu zewnętrznym firmom, które mają doświadczenie w tworzeniu procedur lub dostarczają gotowe rozwiązania do zbierania zgłoszeń. Takie podejście zwykle pozwala zaoszczędzić wiele czasu potrzebnego na poznanie przepisów i dostosowanie procedur wewnętrznych i jest bardziej optymalne pod względem finansowym niż na przykład tworzenie własnej aplikacji do komunikacji z sygnalistami.

Na osobie odpowiedzialnej za procesy whistleblowingowe, czyli przyjmowanie zgłoszeń i prowadzenie działań wyjaśniających, spoczywa duża odpowiedzialność. Z jednej strony taka osoba musi zapewnić, że działania będą realizowane zgodnie z przepisami, na przykład przekazywanie informacji zwrotnej sygnaliście o przyjęciu czy statusie zgłoszeń, pilnowanie terminów, zachowanie poufności, przetwarzanie danych zgodnie z RODO. Z drugiej strony ta osoba musi zadbać o nadawanie odpowiedniego toku sprawom, aby system działał efektywnie, a zgłaszane problemy były badane i rozwiązywane.

- Samo przyjmowanie zgłoszeń będzie działaniem pozornym. Aby proces wzbudzał zaufanie i przynosił korzyści, organizacja musi adekwatnie reagować - mówi Ewa Żak-Lisewska, dyrektor ds. rozwoju braf.tech, ekspert w obszarze compliance i twórca systemów whistleblowingowych. - W zależności od wielkości danego podmiotu czy charakteru działalności warto zastanowić się, czy powierzyć taką odpowiedzialność jednej osobie poprzez rozszerzenie jej obowiązków, czy stworzyć osobne stanowisko i zatrudnić nowego specjalistę, a może powołać osobny dział składający się z kilku pracowników.

Stworzenie procedur i wybór kanałów komunikacji

Kolejnym etapem są ustalenie harmonogramu prac i ich realizacja. W zależności od stanu posiadanych kompetencji w ramach organizacji należy zdecydować, czy będzie ona samodzielnie tworzyć wewnętrzne procedury, czy zdecyduje się na wsparcie wyspecjalizowanych doradców. W pierwszym wypadku konieczna jest dogłębna analiza samej ustawy.

Niekiedy przedsiębiorstwa rozszerzają w swoich procedurach katalog wykroczeń, które będą przyjmować o inne zdarzenia nie ujęte w ustawie, np. łamanie wewnętrznych procedur czy mobbing. Takie podejście na pewno firmie nie zaszkodzi, bo może wyeliminować także inne potencjalne problemy wewnętrzne i ograniczyć frustracje pracowników.

Jednym z najważniejszych elementów systemów whistleblowingowych są kanały komunikacji do zgłaszania nieprawidłowości. Muszą one spełniać określone kryteria, między innymi pozwalać na dwustronną komunikację w celu przekazania informacji zwrotnej sygnaliście oraz pozyskania dodatkowych materiałów dowodowych wykroczeń, zapewniając ochronę prywatności osoby zgłaszającej zgodnie z RODO.

Z praktycznego punktu widzenia warto też postawić na kanały łatwe w implementacji w krótkim czasie i umożliwiające dostęp do nich jak najszerszej grupie potencjalnych sygnalistów. Organizacje dotychczas stosowały raczej klasyczne sposoby zbierania zgłoszeń o nadużyciach, takie jak skrzynki na listy tradycyjne lub e-mail, infolinie czy rozmowy bezpośrednie. Jednak lepszym rozwiązaniem będzie wybór specjalnie zaprojektowanego do tego celu systemu informatycznego.

Na rynku istnieją aplikacje, które zostały stworzone specjalnie do zbierania zgłoszeń od sygnalistów. Z najnowszego badania Kantar wynika, że 98 proc. telefonów w naszym kraju to smartfony, więc dostępność kanału w formie aplikacji pozwoli na dostęp do niego zdecydowanej większości potencjalnych sygnalistów. Odpowiednio zaprojektowany system będzie również znacznie bezpieczniejszy w kwestii ochrony prywatności sygnalisty, bo dostęp do danych osobowych oraz informacji zawartych w zgłoszeniu mają tylko osoby uprawnione.


