Wojciech Dudziński: Dyrektywa o sygnalistach – co czeka przedsiębiorców?

Pracodawcy będą musieli opracować procedury umożliwiające dokonywanie zgłoszeń nadużyć oraz zabezpieczające autorów tych zgłoszeń przed potencjalną zemstą przełożonych.

Publikacja: 07.04.2021 07:49

Wojciech Dudziński: Dyrektywa o sygnalistach – co czeka przedsiębiorców?

Foto: Adobe Stock

Do 17 grudnia tego roku Polska ma czas na wdrożenie dyrektywy Parlamentu i Rady (UE), dotyczącej ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej – zwanej potocznie dyrektywą o sygnalistach.

W 2019 r. Ministerstwo Sprawiedliwości zaprezentowało projekt ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary, która zawierała wytyczne dyrektywy. Projekt ten – jako zbyt represyjny – był jednak szeroko krytykowany przez organizacje biznesowe i prace nad nim zostały wstrzymane. Jaki będzie ostateczny kształt krajowych przepisów dotyczących ochrony sygnalistów? Tego jeszcze nie wiadomo – dyrektywa zawiera jednak wiele regulacji, które będą musiały się tam znaleźć.

Czytaj także:

Ochrona sygnalistów coraz bliżej

Zachęty i rejestracja

W jej treści znajduje się szereg przepisów, których głównym celem jest zachęcenie sygnalistów do zgłaszania nadużyć, dotyczących szerokiego zakresu spraw: korupcji i przestępczości finansowej, ochrony zdrowia, ochrony środowiska etc. W pierwszej kolejności, tj. do 17 grudnia 2021 r., państwa członkowskie mają wdrożyć te przepisy wobec przedsiębiorców zatrudniających powyżej 250 osób oraz jednostek sektora finansów publicznych. Po kolejnych dwóch latach przepisami o ochronie sygnalistów objęte zostaną również firmy zatrudniające od 50 osób.

Sygnalistami mogą być zarówno pracownicy firmy, jak i członkowie organów nadzorczych, a także pracownicy zewnętrznych, współpracujących podmiotów, np. podwykonawców, dostawców etc.

Po wdrożeniu dyrektywy pracodawcy będą musieli opracować procedury umożliwiające dokonywanie zgłoszeń nadużyć oraz zabezpieczające sygnalistów przed potencjalną zemstą przełożonych. Sygnalista ma być chroniony – nie będzie można go zwolnić ani w jakikolwiek sposób dyskryminować. W przypadku podjęcia negatywnych działań przeciwko sygnaliście to na pracodawcy będzie spoczywał obowiązek wykazania, że działania te nie miały związku z dokonanym zgłoszeniem – w przeciwnym wypadku będzie on narażał się na istotne sankcje.

System umożliwiający dokonywanie zgłoszeń (tzw. wewnętrzny kanał zgłoszeniowy) ma być skonstruowany tak, aby maksymalnie chronić tożsamość zgłaszającego – dane sygnalisty nie powinny wychodzić poza krąg osób powołanych do wyjaśniania nadużyć. Zgłoszenia mają być rejestrowane. Co więcej, dyrektywa wymaga, aby sygnalista w ciągu siedmiu dni od zgłoszenia został poinformowany o jego przyjęciu. Następnie pracodawca ma trzy miesiące na poinformowanie sygnalisty o wyniku podjętych czynności wyjaśniających.

Przedsiębiorcy, którzy nie będą respektować praw sygnalistów, zostaną objęci istotnymi sankcjami, których wysokość mają ustalić kraje członkowskie.

Wreszcie dyrektywa wspomina również o tzw. zewnętrznych kanałach zgłoszeniowych, które w dalszej kolejności będzie mógł wykorzystać zgłaszający – tj. do odpowiednich organów lub wprost do mediów.

Wyzwania i zagrożenia

Omawiana dyrektywa zawiera szereg problematycznych kwestii, z którymi przedsiębiorcy już niedługo będą musieli się zmierzyć. Warto już dzisiaj zastanowić się nad tym, bowiem opracowanie i wdrożenie gotowych rozwiązań w tym zakresie na pewno zajmie trochę czasu (pamiętajmy, że dyrektywa ma być wdrożona do 17 grudnia 2021 r.).

