Karolina Kanclerz, radca prawny, partner, ACO
Bartosz Tomanek, adwokat, AWCO
Marcin Szlasa-Rokicki, radca prawny
Oskar Kwiatkowski, aplikant radcowski


Co dokładnie trzeba zrobić? Przede wszystkim przygotować i wprowadzić odpowiednie procedury oraz narzędzia do przyjmowania zgłoszeń. Za tym natomiast kryje się odpowiednia infrastruktura techniczna (która pozwoli sygnalistom w sposób komfortowy zgłaszać ewentualne nieprawidłowości czy nadużycia) oraz regulaminy, które wcześniej należy skonsultować ze związkami zawodowymi. Na to wszystko potrzebny jest czas. A przygotowania formalne i techniczne to nie koniec. Trzeba jeszcze wyznaczyć odpowiednie osoby, które przyjmą i potwierdzą napływające zgłoszenia, przenalizują je i wyjaśnią, a także przekażą informację zwrotną do sygnalistów. Co prawda alternatywą może być zlecenie wykonania takiej usługi na zewnątrz, ale zawrzeć umowy z wyspecjalizowaną firmą nie uda się z dnia na dzień. A takie rozwiązanie to także dodatkowe ryzyko.
Tak czy inaczej najwyższy czas, by zobowiązane podmioty chociaż zapoznały się z wymogami, jakie stawia dyrektywa, a także z projektowanymi rozwiązaniami, które wprowadzić ma przygotowywana polska ustawa. W dzisiejszym poradniku wskazujemy m.in., jak krok po kroku wdrożyć odpowiednie procedury, w jakim zakresie włączyć w przygotowania związki zawodowe, jak zapewnić ochronę danych osobowych zgodną z RODO, a także jak zarządzać napływającymi zgłoszeniami o nieprawidłowościach. Sygnalizujemy przy okazji różne wątpliwości, jakie mogą się pojawić podczas przygotowań, np. jakie kanały zgłoszeń będą najbardziej odpowiednie w różnych zakładach pracy, czy zatrudniać do zarządzania zgłoszeniami firmę zewnętrzną oraz czy warto zdecydować się na przyjmowanie anonimowych zgłoszeń.
JP
Dyrektywa o sygnalistach: jakie obowiązki nakłada i kogo dotyczy?
Wielkimi krokami zbliża się ostateczny termin implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz.Urz. UE z 2019 r. L 305, s. 17), zwanej potocznie dyrektywą o ochronie sygnalistów (dalej: dyrektywa). Jak wskazuje art. 4 dyrektywy, obejmuje ona ochroną osoby dokonujące zgłoszenia, pracujące w sektorze prywatnym lub publicznym, które uzyskały informacje na temat naruszeń w kontekście związanym z pracą. Do 17 grudnia państwa członkowskie Unii Europejskiej mają czas na wydanie aktów prawnych transponujących założenia dyrektywy do krajowych porządków prawnych. Polski ustawodawca dopiero w ostatnich tygodniach zintensyfikował działania zmierzające w tym celu, publikując najpierw 4 października 2021 r. założenia do projektu ustawy implementującej dyrektywę, a 18 października 2021 r. projekt ustawy o ochronie osób zgłaszających naruszenie prawa (dalej: projekt ustawy).
Już wkrótce pracodawcy będą musieli w bardzo krótkim czasie stawić czoło kolejnemu wyzwaniu, polegającemu na wdrożeniu wewnętrznych kanałów informowania o nieprawidłowościach. Czasu na wdrożenie po wejściu w życie polskiej ustawy będzie niewiele. Dlatego już dziś warto zapoznać się z wymogami, jakie stawia dyrektywa, a także rozwiązaniami, jakie wprowadzi projektowana polska ustawa. W poradniku wskazujemy najważniejsze kwestie związane z realizacją obowiązków nakładanych na pracodawców przez projektowaną ustawę.
Czym jest whistleblowing?
Zacznijmy od dokładniejszego wyjaśnienia, kim jest sygnalista, jakie zadania dyrektywa stawia przedsiębiorcom zobowiązanym do wdrożenia wewnętrznych procedur zgłaszania naruszeń, a także dlaczego ustawodawca unijny uznał, że należy wprowadzić ochronę dla osób zgłaszających nieprawidłowości.
Whistleblowing, czyli tłumacząc dosłownie z angielskiego „dmuchanie w gwizdek”, to zgłaszanie wszelkich nieprawidłowości, które mogą mieć miejsce w przedsiębiorstwie. Nieprawidłowości mogą dotyczyć wszystkich aspektów działalności, w tym m.in. nadużyć menedżerskich, mobbingu, molestowania, dyskryminacji, nieprawidłowości w rozliczaniu wydatków, udziału w przetargach, korupcji czy konfliktów interesów. Działania podejmowane przez sygnalistów, czyli osoby zgłaszające nieprawidłowości, są istotne zarówno z punktu widzenia organizacji, jak i całego społeczeństwa. Jeśli sprawy mogą zostać rozwiązane wewnętrznie, zanim zostaną upublicznione w prasie lub w internecie, to pracodawcy unikną potencjalnych szkód zarówno majątkowych, jak i wizerunkowych. Wdrożenie mechanizmów zgłaszania nieprawidłowości, za pomocą których pracodawcy powezmą informacje o nadużyciach, zanim dowiedzą się o tym inni, m.in. rynkowi konkurenci, bardzo często okazuje się użyteczne. Z tego względu należy podejść do whistleblowingu jako rozwiązania, które ma przynieść firmie wyłącznie korzyści.
Niestety na temat dyrektywy oraz systemów zgłaszania nieprawidłowości wciąż krąży wiele mitów, które sprawiają, że pracodawcy sceptycznie podchodzą do obowiązków nakładanych przez unijnego (a wkrótce także krajowego) prawodawcę. Powszechna jest obawa, że demaskatorzy będą mieć negatywny wpływ na reputację organizacji lub że system zgłaszania nieprawidłowości może być nadużywany przez niezadowolonych pracowników do wysyłania nieuzasadnionych zgłoszeń czy uzyskania ochrony przed zwolnieniem. Warto więc zwrócić uwagę, że sygnaliści szkodzą firmom tylko wtedy, gdy zgłaszają nadużycia bezpośrednio do opinii publicznej lub mediów.
Nie należy zbytnio obawiać się także zalania raportami. Co prawda, im większa firma, tym większe prawdopodobieństwo, że nieprawidłowości zostaną zgłoszone, jednak otrzymywanie wielu raportów niekoniecznie jest złym znakiem. Chociaż może to wskazywać, że firma boryka się z wieloma problemami, to jest to również znak, że pracownicy mają zaufanie do obowiązującej w organizacji procedury wyjaśniania zgłoszeń i czują się komfortowo, informując o tym firmę.
Element większej całości
Whistleblowing jako system zgłaszania nieprawidłowości stanowi element szerszej polityki HR compliance. Nie ma jednolitej definicji HR compliance, niemniej jednak można go określić jako nowoczesną formę zarządzania kładącą nacisk na zgodność z prawem i etyką w obszarze zasobów ludzkich. Podstawowym celem stosowania zasad compliance jest zachowanie zgodności działań z obowiązującymi normami i regułami postępowania - przede wszystkim prawnymi, ale także tymi o charakterze wizerunkowym (PR) czy aksjologicznym. Skuteczna ochrona sygnalistów dokonujących zgłoszeń o nieprawidłowościach w swojej organizacji niewątpliwie jest jednym z kluczowych elementów tego systemu.
Korzyści wynikające z systemu zgłaszania nieprawidłowości ‒ i szerzej, z całego HR compliance ‒ pozostają dla pracodawców nie do przecenienia. Poza zwiększeniem kontroli nad procesami zachodzącymi wewnątrz organizacji oraz ograniczeniem ryzyka nadużyć dzięki whistleblowingowi pracodawca wpływa także na kształtowanie etycznego środowiska pracy, krzewiąc wśród pracowników odpowiednie wartości i zasady.

