Procedura anonimowego zgłaszania naruszeń vs. ustawa o ochronie sygnalistów.
Wprowadzenie
Stosunkowo niewiele osób zdaje sobie sprawę z tego, iż w Polsce od dłuższego już czasu obowiązują powszechnie obowiązujące przepisy prawne, wcześniejsze niż ustawa o ochronie sygnalistów, zobowiązujące określone podmioty do wdrożenia regulacji wewnętrznych, dających możliwość (głównie pracownikom) zgłaszania naruszeń prawa w określonych obszarach aktywności tych podmiotów. Przywołane tutaj akty prawne, to:
- Ustawa z dnia 1 marca 2018 r o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu;
- RMF z dnia 16 maja 2018 r w sprawie odbierania zgłoszeń dotyczących naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;
- Rozporządzenie MRiF z dnia 8 czerwca 2021 w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz polityki wynagrodzeń w bankach.
Regulacji te nakazują „instytucjom obowiązanym” do opracowania oraz wdrożenia wewnętrznej procedury anonimowego zgłaszania przez pracowników lub inne osoby wykonujące czynności na rzecz „instytucji obowiązanej” rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Najszerszy zakres podmiotowy w zakresie wskazania „instytucji obowiązanych” określa ustawa z dnia 1 marca 2018 r o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, wskazując blisko trzydzieści kategorii podmiotów, które zobowiązane są do opracowania i wdrożenia takiej regulacji. Przykładowo, są to:
- Banki krajowe, oddziały banków zagranicznych, oddziały instytucji kredytowych, instytucje finansowe;
- Spółdzielcze kasy oszczędnościowo-kredytowe;
- Krajowe instytucje płatnicze oraz krajowe instytucje pieniądza elektronicznego;
- Firmy inwestycyjne;
- Spółki prowadzące rynek regulowany - w zakresie, w jakim prowadzą platformę aukcyjną;
- Zakłady ubezpieczeń wykonujące działalność, o której mowa w dziale I załącznika do ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej;
- Pośrednicy ubezpieczeniowi wykonujący czynności pośrednictwa ubezpieczeniowego;
- Przedsiębiorcy prowadzący działalność kantorową;
- Notariusze w zakresie czynności wskazanych w ustawie dokonywanych w formie aktu notarialnego;
- Adwokaci, radcowie prawni, prawnicy zagraniczni, doradcy podatkowi w zakresie, w jakim świadczą na rzecz klienta pomoc prawną lub czynności doradztwa podatkowego, wskazane w ustawie;
- Przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców, których podstawową działalnością gospodarczą jest świadczenie usług polegających na sporządzaniu deklaracji, prowadzeniu ksiąg podatkowych, udzielaniu porad, opinii lub wyjaśnień z zakresu przepisów prawa podatkowego lub celnego, niebędący innymi instytucjami obowiązanymi;
- Przedsiębiorcy w rozumieniu ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców, niebędący innymi instytucjami obowiązanymi, świadczący usługi wskazane w ustawie;
- Podmioty prowadzące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych;
- Pośrednicy w obrocie nieruchomościami w rozumieniu ustawy z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami (z drobnymi wyjątkami).
Jest to więc, jak widać, dość szeroka grupa podmiotów zobowiązanych do opracowania oraz wdrożenia wewnętrznej procedury anonimowego zgłaszania naruszeń, przy czym spora ich część nie jest świadoma tego obowiązku i potencjalnych kar nakładanych z tytułu niewdrożenia tej regulacji. Z kolei Ustawa jako podmioty zobowiązane do wprowadzenia regulacji w tym zakresie wskazuje podmioty prawne, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób, przy czym do tej liczby wlicza się pracowników w przeliczeniu na pełne etaty lub osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia. Powyższe ograniczenie (próg 50 osób) nie ma jednak zastosowania do podmiotu prawnego wykonującego działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy 2019/1937.
