Przedsiębiorcy działający w formie spółek prawa handlowego, do których przede wszystkim kierowana jest nowa ustawa, staną zatem już niedługo przed koniecznością sprawdzenia, czy i w jakim ewentualnie stopniu spółka odpowiada wymogom stawianym przez ustawodawcę w nowym akcie prawnym.

Czytaj także: Odpowiedzialność podmiotów zbiorowych: kto i kiedy ją poniesie

Projekt ustawy nie tylko bowiem ma ustanowić nowe zasady odpowiedzialności karnej podmiotów zbiorowych, tj. przede wszystkim spółek prawa handlowego, ale również wprowadzić wymogi rozwiązań z zakresu tzw. compliance.

Chodzi zatem nie tylko o ściganie, ale również o prewencję, odnoszącą się do rozwiązań wewnątrz danej organizacji, a nie, jak to odbywało się w klasycznie pojmowanej polityce karnej – na zewnątrz osób i podmiotów, które mogą popełnić przestępstwo. Trend ten, wywodzący się z systemu angloamerykańskiego prawa karnego, zmierza do minimalizacji ilości przestępstw gospodarczych poprzez nakazanie stosowania przez przedsiębiorców wewnętrznych mechanizmów zapobiegania przestępczości, takich jak właściwy nadzór, ład korporacyjny, wewnętrzny system zgłaszania nieprawidłowości czy procedury i normy wewnętrzne dotyczące zachowań pracowników.

Polski ustawodawca wydaje się zmierzać do podobnego wprowadzenia rozwiązań zapobiegających przestępstwom, nieprawidłowościom oraz nadużyciom w podmiotach gospodarczych. W przypadku projektowanej ustawy chodzi o rozwiązania prewencyjne, odnoszące się wyłącznie do czynów zabronionych przez ustawę pod groźbą kary, czyli przestępstw oraz przestępstw skarbowych. I taki jest pierwszy zasadniczy wniosek z projektu w obecnym kształcie – wymagania projektowanej ustawy mają określony zakres, nie chodzi zatem o każdą szeroko pojmowaną „nieprawidłowość" czy mało precyzyjne „nadużycie" w podmiocie zbiorowym, ale o przestępstwa i przestępstwa skarbowe.

Procedura dla sygnalistów

Wśród rozwiązań przewidzianych w projekcie na pierwszy plan wysuwa się rozdział 4 ustawy zatytułowany „Odpowiedzialność podmiotu zbiorowego związana z działaniami wobec osób sygnalizujących nieprawidłowości". Zasadniczym elementem konstrukcji tego rodzaju odpowiedzialności jest obowiązek wprowadzenia i używania przez podmiot zbiorowy procedury dla osób zgłaszających nieprawidłowości, tzw. sygnalistów. Polski ustawodawca, idąc w ślady innych systemów prawnych, jak francuski i holenderski, zmierza do uregulowania statusu sygnalisty w sposób oficjalny w przepisach rangi ustawowej. Dotychczas bowiem jedynie sektor bankowy miał własne rozwiązanie w tym zakresie i to w randze niższej niż ustawa. Chodzi o obowiązujące rozporządzenie ministra rozwoju i finansów z dnia 6 marca 2017 r. w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej, polityki wynagrodzeń oraz szczegółowego sposobu szacowania kapitału wewnętrznego w bankach (DzU z 2017 r. poz. 637).

Projekt ustawy nie wprowadza bezpośredniego obowiązku wprowadzenia procedury dla osób zgłaszających nieprawidłowości, ale karę za nieprzestrzeganie obowiązku zbierania informacji o nieprawidłowościach w podmiocie zbiorowym lub niewłaściwej reakcji na takie informacje.

Kiedy kara

Podmiot zbiorowy zostanie ukarany, jeżeli jego organy lub osoby sprawujące nadzór wewnętrzny nie przeprowadziły postępowania wyjaśniającego lub nie usunęły stwierdzonych w ramach tego postępowania nieprawidłowości lub naruszeń, które ułatwiły lub umożliwiły popełnienie czynu zabronionego. Kara zostanie wymierzona podmiotowi zbiorowemu w toku postępowania karnego toczącego się przed sądem karnym w przedmiocie zarzutu odpowiedzialności za przestępstwo lub przestępstwo skarbowe wysuniętego przez prokuratora wobec podmiotu zbiorowego.

Postępowanie karne przeciwko podmiotowi zbiorowemu w zakresie jego odpowiedzialności za przestępstwo lub przestępstwo skarbowe będzie prowadzone równolegle, albo nawet wcześniej niż postępowanie przeciwko osobom fizycznym podejrzewanym o popełnienie tych przestępstw.

Autopromocja
Real Estate Impactor

Gala wręczenia nagród liderom w branży nieruchomości

ZOBACZ RELACJĘ

W razie stwierdzenia przez sąd, że podmiot zbiorowy i jego organy nie wypełniły obowiązków ustawowych w zakresie reagowania na informacje od osób sygnalizujących nieprawidłowości, możliwe będzie orzeczenie do 60 mln zł kary finansowej wobec podmiotu zbiorowego, tj. nawet dwukrotnie wyższej niż w innych przypadkach, kiedy to maksymalna kara może wynieść 30 mln zł.

Mimo zatem, że ustawodawca nie zamierza wprowadzić bezpośredniego obowiązku posiadania procedury dla tzw. sygnalistów, to trudno sobie wyobrazić, żeby spółki i inne podmioty zbiorowe nie wprowadziły takich rozwiązań. Wystarczy bowiem jedno przestępstwo popełnione w podmiocie zbiorowym, któremu można było zapobiec albo zminimalizować jego skutki dzięki zwróceniu uwagi na informacje pochodzące od sygnalisty, a nie zrobiono tego – i powstaje ryzyko zasądzenia od danej spółki 30 mln zł kary finansowej.