Ramka 1

Samorządy bez taryfy ulgowej
• Nowe przepisy dotyczą również pracodawców z sektora publicznego zatrudniających co najmniej 50 osób. Oni też muszą przygotować i wdrożyć system zgłaszania nieprawidłowości i ochrony sygnalistów. Zgodnie z projektem polskiej ustawy o ochronie osób zgłaszających naruszenia prawa powinni to zrobić w ciągu dwóch tygodni od dnia jej wejścia w życie. Niestety w stosunku do nich projektodawca ani nie przesunął terminu, ani nie skorzystał z zapisu dyrektywy, która dopuszcza zwolnienie dla jednostek samorządu terytorialnego liczących do 10 tys. mieszkańców.
• Zgodnie z art. 33 ust. 3 projektu ustawy o ochronie osób zgłaszających naruszenia prawa „Pracodawcy w sektorze publicznym, będący jednostkami organizacyjnymi gminy, mogą ustalić wspólne, wewnętrzne procedury zgłaszania naruszeń prawa i podejmowania działań następczych, pod warunkiem zapewnienia ich odrębności i niezależności od zewnętrznych procedur dokonywania zgłoszeń”. Przepis ten powinien być doprecyzowany, gdyż nie wiadomo, czy chodzi o jednostki organizacyjne kilku gmin, czy tylko należące do jednej gminy. Pewne jest tylko, że na tę chwilę regulacja wyklucza opracowanie wspólnej procedury dla powiatów oraz urzędów marszałkowskich i ich jednostek.
• Jak wynika z projektu ustawy, jednostka nie poniesie konsekwencji za brak opracowania i wdrożenia procedury zgłaszania nieprawidłowości. Odpowiedzialność karną poniosą odpowiednie osoby fizyczne, którym będzie grozić kara: grzywny, ograniczenia wolności lub pozbawienia wolności do lat trzech. Przy czym, jak wskazują eksperci, największe ryzyko w tym zakresie będą ponosili członkowie zarządów JST.
Urszula Wróblewska
Więcej na ten temat: „Gminy też muszą zadbać o bezpieczeństwo sygnalistów. Im szybciej to zrobią, tym lepiej” w dodatku Samorząd i Administracja z 20 października 2021 r. (DGP nr 204)
To nie donosiciel
Obecny nacisk na społeczną odpowiedzialność biznesu CSR powinien wywołać zmianę w sposobie postrzegania sygnalistów, by widzieć w nich nie wrogów, ale sojuszników. Dokonanie zgłoszenia może bowiem przynieść wiele dobrego, a utajnianie problemu, ignorowanie go i represjonowanie tych, którzy o nim mówią, nie sprawi, że zniknie. Im szybciej nieprawidłowość zostanie zidentyfikowana, tym większa szansa na minimalizację ryzyk poprzez odpowiednią reakcję.
Sygnaliści ograniczają straty i dlatego opłaca się wprowadzać zmiany. Zgłaszanie naruszeń w firmie przekłada się bezpośrednio na finansowe oszczędności. Pozwala zidentyfikować obszary, gdzie dochodzi do nieprawidłowości i nadużyć, które mogą drogo kosztować przedsiębiorcę. W styczniu 2021 r. prezes Urzędu Ochrony Konkurencji i Konsumentów nałożył kary na przedsiębiorców i menedżerów z branży fitness za zawarcie niezgodnego z prawem porozumienia ograniczającego konkurencję. Na przestrzeni kilku lat podmioty te dzieliły pomiędzy siebie rynek fitness w Polsce tak, aby ze sobą nie konkurować. Ostatecznie osiem spółek ma do zapłacenia kary o łącznej wysokości ponad 32 mln zł. Natomiast kary dla menedżerów wahały się od ponad 40 tys. zł do ponad 300 tys. zł. Warto zauważyć, że kary byłyby wyższe, gdyby nie to, że branża fitness szczególnie dotkliwie poczuła skutki gospodarcze pandemii COVID-19 i związanych z nią ograniczeń. Podobne kary wymierzone zostały takim gigantom z branży budowlanej jak Castorama, Leroy Merlin, OBI. Być może części z nich można było uniknąć, gdyby w spółkach wdrożono odpowiednie kanały oraz właściwą kulturę zgłaszania nieprawidłowości.
Korzyści dla przedsiębiorcy
Jakie zatem korzyści może przynieść przedsiębiorcy wdrożenie systemu? Jak wynika z naszych doświadczeń, wprowadzenie przejrzystego programu zgłaszania nieprawidłowości, który w prosty sposób pozwoli zgłosić, gdzie i w jaki sposób dokonuje się nadużyć w spółce, może prowadzić do zwiększenia liczby takich zgłoszeń. Otrzymanie tego typu informacji pozwala radykalnie ograniczyć straty ponoszone przez przedsiębiorcę, o których ten nawet nie wie. Oszczędności zwykle znacznie przekraczają koszt wdrożenia i obsługi takiego systemu. Wynika to z tego, że pracownicy, współpracownicy lub dostawcy, którzy są najbliżej działań operacyjnych, dostrzegają wiele rzeczy, które mogą nie być widoczne dla członków zarządu czy menedżerów w centrali. Praktyka, zwłaszcza na magazynach produkcyjnych czy w salonach sprzedażowych, może nie do końca pokrywać się z tym, co przełożeni widzą w dokumentach. Dzięki sprawnemu systemowi zgłaszania nieprawidłowości pracownicy z pierwszej linii frontu mogą zaś szybko powiadomić o tym odpowiednie jednostki. Dokonana przez sygnalistów identyfikacja nieprawidłowości może znacznie ograniczyć straty, które przedsiębiorstwo ponosiłoby w związku z nielegalnymi lub nieprawidłowymi działaniami pracowników, o których dowiedziałoby się po dłuższym czasie albo wcale.
Jak bywa w praktyce
Wielu przedsiębiorców postrzega nowe obowiązki jako dodatkowe koszty i zbędne obciążenie administracyjne, tłumacząc, że gdyby pracownik chciał zgłosić jakąś nieprawidłowość, to zarząd czy dział HR zawsze chętnie przyjmie takie zgłoszenie, bez specjalnej i sformalizowanej procedury. To błąd. Pracownicy nie będą skorzy dokonywać zgłoszeń, jeśli nie będą wiedzieli, jak to zrobić, do kogo się zwrócić oraz o czym mogą, a o czym nie powinni mówić. Przede wszystkim jednak nie zdecydują się na ten krok, nie mając ochrony przed działaniami odwetowymi zagwarantowanej na papierze.
Wielu pracowników boi się zgłaszać nieprawidłowości, np. z uwagi na to, że dotyczy to działań ich przełożonych czy kolegów ze zmiany. W takich sytuacjach obawiają się interweniować, gdyż w rzeczywistości nie wiedzą, jak i do kogo mogą złożyć zgłoszenie. Brakuje im ram, w których mogą się poruszać. Ponadto boją się, że mogą spotkać ich negatywne konsekwencje takiego zgłoszenia, jeśli ujawnią swoją tożsamość - jak chociażby brak awansu, przeniesienie do mniej prestiżowego działu firmy czy łatka donosiciela wśród kolegów. Zdarza się jeszcze, że praktyką jest tuszowanie i zamiatanie pod dywan wszystkich nieprawidłowości, zwłaszcza tych finansowych, zamiast zapobiegania im i rozwiązywania problemów. To do niczego dobrego nie prowadzi - nieprawidłowości prędzej czy później wyjdą na jaw, a historia pokazuje, że konsekwencje są bardzo dotkliwie dla organizacji, np. w postaci wspomnianych wyżej kar finansowych. Są to kwoty, które można z łatwością zaoszczędzić, wprowadzając właściwe procedury compliance, które służą właśnie przede wszystkim prewencji, a zatem gaszeniu pożarów jeszcze na długo przed ich faktycznym wybuchem. Ponieważ do wejścia w życie większości obowiązków pozostało nie więcej niż dwa miesiące, kontynuując metaforę, można powiedzieć, że ogień zaczyna się już tlić.
Wprowadzanie w życie systemu zgłaszania nieprawidłowości jest obecnie nie tylko pożądanym, ale wręcz obligatoryjnym elementem prowadzenia odpowiedzialnego społecznie biznesu. Uważamy, że firmę można i trzeba budować na wartościach. Niewątpliwie punktem wyjścia do tego jest wprowadzenie przedstawianych poniżej rozwiązań, z których implementacją nie warto czekać.
Jakie regulacje niesie polska ustawa
Projekt ustawy pojawił się na dwa miesiące przed terminem na implementację dyrektywy. Choć po stosunkowo niedawnych doświadczeniach z projektem nowelizacji kodeksu pracy wprowadzającym instytucję pracy zdalnej trudno się spodziewać, że ustawa ostatecznie wejdzie życie w jej pierwotnym kształcie, to możliwe jest wskazanie pewnych ram, których należy się spodziewać. Projektowane przepisy będą się wiązać z wieloma nowymi obowiązkami dla przedsiębiorców, koniecznością wdrożenia odpowiednich procedur, zasad i narzędzi do przyjmowania zgłoszeń. Odpowiednie przygotowanie wymaga czasu, dlatego te działania warto podjąć już dziś.
A zatem jak polski ustawodawca postanowił rozwiązać kluczowe kwestie?
Zakres naruszeń objętych zgłoszeniami. Na podstawie art. 3 projektu ustawy sygnaliści będą mogli zgłaszać naruszenia prawa dotyczące m.in.:
  • zamówień publicznych,
  • usług, produktów i rynków finansowych,
  • zapobiegania praniu brudnych pieniędzy i finansowaniu terroryzmu,
  • ochrony środowiska,
  • ochrony konsumentów,
  • interesów finansowych UE,
  • zasad konkurencji.
Jednocześnie pracodawcom pozostawiono furtkę, aby zakres naruszeń rozszerzyć poza katalog ustawowy. To umożliwi sygnalistom zgłaszanie nieprawidłowości np. z zakresu kwestii etycznych czy dotyczących mobbingu, dyskryminacji, molestowania, molestowania seksualnego czy nadużyć menedżerskich.
Kto może być sygnalistą. Proponowana definicja sygnalisty (art. 4 projektu ustawy) jest szeroka i objęci nią mają być m.in.:
  • pracownicy - aktualni oraz ci, z którymi doszło do rozwiązania umowy o pracę,
  • kandydaci do pracy,
  • osoby zatrudnione na podstawie umów cywilnoprawnych,
  • przedsiębiorcy,
  • akcjonariusze/wspólnicy,
  • stażyści i wolontariusze,
  • pracownicy podwykonawców.
Co bardzo ważne, projekt ustawy przewiduje, że sygnalistą w ramach wewnętrznego kanału zgłoszeń może być tylko pracownik. Jednak jednocześnie pracodawcom pozostawiono możliwość rozszerzenia katalogu osób zgłaszających naruszenia prawa wewnętrznymi kanałami zgłoszeń także o wszystkie powyżej wskazane kategorie osób (art. 29 ust. 2 projektu ustawy).
Regulamin zgłoszeń wewnętrznych. Zgodnie z art. 29 projektu ustawy regulamin zgłoszeń wewnętrznych określa zasady funkcjonowania systemu whistleblowingowego w organizacji. Uregulowane w nim powinno zostać przede wszystkim:
  • jaki jest tryb składania zgłoszeń,
  • kto przyjmuje zgłoszenia i je weryfikuje oraz dokonuje działań następczych,
  • czy przyjmowane są zgłoszenia anonimowe,
  • jakie są zasady przekazywania sygnaliście informacji o przyjęciu zgłoszenia (pracodawca ma na to 7 dni) oraz informacji zwrotnej o wyniku jego weryfikacji (nie więcej niż trzy miesiące).
Dodatkowo regulamin może także wyszczególnić szerszy katalog sygnalistów niż tylko pracowników, jak również poszerzyć zakres naruszeń prawa objęty regulacjami whistleblowingowymi.
Jak powinien być uchwalany regulamin zgłoszeń wewnętrznych? Pracodawca ustala jego treść po (niewiążących) konsultacjach z zakładowymi organizacjami zawodowymi funkcjonującymi u pracodawcy, a w razie ich braku z wybranymi w tym celu przedstawicielami pracowników. Tak przygotowany regulamin wejdzie w życie po dwóch tygodniach od dnia podania go do wiadomości pracowników - czyli tak samo jak regulamin pracy.
Kanały wewnętrznych zgłoszeń. Dyrektywa wymaga utworzenia bezpiecznych wewnętrznych kanałów przekazywania zgłoszeń przez sygnalistów. Zgłoszenia wewnętrzne mogą być dokonywane różnymi kanałami. Projekt ustawy w art. 29 przewiduje, że sposoby przekazywania zgłoszeń powinny obejmować co najmniej możliwość dokonywania zgłoszeń na piśmie lub ustnie. Wymagania prawne spełnić mogą zarówno specjalne infolinie, jak i formularz na stronie WWW, ale także tradycyjne skrzynki na pisemne zgłoszenia czy ustanowienie konkretnych osób w organizacji, które będą przyjmować ustne zawiadomienia. Co ważne, sygnaliści, którzy będą chcieli dokonać zgłoszenia ustnego, będą mogli żądać zorganizowania spotkania, które musi odbyć się w ciągu 7 dni od dnia otrzymania zgłoszenia przez pracodawcę.
Zgłoszenia anonimowe. Artykuł 7 projektu ustawy wyraźnie wskazuje, że pracodawcy sami muszą podjąć decyzję, czy chcą dopuścić do przyjmowania zgłoszeń anonimowych, czyli niepodpisanych przez sygnalistę. Decyzja ta powinna znaleźć swoje odzwierciedlenie w regulaminie zgłoszeń wewnętrznych.
Rejestr zgłoszeń. Każdy pracodawca, który wdrożył system whistleblowingowy, będzie również zobowiązany do prowadzenia rejestru zgłoszeń. W nim znajdować się powinny co najmniej informacje o dacie wpływu zgłoszenia, przedmiocie naruszenia, podjętych działaniach następczych oraz data zakończenia sprawy. Dane w takim rejestrze powinny być przechowywane przez pięć lat od dnia przyjęcia zgłoszenia.
Zakaz działań odwetowych. Sygnalista, który dokona zgłoszenia wewnętrznego, nie może spotkać się z żadnymi działaniami odwetowymi. Projekt ustawy w art. 11 ust. 2 wskazuje przykładowy katalog takich działań, w tym:
  • wypowiedzenie lub rozwiązanie stosunku pracy,
  • niezawarcie kolejnej umowy terminowej,
  • obniżenie wynagrodzenia za pracę,
  • pominięcie przy awansie,
  • przeniesienie na niższe stanowisko,
  • niekorzystna zmiana miejsca wykonywania pracy lub rozkładu czasu pracy,
  • nieuzasadnione skierowanie na badania lekarskie, w tym badania psychiatryczne.
Nie oznacza to jednak, że wobec sygnalisty nie będzie można podjąć takich kroków. Jeśli pracodawca będzie kierował się obiektywnymi powodami, to takie działania będą dozwolone.
Poufność danych sygnalisty. Zgodnie z art. 30 projektu ustawy dane osobowe sygnalisty oraz wszelkie informacje, które mogą wskazywać na jego tożsamość, mają być poufne. Mogą zostać ujawnione tylko tym osobom, które będą odpowiedzialne za przyjmowanie zgłoszeń oraz prowadzenie postępowania wyjaśniającego. Ujawnienie danych innym osobom wymagać będzie wyraźnej zgody udzielonej przez samego sygnalistę. Warto zwracać na to szczególną uwagę wszystkim osobom zaangażowanym w postępowanie wyjaśniające.
Przepisy karne. Projekt ustawy w art. 56‒60 przewiduje szeroki katalog przestępstw, które mogą być popełnione przy okazji wdrażania i stosowania systemu whistleblowingowego. Odpowiedzialności karnej podlegać będą osoby, które:
  • nie ustanowiły procedury zgłoszeń wewnętrznych w organizacji wbrew przepisom ustawy,
  • utrudniają dokonanie zgłoszenia,
  • podejmują działania odwetowe,
  • naruszają obowiązek zachowania tożsamości sygnalisty w poufności,
  • dokonują ujawnienia publicznego (tj. do mediów) nieprawdziwych informacji.
Projekt ustawy przewiduje, że osobom takim grozi grzywna, ograniczenie wolności lub pozbawienie wolności do trzech lat.
Kary te mogą być wymierzone m.in. wobec HR Managera, Compliance Officera, członka zarządu czy każdej innej osoby, która dopuszcza się takich czynów. Wszystko będzie zależało od konkretnych okoliczności danego przypadku.
Jak wdrożyć w firmie bezpieczne i skuteczne sposoby zgłaszania nieprawidłowości
Przedstawiamy krok po kroku przykładowy plan działania, jaki może przyjąć organizacja, która zamierza dokonać prawidłowego wdrożenia obowiązków wynikających z dyrektywy oraz ustawy.
KROK 1. Sprawdź, czym dysponujesz
Przede wszystkim należy zacząć od zbadania dotychczas stosowanej procedury zgłaszania nieprawidłowości - być może fundamenty są już zbudowane. Jeśli w organizacji taka procedura dotychczas nie działała, to realizację whistleblowingowych obowiązków trzeba będzie zacząć od podstaw. Nierzadko będzie to korzystniejsze ‒ czasem trudniej dostosować coś, co już funkcjonuje, do nowych wymogów, niż budować od zera. W takiej sytuacji odchodzi m.in. kwestia zmiany wykształconych wśród pracowników na bazie poprzednio obowiązującej procedury schematów i nawyków.
KROK 2. Porównaj dotychczasową procedurę z wymogami stawianymi przez dyrektywę i polską ustawę
Nawet jeśli w organizacji funkcjonuje już procedura zgłaszania nadużyć, niekoniecznie musi ona odpowiadać obowiązkom wynikającym z nowego prawa. W kolejnym etapie warto więc zestawić ze sobą metodykę mającą zastosowanie dotychczas z tym, jak modelowo powinna wyglądać ochrona sygnalistów według dyrektywy i przyszłej polskiej ustawy.
▶ KROK 3. Dostosuj dotychczasową procedurę do nowych wymogów/stwórz procedurę zgodną z wymogami dyrektywy
Na tym etapie należy sporządzić odpowiadającą profilowi działalności danej organizacji procedurę. Niezależnie od tego, czy u pracodawcy dotychczas funkcjonowały regulacje dotyczące zgłaszania nieprawidłowości, czy nie, efekt finalny musi być jednakowy ‒ należy stworzyć regulamin zgłoszeń wewnętrznych, który będzie odpowiadał wymogom wynikającym z krajowego i unijnego porządku prawnego. Regulamin ten powinien opisywać wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych.
Poza zgodnością z obowiązującymi przepisami procedura ta powinna być uszyta na miarę pracodawcy. Nigdy jedno rozwiązanie nie będzie pasować do organizacji o różnych profilach działalności. Ponadto aby regulamin mógł prawidłowo funkcjonować, powinien być napisany krótko i zwięźle, przystępny językiem. Skomplikowane prawnicze słownictwo zostawiamy na inne okazje. Im krótszy i bardziej zrozumiały tekst, tym większe prawdopodobieństwo, że pracownik się z nim zapozna.
▶ KROK 4. Uzgodnij regulamin zgłoszeń z zakładową organizacją związkową (przedstawicielami pracowników)
Projekt ustawy o ochronie osób zgłaszających naruszenia prawa przewiduje obowiązek konsultacji regulaminu z zakładową organizacją związkową albo przedstawicielami pracowników, jeżeli u pracodawcy nie działa organizacja związkowa. Strona reprezentująca pracowników nie ma uprawnienia do decydowania o ostatecznym kształcie regulaminu, ale pracodawca nie może uchylić się od przeprowadzenia konsultacji.
KROK 5. Ogłoś regulamin i poinformuj, kiedy wchodzi w życie
Po uzgodnieniu ostatecznej treści regulaminu z zakładową organizacją związkową lub z przedstawicielami pracowników pracodawca będzie zobowiązany do podania go do wiadomości zatrudnionym w sposób zwyczajowo u niego przyjęty. Można dokonać tego m.in. za pośrednictwem poczty elektronicznej czy poprzez wywieszenie na tablicy ogłoszeń. Regulamin zgłoszeń wewnętrznych wchodzi w życie po upływie dwóch tygodni od dnia, w którym został podany do wiadomości pracowników.
KROK 6. Rozpocznij stosowanie procedur
Celem nowych przepisów nie jest sporządzenie kilku stron nowych regulacji wewnątrzzakładowych, lecz faktyczne funkcjonowanie kanałów zgłoszeń w organizacjach. Najważniejszym etapem związanym z wdrożeniem procedury whistleblowingowej jest jej stosowanie, aby pracodawcy i pracownicy mogli w pełni korzystać z jej zalet.
KROK 7. Zaktualizuj regulamin zgłoszeń
Każda, nawet najlepiej skonstruowana procedura nie może być stosowana wiecznie. Raz przyjęta, powinna ulegać zmianom będącym rezultatem ewolucji prawa czy nowego rodzaju potrzeb związanych z działalnością organizacji. Warto więc obserwować, jak w praktyce procedura jest stosowana i w razie powzięcia informacji o potrzebie wprowadzenia zmian, ulepszyć i dostosować obowiązujący regulamin.
Poniżej wskazujemy, na jakie elementy zwrócić szczególną uwagę, wdrażając dyrektywę i planując wewnętrzne procedury.
Trzy różne możliwości
Dyrektywa przewiduje trzy sposoby dokonywania zgłoszeń, z których może skorzystać sygnalista:
  • zgłoszenie wewnętrzne, rozumiane jako ustne lub pisemne przekazanie informacji na temat naruszeń w obrębie podmiotu prywatnego w sektorze prywatnym lub publicznym;
  • zgłoszenie zewnętrzne, skierowane do właściwych organów władzy publicznej lub w stosownych przypadkach, instytucji, organu lub jednostki organizacyjnej UE;
  • ujawnienie publiczne, tj. podanie informacji na temat naruszeń do wiadomości publicznej.

