Poczucie bezpieczeństwa jest tym, czym się staje.                         

1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23.10.2019 w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej „Dyrektywa”) zobowiązała do wdrożenia wynikających z niej zasad przez podmioty publiczne oraz prywatne zatrudniające powyżej 50 osób (niezależnie od charakteru ich działalności), a także niezależnie od wielkości zatrudnienia, przez podmioty działające w dziedzinach określonych w art. 2 ust. 1 lit a). Państwa członkowskie wprowadzają w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy do dnia 17 grudnia 2021, przy czym, na zasadzie odstępstwa od w/w reguły, w przypadku podmiotów prawnych w sektorze prywatnym zatrudniających od 50 do 249 pracowników, państwa członkowskie wprowadzają w życie wymogi z niej wynikające do dnia 17 grudnia 2023. W praktyce oznacza to konieczność dostosowania swoich procedur lub ich stworzenia przez dużą część podmiotów funkcjonujących w Polsce do dnia 17 grudnia 2021. Cel zastosowania w praktyce biznesowej Dyrektywy jest dość oczywisty, a w szczególny sposób określa go Motyw 1 Dyrektywy, który stwierdza: „Osoby pracujące dla organizacji publicznej lub prywatnej lub utrzymujące kontakt z taka organizacją w związku ze swoją działalnością zawodową niejednokrotnie jako pierwsze dowiadują się o zagrożeniach lub szkodach dla interesu publicznego, do jakich dochodzi w tym kontekście. Zgłaszając naruszenia prawa Unii, które są szkodliwe dla interesu publicznego, osoby takie działają jako „sygnaliści” i tym samym odgrywają kluczową rolę w ujawnianiu takich naruszeń i zapobieganiu im oraz w ochronie dobra społecznego. Potencjalni sygnaliści często jednak rezygnują ze zgłaszania swoich zastrzeżeń lub podejrzeń z obawy przed działaniami odwetowymi. W związku z tym w coraz większym stopniu uznaje się, zarówno na poziomie unijnym, jak i międzynarodowym, znaczenie zapewnienia zrównoważonej i skutecznej ochrony sygnalistów.”

2. Naszym celem nie jest szczegółowe omówienie zasad określających wdrażanie w życie obowiązków wynikających z Dyrektywy, lecz odpowiedź na pytanie, czy „anonimowość zgłaszania naruszeń” na podstawie Dyrektywy powinno mieć charakter „anonimowy”, inaczej mówiąc, czy osoba zgłaszająca naruszenie nie powinna ujawniać swojej tożsamości? Dyrektywa zawiera kilka ważnych zapisów dotyczących „anonimowości”, na które warto zwrócić uwagę:

1. W Motywie 36 czytamy: Osoby, które pozyskują zgłaszane przez siebie informacje w ramach swojej działalności zawodowej i narażają się tym samym na ryzyko działań odwetowych w miejscu pracy, na przykład z uwagi na fakt, że dopuszczają się naruszenia obowiązku dochowania tajemnicy lub obowiązku lojalności, wymagają szczególnej ochrony prawnej. Osobom tym należy zapewnić taką szczególną ochronę z uwagi na ich wrażliwą sytuację ekonomiczną względem osoby, od której de facto zależy ich sytuacja zawodowa.
2. Motyw 82 stwierdza: Ochrona poufności tożsamości osoby dokonującej zgłoszenia podczas trwania procesu dokonywania zgłoszenia i w toku postępowań wyjaśniających uruchomionych na skutek danego zgłoszenia jest jednym z zasadniczych środków ex ante zapobiegających działaniom odwetowym. Możliwość ujawnienia tożsamości osoby dokonującej zgłoszenia powinna istnieć jedynie wtedy, gdy takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa Unii lub prawa krajowego w kontekście postępowań wyjaśniających prowadzonych przez organy lub w kontekście postępowań sądowych, w szczególności w celu zagwarantowania prawa do obrony osobom, których dotyczy zgłoszenie.

3. Z powyższych zapisów nie wynika, iż osoba zgłaszająca naruszenie nie powinna ujawnić swojej tożsamości, tzn. aby zgłoszenie miało charakter „anonimowy”. Oczywiście podmiot wdrażający stosowną regulację może stworzyć taką możliwość zapisując wprost w treści regulacji, iż zgłoszenie może mieć charakter anonimowy, jednak w tym kontekście zwracam uwagę na następujące zapisy Dyrektywy:

1. Motyw 57: W kontekście zgłoszeń wewnętrznych informowanie – w granicach dozwolonych prawem i w jak najbardziej kompleksowy sposób – osoby dokonującej zgłoszenia o działaniach następczych w związku ze zgłoszeniem ma zasadnicze znaczenie dla budowania zaufania do skuteczności całego systemu ochrony sygnalistów oraz zmniejsza prawdopodobieństwo kolejnych niepotrzebnych zgłoszeń lub ujawniania publicznego. Osobę dokonującą zgłoszenia należy poinformować w rozsądnym terminie o planowanych lub podjętych działaniach następczych w związku ze zgłoszeniem i o powodach dokonania wyboru takich działań następczych. (...) We wszystkich przypadkach osobę dokonującą zgłoszenia należy informować o postępach i wynikach postępowania wyjaśniającego. Powinna istnieć możliwość zwrócenia się do osoby dokonującej zgłoszenia o przekazanie dalszych informacji w toku postępowania wyjaśniającego, bez obowiązku natomiast przekazywania takich informacji.
2. Motyw 58: Rozsądny termin poinformowania osoby dokonującej zgłoszenia nie powinien przekraczać trzech miesięcy. Jeżeli nadal trwają ustalenia dotyczące odpowiednich działań następczych, należy poinformować osobę dokonującą zgłoszenia o tym fakcie i o wszelkich dalszych informacjach zwrotnych, jakich należy oczekiwać.
3. Art. 9 ust. 1: Procedury na potrzeby zgłoszeń wewnętrznych (...) obejmują następujące elementy: kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu;
4. Art. 9 ust. 2: Kanały przewidziane w ust. 1 lit. a) muszą umożliwiać dokonywanie zgłoszeń na piśmie lub ustnie. Zgłoszenie ustne może być dokonane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej oraz, na wniosek osoby dokonującej zgłoszenia, za pomocą bezpośredniego spotkania zorganizowanego w rozsądnym terminie.
5. Art. 16 ust. 1 brzmi: Państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych. Ma to również zastosowanie do wszelkich innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia.

4. Mając na uwadze powyższe należy przyjąć stanowisko, w myśl którego osoby dokonujące zgłoszenia naruszenia powinny mieć możliwość podjęcia świadomej decyzji o tym, w jaki sposób i kiedy dokonać zgłoszenia (Motyw 59), tzn. pracodawca powinien zagwarantować osobom zgłaszającym naruszenie możliwość dokonania tego zarówno w sposób anonimowy (bez ujawniania swojej tożsamości), jak również w taki sposób, aby osoba zgłaszająca mogła podpisać zgłoszenie swoim imieniem i nazwiskiem, przy czym w tym ostatnim przypadku pracodawca jest zobowiązany do zapewnienia, by tożsamość osoby dokonującej takiego zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym pracownikiem właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych. Ma to również zastosowanie do wszelkich innych informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia.

5. Biorąc pod uwagę brzmienie art. 9 Dyrektywy, można zarekomendować wdrożenie przez pracodawcę kilku różnych kanałów zgłaszania nadużyć, tj.:

1. Pisemnie lub ustnie (w tym telefonicznie) drogą służbową, bezpośrednio do swojego przełożonego lub do przełożonego komórki organizacyjnej, w której zakres działania wchodzi sprawa naruszenia;
2. Pisemnie na adres wskazany przez pracodawcę;
3. Pisemnie z wykorzystaniem elektronicznych kanałów komunikacyjnych na adres mailowy wskazany przez pracodawcę.

6. UWAGA! Poufność i ochrona danych dotyczy także osoby, przeciwko której kierowane jest zgłoszenie. Zgodnie z Motywem 100 Prawa osoby, której dotyczy zgłoszenie, powinny być chronione w celu uniknięcia nadszarpnięcia reputacji lub innych negatywnych konsekwencji. Ponadto zgodnie z art. 47 i 48 Karty, na każdym etapie procedury prowadzonej w związku ze zgłoszeniem należy w pełni przestrzegać prawa do obrony i dostępu do środków ochrony prawnej przysługującego osobie, której dotyczy zgłoszenie.

7. Upoważniony pracownik przyjmujący korespondencję zawierającą zgłoszenia naruszeń, prowadzący ewidencję w tym zakresie oraz przekazujący stosowne informacje osobom zaangażowanym w działania następcze powinien zostać zobowiązany do zachowania w ścisłej poufności wszystkich informacji objętych zgłoszeniem oraz informacji, które zostały ujawnione w trakcie działań następczych, w tym w szczególności dane osobowe osoby zgłaszającej naruszenie wraz z ujawnieniem swojej tożsamości oraz dane osobowe osoby objętej zgłoszeniem.

Opracował:

Arkadiusz Kraus

A2KP KANCELARIA Sp. z o.o.

Zapewniamy zgodność z przepisami ochrony danych osobowych.

Jesteśmy też ekspertami w dziedzinie prawa pracy.

A2KP KANCELARIA Sp. z o.o.

43-300 Bielsko Biała,

ul Ulica Grażyńskiego 71