Założenia
W ramach niniejszej analizy przedstawiono analizę luki w zakresie potencjalnej zgodności funkcjonującej w ramach „podmiotów obowiązanych” Procedury anonimowego zgłaszania przez pracowników lub inne osoby wykonujące czynności na rzecz instytucji obowiązanej rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu " (dalej „Procedura”) z wymogami wynikającymi z ustawy o ochronie sygnalistów (dalej „Ustawa”). Celem analizy jest wypracowanie stanowiska dotyczącego ewentualnego połączenia wymagań wynikających z dotychczas obowiązującej w instytucjach obowiązanych Procedury z obowiązkami wynikającymi z Ustawy w ramach jeden regulacji wewnętrznej. Pierwsza część analizy ma charakter porównawczy, tzn. dokonujemy w niej próby porównania dotychczasowych zapisów funkcjonującej w ramach instytucji obowiązanych Procedury z obowiązkami wskazanymi w Ustawie, w odniesieniu do kluczowych zagadnień. W drugiej części wskazujemy swoje stanowisko w kontekście przywołanego powyżej połączenia obu regulacji.
Zastrzeżenie
Ilekroć w ramach niniejszej analizy będę się posługiwał pojęciem „Procedura”, będę miał na myśli regulacje wewnętrzne wdrożone przez „instytucje obowiązane” na mocy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, RMF w sprawie odbierania zgłoszeń dotyczących naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu oraz RMRiF w sprawie systemu zarządzania ryzykiem i systemu kontroli wewnętrznej oraz polityki wynagrodzeń w bankach. Z kolei pod pojęciem „Ustawa” rozumiem regulację, którą podmiotu obowiązane będą musiały wdrożyć do dnia 25 września 2024 roku.
Analiza porównawcza
1. Co do zasady można stwierdzić, iż opisane w ramach dotychczas obowiązujących Procedur zasady zgłaszania naruszeń prawa wynikające z ustawy o PPPFT nie są zbieżne z wymaganiami wynikającymi z Ustawy. Różnice w tym zakresie wydają się na tyle szerokie i istotne, iż próba wdrożenia obowiązków wynikającymi z przyjętej właśnie Ustawy w ramach dotychczas obowiązującej Procedury, spowodowałaby konieczność napisania takiej regulacji zupełnie „od nowa”.
2. Ustawa jako podmioty uprawnione do zgłaszania naruszeń prawa (sygnaliści) wskazuje:
1) Pracowników oraz pracowników tymczasowych,
2) Osoby świadczące pracę na innej podstawie niż stosunek pracy, w tym na podstawie
umowy cywilnoprawnej,
3) Przedsiębiorców,
4) Prokurentów,
5) Akcjonariusz lub wspólników,
6) Członków organu osoby prawnej lub jednostki organizacyjnej
nieposiadającej osobowości prawnej;
7) Osób świadczących pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy
lub dostawcy,
8) Stażystów, wolontariuszy lub praktykantów;
9) Funkcjonariusz w rozumieniu art. 1 ust. 1 ustawy z dnia 18 lutego 1994 r. o zaopatrzeniu
emerytalnym funkcjonariuszy Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji
Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego,
Centralnego Biura Antykorupcyjnego, Straży Granicznej, Straży Marszałkowskiej, Służby
Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby
Więziennej oraz ich rodzin;
10) Żołnierzy w rozumieniu art. 2 pkt 39 ustawy z dnia 11 marca 2022 r. o obronie Ojczyzny.
3. Dodatkowo, zgodnie z Ustawą, jej zapisy stosuje się odpowiednio do osoby „pomagającej w dokonaniu zgłoszenia” oraz „osoby powiązanej z sygnalistą”. Zasady określone w Ustawie stosuje się także „odpowiednio do osoby prawnej lub innej jednostki organizacyjnej pomagającej lub powiązanej ze zgłaszającym, w szczególności stanowiącej własność sygnalisty lub go zatrudniającej”.
4. Z kolei Procedura wskazuje w tym zakresie wyłącznie pracowników oraz inne osoby wykonujące czynności na rzecz „instytucji obowiązanych”. To rozróżnienie ma kluczowe znaczenie w kontekście koniecznej (wymaganej wprost prawem) „anonimowości zgłoszeń” w ramach Procedury i odpowiednich wskazań w tym zakresie w ramach Ustawy. Procedura bowiem jednoznacznie wskazuje na obowiązek wdrożenia przez Bank możliwości „anonimowych zgłoszeń naruszeń prawa”. Z kolei zgodnie z Ustawą Pracodawca - w ramach wdrożenia jej wymagań – „określa” w swojej regulacji „tryb postępowania z informacjami o naruszeniach prawa, tzn. musi przesądzić, czy sygnaliści będą mieli możliwość realizowania zgłoszeń w trybie anonimowym (Pracodawca nie ma obowiązku zagwarantowania takiego rozwiązania sygnalistom).