wewnętrzne kanały zgłoszeń

Pracodawcy powinno zależeć na tym, aby zgłoszenie nie wydostało się poza obręb jego zakładu pracy. Zresztą, jak czytamy w preambule dyrektywy w motywie 33: „Osobom dokonującym zgłoszenia zwykle przychodzi łatwiej dokonywanie zgłoszeń wewnętrznych, chyba że istnieją powody, dla których wolą dokonać zgłoszenia zewnętrznego. Tych powodów pracownikom nie można dawać. Badania empiryczne wykazują, że większość sygnalistów dokonuje zgłoszeń wewnętrznych w ramach organizacji, w której pracują. Zgłoszenia wewnętrzne są również najlepszym sposobem na przekazanie informacji osobom, które mogą przyczynić się do wczesnego i skutecznego wyeliminowania zagrożeń dla interesu publicznego”. Od pracodawców dyrektywa wymaga zatem utworzenia bezpiecznego wewnętrznego kanału przekazywania zgłoszeń przez sygnalistów. Powinien on spełniać określone wymogi. Można zaryzykować stwierdzenie, że to najistotniejszy kanał zgłoszeniowy przewidziany w dyrektywie. Z tego powodu pracodawcy powinni niezwłocznie wdrożyć odpowiednią infrastrukturę wewnętrzną, pozwalającą na obsługę (odbieranie i reagowanie) zgłoszeń wewnątrz ich organizacji.
Dodajmy, że już obecnie wielu pracodawców wprowadziło specjalne skrzynki pocztowe, adresy e-mailowe, infolinie, a nawet tradycyjne skrzynki, za pośrednictwem których pracownicy mogą raportować nieprawidłowości. Pracownicy mają jednak spore opory przed korzystaniem z tych narzędzi, przede wszystkim obawiając się, że korzystanie z nich nie zapewnia anonimowości.
Jakie wymogi powinien spełniać wewnętrzny kanał zgłoszeń?
Zgodnie z wymogami dyrektywy (m.in. zapisanymi w art. 9 ust. 1) wewnętrzny kanał zgłoszeń musi:
  • chronić tożsamość osoby dokonującej zgłoszenia oraz wszystkich osób w tym zgłoszeniu wymienionych (świadków czy uczestników zdarzenia);
  • uniemożliwiać uzyskanie dostępu do treści zgłoszenia osobom nieupoważnionym;
  • działać w oparciu na zrozumiałych zasadach, informacjach, które są łatwo dostępne;
  • zapewnić przyjmowanie zgłoszeń pisemnie lub ustnie (telefonicznie, za pośrednictwem innych systemów komunikacji głosowej oraz na wniosek osoby dokonującej zgłoszenia na spotkaniu);
  • zapewnić poufność komunikacji ze zgłaszającym;
  • gwarantować potwierdzenie sygnaliście przyjęcia zgłoszenia w terminie 7 dni od jego otrzymania;
  • umożliwiać bezpieczne przechowywanie i archiwizowanie zgłoszeń oraz dokumentacji;
  • gwarantować sygnaliście podjęcie, z zachowaniem należytej staranności, działań następczych przez wyznaczony podmiot;
  • umożliwiać przekazanie sygnaliście informacji zwrotnych w rozsądnym terminie (maksymalnie trzy miesiące od potwierdzenia otrzymania zgłoszenia lub od upływu 7 dni od dokonania takiego zgłoszenia).
Kto może przyjmować zgłoszenia od sygnalistów o naruszeniach?
Kanały dokonywania zgłoszeń mogą być obsługiwane wewnętrznie przez wyznaczoną do tego celu osobę, wyznaczony dział lub mogą być zapewniane zewnętrznie przez osobę trzecią (art. 8 ust. 5 dyrektywy). Nie ma jednego rekomendowanego rozwiązania w tym zakresie - wybór powinien być zindywidualizowany i odpowiadać potrzebom konkretnej organizacji.
Czy możliwe jest powołanie jednego kanału zgłoszeń w ramach grupy kapitałowej?
Współdzielenie zasobów - czyli utworzenie wspólnego kanału zgłoszeń - to wyzwanie, które może przynieść korzyści dla grup kapitałowych. Warto rozważyć skorzystanie z tego ułatwienia. Nie jest ono jednak dla wszystkich. Zgodnie z projektem ustawy tylko podmioty prawne w sektorze prywatnym zatrudniające od 50 do 249 pracowników mogą na podstawie umowy dzielić się zasobami w zakresie przyjmowania zgłoszeń i wszelkich prowadzonych postępowań wyjaśniających. Jak wynika z treści projektu ustawy, takie dzielenie zasobów nie będzie dostępne dla pracodawców zatrudniających co najmniej 250 pracowników lub mniej niż 50 pracowników. Dzielenie zasobów będzie dopuszczalne zarówno przez podmioty powiązane (grupa kapitałowa), jak i przez podmioty ze sobą niepowiązane.
Możliwość dzielenia zasobów jest pewnym odstępstwem od restrykcyjnego stanowiska Komisji Europejskiej, zgodnie z którym każdy z tych podmiotów musi mieć swój regulamin i swoje kanały zgłoszeń. Komisja dostrzega kilka powodów uzasadniających takie rygorystyczne podejście. Jednym z nich jest konieczność zapewnienia łatwego dostępu do kanałów zgłoszeń wszystkim sygnalistom w ramach podmiotu, z którymi są związani stosunkiem prawnym (np. umową o pracę czy, co jeszcze bardziej doniosłe - kontraktem, w przypadku kontrahentów czy podwykonawców). Nie bez znaczenia jest też to, że w ramach jednej grupy poszczególne spółki często znajdują się w różnych państwach członkowskich, co ogranicza dostęp do procedur, m.in. przez różnice w krajowych porządkach prawnych.
Zachowania zgodności ze sztywnymi wytycznymi KE nie zapewni utworzenie kanału zgłoszeń w jednej spółce z grupy. Nie oznacza to jednak, że nie ma żadnej furtki. W pełni dopuszczalne jest pozostawienie scentralizowanego systemu informowania o nieprawidłowościach w ramach grupy funkcjonującego równoległe z indywidualnymi kanałami każdego podmiotu i pozostawienie decyzji co do wyboru drogi zgłoszenia sygnaliście.
Zgodnie z projektem polskiej ustawy dzielenie się kanałami przez powiązane spółki jest możliwe na podstawie umowy, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą. Jednak zawarcie takiej umowy nie zwalnia pracodawcy z wynikających z przepisów obowiązków, m.in. dotyczących poufności czy reagowania na zgłoszenie.

zgłoszenia zewnętrzne

Brak lub wadliwość działania kanałów wewnętrznych będzie impulsem dla pracownika do skorzystania z formy bardziej dotkliwej dla pracodawcy, tj. ze zgłoszenia zewnętrznego (względnie - ujawnienia publicznego). Już same opisane wyżej skutki pośrednie powinny stanowić wystarczającą motywację, by stworzyć jednak własny kanał. Dodatkowym ryzykiem jest narażenie się pracodawcy lub osób zarządzających zakładem pracy w jego imieniu czy odpowiedzialnych za kwestie compliance na odpowiedzialność karną.
Organem odpowiedzialnym za przyjmowanie zgłoszeń zewnętrznych będzie rzecznik praw obywatelskich. Organ ten jest powołany do ochrony praw obywateli, a jego niezależność i niezawisłość gwarantuje Konstytucja Rzeczypospolitej Polskiej. RPO współpracuje z innymi organami i instytucjami, m.in. z rzecznikiem praw dziecka, rzecznikiem małych i średnich przedsiębiorców, europejskim rzecznikiem praw człowieka. Można zatem z dużym prawdopodobieństwem przyjąć, że każde zgłoszenie zewnętrzne zostanie poddane przez niego wnikliwej i opartej na merytorycznych podstawach analizie. Zgłoszenia z zakresu zasad konkurencji i ochrony konsumentów przyjmować będzie prezes UOKiK. Właściwe będą też inne organy przyjmujące zgłoszenia zewnętrzne dotyczące naruszeń w dziedzinach należących do zakresu działania tych organów.
Pracodawcy, których działalność stanie się przedmiotem zgłoszenia, będą musieli udzielić wyczerpujących wyjaśnień, być może udostępniając w tym celu dokumenty czy przestrzeń biurową.

