Ochrona sygnalistów – nowe obowiązki prawne przedsiębiorców
Coraz więcej i głośniej mówi się o sygnalistach – czyli osobach zgłaszających naruszenie prawa lub nieprawidłowości do których dochodzi w firmie. To za sprawą zbliżającego się terminu wejścia w życie Dyrektywy unijnej. Niestety brak przepisów krajowych w tym zakresie nie ułatwia życia przedsiębiorców, którzy bombardowani są różnymi informacjami dotyczącymi obowiązków, odpowiedzialności i sankcji. Muszą oni oddzielić informacje użyteczne i prawdziwe, od tych pozostałych, wytworzonych nie jednokrotnie na potrzeby sprzedaży różnych usług. W jednym artykule nie sposób opisać wszystkie obowiązki jakie na przedsiębiorców nakładają przepisy dyrektywy i o których mowa w projekcie polskiej ustawy o ochronie osób zgłaszających naruszenia prawa Unii. Mam nadzieję, że w kilkunastu zdaniach uda mi się przekazać przynajmniej kilka istotnych informacji.
Na początku należy odpowiedzieć na pytanie czy przepisy dyrektywy obowiązują przedsiębiorców jeśli nie ma krajowej ustawy? Moim zdaniem w odniesieniu do sektora prywatnego, przepisy dyrektywy nie będą miały zastosowania. Przepisy dyrektywy od 17.XII będą obowiązywały spółki będące własnością podmiotów publicznych no i oczywiście instytucje publiczne. Obowiązywały będą te przepisy Dyrektywy, które nie wymagają doprecyzowania przez przepisy krajowe a ich forma pozwala na jednoznaczną interpretację. Obowiązywanie pozostałych będzie ograniczone.
Należy pamiętać, że w tym wypadku mówimy o firmach zatrudniających powyżej 50 osób. Zatem w pierwszej kolejności mechanizmy ochrony sygnalistów oraz obsługi zgłoszeń wdrażać muszą przede wszystkim instytucje publiczne i ich przedsiębiorstwa.
Odroczenie terminu w którym trzeba opracować mechanizmy o których mowa w przepisach to tylko delikatne przesunięcie w czasie.
W pierwszych miesiącach nowego roku przedsiębiorcy zatrudniający powyżej 250 osób będą musieli opracować i wdrożyć odpowiednie SYSTEMY ochrony sygnalistów i obsługi zgłoszeń. Celowo używam sformułowania „systemy” ponieważ wiele instytucji publicznych skupiło się wyłącznie na procedurze, zapominając o całej reszcie elementów. W skład systemu ochrony sygnalistów wchodzi między innymi procedura, ale także szkolenia dla pracowników, konieczność wyznaczenia osób do prowadzenia czynności wyjaśniających oraz uruchomienia odpowiednich kanałów zgłoszeniowych i opracowania regulaminu obsługi zgłoszeń. Proces obsługi zgłoszeń należy odpowiednio opisać pod kątem ochrony danych osobowych co również będzie dla wielu sporym wyzwaniem.
Jednak to nie koniec odpowiedzi na pytanie kto wdraża? Przedsiębiorcy zatrudniający między 50 a 249 osób muszą przygotować się na dwie ewentualności. Pierwsza będzie oznaczała odroczenie wdrożenia w całości do 17.XII.2023 czyli o 2 lata.
Druga mówi o odroczeniu wdrożenia wyłącznie regulaminu obsługi zgłoszeń. Co oznaczałoby konieczność spełnienia pozostałych wymagań już w najbliższych tygodniach. Odpowiedź przyniesie ustawa.