5. Ustawa zupełnie inaczej definiuje także zakres przedmiotowy dla osób uprawnionych (sygnalistów). Zgodnie z Ustawą naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące:
1) Korupcji;
2) Zamówień publicznych;
3) Usług, produktów i rynków finansowych;
4) Przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;
5) Bezpieczeństwa produktów i ich zgodności z wymogami;
6) Bezpieczeństwa transportu;
7) Ochrony środowiska;
8) Ochrony radiologicznej i bezpieczeństwa jądrowego;
9) Bezpieczeństwa żywności i pasz;
10) Zdrowia i dobrostanu zwierząt;
11) Zdrowia publicznego;
12) Ochrony konsumentów;
13) Ochrony prywatności i danych osobowych;
14) Bezpieczeństwa sieci i systemów teleinformatycznych;
15) Interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej, jednostki samorządu
terytorialnego oraz Unii Europejskiej;
16) Rynku wewnętrznego Unii Europejskiej, w tym publicznoprawnych zasad konkurencji
i pomocy państwa oraz opodatkowania osób prawnych;
17) Konstytucyjnych wolności i praw człowieka i obywatela – występujące w stosunkach
jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi
w ramach pkt 1–16 powyżej.
6. Procedura wskazuje natomiast w tym zakresie dość ogólnie „naruszenia prawa”, w tym rzeczywiste lub potencjalne naruszenia przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu oraz obowiązujących w Banku procedur, regulacji wewnętrznych i standardów etycznych.
7. Warto zauważyć, iż zgodnie z Procedurą zgłaszanie naruszeń odbywa się zwykle z wykorzystaniem kilku różnych kanałów, w tym również „drogą służbową, bezpośrednio do swojego przełożonego lub do przełożonego komórki organizacyjnej, w której zakres działania wchodzi sprawa naruszenia”, w tym również telefonicznie. Ustawa daje Pracodawcy uprawnienie do wskazania tylko jednego kanału zgłoszenia, np. za pośrednictwem poczty elektronicznej.
8. Ustawa bardzo szeroko określa tzw. „działania odwetowe”. Jako takie wskazuje:
1) Odmowę nawiązania stosunku pracy,
2) Wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy,
3) Niezawarcie umowy o pracę na czas określony lub umowy o pracę na czas nieokreślony
po rozwiązaniu umowy o pracę na okres próbny, niezawarcie kolejnej umowy o pracę na
czas określony lub niezawarcie umowy o pracę na czas nieokreślony po rozwiązaniu
umowy o pracę na czas określony – w przypadku gdy sygnalista miał uzasadnione
oczekiwanie, że zostanie z nim zawarta taka umowa,
4) Obniżenie wysokości wynagrodzenia za pracę,
5) Wstrzymanie awansu albo pominięciu przy awansowaniu,
6) Pominięcie przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą
lub obniżeniu wysokości tych świadczeń,
7) Przeniesienie na niższe stanowisko pracy,
8) Zawieszenie w wykonywaniu obowiązków pracowniczych lub służbowych,
9) Przekazanie innemu pracownikowi dotychczasowych obowiązków sygnalisty,
10) Niekorzystną zmianę miejsca wykonywania pracy lub rozkładu czasu pracy,
11) Negatywną ocenę wyników pracy lub negatywnej opinii o pracy,
13) Nałożenie lub zastosowanie środka dyscyplinarnego, w tym kary finansowej, lub środka
o podobnym charakterze,
14) Przymus, zastraszanie lub wykluczenie,
15) Mobbing lub dyskryminację,
16) Niekorzystne lub niesprawiedliwe traktowanie,
17) Wstrzymanie udziału lub pominięcie przy typowaniu do udziału w szkoleniach
podnoszących kwalifikacje zawodowe,
21) Nieuzasadnione skierowanie na badania lekarskie, w tym badania psychiatryczne,
22) Działanie zmierzające do utrudnienia znalezienia w przyszłości pracy w danym sektorze
lub w danej branży na podstawie nieformalnego lub formalnego porozumienia
sektorowego lub branżowego,
23) Spowodowanie straty finansowej, w tym gospodarczej, lub utraty dochodu,
24) Wyrządzenie innej szkody niematerialnej, w tym naruszeniu dóbr osobistych,
w szczególności dobrego imienia sygnalisty.