ujawnienia publiczne

Najdalej idącą w skutkach formą dokonywania zgłoszenia będzie ujawnienie publiczne, zdefiniowane w projekcie ustawy jako szeroko rozumiane podanie informacji o naruszeniu do wiadomości publicznej. Aby z niego skorzystać, sygnalista będzie musiał posiadać uzasadnione obawy co do naruszeń mogących zagrażać interesowi publicznemu, skierowanych w jego stronę działań odwetowych lub niewielkiej szansy na rozwiązanie problemu poprzez środki mniej radykalne. Jednak dokonanie zgłoszenia bezpośrednio do prasy wyłączy zastosowanie dyrektywy, przewidując właściwość przepisów prawa prasowego dla trybu udzielania ochrony sygnaliście.
Trzeba zapewnić anonimowość oraz poufność
Dziś nawet w organizacjach, w których funkcjonują systemy whistleblowingowe (przybywa ich każdego dnia), a dokonanie zgłoszenia jest co do zasady możliwe, potencjalni sygnaliści często nie decydują się na podjęcie działania w obawie przed ujawnieniem ich tożsamości i wyciągnięciem konsekwencji z powodu zgłoszenia. System więc nie działa, choć jest. Praktyka pokazuje, że jednym z typowych błędów organizacyjnych jest stawianie skrzynki (urny) na zgłoszenia papierowe w miejscu ogólnodostępnym, przechodnim lub bezpośrednio pod kamerą, czy możliwość wysłania zgłoszenia wyłącznie ze służbowego adresu mailowego. W takich sytuacjach zrozumiała jest obawa pracowników o ujawnienie ich tożsamości. Natomiast tam, gdzie zgłoszeń dokonuje się poprzez wewnętrzną infolinię, zachodzi obawa rozpoznania głosu danego sygnalisty przez osobę odpowiedzialną za odbieranie telefonów, tym bardziej że tego typu rozmowy są najczęściej nagrywane.
Właśnie dlatego dyrektywa bardzo skrupulatnie podchodzi do kwestii anonimowości zgłoszeń. W ten sposób podejść powinni do tematu również wdrażający ją pracodawcy. Objęcie sygnalistów ochroną przed identyfikacją, a w przypadku jej mimowolnego dokonania - przed działaniami odwetowymi, to jeden z głównych celów, który unijny prawodawca wskazuje już w preambule dyrektywy.
Dyrektywa pozwala rozumieć anonimowość w dwóch aspektach:
1) jako możliwość dokonania zgłoszenia bez podania swoich danych osobowych,
2) jako obowiązek zachowania w poufności danych osobowych zgłaszającego oraz innych osób, których dotyczy zgłoszenie.
Zgłoszenia zawsze można będzie dokonać całkowicie anonimowo, niezależnie od wybranego kanału. Jednak właściwą procedurę whistleblowingową takie zgłoszenia uruchomią tylko wtedy, gdy taka możliwość przewidziana będzie w wewnętrznym regulaminie pracodawcy lub procedurze zgłaszania naruszeń prawa organowi publicznemu. Ratio legis takiego rozwiązania jest związane z koniecznością wysyłania zgłoszeń w dobrej wierze i ma chronić pracodawców przed nieprawdziwymi oskarżeniami, np. ze strony konkurencji. Wiele złego mogłoby wyrządzić bombardowanie instytucji publicznych niemającymi oparcia w rzeczywistości zgłoszeniami, na które odpowiednie organy musiałyby reagować, wszczynając procedurę kontrolną.
Z kolei, jeżeli sygnalista zdecyduje się podpisać pod swoim zgłoszeniem, to prawo gwarantuje, że jego tożsamość będzie chroniona i nie trafi do żadnej nieupoważnionej osoby. Gwarancja ta rozciąga się również na wszelkie inne informacje, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia. Tej gwarancji powinien więc, nie tylko w przepisach procedury, lecz także poprzez konkretne, techniczne rozwiązania, udzielić pracodawca.
Czy można odstąpić od zachowania tajemnicy?
Dyrektywa przewiduje sytuacje, w których - na zasadzie wyjątku - można będzie odstąpić od obowiązku zachowania tajemnicy. Pozwala na to wtedy, gdy ujawnienie będzie jednocześnie koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w kontekście działań prowadzonych przez aparat władzy, m.in. w celu zagwarantowania prawa do obrony osobie, której dotyczy zgłoszenie. Podobnego rozwiązania nie wskazuje wprost ogłoszony przez nasz rząd projekt ustawy, co może budzić wątpliwości. W każdym razie, niezależnie od wiążącej podstawy prawnej, sam sygnalista może zawsze udzielić zgody na ujawnienie jego tożsamości, rezygnując z prawa do poufności.
Umowy i infrastruktura
W celu zagwarantowania anonimowości zgłaszających oraz poufności danych objętych zgłoszeniami organizacje będą zmuszone wdrożyć lub zaktualizować swoją infrastrukturę techniczną. Mowa tu m.in. o wydaniu regulaminu zgłoszeń wewnętrznych i zawarciu umowy, w której pracodawca powierzy podmiotowi trzeciemu wykonywanie części obowiązków z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność podejmowanych czynności z ustawą.
O nowych zasadach będzie trzeba pracowników należycie poinformować oraz nauczyć, jak odnaleźć się w nowych whistleblowingowych realiach. Pracodawcy powinni dbać o to, by tożsamość sygnalisty nie była przedmiotem zakładowych plotek, odpowiednio reagować na szykany ze strony pozostałych pracowników i w dalszym ciągu ‒ z jeszcze większą intensywnością - przeciwdziałać mobbingowi i innym formom nękania w tym zakresie.
Obsługa nowej infrastruktury rodzi wiele ryzyk, zwłaszcza z perspektywy ochrony danych osobowych. Jeśli np. tożsamość sygnalisty zostanie ujawniona w wyniku ataku hakerskiego na pracodawcę lub zewnętrzną firmę obsługującą zlecenia, to rodzi się pytanie o zakres odpowiedzialności tych podmiotów i możliwe roszczenia pracownika-sygnalisty. Wtedy też szczególne znaczenie będą miały środki ochrony przed działaniami odwetowymi. Przypominamy o przewidzianej ustawą surowej odpowiedzialności karnej. Na pewno inaczej zostanie przez stosowne organy oceniony pracodawca, który mimo dochowania należytej staranności i wdrożenia właściwych środków stał się ofiarą ataku cyberprzestępców, od pracodawcy, który poprzez zlekceważenie tego ryzyka otworzył przestępcom drzwi do takiego nielegalnego procederu.
Jesteśmy przekonani, że nierzadko dochodzić będzie również do wielu sytuacji spornych, jak np. wtedy, gdy zwolniony pracownik podnosić będzie zarzuty, że rzeczywistym powodem zwolnienia było dokonane przez niego zgłoszenie, o którym pracodawca w jakiś sposób się dowiedział. Aby zapobiec takim sytuacjom i zminimalizować ryzyko z nimi związane, trzeba wdrożyć system w pełni skuteczny i funkcjonujący zgodnie z zasadami anonimowości wskazanymi w dyrektywie.
Czy pracodawca będzie miał obowiązek odpowiadania na anonimowe, tj. niepodpisane, zgłoszenia?
Anonimowe zgłoszenia rozpatruje się w sposób szczególny. Dyrektywa umożliwia polskiemu ustawodawcy podjęcie decyzji o wprowadzeniu obowiązku rozpatrywania anonimowych zgłoszeń. Jak uznano w motywie 34 preambuły, państwa członkowskie powinny mieć możliwość zdecydowania o tym, czy podmioty prawne w sektorze prywatnym i publicznym oraz właściwe organy mają obowiązek przyjmowania anonimowych zgłoszeń naruszeń objętych zakresem stosowania dyrektywy i podejmowania w związku z nimi działań następczych. Polski projekt ustawy przekazuje to uprawnienie pracodawcom. Zgodnie z jego treścią pracodawcy muszą zdecydować na poziomie regulaminu zgłoszeń wewnętrznych, czy anonimowe zgłoszenia są dopuszczalne w ich organizacji, czy nie.
Na podstawie naszych doświadczeń apelujemy, aby wprowadzić wewnętrzny obowiązek reakcji na każde takie zgłoszenia niezależnie od decyzji ustawodawcy i ukształtowanej jego mocą treści przepisów. Brak wiary w skuteczność zgłaszania naruszeń jest jednym z głównych czynników zniechęcających potencjalnych sygnalistów. Przeczuwając, że ich zgłoszenie może nie zostać rozpoznane, mniej chętnie będą decydowali się reagować na nieprawidłowości, ze szkodą dla pracodawcy (nie uzyska on bowiem cennej wiedzy o możliwej wadliwości w działaniu jego przedsiębiorstwa). Poza tym, nawet jeśli wskazany w zgłoszeniu zarzut się nie potwierdzi, każda procedura wyjaśniająca, stanowiąca element szerszego compliance, może przynieść pozytywne, a często niespodziewane skutki. Badając jedną możliwą nieprawidłowość, można bowiem przypadkowo trafić na inną.
Jak przepisy chronią przed nieprawdziwymi informacjami?
Przepisy prawa krajowego przewidują surowe prawnokarne sankcje dla osób, które dokonały zgłoszenia lub ujawnienia publicznego informacji na temat naruszeń, w przypadku których wykazano, że osoby te wiedziały, że są one nieprawdziwe. To oznacza, że nawet anonimowe zgłoszenia powinny zawierać informacje prawdziwe, a osoby, które zdecydują się w nich kłamać, będą narażać się na grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat trzech. Takie działanie wszak jest nieakceptowalne i należy je piętnować już na poziomie wewnętrznym. Abstrahując zatem od regulacji powszechnie obowiązującego prawa, rekomendujemy wprowadzenie wewnętrznych sankcji za dokonanie zgłoszenia w złej wierze, np. odpowiadających sankcjom za sprawstwo zarzucanych w nieprawdziwym zgłoszeniu nieprawidłowości.
Konkurencja nie śpi
Nie sposób wykluczyć ryzyka, że podmioty konkurencyjne mogą dokonywać nieprawdziwych anonimowych zgłoszeń w celu utrudnienia funkcjonowania organizacji. Jednak jej przedstawiciele teoretycznie nie będą mogli korzystać z wewnętrznych kanałów dokonywania zgłoszeń, których funkcjonalność dostępna będzie tylko pracownikom lub, co rekomendujemy, szeroko pojętemu gronu zatrudnionych (względnie - klientom i kontrahentom). Inaczej pracodawcy powinni zapatrywać się więc na zgłoszenia wewnętrzne, płynące z całą pewnością ze źródła, tj. od osoby, która pośrednio lub bezpośrednio, najpewniej w swojej pracy zawodowej ma styczność z będącym przedmiotem zgłoszenia problemem, niż na zgłoszenia zewnętrzne (o których może dowiedzieć się od organu prowadzącego takie postępowanie). Konkurencja musi też zdawać sobie sprawę z tego, że sytuacja, w której zostanie wysłane zgłoszenie dotyczące nieprawidłowości, która w postępowaniu wyjaśniającym się nie potwierdzi, będzie jasnym sygnałem dla rozpatrującego to zgłoszenie zewnętrznego organu władzy co do intencji sygnalisty. Taka praktyka może wyrządzić wiele złego i doprowadzić do zlekceważenia przez właściwy organ zgłoszenia prawdziwego, jeżeli kilka poprzednich zawierać będzie nieprawdziwe informacje. Takie praktyki na pewno nie znajdą akceptacji RPO. Możemy spodziewać się ostrych reakcji i wysokich kar administracyjnych w przypadku wykrycia podobnych praktyk, niezależnie od przewidzianej w projekcie ustawy odpowiedzialności karnej sprawcy.
Rzetelna weryfikacja treści zgłoszeń, nawet anonimowych, poprzez przeprowadzenie postępowań wyjaśniających powinna leżeć w interesie pracodawców. Warto wykazać w tej dziedzinie inicjatywę, włożyć trud w poszukiwanie dowodów, wdrożyć odpowiednie i jasne dla zatrudnionych procedury i reagować na każde zgłoszenie. Dużo lepiej jest bowiem poświęcić czas na rozpoznanie kilkunastu zgłoszeń ostatecznie niepotwierdzonych nieprawidłowości, niż pominąć jedno dotyczące realnie istniejącego problemu, którego niewykrycie może doprowadzić do długoletniego procesu sądowego. Skutkiem takiego pominięcia może być nawet wielomilionowa strata.
W przypadku zgłoszeń anonimowych nie sposób wyciągnąć konsekwencji wobec sygnalisty, którego tożsamość nie jest przecież znana. Rekomendujemy jednak porzucenie prób ustalenia tożsamości anonimowego sygnalisty, co nieraz może być faktycznie możliwe. Takie praktyki są sprzeczne z prawem. Dyrektywa przewiduje możliwość zgłoszenia anonimowego i te takimi mają pozostać, a anonimowemu sygnaliście (poza przypadkami dokonania zgłoszenia w złej wierze) nie mogą grozić działania odwetowe. ramka 2