- Skuteczny kanał zgłoszeniowy – przedsiębiorca będzie musiał stworzyć poufny i bezpieczny dla zgłaszającego kanał zgłoszeniowy. Mało tego, kanał ten musi dawać możliwość komunikacji ze zgłaszającym. Jak już wspomnieliśmy, zgłaszający musi zostać poinformowany o przyjęciu zgłoszenia, a potem o wynikach postępowania wyjaśniającego. To istotna kwestia, jeżeli bowiem sygnalista uzna, że dany kanał nie jest bezpieczny, zgłosi sprawę do prokuratury lub od razu do mediów. To kreuje szereg ryzyk, w tym reputacyjne oraz związane z działalnością organów ścigania. Pamiętajmy również, że ww. projekt ustawy o odpowiedzialności podmiotów zbiorowych przewiduje wysokie kary finansowe w tym zakresie. Jak zatem rozwiązać ten problem? Najprostszym sposobem jest oczywiście stworzenie dedykowanej skrzynki pocztowej e-mail, na którą sygnaliści będą mogli wysyłać informacje. Jednak w ogólnym odczuciu nie jest to najbardziej bezpieczne rozwiązanie. Lepszym w tym zakresie, ale i nieco droższym, jest skorzystanie ze specjalnych platform zgłoszeniowych, oferowanych przez zewnętrzne firmy. Platformy te znajdują się na zewnętrznych serwerach, a dla większego bezpieczeństwa zgłoszenie może odbywać się poprzez sieć TOR (dzięki czemu ukrywany jest IP zgłaszającego).

- Wyznaczenie osób odpowiedzialnych za wyjaśnianie zgłoszeń – kim mają być te osoby? Będą odpowiedzialne za przeprowadzanie postępowań wyjaśniających, zatem muszą mieć dużą wiedzę z zakresu: finansów, prowadzenia dochodzeń, audytu, informatyki śledczej etc. Czy prawnik zajmujący się compliance w firmie może podołać tej roli? Raczej nie. Jeżeli firma nie posiada działu kontroli wewnętrznej, będzie musiała takie osoby zatrudnić lub zlecić prowadzenie wyjaśnień wyspecjalizowanej zewnętrznej firmie (na co wprost wskazuje dyrektywa).

- Procedura prowadzenia postępowań wyjaśniających – zgłoszenia będą musiały być wyjaśnianie z należytą starannością. Co to oznacza? Z wieloletniego doświadczenia audytora śledczego wiem, że tzw. anonimy zawierają wiele często trudnych do zweryfikowania informacji. Trzeba mieć dużą wiedzę, żeby ocenić, czy dane zgłoszenie jest możliwe do wyjaśnienia i w jakim zakresie. I znowu brak należytej staranności przy wyjaśnianiu zgłoszeń może spowodować to, że zgłaszający użyje zewnętrznych kanałów zgłoszeniowych. Prawdopodobne będą również wysokie sankcje finansowe. Należy zatem przy udziale specjalistów opracować wewnętrzną procedurę, określającą sposób prowadzenia postępowań wyjaśniających, która minimalizować będzie ww. ryzyka.

Nie wiadomo jeszcze, jak wysokie będą sankcje za brak zgodności z regulacjami. Jednak ich przedsmak mogliśmy poznać w ww. projekcie ustawy o odpowiedzialności podmiotów zbiorowych, gdzie sięgały one aż 60 milionów zł, co spowodowało szeroki sprzeciw organizacji gospodarczych. Czy można liczyć na ich złagodzenie? Być może, ale nie byłbym w tym zakresie zbytnim optymistą.

Autor jest audytorem śledczym z ponad 20-letnim stażem i prezesem firmy Fraud Control sp. z o.o. Pracował w firmach audytorskich tzw. Wielkiej Czwórki, prowadził audyty śledcze dla ONZ

Opinie Prawne
Maciej Gawroński: Za 30 mln zł rocznie Komisja będzie nakładać makijaż sztucznej inteligencji
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Opinie Prawne
Wojciech Bochenek: Sankcja kredytu darmowego to kolejny koszmar sektora bankowego?
Opinie Prawne
Tomasz Pietryga: Sędziowie 13 grudnia, krótka refleksja
Opinie Prawne
Rok rządu Donalda Tuska. "Zero sukcesów Adama Bodnara"
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Opinie Prawne
Rok rządu Donalda Tuska. "Aktywni w pracy, zapominalscy w sprawach ZUS"