- Kolejna kwestia to anonimowość sygnalisty - co prawda ostatni projekt ustawy nie wymaga od organizacji dopuszczenia tego rodzaju zgłoszeń, ale również nie zabrania. Badanie, które przeprowadziło na nasze zlecenie ARC Rynek i Opinia pokazało, że 70 proc. pracowników oczekuje od systemu whistleblowingowego, aby zapewniał możliwość informowania pracodawcy o nieprawidłowości bez konieczności podawania danych osobowych - podkreśla Rafał Barański, CEO braf.tech i współtwórca aplikacji whiblo. - W przeciwnym razie możemy się spodziewać, że taka osoba nie podejmie działania i np. odejdzie z pracy lub o sprawie poinformuje bezpośrednio organ publiczny, a to oznacza dodatkowe problemy dla firmy.

Warto też pomyśleć o stronie praktycznej dla przedsiębiorstwa, czyli łatwości implementacji aplikacji, gdy mówimy o rozwiązaniach chmurowych, czy digitalizacji dokumentacji i automatyzacji pewnych procesów. Korzyści wynikających z inwestycji w technologie jest bardzo wiele.

Komunikacja wewnętrzna i edukacja pracowników

Niezwykle ważnym etapem wdrożenia systemu whistleblowingowego w firmie jest zapewnienie odpowiedniej komunikacji zmian w organizacji i edukacja pracowników w tym zakresie. Brak zrozumienia założeń i potrzeby stosowania procedur whistleblowingowych często skutkuje porażką i nieefektywnym działaniem systemu, bo pracownicy mogą nie mieć zaufania do działań firmy.

Istotna jest również rola liderów organizacji, ich zaangażowanie oraz odpowiedni sposób informowania o wadze prowadzonych działań. Tutaj warto odnieść się ponownie do wyników badania przeprowadzonego przez instytut badawczy ARC Rynek i Opinia, z którego wynika, że:

• dotychczas tylko około 28 proc. pracowników zgłaszało nieprawidłowości w miejscu zatrudnienia,
• blisko 44 proc. z nich nie informuje pracodawcy, bo uważa, że nie przyniesie to efektu.

Dostosowanie firmy do wymogów prawnych w kwestii ochrony sygnalistów może być dużym wyzwaniem dla firmy, zwłaszcza jeśli działania będą podejmowane na ostatnią chwilę, bez wymaganych kompetencji i pod presją czasu. Kluczowe jest jednak zrozumienie wagi istnienia systemów whistleblowingowych.

Zbieranie informacji o nieprawidłowościach w organizacji to w istocie źródło korzyści dla pracodawcy. Firma czy instytucja może w ten sposób lepiej poznać swoje słabości i odpowiednio szybko podjąć działania w celu ich wyeliminowania. Nierozwiązane problemy z czasem będą narastać i spowodują poważne konsekwencje, jak odejścia pracowników, utrata reputacji firmy w oczach kontrahentów, a nawet kary finansowe od organów państwowych. Czy organizacje stać na takie ryzyko?

Ochrona sygnalistów w Polsce

Minimalne wymogi i standardy dotyczące ochrony sygnalistów zostały wprowadzone do prawa wspólnotowego w 2019 roku. Sygnalista (z ang. whistleblower) został zdefiniowany w pkt. 1 Preambuły Dyrektywy Parlamentu Europejskiego i Rady nr 2019/1937 jako osoba działająca dla organizacji (publicznej lub prywatnej) w kontekście związanym z pracą, zgłaszająca zagrożenia lub szkody dla interesu publicznego.


Dyrektywa nakłada na kraje członkowskie szereg obowiązków w zakresie prawnej ochrony osób zgłaszających rzeczywiste lub potencjalne nieprawidłowości (działania lub ich zaniechania) w organizacjach. Wymusza na nich również należyte zabezpieczenie pozycji osób zgłaszających naruszenia i zapewnienie im należytej ochrony przed ostracyzmem społecznym oraz działaniami odwetowymi (ekonomicznymi lub prawnymi), w związku ze zgłoszonymi przez nie naruszeniami.

Prace nad polskim projektem ustawy wciąż trwają, a za ich przebieg odpowiedzialne jest Ministerstwo Rodziny i Polityki Społecznej, ale kraje członkowskie Wspólnoty miały czas do 17 grudnia 2021 na wdrożenie dyrektywy o sygnalistach do wewnętrznego prawodawstwa, z możliwością rozszerzenia zakresu ich stosowania.

Unijne przepisy stawiają jedynie minimalne wymogi, które państwa członkowskie mogą uszczegółowić, narzucając bardziej restrykcyjne normy. Pracodawcy zatrudniający więcej niż 250 osób będą musieli się podporządkować nowym regulacjom od samego początku ich obowiązywania. Przedsiębiorcy prywatni zatrudniający od 50 do 249 pracowników będą mieli dwa lata więcej na sprostanie nowym regulacjom (do 17 grudnia 2023 roku).