Ramka 2

Wiara - dobra czy zła: jak to ocenić?
Podstawową przesłanką do udzielenia sygnaliście ochrony jest jego dobra wiara. Aby korzystać z ochrony, osoby dokonujące zgłoszenia powinny zatem mieć uzasadnione podstawy, by w świetle posiadanych informacji sądzić, że zgłaszane przez nie naruszenia są prawdziwe. Weryfikacja wiarygodności zgłaszanych lub ujawnianych informacji nie należy jednak do zadań najłatwiejszych.
Nikt nie jest nieomylny, ale formułując zarzuty, pracownik powinien dochować należytej staranności w zakresie interpretacji zarówno posiadanej przez siebie wiedzy, jak i dowodów danego naruszenia. Pracownik może np. mieć jedynie ograniczone informacje o mechanizmach działania organizacji i na ich podstawie powziąć błędne przekonanie o zgłaszanych nieprawidłowościach.
Pojęcia dobrej i złej wiary są w polskim porządku prawnym dość dobrze znane. Kodeks cywilny wprowadza domniemanie dobrej wiary i takie podejście jest również rekomendowane przy wprowadzeniu wewnętrznych procedur whistleblowingowych. Pracodawca nie ma powodu, aby już na wstępie zakładać, że dane zgłoszenie dokonane jest w celach innych niż szeroko rozumiany interes pracodawcy czy społeczności pracowników.
Czasem jednak dzieje się inaczej, a sygnalistą kierują inne motywy, np. chęć:
• zaszkodzenia innemu pracownikowi, np. przeświadczenie, że wyjaśnianie zgłoszenia wstrzyma decyzje o jego awansie;
• uzyskania korzyści materialnej ze zgłoszenia, np. nagrody od pracodawcy;
• uzyskania korzyści niematerialnej ze zgłoszenia, np. przypodobanie się pracodawcy;
• ukrycia swojego naruszenia lub innego naruszenia w firmie;
• odwrócenia uwagi od swojej osoby, np. w obliczu nadchodzącej oceny rocznej.
Pracodawca powinien do każdego zgłoszenia podchodzić poważnie, a następnie dokładnie je zweryfikować i ustalić, czy zostało zgłoszone w dobrej wierze. O nieuczciwych intencjach sygnalisty mogą czasem świadczyć okoliczności, takie jak:
• interpersonalny konflikt z innym pracownikiem,
• zgłoszenie zbyt dużej liczby zarzutów, nierealnej do wychwycenia przez pracownika w toku codziennej pracy,
• niechęć do współpracy z komisją wyjaśniającą, w szczególności odmowa lub unikanie złożenia ustnych wyjaśnień,
• zbyt duża ogólność zarzutów, bez odniesienia się do konkretnych przykładów (np. ogólne stwierdzenie, że pracownik X „stosował mobbing”),
• wykorzystanie nieodpowiedniego kanału zgłoszeń.
O dobrej czy złej wierze nie może natomiast decydować to, czy zgłoszenie jest dokonane przez osobę podpisaną z imienia i nazwiska, czy też anonimowo. O tym, czy anonimowe zgłoszenia trzeba będzie rozpatrywać, zdecyduje sam pracodawca w wewnętrznych regulacjach. Jeśli decyzja o ich rozpatrywaniu zostanie podjęta, to z perspektywy dobrej wiary będzie należało traktować je tak jak zgłoszenia podpisane.
Czas przygotować pracowników do nowej procedury
Jednym z najistotniejszych elementów procesu wdrożenia nowych zasad jest zapoznanie z nimi załogi oraz przekonanie jej, że dokonywanie zgłoszeń naruszeń jest potrzebną i prawidłową praktyką, pozwalającą pracownikom wywierać realny wpływ na funkcjonowanie przedsiębiorstwa, w którym pracują.
Poniżej przedstawiamy dekalog wdrożeniowy whistleblowingu, czyli 10 praktycznych wskazówek, których realizacja pozwoli na sprawne zapoznanie załogi z wprowadzanymi zasadami oraz zwiększy szansę na ich stosowanie i przestrzeganie
Zasada 1. Upewnij się, że procedura dokonywania zgłoszeń wewnętrznych jest zrozumiała. Raz jeszcze podkreślamy, że to pracodawcy powinno zależeć na tym, aby sygnalista wybrał wewnętrzną ścieżkę dokonywania zgłoszenia. Pracodawca dzięki temu będzie mógł rozwiązać problem w ramach swojej organizacji i w większości przypadków nie zostanie zmuszony do ujawnienia zarzucanych mu nieprawidłowości na zewnątrz (chyba że dana nieprawidłowość stanowi przestępstwo ścigane z urzędu - wówczas każdy, kto się o nim dowiedział, ma zgodnie z kodeksem postępowania karnego społeczny obowiązek zawiadomić o tym prokuratora lub policję). Warto zatem zadbać, aby każdy wiedział, jak procedura zgłoszeń wygląda krok po kroku.
Zasada 2. Zadbaj, aby obowiązująca procedura była przystępna i łatwa w obsłudze. Jeśli dokonanie zgłoszenia będzie wiązało się ze znacznym wysiłkiem, koniecznością poświecenia sporej ilości czasu oraz niemałą biegłością techniczną, to istnieje ryzyko, że z możliwości tej nikt nie zechce skorzystać. Doświadczenie pokazuje, że mało który pracownik zdecyduje się podzielić z pracodawcą wiedzą o nieprawidłowości, jeśli w tym celu będzie musiał przebrnąć przez liczący kilkadziesiąt stron dokument określający zasady dokonywania zgłoszeń. To powinno być łatwe i niezajmujące czasowo. Powinna to być czynność na poziomie trudności podobnym do wysłania e-maila.
Zasada 3. Zapewnij dostępność korzystania z wewnętrznych kanałów dokonywania zgłoszeń wszystkim pracownikom. W każdej sytuacji kanał zgłoszenia powinien być dopasowany do specyfiki pracy danej części pracowników. Pracodawcy np. z branży IT albo zatrudniający głównie młodych pracowników powinni postawić na inne rozwiązania niż przedsiębiorstwa produkcyjne zatrudniające ludzi z pokolenia zbliżającego się do wieku emerytalnego. Jeśli w zakładzie pracy część pracowników (np. działu produkcji) nie używa komputerów, to skorzystanie z nich nie może być warunkiem dokonania zgłoszenia. Wówczas konieczne będzie zapewnienie stosownej alternatywy, np. w postaci skrzynki na zgłoszenia w formie papierowej lub telefonicznej linii obsługi zgłoszeń.
Zasada 4. Wytłumacz, że sygnalista to nie donosiciel. Właściwe naszemu społeczeństwu uwarunkowania historyczne i kulturowe mogą utrudnić proces przekonywania załogi do zasadności informowania o nieprawidłowościach. Dlatego warto rozważyć przeprowadzenie kampanii promocyjnej i pokazanie przykładów z praktyki, w których dzięki skutecznemu zgłoszeniu udało się zażegnać kryzys, na czym zyskali zarówno pracodawca, jak i jego pracownicy.
Zasada 5. Zagwarantuj brak działań odwetowych. Sygnaliści mają prawo nie znać przepisów dyrektywy i implementującej jej ustawy, z których wynika gwarancja ochrony przed działaniami odwetowymi. Nawet jeśli część zatrudnionych znałaby treść dyrektywy, to jednak zupełnie inaczej będą traktować bezpośrednie zapewnienie pracodawcy o braku ryzyka negatywnych następstw zgłoszenia.
Zasada 6. Wyjaśnij, jak postępować w razie uzyskania informacji o danej nieprawidłowości, jej sprawcy lub ofierze. Pracownicy wykazują niemałe zainteresowanie sprawami wskazanymi w zgłoszeniach. Nierzadko się zdarza, że dana nieprawidłowość staje się gorącym tematem zakładowych rozmów. Nawet jeśli informacja o niej jest rzetelna, w wyniku jej rozpowszechniania przez osoby postronne może tracić na znaczeniu i uchodzi za nieprawdziwą plotkę. Dla wszystkich zainteresowanych korzystne jest rozwiązanie problemu u źródła, w rozmowie z osobami, których dane zgłoszenie bezpośrednio dotyczy. Informacje o zgłoszeniu nie powinny trafiać do osób postronnych, niezależnie od tego, czy są pracownikami zakładu pracy, czy osobami z zewnątrz (tym bardziej!). Dlatego warto przekonywać pracowników, aby nie dzielili się treścią dokonywanych zgłoszeń i zostawili ich rozpatrzenie odpowiedniej jednostce.
Zasada 7. Objaśnij, że w treściach zgłoszeń nie ma tematów tabu. W celu zagwarantowania w pełni skuteczności procedury whistleblowingowej konieczne jest przekonanie pracowników, że mogą podzielić się z pracodawcą wszelką wiedzą, nawet gdy ta wydaje im się wstydliwa lub pozornie niewarta uwagi.
Zasada 8. Reaguj na każde zgłoszenie. Choć wydawać się to może trudne, realizacja dwóch powyższych punktów nie będzie możliwa, jeśli pracownicy nie będą przekonani, że ich zgłoszenie zostanie poważnie potraktowane i rozpatrzone. Dlatego należy reagować na każde zgłoszenie, także to anonimowe, i budować wśród pracowników poczucie, że pracodawca traktuje te sprawy poważnie i odpowiedzialnie.
Zasada 9. Zapobiegnij dokonywaniu zgłoszeń nierzetelnych i nieistotnych. Niepożądana jest sytuacja, w której wewnętrzne kanały dokonywania zgłoszeń służyć będą pracownikom jako miejsce do dzielenia się swoimi spostrzeżeniami niemającymi charakteru nieprawidłowości, np. natury osobistej, czy też informacjami co prawda dotyczącymi sfery pracy, ale nienadającymi się do rozpoznawania w ramach postępowania wyjaśniającego (np. zepsuta szafka, za niskie wynagrodzenie).
Zasada 10. Słuchaj swoich pracowników i staraj się uwzględniać ich prośby. Procedura whistleblowingowa opiera się w sporej mierze na zaufaniu i współpracy, przez co jej skuteczność uzależniona jest od dobrej woli stron. Warto być otwartym na pomysły pracowników i starać się kształtować zasady zgłaszania nadużyć z uwzględnieniem wskazywanych przez nich preferencji oraz specyfiki danego zakładu pracy czy nawet pracy na konkretnych stanowiskach.
Zbudować świadomość
Dla poprawnego działania systemu whistleblowingowego kluczowa jest świadomość samych pracowników, jakie są ich obowiązki i jaka jest ich rola w tym procesie. Tę świadomość trzeba kształtować.
Jednym z naczelnych obowiązków pracownika jest wskazany wprost w art. 100 par. 2 pkt 4 ustawy z 26 czerwca 1974 r. - Kodeks pracy (t.j. Dz.U. z 2020 r. poz. 1320; ost.zm. Dz.U. z 2020 r. poz. 1162; dalej: k.p.) obowiązek dbałości o dobro zakładu pracy i obowiązek ochrony jego mienia. Na szczególną uwagę zasługuje odniesienie jego realizacji nie tylko do samego pracodawcy, lecz także do szerszego znaczeniowo zakładu pracy. Zakład pracy jest bowiem wartością, bytem, który tworzy nie tylko pracodawca i jego mienie, lecz także ‒ a może przede wszystkim ‒ pracownicy. Budowanie firmy opartej na wartościach wymaga szczególnego parasola ochronnego. Tym samym obowiązek z art. 100 par. 2 pkt 4 k.p., aby nadać mu pełniejszy wymiar i charakter, trzeba odnieść do dobra wspólnego całej pracowniczej społeczności.
Część wyprowadzanych z tego obowiązku zakazów i nakazów jest oczywista. Mowa tu np. o zakazie kradzieży mienia pracodawcy czy prowadzenia kosztem pracodawcy działalności konkurencyjnej. Na jego podstawie można też oczekiwać określonej aktywności i pozytywnych zachowań pracowników dla dobra zakładu pracy. Wreszcie nie tylko można wymagać od pracownika, aby zaniechał podejmowania takich działań, lecz także aby odpowiednio reagował na nieprawidłowości tego typu, o których powziął wiedzę. I to jest właśnie esencja whistleblowingu.