KTO WDRAŻA SYSTEM OCHRONY SYGNALISTÓW
- Instytucje publiczne oraz podmioty kontrolowane przez instytucje publiczne zatrudniające powyżej 50 osób
- Firmy z sektora prywatnego zatrudniające powyżej 250 osób
- Firmy sektora prywatnego bez względu na ilość zatrudnionych pracowników jeśli
- Objęte są przepisami o przeciwdziałaniu praniu pieniędzy oraz wspieraniu terroryzmu (np. biura rachunkowe, kancelarie radców prawnych, kancelarie notarialne…)
Jednym z najistotniejszych elementów całego systemu są kanały zgłoszeniowe. Zatem środki techniczne i organizacyjne za pomocą których sygnalista może dokonać zgłoszenia. Doświadczenie pokazuje, że tym elementom wdrażający poświęcają niewiele czasu. Ryzyko i zagrożenia płynące z niewłaściwej organizacji tych elementów zdecydowanie są niedoszacowane. Taki stan rzeczy wydaje się co najmniej dziwny, ponieważ za ujawnienie tożsamości sygnalisty lub treści informacji zawartej w zgłoszeniu grozi nawet 3 lata pozbawienia wolności. Przedsiębiorcy muszą wiedzieć, że kanały mają być poufne i anonimowe. Jeśli przeprowadzicie Państwo rzetelną analizę ryzyka, szybko okaże się że numer telefonu – który będzie służył nam jako „telefon zaufania” nie będzie absolutnie nadawał się na kanał zgłaszania naruszeń. Podobnie będzie w przypadku „zaufanej skrzynki mailowej”.
Dobrymi rozwiązaniami wydają się być aplikacje służące do przesyłania i obsługi zgłoszeń. Tego typu usług na rynku jest sporo. Między innymi lubelski produkt „Formularz sygnalisty”. Niezwykle prosty do implementacji na każdej stronie internetowej link, wystarczy do uruchomienia bezpiecznego kanału zgłoszeniowego. Kanał taki pozwala na przesłanie wiadomości tekstowej bez używania skrzynki mailowej. Wiadomość pozbawiona jest metadanych i nie mają do niej dostępu firmowi informatycy, zatem wyciek jakichkolwiek informacji z kanału jest w zasadzie niemożliwy. Unikalne rozwiązanie pozwala na podtrzymanie kontaktu z sygnalista nawet wtedy gdy nie pozostawił on żadnych swoich danych w tym danych do kontaktu. Usługa ta posiada także inne funkcjonalności potrzebne w trakcie obsługi zgłoszeń.
Oczywiście wdrażany kanał zgłoszeniowy powinien być odpowiednio dopasowany do potrzeb firmy. Na rynku są także dużo bardziej zaawansowane aplikacje, ale ich cena może być zaporowa.
Brak kanału wzbudzającego powszechne zaufanie który dawałby pewność poufności i anonimowości może przyczynić się do porażki zastosowanych rozwiązań.
Wdrażając mechanizmy ochrony sygnalistów i obsługi zgłoszeń trzeba przeanalizować wiele aspektów, także tych dotyczących panującej atmosfery i relacji między pracownikami. W wielu firmach widzimy problem z wyznaczeniem osoby obsługującej zgłoszenia. Coraz częściej dostaję pytania, czy moja firma może zająć się tym procesem jako firma zewnętrzna.
Z całą pewnością jesteśmy na początku procesu budowania systemów zgłoszeń. Z całą pewnością większość ludzi nie rozumie idei funkcjonowania tych systemów, traktując potencjalnych sygnalistów jako donosicieli, a nie osoby którym zależy na podniesieniu standardów obowiązujących w firmie. Przed nami wszystkimi kilka miesięcy intensywnych prac i przełamywania barier.
Rafał Górny, inspektor ochrony danych osobowych, audytor systemu zarządzania bezpieczeństwem informacji wg. normy ISO 27001. Doświadczony szkoleniowiec i ekspert ds. compliance współpracujący z firmami sektora prywatnego i instytucjami publicznymi. Autor jednego z najlepszych szkoleń w zakresie RODO jakie ukazało się w sieci w roku 2021 - dostępnego na stronie kodrodo.pl