Projekt bardzo ogólnie określa warunki, jakim mają odpowiadać rozwiązania dla tzw. sygnalistów – mowa jest jedynie o zapewnieniu pracownikom, którzy zgłaszają nieprawidłowości lub nadużycia mogące stanowić przestępstwo, ochronę co najmniej przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania. Zatem to po stronie podmiotu zbiorowego będzie inicjatywa, w jaki sposób i za pomocą jakich rozwiązań należy powyższe warunki zapewnić tzw. sygnalistom.

Trzeba zatroszczyć się o dane osobowe

Należy zauważyć, że dokonywanie zgłoszeń związanych z możliwością popełnienia czynu zabronionego, niedochowaniem należytej staranności, niedopełnieniem obowiązków, czy też nieprawidłowościami w organizacji podmiotu zbiorowego dotyczy najczęściej kwestii wrażliwych i może wpływać na wizerunek nie tylko sygnalisty, ale także osoby, której zgłoszenie dotyczy. Dlatego też istotne jest uwzględnienie w procedurze whistleblowing kwestii związanych z przetwarzaniem danych osobowych. Umiejętne uregulowanie sposobu postępowania z danymi osobowymi, ich przepływu czy ograniczenia dostępu do nich jedynie do osób upoważnionych, biorących udział w procesie decyzyjnym w związku z postępowaniem wewnętrznym, mogą uchronić podmiot nie tylko przed negatywnymi konsekwencjami naruszenia RODO, ale również minimalizować będą ryzyko naruszenia dóbr osobistych (np. wizerunku, prywatności).

Istotne jest zatem, aby zadbać zarówno o dane osobowe sygnalisty, jak i osoby, której zgłoszenie dotyczy. W odniesieniu do sygnalisty przepisy nakazują zadbać, aby w związku ze zgłoszeniem nie doszło do żadnych represji wobec takiego pracownika. Można uznać, że chodzi tutaj zarówno o działania pracodawcy, które podejmuje on w wyniku odebrania zgłoszenia, jak i o zapewnienie ochrony przed represjami ze strony współpracowników. W związku z tym, pracodawca powinien szczególnie zadbać o zachowanie w poufności tożsamości osoby zgłaszającej naruszenie oraz treści zgłoszenia. Jeżeli zgłoszenie nie jest przekazywane anonimowo, a np. wysłane jest na skrzynkę mailową, najlepiej aby była to dedykowana skrzynka, do której dostęp mają wyłącznie osoby dedykowane do wstępnej weryfikacji zgłoszeń o nadużyciach. Jeżeli w organizacji wyznaczono konkretną osobę odpowiedzialną za dokonywanie takiej weryfikacji, w regulaminie lub intranecie można wskazać bezpośrednio jej adres mailowy.

Ostrożności nigdy nie za dużo

W sposób ostrożny należy postępować również z danymi osób, których zgłoszenie sygnalisty dotyczy. Co prawda organy podmiotu zbiorowego mogą przetwarzać dane pracowników i członków organów bez ich zgody w celu zapobiegania popełnieniu czynu zabronionego, a ustawodawca wprost przewidział wyłączenie obowiązku informowania takich osób o źródle, z którego otrzymano ich dane. Jednak należy zwrócić uwagę na dość wąskie sformułowanie tych przepisów. Po pierwsze, wprost brak konieczności pozyskiwania zgody został przewidziany wyłącznie w przypadku działań mających na celu zapobieganie popełnieniu czynu zabronionego. Zatem nie chodzi o każde potencjalne nadużycie. Jednocześnie może się zdarzyć, że w ramach procesu whistleblowing zgłaszane będą nieprawidłowości, które warto rozpatrzyć, a które jako czyn zabroniony się nie kwalifikują, np. pewne zachowania powszechnie uznawane za niepożądane w środowisku pracy. Przedsiębiorca powinien zatem rozważyć, jaka będzie podstawa przetwarzania danych osobowych w takich przypadkach, w szczególności, czy dopuszczalne będzie oparcie się na prawnie usprawiedliwionym interesie administratora danych. W przypadku dokonywania ważenia interesów, konieczne będzie uwzględnienie potencjalnej nierówności stron w relacji pracodawca – pracownik. Ponadto, projekt ustawy nie wyłącza całkowicie wykonywania obowiązku informacyjnego wobec osoby, której zgłoszenie sygnalisty dotyczy. Wyłączenie dotyczy tylko tożsamości sygnalisty. W związku z tym należy rozważyć, w jakim czasie należy dopełnić obowiązku informacyjnego w pozostałym zakresie, aby z jednej strony pozostać w zgodzie z przepisami RODO, a z drugiej zapewnić skuteczność wykrywania nadużyć.

Zdaniem autorów

Katarzyna Sawicka, prawnik, managing associate, Deloitte Legal

Maciej Kuśmierczyk adwokat, managing associate, Deloitte Legal

Procedura whistleblowing powinna przewidywać całą ścieżkę postępowania z danymi osobowymi oraz optymalnie kłaść nacisk na poufność przekazywanych informacji, łącznie z tożsamością osób zaangażowanych. Warto uregulować, kto i na jakim etapie może otrzymać dostęp do danych i jak wyglądają ścieżki eskalacji. Grono osób, którym dane będą przekazywane powinno być ograniczone do niezbędnego minimum. W zależności od organizacji i m.in. stopnia jej złożoności takimi osobami mogą być compliance officer, komitet ds. etyki, niekiedy osoba odpowiedzialna za funkcję HR, jeśli naruszenie dokonywane jest przez pracownika, a także zarząd.