Zasadniczo, państwa członkowskie, w tym Polska, mają czas na wdrożenie dyrektywy do 17 grudnia 2021 roku i to od niego zależeć będzie ostateczny kształt wymogów w zakresie ochrony sygnalistów. Kluczową ich treść możemy jednak określić już teraz, na podstawie samego aktu unijnego. Chodzi z jednej strony o utworzenie kanałów i procedur umożliwiających swobodne zgłaszanie naruszeń, a z drugiej, o zapewnienie ochrony osobie, która tego zgłoszenia dokonała.
Zakres stosowania dyrektywy
Zakres zastosowania dyrektywy należy rozważyć z dwojakiej perspektywy. Po pierwsze, na kogo nakłada obowiązki, tj. kto ma obowiązek wdrożenia kanałów i procedur zgłaszania naruszeń, po drugie, kogo chroni, czyli komu przysługuje status sygnalisty. Z perspektywy sektora prywatnego, obowiązek dotyczyć ma wszystkich przedsiębiorców zatrudniających powyżej 50 pracowników, jednak kryterium to nie obowiązuje, jeżeli dany przedsiębiorca objęty jest zakresem stosowania jednego z aktów prawnych UE wymienionych w załączniku nr I do dyrektywy. Chodzi tu m. in. o regulacje rynków finansowych, czy AML. Wówczas ma być objęty obowiązkami wdrożenia wymogów ochrony sygnalistów, niezależnie od liczby zatrudnianych pracowników. Dodatkowo, dyrektywa wprost zachęca ustawodawcę krajowego do rozszerzenia obowiązków również na inne obszary i przedsiębiorców, dlatego należy bacznie śledzić proces legislacyjny w Polsce, aby nie zostać zaskoczonym ostatecznym kształtem implementacji. Kryteria określone w samej dyrektywie nie są wygórowane. Obowiązki wynikające z dyrektywy dotkną wielu przedsiębiorców, niekoniecznie tych dużych.
Czytaj także: Sygnaliści w firmie czekają na ochronę
Dyrektywa definiuje pojęcie sygnalisty szeroko. Sygnalistą może być w szczególności pracownik, osoba prowadząca działalność na własny rachunek, akcjonariusz lub wspólnik spółek oraz członek ich organów, wolontariusz, czy stażysta. Nie jest wykluczone objęcie ochroną kandydata na stanowisko pracy, jeśli dowiedział się on o nieprawidłowościach w trakcie rekrutacji, a także byłego pracownika. Sygnalista podlega ochronie, w szczególności, jeżeli dokonał zgłoszenia jednym z kanałów przewidzianych dyrektywą i miał uzasadnione podstawy sądzić, że informacje będące podstawą zgłoszenia są prawdziwe w momencie dokonywania tego zgłoszenia. Kluczowa jest tu zatem przesłanka dobrej wiary. Zgłoszenie musi też dotyczyć naruszeń w określonej dziedzinie prawa np. zamówień publicznych, ochrony konsumentów, danych osobowych, rynku wewnętrznego, w tym zasad udzielania pomocy publicznej.
Nie dla wszystkich podmiotów obowiązki są nowe. W niektórych sektorach wymóg organizacji procesu zgłaszania naruszeń już funkcjonuje. Najlepszym przykładem jest sektor finansowy. Taki obowiązek wynika już z dyrektywy CRD IV wydanej w 2013 roku, zaimplementowanej następnie do Prawa bankowego. Obowiązek wdrożenia procesu zgłaszania naruszeń przewidują także regulacje przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Choć dotyczą one także podmiotów spoza sektora finansowego, to jednak on ponosi główny ciężar realizacji procesów AML. Nie pierwszy raz mechanizmy funkcjonujące w sektorze rynków finansowych stają się wzorcem organizacji systemów compliance w innych sektorach.