10. Za działania odwetowe, zgodnie z Ustawą, uważa się także groźbę lub próbę zastosowania środka określonego w pkt. 8 powyżej, chyba że pracodawca udowodni, że podjęte działanie nie jest działaniem odwetowym. Dodatkowo, jeżeli praca lub usługi były, są lub mają być świadczone na podstawie innego niż stosunek pracy stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji, dokonanie zgłoszenia nie może stanowić podstawy działań odwetowych ani próby lub groźby zastosowania działań odwetowych, obejmujących w szczególności:
1) Wypowiedzenie umowy, której stroną jest sygnalista, w szczególności dotyczącej
sprzedaży lub dostawy towarów lub świadczenia usług, odstąpienie od takiej umowy lub
rozwiązanie jej bez wypowiedzenia,
2) Nałożenie obowiązku lub odmowę przyznania, ograniczenie lub odebranie uprawnienia,
w szczególności zezwolenia lub ulgi.
11. Zapisy Procedury w tym zakresie są raczej skromne, wskazując generalnie, iż jakiekolwiek represje wobec Pracownika (osoby współpracującej), będące rezultatem dokonanego zgłoszenia zgodnie z zapisami Procedury, będą traktowane jako poważne naruszenia zasad takiej Procedury i naruszenie dyscypliny pracy. Mówi się więc tutaj o jakichkolwiek „represjach”, co jest pojęcie znacznie węższym od „działań odwetowych”.
12. Ustawa nakłada na Pracodawcę obowiązek poinformowania w ramach wdrożonej regulacji potencjalnych sygnalistów, iż mają oni prawo do pominięcia zgłoszenie naruszenia w ramach przyjętej przez pracodawcę regulacji i dokonanie niejako „od razu” tzw. „zgłoszenia zewnętrznego”, które może być dokonane:
1) W postaci papierowej – na adres do korespondencji wskazany przez Rzecznika Praw
Obywatelskich lub organ publiczny przyjmujący zgłoszenie,
2) W postaci elektronicznej – na adres poczty elektronicznej lub adres elektronicznej
skrzynki podawczej, lub adres do doręczeń elektronicznych, wskazane przez Rzecznika
Praw Obywatelskich lub organ publiczny przyjmujący zgłoszenie, lub za pośrednictwem
przeznaczonego do tego formularza internetowego lub aplikacji wskazanej przez organ
publiczny jako aplikacja właściwa do dokonywania zgłoszeń w postaci elektronicznej.
13. Inaczej mówiąc, na gruncie Ustawy sygnalista (określony zgodnie z zakresem podmiotowym) może zgłosić naruszenie w ramach zakresu wskazanego w samej Ustawie bezpośrednio Rzecznikowi Praw Obywatelskich lub organowi publicznemu, z pominięciem „zgłoszenia wewnętrznego”. Dodatkowo, zgłoszenia, które mogą stanowić przestępstwo, dokonuje się do Policji, a zgłoszenia zewnętrznego dotyczącego naruszenia prawa w zakresie stosowania aktów Unii Europejskiej, interesów finansowych Unii lub podatku od osób prawnych, które może stanowić przestępstwo:
1) Przeciwko interesom finansowym Unii Europejskiej,
2) Związane z naruszeniem przepisów o zamówieniach publicznych,
3) Dotyczące mienia wielkiej wartości, grożące szkodą wielkiej wartości lub taką szkodę
powodujące,
4) Łapownictwa i płatnej protekcji,
5) Prania pieniędzy lub fałszowania faktur oraz posługiwania się takimi fakturami można
dokonać także bezpośrednio do prokuratora.
14. Ustawa wprowadza także przepisy karne, zgodnie z którymi:
1) Kto, chcąc, aby inna osoba nie dokonała zgłoszenia, uniemożliwia jej to lub istotnie
utrudnia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do
roku. Jeżeli sprawca takiego czynu stosuje wobec innej osoby przemoc, groźbę bezprawną
lub podstęp, podlega karze pozbawienia wolności do lat 3,
2) Kto podejmuje działania odwetowe wobec sygnalisty, osoby pomagającej w dokonaniu
zgłoszenia lub osoby powiązanej z sygnalistą, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca takiego czynu działa
w sposób uporczywy, podlega karze pozbawienia wolności do lat 3,
3) Kto wbrew przepisom ustawy ujawnia tożsamość sygnalisty, osoby pomagającej
w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do roku,
4) Kto dokonuje zgłoszenia lub ujawnienia publicznego, wiedząc, że do naruszenia prawa
nie doszło, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2,
5) Kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew
przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem
wynikających z ustawy wymogów, podlega karze grzywny.