Jak orzekł m.in. Sąd Najwyższy w wyroku z 1 października 1998 r. (sygn. akt I PKN 351/98), wiedza pracownika o działaniu podjętym przez innego zatrudnionego na szkodę firmy i zatajenie tej informacji mogą być uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną na podstawie art. 52 k.p. Istota tego orzeczenia świetnie oddaje cel dyrektywy. Jak się wydaje, w takim duchu przygotowany został również projekt ustawy. Oznacza to, że nie tylko prawem, lecz także obowiązkiem jest raportowanie nieprawidłowości. Chodzi o to, żeby pracownicy mieli poczucie współodpowiedzialności za zakład pracy. Wówczas pracownicy nie będą zagrożeni zwolnieniem, a pracodawcy nie będą zmuszeni sięgać po tak radykalne środki.
Pracodawcy muszą być w stanie również przekonać pracowników, że zgłaszanie nieprawidłowości nie może mieć na celu szykany czy odwetu. Możemy przy tym wymagać dobrej wiary, którą powinniśmy weryfikować. Każde zgłoszenie powinno być oparte na uzasadnionych okolicznościach, które uprawdopodabniają istnienie procederu działania na szkodę zakładu pracy. Warto, aby pracodawca, wdrażając wewnętrzne regulacje dotyczące sygnalistów, wyraźnie zaznaczył w nich, że dokonanie zawiadomienia w złej wierze - co jest sprzeczne z zasadami współżycia społecznego i dobrem zakładu pracy - również stanowi naruszenie obowiązków pracownika, z wszystkimi tego skutkami.
Jak zorganizować relacje ze związkami
Regulamin zgłoszeń wewnętrznych będzie musiał być skonsultowany z zakładową organizacją związkową. Związki powinny zaś współpracować z pracodawcą przy wdrażaniu stosownych rozwiązań. Dlatego analiza problematyki ochrony sygnalistów jest również istotna z perspektywy relacji pracodawcy ze związkami zawodowymi. Działalność związkowa to działalność społeczna, w założeniu polegająca na reprezentowaniu i ochronie praw pracowników. W takim zakresie więc jej istota pokrywa się z celami dyrektywy.
Ustawodawca wyposażył związki zawodowe w kompetencję do kontroli przestrzegania przepisów dotyczących interesów pracowników. Brak wdrożenia wewnętrznych kanałów dokonywania zgłoszeń nieprawidłowości może zostać potraktowany jako uchybienie pracodawcy.
Inny obowiązek związkowców to współtworzenie korzystnych warunków pracy i bytu, przez które rozumieć można m.in. funkcjonujące w praktyce mechanizmy ochrony sygnalistów. Związki powinny zatem współpracować z pracodawcą przy wdrażaniu stosownych rozwiązań i zachęcać pracowników do zgłaszania nieprawidłowości w danej organizacji. Co więcej, związki zawodowe sprawują kontrolę nad przestrzeganiem prawa pracy oraz uczestniczą w nadzorze nad przestrzeganiem przepisów oraz zasad bezpieczeństwa i higieny pracy. Celem wprowadzania mechanizmów ochrony sygnalistów jest prewencyjne wykrywanie nieprawidłowości i odpowiednio wczesne im zapobieganie. Współdziałanie przy wdrażaniu zasad whistleblowingu stanowi zatem element tego nadzoru.
Projekt ustawy przewiduje obowiązek pracodawcy do przeprowadzenia z zakładową organizacją związkową konsultacji dotyczących treści regulaminu zgłoszeń wewnętrznych. Jeśli taka organizacja nie działa w zakładzie, to trzeba go skonsultować z przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy. Udział związków zawodowych w powyższej procedurze jest więc obowiązkowy i wynika bezpośrednio z art. 28 ust. 3 projektu ustawy dotyczącej whistleblowingu. Sam wynik konsultacji nie jest natomiast dla pracodawcy wiążący.
Ważne! Pracodawca w myśl projektu polskiej ustawy będzie miał obowiązek skonsultowania treści regulaminu zgłoszeń wewnętrznych z zakładową organizacją związkową. Jeśli taka organizacja nie działa, to konsultacje powinny być przeprowadzone z przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy.
Możliwe spory wewnątrz organizacji
To, że wdrożenie i funkcjonowanie skutecznych procedur whistleblowingu powinno leżeć w interesie wszystkich stron - pracowników, pracodawców oraz związków zawodowych - nie oznacza, iż będą one w swych ocenach całkowicie zgodne. Istnieje ryzyko, że związkowcy mogą próbować wykorzystywać wprowadzaną przez pracodawcę infrastrukturę techniczną służącą ochronie sygnalistów dla swoich własnych celów. Taki scenariusz może być dla pracodawcy kłopotliwy. Uzyskanie przez przedstawiciela związków dostępu do poufnych danych objętych treścią zgłoszeń nierzadko może narazić pracodawcę na szkodę. Międzyzakładowe organizacje związkowe będą mogły oceniać, które rozwiązania się sprawdzają, a które działają wadliwie, i próbować forsować wprowadzanie tych pierwszych w zakładach pracy, na terenie których funkcjonują, co nie zawsze będzie uzasadnione z uwagi na specyfikę danego zakładu. Wreszcie żądania związków zawodowych mogą obejmować niezwłoczne informowanie o wszystkich zarzutach kierowanych w zgłoszeniach w stosunku do ich członków oraz wprowadzenie ich przedstawiciela do komisji wyjaśniającej.
Pracodawca, dbając o własny interes, powinien współpracować ze związkami przy wdrażaniu mechanizmów ochrony sygnalistów tylko w takim wymiarze, w jakim będzie wynikać to z przepisów prawa (konsultowanie regulaminu) lub będzie to dla niego korzystne. To bowiem pracodawca ma ogólną kompetencję do organizacji procesu pracy oraz doboru odpowiedniej infrastruktury. Z tego powodu warto, aby korzystał z dostępnych narzędzi i nie zgadzał się na wszystkie postulaty strony związkowej.
Ochrona danych osobowych. Nie tylko sygnalistów
Udzielenie ochrony sygnalistom to bardzo ważne zadanie dla pracodawców. Przy jego realizacji trzeba jednak uważać, by nie naruszyć zasad dotyczących ochrony danych osobowych. Pracodawca musi stosować rozwiązania techniczne i organizacyjne zapewniające zgodność z wymogami prawa w tym zakresie. Nie należy ujawniać treści zgłoszeń ani tożsamości sygnalistów, które powinny pozostać tajemnicą. Przekazując informacje objęte treścią zgłoszenia, należy kierować się zasadą need-to-know, a zatem dostęp do nich powinny mieć tylko te osoby, którym jest to niezbędne do podjęcia odpowiedniej reakcji.
Nie można zapomnieć, że prawo chroni nie tylko dane osobowe sygnalistów, lecz także ewentualnych sprawców czy świadków opisywanych w zgłoszeniach zdarzeń.
Na wymóg stosowania RODO (czyli rozporządzenia Parlamentu Europejskiego i Rady UE nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; Dz.Urz. UE z 2016 r. L 119, s. 1) przy korzystaniu z mechanizmów whistleblowingowych wskazuje wprost sama dyrektywa. Oznacza to konieczność dostosowania wewnętrznych procedur do przewidzianych w RODO zasad, takich jak zasada legalności, celowości, poufności czy minimalizacji danych.
Sporo o danych osobowych mówi też projekt ustawy. Projektowany przepis (art. 8 ust. 3) obliguje pracodawcę w szczególności do przechowywania gromadzonych w związku z przyjmowaniem zgłoszeń danych osobowych nie dłużej niż przez pięć lat od dnia przyjęcia zgłoszenia.
Podstawa do przetwarzania
Nawet tak fundamentalna kwestia jak podstawa przetwarzania danych wydaje się dość problematyczna. W przypadku osób, które decydują się na podpisanie (zamieszczenie swojego imienia i nazwiska) na zgłoszeniu, można by błędnie przyjąć, że podstawą przetwarzania będzie ich zgoda. W naszej ocenie jednak podstawa ta nie jest prawidłowa do realizacji celu przetwarzania, w szczególności mając na uwadze możliwość wycofania zgody w dowolnym czasie, co w konsekwencji mogłoby uniemożliwić dalsze prowadzenie postępowania wyjaśniającego. Projekt ustawy zresztą mówi, że pracodawca po otrzymaniu zgłoszenia może w celu weryfikacji zgłoszenia oraz podjęcia działań następczych zbierać i przetwarzać dane osobowe osoby, której dotyczy zgłoszenie, nawet bez jej zgody (art. 8 ust. 2). W naszej ocenie zatem podstawą przetwarzania danych osobowych sygnalistów będzie niezbędność realizacji obowiązku prawnego administratora bądź prawnie uzasadniony interes, polegające na wszczęciu i przeprowadzeniu postępowania wyjaśniającego.
Analogiczne podstawy znajdą zastosowanie do przetwarzania danych innych uczestników zgłoszenia i postępowania (np. świadków czy potencjalnych sprawców). Projekt ustawy określa ich jako osoby pomagające w dokonaniu zgłoszenia lub osoby powiązane ze zgłaszającym. Do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby mające pisemne upoważnienie pracodawcy. Prawo wymaga od nich zachowania przetwarzanych danych w tajemnicy.
Czy można zatrudnić zewnętrzną firmę do tego, aby zajmowała się przetwarzaniem danych osobowych? Kto będzie wówczas administratorem danych osobowych?
Prawne regulacje w przedmiocie danych osobowych nie stoją na przeszkodzie, aby pracodawca (administrator danych) mógł korzystać z usług zewnętrznych dostawców infrastruktury whistleblowingowej. W zależności od konkretnych okoliczności w takiej sytuacji podmiot trzeci będzie przetwarzać dane jako tzw. podmiot przetwarzający (na podstawie umowy powierzenia przetwarzania danych) bądź jako osobny administrator.
Inne wymogi RODO
Danych osobowych, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie należy zbierać, a w przypadku ich przypadkowego zebrania powinno się je usunąć bez zbędnej zwłoki.
Administrator danych osobowych, czyli pracodawca, powinien również zwrócić uwagę na kwestie organizacyjno-techniczne ochrony danych osobowych sygnalisty. RODO i projekt ustawy obligują go do wdrożenia odpowiednich środków technicznych w tym zakresie, m.in. do należytego zabezpieczenia serwerów, ustanowienia silnych haseł dostępu czy przeszkolenia osób odpowiedzialnych za rozpatrywanie zgłoszeń i zobowiązania ich do zachowania danych w tajemnicy. Wreszcie pracodawcy powinni zaktualizować swoje polityki ochrony danych osobowych, a jeśli takich nie mają - niezwłocznie wdrożyć odpowiednie, uwzględniając przy tym rozwiązania whistleblowingowe. Dokumenty te powinny łączyć w sobie zasady ochrony sygnalistów i ochrony danych osobowych.
Poufną informacją trzeba właściwie zarządzać
Podczas rozpatrywania zgłoszenia i możliwego nadużycia nim objętego trzeba umiejętnie podejść do kwestii gromadzonych materiałów - tak aby później można było wykorzystać je jako dowody w sprawie (jeśli będzie taka konieczność, także na drodze postępowania sądowego).
Wstępna ocena i anonimizacja
Osoba odpowiedzialna za przyjmowanie zgłoszeń, np. compliance officer, w pierwszej kolejności powinna poddać uzyskane informacje wstępnej ocenie, mającej na celu wskazanie głównych ryzyk dla organizacji związanych z zarzucanym nadużyciem. Kolejne kroki będą zależały od rodzaju naruszenia, zakresu przekazanych informacji, osób, których dotyczy zgłoszenie (sprawców), lub ofiary naruszenia.
Jeśli zgłoszenie wymienia jego nadawcę, to przed przekazaniem sprawy do dalszego rozpoznania należy zapewnić mu anonimowość. W tym celu warto nadać projektowi odrębną i niekojarzącą się ze zgłoszeniem nazwę (np. „Projekt Szafirowy Blask”, a nie „Sprawa A. Kowalskiego”).

Schemat

Postępowanie po otrzymaniu zgłoszenia
1. Wpłynięcie zgłoszenia o nieprawidłowościach.
2. Przygotowanie zawiadomienia o przyjęciu zgłoszenia i przekazanie go sygnaliście.
Uwaga! Odpowiedź powinna nadejść nie później niż w ciągu 7 dni od otrzymania zgłoszenia.
3. Wprowadzenie informacji o zawiadomieniu do rejestru zgłoszeń.
4. Wstępna analiza zgłoszenia.
5. Przekazanie informacji o zgłoszeniu do władz organizacji.
6. Powołanie komisji wyjaśniającej.
7. Zabezpieczenie i zebranie materiału dowodowego.
8. Przeprowadzenie postępowania wyjaśniającego.
9. Przekazanie sygnaliście oraz osobie, której dotyczy zgłoszenie, informacji o wynikach postępowania.
Uwaga! Informacja ma zostać przekazana w terminie maksymalnie trzech miesięcy od upływu siedmiu dni od dokonania zgłoszenia.
10. Wprowadzenie informacji o rezultatach postępowania wyjaśniającego do rejestru zgłoszeń.
11. Ewentualne wyciągnięcie konsekwencji wobec sprawców nadużyć.
Ważne! Przedsiębiorca powinien prowadzić dokumentację każdego otrzymanego zgłoszenia od sygnalistów, gromadząc ją zgodnie z wymogami poufności.
Merytoryczna weryfikacja
Przy dokonywaniu merytorycznej weryfikacji zgłoszeń dobrym rozwiązaniem jest wydzielenie bloków tematycznych występujących w ramach danej nieprawidłowości (o ile oczywiście zgłoszenie porusza kilka aspektów), np. mobbing, defraudacja firmowych pieniędzy oraz praca cudzoziemców bez wymaganego zezwolenia. Kierując się zasadą need-to-know, do każdego z tak wyodrębnionych bloków należy następnie wyznaczyć osobną listę koniecznych do zaangażowania osób (wiedzę na temat ewentualnego mobbingu mogą mieć menadżerowie czy dział HR, natomiast w kwestiach defraudacji może to być księgowość, dział finansowy czy dział sprzedaży) i przekazywać im informacje jedynie w zakresie ich specjalizacji.
Niezależne od okoliczności nie powinno się lekceważyć zgłoszenia, choć może się zdarzyć, że zostanie ono wystosowane w złej wierze, np. jako wyraz buntu pracownika przeciwko niekorzystnej dla niego polityce awansów w firmie czy po przeprowadzonej z nim rozmowie dyscyplinującej. W interesie pracodawcy jest jednak dokładne zweryfikowanie każdego zgłoszenia, koszty i inne konsekwencje rozpatrzenia tych fałszywych mogą bowiem okazać się znacznie mniejsze od tych związanych ze zignorowaniem któregokolwiek prawdziwego.
Zabezpieczenie dowodów
Przy zabezpieczaniu dowodów należy pamiętać przede wszystkim o zasadach kontroli aktywności pracowników, związanych m.in. z tajemnicą korespondencji. Jeśli np. pracodawca stosuje monitoring poczty pracowników, to może skorzystać ze służbowej korespondencji jako dowodu w sprawie, jednak nie może zapominać o ograniczeniach w tym zakresie (np. wcześniejszym poinformowaniu o tym pracownika). Uzyskanie dostępu do wiadomości e-mailowych pracownika oznacza bowiem przetwarzanie nie tylko jego danych osobowych, lecz także danych wszystkich jego rozmówców. RODO pozwala na to pracodawcy m.in. ze względu na konieczność wypełniania obowiązków i wykonywania szczególnych praw w dziedzinie prawa pracy oraz w razie niezbędności ustalenia, dochodzenia lub obrony roszczeń. Podstawy te jednak pracodawca musi umieć wykazać.
Coraz częściej się zdarza, że naruszenie dotyczy aktywności pracownika w sieci, np. w mediach społecznościowych. W razie otrzymania zgłoszenia o takiej nieakceptowalnej z perspektywy pracodawcy aktywności należy odpowiednio zabezpieczyć dowody, np. poprzez wykonanie zdjęć czy zrzutów ekranu (tzw. screenshotów). Warto również rozważyć, czy tak pozyskane dowody nie powinny być zabezpieczone notarialnie, poprzez sporządzenie protokołu otwarcia strony internetowej, na której widnieje przedmiotowy wpis. To rozwiązanie jest stosunkowo tanie (koszt sporządzenia takiego protokołu u notariusza to ok. 200 zł), a może zdecydować o ostatecznym rozstrzygnięciu sporu sądowego. Niezależnie od powyższego jako środek prewencyjny rekomendujemy wprowadzenie wewnętrznych regulacji (polityk) regulujących zasady korzystania z mediów społecznościowych. Ich posiadanie staje się powoli rynkowym standardem i jest bardzo pomocne również w podnoszeniu świadomości pracowników co do korzystania z mediów społecznościowych i ochrony interesów pracodawcy w tym zakresie.
Istotne jest również, aby w procesie weryfikacji zgłoszenia i zabezpieczenia dowodów dochowywać najwyższych standardów poufności i bezpieczeństwa informacji. Za niedopuszczalną należy uznać sytuację, w której wyjaśnianie danej okoliczności (i sama wiadomość o niej) rodzi zakładowe plotki. Ma to również wpływ na późniejszą ocenę wartości dowodowej zeznań świadków, którzy wiedzę o sprawie czerpią z pogłosek, a nie ze zweryfikowanych przez siebie informacji.
Whistleblowing a monitoring
Zagadnieniem zbliżonym do omawianej powyżej ochrony danych osobowych jest kwestia korzystania z monitoringu w sprawie sygnalistów i relacja zasad rządzących jego stosowaniem do tych, jakie przewidują przepisy kodeksu pracy i RODO.
Kodeks pracy wyróżnia: monitoring wizyjny ‒ polegający na wykorzystaniu kamer w zakładzie pracy, monitoring poczty elektronicznej oraz inne formy monitoringu.
Powstaje jednak pytanie, czy pracodawca może wykorzystać informacje zdobyte dzięki stosowaniu monitoringu w celu weryfikacji prawdziwości zarzutów objętych treścią zgłoszenia, tj. jako dowód w postępowaniu wyjaśniającym. Zarówno film z kamery zakładowej, jak i wydruk z aktywności pracownika na służbowym sprzęcie mogą zostać w tym celu wykorzystane, jednak tylko pod pewnymi warunkami. Podstawowy to zgodność celów z tymi stawianymi przez RODO i kodeks pracy.
Jak stanowi RODO, cel wprowadzenia monitoringu powinien być konkretny, wyraźny i prawnie uzasadniony. Pracodawca zobowiązany jest zareagować na każdy zarzut nieprawidłowości. Konieczność wypełniania tego obowiązku i wykonywania szczególnych praw w dziedzinie prawa pracy pozwala mu na przetwarzanie nawet szczególnych kategorii danych osobowych. Tę okoliczność należy więc wskazać jako podstawę przetwarzania danych osobowych zawartych odpowiednio na nagraniu lub w materiałach pozyskanych z innych form monitoringu mających związek ze zgłoszeniem (ofiary, sprawcy czy świadków).
Definicja słownikowa każe rozumieć monitoring jako stałą obserwację i kontrolę procesów lub zjawisk albo stały nadzór nad jakimś obiektem chronionym. Przekładając tę definicję na grunt prawa pracy, procesami właściwymi będą te związane z wykonywaniem pracy, a obiektem chronionym - zakład pracy (rozumiany szeroko, jak zostało to zdefiniowane w początkowej części poradnika). Tak rozumiany monitoring jest przez prawo dopuszczalny, a pracodawca w ramach swojej kompetencji do organizacji pracy i zarządzania przedsiębiorstwem jest uprawniony do jego stosowania. Pracownicy znajdują się w relacji z pracodawcą w stosunku podporządkowania, z którego wynika prawo ich kontrolowania. Pracodawca odpowiada też za skutki możliwych naruszeń, przez co naturalne jest jego dążenie do ich unikania i minimalizacji (na co pozwolić może właśnie monitoring). Co więcej, dyrektywa nakłada na niego szczególne obowiązki w związku z ochroną sygnalistów. W celu ich realizacji, a zatem w celu przestrzegania prawa i zapewnienia stanu zgodnego z jego literą, pracodawca ma prawo (a gdy jest to niezbędne do realizacji takiego celu - wręcz obowiązek) wdrożyć odpowiednią infrastrukturę i stosować monitoring w formie dostosowanej do potrzeb jego organizacji. Warunkiem koniecznym legalności takiego działania jest zgodność celu stosowania danej formy monitoringu z prawem.
Do tego dochodzi jeszcze obowiązek ochrony pozostałych wartości, wszak ochrona interesu i konieczność realizacji obowiązków pracodawcy nie mają charakteru bezwzględnego. Trzeba więc pamiętać o tajemnicy korespondencji pracownika oraz dobrach osobistych - jego oraz innych osób, np. jego rozmówców. W związku z tym stoimy na stanowisku, że przy zachowaniu powyższych zasad wykorzystanie informacji uzyskanych z monitoringu (np. zapisu z kamery) jest dopuszczalne do przeprowadzenia postępowania wyjaśniającego (w niezbędnym zakresie) spowodowanego zgłoszeniem sygnalisty, mimo iż cel ten nie jest wskazany wprost w kodeksie pracy. W przeciwnym razie pracodawca nie mógłby w pełni zrealizować swoich obowiązków, co prowadziłoby do absurdów, w których musiałby udawać brak wiedzy na temat ujawnionych okoliczności, mimo iż byłby w posiadaniu materiałów dotyczących zdarzenia.
Apelujemy jednak o ostrożność. Przed wdrożeniem jakiejkolwiek formy monitoringu należy o tym fakcie pracowników poinformować, a cele, zakres oraz sposób zastosowania monitoringu odpowiednio uregulować (co może wymagać współdziałania ze stroną związkową). Informacji nie można przekazać już po fakcie, a ewentualne pozyskanie i wykorzystanie dowodów zdobytych bez zrealizowania obowiązku informacyjnego będzie naruszało przepisy o ochronie danych osobowych.
Niedopuszczalny podgląd
Hipotetycznie istnieje jeszcze jedna możliwość wykorzystania monitoringu w kontekście sygnalistów - jako sposobu ustalenia osoby, która dokonała zgłoszenia. Choć faktycznie możliwe może być np. wskazanie na podstawie nagrania z kamer pracownika, który wrzucił pismo do skrzynki na zgłoszenia, to taka praktyka jest niedopuszczalna. Jest bowiem całkowicie niezgodna z celami, dla których monitoring może być ustanowiony. Co więcej, pozbawia sygnalistów zagwarantowanej im w dyrektywie i implementującej ją ustawie anonimowości, tym samym odstraszając ich od informowania o nieprawidłowościach. Wreszcie rodzi uzasadnione podejrzenia o chęć podjęcia wobec takich osób działań odwetowych, przed którymi również dyrektywa i ustawa udzielają specjalnej ochrony.
Korzystanie z monitoringu w sprawach związanych z ochroną sygnalistów jest zatem dozwolone, jednak obarczone obowiązkiem zachowania wielu reguł. Należy pamiętać o celu działania i jego granicach. Monitoring powinien wspierać procedury whistleblowingowe, udzielając sygnalistom szerszej ochrony, a nie stanowić narzędzie do ich sankcjonowania.
Z kim dzielić się protokołem
W ramach postępowania wyjaśniającego komisja otrzymuje wiele objętych tajemnicą informacji nie tylko dotyczących sygnalisty czy potencjalnego sprawcy naruszenia, lecz także licznych osób postronnych. Do tego poruszane podczas rozmów tematy ze względu na przedmiot postępowania mogą mieć charakter intymny lub osobisty (relacje interpersonalne, atmosfera w zespole, sytuacje konfliktowe). W każdej z tych sytuacji trzeba pamiętać, że przepisy chroniące sygnalistów kładą szczególny nacisk na zasady poufności i ochronę danych osobowych, gwarantując sygnaliście szansę na pozostanie anonimowym.
Dlatego krąg adresatów protokołu (raportu) z posiedzeń komisji, podobnie jak samej skargi, ustalić trzeba zgodnie z zasadą need-to-know (opisaną szerzej w części poświęconej ochronie danych osobowych). Wśród tych, którzy mogą mieć wgląd do protokołu, należy wskazać poniższe podmioty.
Zarząd. Oprócz samej komisji - czy to powołanej ad hoc dla celów przeprowadzenia konkretnego postępowania wyjaśniającego, czy też stale funkcjonującej u pracodawcy ‒ podstawowym adresatem raportu jest zarząd. Organ ten jest bowiem właściwy do podjęcia decyzji co do planowanych reakcji zaradczych (czy też, znowu odwołując się do terminologii pochodzącej z projektu ustawy, działań następczych). Ponosi też odpowiedzialność za ewentualne skutki stwierdzonych nadużyć. Wreszcie jako najważniejszy podmiot w strukturze organizacji siłą rzeczy ma największą o niej wiedzę, przez co z najszerszej perspektywy będzie mógł ocenić wnioski i twierdzenia zawarte w protokole.
Compliance officer. W przedsiębiorstwach, w których występuje compliance officer, również on powinien mieć wiedzę o wynikach posiedzeń komisji wyjaśniającej. Jego rolą jest bowiem m.in. identyfikacja ryzyk i zagrożeń oraz proponowanie środków prewencyjnych. Wiedza o stwierdzonych nieprawidłowościach jest mu zatem niezbędna do prawidłowego wykonywania powierzonych mu zadań.
W pozostałym zakresie każdy przypadek udzielenia dostępu do wyników pracy komisji trzeba oceniać indywidualnie, kierując się koniecznością minimalizacji kręgu odbiorców. Jeśli w danej sytuacji wydaje się to uzasadnione, to można, po otrzymaniu stosownych oświadczeń o poufności, tekst protokołu przekazać np. dyrektorowi HR lub osobie zarządzającej daną jednostką organizacyjną (np. jednej z fabryk firmy). ramka 3

Ramka 3

Uwaga! O tym trzeba pamiętać!
• Sporządzający protokół członek komisji nie powinien dawać go do sczytania pod kątem literówek czy oczywistych omyłek pisarskich innej osobie (np. asystentowi).
• W przypadku chęci przekazania protokołu (np. do zarządu) w formie papierowej warto taki dokument wydrukować i osobiście przekazać do rąk adresata.
• W przypadku wysyłania protokołu e-mailem czy na odrębnym nośniku danych warto opatrzyć go hasłem, wysyłanym osobnym kanałem, np. za pośrednictwem SMS. W ten sposób sporządzający protokół ograniczy ewentualny dostęp osób trzecich do treści protokołu.
Czy sygnalista i świadkowie mogą mieć wgląd do protokołu?
Nigdy protokołu nie można wysłać samemu sygnaliście. O możliwie stwierdzonych nieprawidłowościach zostanie on poinformowany, jednak nie może to odbyć się przez bezpośrednie przekazanie protokołu.
Nie jest też właściwa praktyka przekazania całego protokołu wysłuchiwanym osobom w celu potwierdzenia, że przedstawione wnioski pokrywają się z treścią składanych przez nich wyjaśnień. Rola świadków polega na przekazaniu komisji wszystkich informacji, które ta może przy dokonywaniu analizy uznać za wartościowe. To właśnie komisja powinna zadbać o to, żeby w protokole znalazły się zapisy odpowiadające ustnym wyjaśnieniom słuchanego, a nie on sam.
Czy poza regulaminem wewnętrznym konsultacjom ze związkami zawodowymi podlega też efekt końcowy raportu?
Choć projekt ustawy rolę związków zawodowych ogranicza do konsultacji treści regulaminu zgłoszeń wewnętrznych, to dyrektywa dopuszcza sytuację, w której do przyjmowania zgłoszeń zostaną upoważnieni przedstawiciele związków zawodowych. Z wielu powodów nie jest to jednak rozwiązanie rekomendowane. Podstawowym zadaniem związku zawodowego jest reprezentowanie oraz obrona praw i interesów pracowników. Na podstawie stwierdzonych w trakcie prac komisji naruszeń właściwy organ spółki będzie musiał wyciągnąć zaś konsekwencje dyscyplinarne wobec sprawcy, co może być nie do pogodzenia z powyższym. W razie zaangażowania przedstawiciela związku zawodowego w prace służące wyjaśnieniu skargi mogą zostać podniesione uzasadnione wątpliwości co do jego bezstronności i obiektywizmu, zwłaszcza jeśli domniemanym sprawcą lub ofiarą jest członek związku.
Odpowiedzialność za przeprowadzenie całego postępowania wyjaśniającego, opracowanie na jego podstawie protokołu i zawarcie w nim stosownych wniosków i rekomendacji spoczywa na niezależnej komisji. W tym zakresie nie ma potrzeby nawiązywania współpracy ze związkiem zawodowym. Co więcej, zaangażowanie jego członków w prace komisji wiązałoby się z koniecznością ujawnienia im informacji poufnych i rozszerzenia katalogu osób upoważnionych do przetwarzania danych osobowych z postępowaniem związanych. To z kolei jest nie do pogodzenia z zasadą need-to-know, o której pisaliśmy wcześniej, a która jest podstawą działania w tak delikatnych sprawach, wymagających zapewnienia ich uczestnikom anonimowości.
Uzgodnienie wyniku raportu komisji ze związkiem zawodowym rodzi także obawę podjęcia próby wyjaśnienia zarzucanych nieprawidłowości przez związek na własną rękę. Chcąc uchronić swoich członków przed negatywnymi konsekwencjami, związkowcy sami mogą próbować organizować przesłuchania świadków czy analizować związkową korespondencję. To natomiast może wywołać niepotrzebny chaos i utrudnić pracę komisji.
Powyższe nie oznacza jednak, że związek zawodowy nie ma nic do powiedzenia w kwestii wyników prac komisji. W razie stwierdzenia naruszeń, które uzasadniają rozwiązanie umowy o pracę z pracownikiem będącym ich sprawcą, pracodawca powinien skonsultować ze związkiem zamiar wypowiedzenia mu umowy lub wystąpić o zgodę na rozwiązanie umowy o pracę bez wypowiedzenia na podstawie art. 52 k.p., gdy sprawcą ma być pracownik szczególnie chroniony. Na tej płaszczyźnie zatem związek może kwestionować wyniki prac komisji. Udział związku zawodowego w działaniach następczych w przedstawionym kontekście będzie zatem nieunikniony.
Związki zawodowe można zaangażować również w działania mające na celu realizację zaleceń pokontrolnych. To, co pracodawca może wspólnie z pracownikami zrobić, aby wypełnić wskazane przez komisję rekomendacje, może podlegać konsultacji ze stroną związkową. Zasoby związku zawodowego, znajomość praktyk i mechanizmów działania wielu procesów może ułatwić wskazanie optymalnego rozwiązania, a szacunek wśród pracowników dodatkowo zmobilizuje ich do aktywnego wdrażania zaplanowanych zmian.
Najpierw protokół, potem rekomendacje i decyzje
Istotnym elementem każdego raportu zwieńczającego pracę komisji wyjaśniającej są udzielone pracodawcy rekomendacje. Ich przedstawienie jest głównym celem powołania komisji, dlatego pracodawca powinien w miarę możliwości w pełni się do nich zastosować.
Nierzadko podczas analizy badanego zjawiska na jaw wychodzą nieprawidłowości niekoniecznie z nim związane, a również wymagające reakcji. Wyspecjalizowana komisja składająca się z doświadczonych doradców powinna być w stanie je wychwycić, aby udzielić pracodawcy kompleksowego wsparcia i przedstawić mu pełen obraz sytuacji. Ostateczny raport powinien zawierać podsumowanie występujących w organizacji problemów wraz z propozycją ich rozwiązania. Najczęściej (bo z pewnymi wyjątkami, o których poniżej) do pracodawcy będzie ostatecznie należała decyzja, czy i w jakim zakresie dostosuje się do wskazanych sugestii.
Wykrycie nieprawidłowości wyczerpującej znamiona przestępstwa ściganego z oskarżenia publicznego to jedna z sytuacji, gdy reakcja pracodawcy wynika wprost z przepisów. Wówczas kodeks postępowania karnego nakłada na niego społeczny obowiązek zawiadomienia o tym prokuratora lub policji. Mimo że przepis ten nie wskazuje wprost sankcji za brak zawiadomienia, stosujący zasady compliance pracodawca powinien go wypełnić. Taki scenariusz jednak ma miejsce relatywnie rzadko, a kryzys najczęściej udaje się zażegnać wewnętrznie.
Zbliżona jest sytuacja wykrycia incydentu dotyczącego ochrony danych osobowych. Przepisy RODO nakazują podjęcie niezwłocznych działań minimalizujących skutki incydentu, dokonanie oceny naruszenia i ewentualne powiadomienie podmiotów danych oraz zgłoszenie do prezesa Urzędu Ochrony Danych Osobowych (przy czym to ostatnie należy wykonać w ciągu 72 godzin od wykrycia naruszenia).
W pozostałych, mniej radykalnych przypadkach, to od pracodawcy zależeć będzie, jakie środki zaradcze uzna za celowe i wystarczające do usunięcia skutków danej nieprawidłowości i zapobiegnięcia powstawaniu podobnych w przyszłości.
Kiedy dyscyplinarka…
W razie stwierdzenia naruszeń o charakterze mobbingowym wskazaną reakcją jest rozwiązanie umowy o pracę i to w trybie dyscyplinarnym. Pracodawca musi pokazać, że nie toleruje działań sprzecznych z wyznawanymi przez jego firmę wartościami. Podobnie będzie w przypadku celowych nadużyć księgowych czy menedżerskich, zwłaszcza jeśli naraziły lub chociażby mogły narazić pracodawcę na szkody finansowe.
Równie stanowczo pracodawca powinien reagować na przejawy naruszeń w zakresie BHP. Rozwiązanie umowy o pracę z pracownikami niestosującymi się do wytycznych, zwłaszcza dotyczących obowiązku zachowania trzeźwości w miejscu pracy, będzie głośnym sygnałem ostrzegawczym dla reszty zespołu. Od zgodności w tym zakresie zależy życie i zdrowie pracowników, więc jednostkowe zwolnienie w szerszej perspektywie wychodzi im na dobre.
Dyscyplinarka będzie właściwą reakcją także na wszelkie inne formy naruszeń podstawowych obowiązków pracowniczych wykryte w postępowaniach wyjaśniających. Obecnie, w erze pracy zdalnej, pracodawcy mierzą się z problemem pracowników widmo, faktycznie nieświadczących pracy. Jeśli komisja wykryje, że dany pracownik jedynie formalnie zajmuje dane stanowisko, a w rzeczywistości nie wykonuje żadnych przypisanych mu zadań, to pracodawca powinien zareagować zdecydowanie i pożegnać się z niewnoszącym wartości dodanej do organizacji pracownikiem. W istocie bowiem takie uchylanie się od wykonywania zadań stanowi nieusprawiedliwioną nieobecność w pracy i daje się zakwalifikować także jako samowolne opuszczenie miejsca pracy czy bezzasadna odmowa wykonania polecenia służbowego.
…a kiedy wypowiedzenie
Także zwolnieniem powinno zakończyć się postępowanie stwierdzające naruszenia w zakresie ujawnienia informacji poufnych lub ochrony danych osobowych. Tu, ze względu na doniosłość zjawiska, poza samym zwolnieniem pracodawca musi przeanalizować infrastrukturalno-organizacyjne mechanizmy, które w przyszłości powinny przeciwdziałać błędom i w efekcie doprowadzić do minimalizacji ryzyka.
W przypadku wykrycia nieprawidłowości w wewnętrznie obowiązujących aktach prawnych należy zalecić ich niezwłoczną zmianę. Gdy wadliwa jest pewna praktyka, warto zaproponować prawidłowy jej kształt, np. poprzez jej sformalizowanie i zapisanie.
Jeśli w zachowaniu (lub zaniechaniu) pracownika stwierdzono poważne nieprawidłowości, to właściwą i pożądaną reakcją pracodawcy jest rozwiązanie umowy o pracę. Trzeba jednak zrobić to umiejętnie, aby ograniczyć ryzyko spotkania się z pracownikiem w sądzie, ale i przygotować się na taką ewentualność.
Uzasadnienie rozwiązania umowy
Powody uzasadniające rozwiązanie z pracownikiem umowy o pracę powinny wynikać z przygotowanego przez komisję raportu. Analizowane przez nią dokumenty z kolei będą stanowić dowody je potwierdzające. Jeżeli wykryte w postępowaniu nieprawidłowości są wystarczające do rozwiązania umowy, to nie ma sensu podawać pracownikowi dodatkowych powodów zwolnienia, np. że dany pracownik poza zachowaniami niepożądanymi wobec członków zespołu (co zostało stwierdzone podczas prac komisji) osiągał w dodatku niskie wyniki pracy (co wykraczało poza zakres postępowania wyjaśniającego). Taka praktyka niepotrzebnie rozmyje obraz sytuacji i może sprowokować pracownika do wystąpienia na drogę sądową i kwestionowanie wypowiedzenia.
Co do zasady na dokonanie zwolnienia bez wypowiedzenia pracodawca ma miesiąc od uzyskania wiadomości o okoliczności uzasadniającej rozwiązanie umowy. Tego terminu bezwzględnie trzeba pilnować, gdyż jego naruszenie (nawet jeśli uzasadnione) bywa pierwszym argumentem wyciąganym przez pracownika w celu zakwestionowania zwolnienia.
Gdy naruszenie obowiązków pracowniczych nie jest na tyle ciężkie, aby uzasadniało zwolnienie dyscyplinarne, z pracownikiem można rozwiązać umowę za wypowiedzeniem. Warto pamiętać, że przy umowach na czas nieokreślony wypowiedzenie również musi zawierać przyczynę rozwiązania kontraktu.
Warto zadbać o dowody
W trakcie biegu okresu wypowiedzenia pracodawca może skorzystać z takich mechanizmów, jak wysłanie pracownika na obowiązkowy urlop wypoczynkowy czy zwolnienie z obowiązku świadczenia pracy. Bywa bowiem tak, że po otrzymaniu wypowiedzenia sprawca naruszenia może negatywnie wpływać na zespół, namawiać współpracowników do przedstawiania swojej wersji wydarzeń (również w późniejszym procesie sądowym), próbować gromadzić dostępne u pracodawcy dowody, wynosić czy zabezpieczać informacje poufne itp. Praktyka pokazuje, że takie próby są bardzo często przez pracowników podejmowane, nawet jeśli rozwiązanie umowy było w pełni uzasadnione.
W razie podjęcia decyzji co do zobowiązania pracownika do kontynuowania pracy w okresie wypowiedzenia (choćby w celu dokończenia projektu) za wyprowadzenie danych służbowych pracodawca może pracownika zwolnić dyscyplinarnie. Już sam fakt samowolnego przesłania sobie przez pracownika poufnych dokumentów pracodawcy na prywatną skrzynkę mailową stanowi zagrażające interesowi pracodawcy wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa. Co więcej, rozstając się z pracownikiem, warto wytłumaczyć mu konieczność podjęcia przez pracodawcę decyzji o rozstaniu. Opisanie niemożności akceptacji zachowań stojących w sprzeczności z wyznawanymi przez firmę wartościami często może powstrzymać pracownika przed występowaniem na drogę sądową.
Niemożność pogodzenia się ze zwolnieniem oraz łatwość odwołania się do sądu pracy (choćby przez kwotę wolną od opłaty sądowej) sprawiają, że często nawet wzorowo przeprowadzone zwolnienie kończy się w sądzie. Wówczas podstawowymi dowodami będą przygotowany raport komisji wyjaśniającej, dokumenty, na których został oparty, oraz zeznania świadków, w tym tych przesłuchiwanych w postępowaniu wyjaśniającym. Warto zatem zadbać, aby te dowody zostały odpowiednio zabezpieczone już na etapie postępowania wyjaśniającego.
Ochrona przed działaniami odwetowymi
Jedną z najistotniejszych kwestii uregulowanych w dyrektywie jest ochrona sygnalisty przed działaniami odwetowymi. Ustawa definiuje je jako bezpośrednie lub pośrednie działanie lub zaniechanie, które jest spowodowane zgłoszeniem lub ujawnieniem publicznym i które narusza lub może naruszyć prawa zgłaszającego lub wyrządza lub może wyrządzić szkodę zgłaszającemu. Chcąc wprowadzić w organizacji sprawny system whislteblowingu, pracodawca powinien więc zapewnić kompleksowe i spójne mechanizmy ochronne.
Ochrona zgodna z prawem i jednocześnie mogąca spełnić swoje zadanie, czyli zminimalizować obawy przed dokonywaniem zgłoszeń (co jest w interesie pracodawcy), przede wszystkim powinna być pełna. Sygnalista nie może doświadczyć żadnych negatywnych konsekwencji za zgłoszenie nieprawidłowości. Powyższe nie będzie spełnione w szczególności w sytuacji, gdy pracodawca co prawda wyraźnie wprowadzi np. zakaz rozwiązania stosunku pracy z taką osobą, ale nie wykluczy możliwości czasowego powierzenia mu innej pracy czy przeniesienia go do pracy w innej miejscowości.
Ochrona powinna być też szeroka, czyli obejmować wszystkich pracowników oraz - po uwzględnieniu ich w katalogu podmiotowym regulaminu wewnętrznego ‒ szeroko pojętych zatrudnionych, a także osoby, które nie są w sensie ekonomicznym zależne od swojej działalności zawodowej (np. wolontariusze, stażyści). Ponadto ochronę należy zapewnić zarówno osobom zgłaszającym informacje o działaniach lub zaniechaniach w obrębie organizacji (zgłoszenia wewnętrzne) lub organowi zewnętrznemu (zgłoszenia zewnętrzne), jak i osobom ujawniającym takie informacje opinii publicznej. W tym kontekście ochrona powinna rozciągać się nie tylko na bezpośrednie formy odwetu, lecz także te podejmowane pośrednio, w stosunku do osób pomagających w dokonaniu zgłoszenia, współpracowników lub krewnych.
Mechanizmy i procedury ochronne nie mogą być abstrakcyjne i istnieć tylko na papierze, bez jakiegokolwiek przełożenia na rzeczywiste praktyki. Nawet doskonale przygotowany regulamin zgłoszeń wewnętrznych nie przyniesie skutku, jeśli nie będzie przez pracodawcę egzekwowany.
Kolejna cecha ochrony to jej bezterminowość, tzn. że sygnalisty nigdy nie można będzie ukarać za dokonanie zgłoszenia. Bezterminowość to jednak nie bezwzględność (niemożność wyciągnięcia jakichkolwiek konsekwencji, na jakiejkolwiek podstawie), która już nie występuje, co oznacza, że oczywiście możliwe będzie wyciągnięcie konsekwencji wobec sygnalisty na innej podstawie (np. z tytułu innego naruszenia, którego sam się dopuścił). Jeśli objecie sygnalisty parasolem ochronnym jest uzależnione od systemu technicznego czy infrastruktury pracodawcy, to powinien on być w stanie zagwarantować jej pełną sprawność i niezawodność. Ochrona przed działaniami odwetowymi jest związana z prawem do zachowania anonimowości. O realizacji obu tych postulatów nie będzie można mówić, jeśli dojdzie do wycieku danych z systemu lub jeśli ten przestanie funkcjonować.
Ochrona przed działaniami odwetowymi musi iść w parze ze stosowaniem mechanizmów ją gwarantujących. Pracodawca, np. chcąc zwolnić sygnalistę lub zmienić mu wynagrodzenie drogą wypowiedzenia zmieniającego, musi przy tym kierować się obiektywnymi powodami jak przy zwolnieniu ekonomicznym (np. kryzys w branży, w której działa) i te obiektywne powody musi wykazać.
Wreszcie ochrona przed działaniami odwetowymi to także dostęp do odpowiednich roszczeń, np. o odszkodowania, zadośćuczynienie czy przywrócenie do pracy po niesłusznym zwolnieniu.
Dyrektywa posługuje się pojęciem kultury sprawiedliwego traktowania w kontekście naruszeń w branży transportowej. Należy ją rozumieć jako ochronę pracowników przed działaniami odwetowymi w sytuacji, gdy zgłaszają oni swoje własne niezamierzone błędy. Kompleksowy system ochrony przed działaniami odwetowymi powinien objąć także ten aspekt.©℗
Kancelaria PCS Paruch Chruściel Schiffter | Littler Global