15. Trzeba zwrócić uwagę na fakt, iż procedura zgłaszania naruszeń w ramach Ustawy będzie musiała mieć charakter publiczny, tzn. będzie musiała zostać upubliczniona (np. za pośrednictwem strony internetowej), aby dać „zewnętrznym sygnalistom” stosowną wiedzę w zakresie tego, w jaki sposób w danym podmiocie można zgłaszać takie naruszenia. Publiczny charakter będzie musiało mieć również narzędzie, umożliwiające dokonanie takiego zgłoszenia (kanał do zgłoszenia naruszeń). Oczywiście zgłaszanie naruszeń w ramach Procedury nie nakłada na „instytucje obowiązane” takiego obowiązku.
Ryzyko dla „instytucji obowiązanych” wynikające z ewentualnego połączenia w ramach jednej regulacji wymagań wynikających z dotychczas obowiązującej Procedury z obowiązkami wskazanymi w Ustawie
1. Jak wskazano powyżej, opisane w ramach dotychczasowej Procedury zasady zgłaszania naruszeń prawa, wynikające z ustawy o PPPFT, nie są zbieżne z wymaganiami w tym zakresie wynikającymi z Ustawy. Różnice wydają się tutaj na tyle szerokie i istotne, iż próba wdrożenia obowiązków wynikającymi z Ustawy w ramach dotychczas obowiązującej Procedury generowała będzie ryzyka, na które wskażemy poniżej.
2. W kontekście „osób uprawnionych” do sygnalizowania naruszeń, wdrożenie w ramach dotychczasowej Procedury możliwości realizowania „zgłoszeń anonimowych”, oznaczałoby przyznanie takiego prawa nie tylko pracownikom oraz innym osobom wykonującym czynności na rzecz pracodawcy, ale także osobom wskazanym w art. 4 ust. 1 ustawy (pkt. 2 oraz 3 w ramach „Analizy porównawczej” powyżej). Problemem dla „instytucji obowiązanych” w tym zakresie może być przyznanie takiego prawa np. przedsiębiorcom , udziałowcom (akcjonariuszom), a także osobom „pomagającym w dokonaniu zgłoszenia”, „osobom powiązanym z sygnalistą” oraz „osobom prawnym lub innym jednostkom organizacyjnym pomagającym lub powiązanym ze zgłaszającym, w szczególności stanowiącym własność sygnalisty lub go zatrudniającej”.
3. W tym kontekście trzeba założyć sytuację, w ramach której liczna grupa anonimowych sygnalistów (np. udziałowców, przedsiębiorców) dokonuje zgłoszenia całego szeregu naruszeń „w trybie anonimowym”. Zgodnie z wymaganiami Ustawy, w odniesieniu do każdego zgłoszenia z osobna, podmiot obowiązany musiałby wdrożyć konieczność (obowiązek) „przyjęcia, rozpatrzenia oraz podjęcia działań następczych”.
4. Trzeba przy tym pamiętać, iż Ustawa wskazuje bardzo szeroki zakres przedmiotowy, w ramach którego sygnalista ma prawo do zgłaszania ewentualnych naruszeń (patrz art. 3 ust. 1 ustawy lub pkt. 5 „Analizy porównawczej” powyżej). Tutaj ponownie należy założyć możliwość, w ramach której grupa anonimowych sygnalistów zgłasza cały szereg naruszeń, także w ramach dodatkowo wskazanych obszarów potencjalnych naruszeń.
5. Ryzykiem dla „instytucji obwiązanych” może być także połączenie „obu wymagań” w kontekście zakazu działań odwetowych wobec sygnalisty (represji wobec pracowników lub osoby współpracującej).
6. Jak wskazano powyżej, ustawa nie nakłada wprost na podmioty ją wdrażające obowiązku umożliwienia sygnalistom zgłaszania naruszeń w sposób „anonimowy”. Ustawa nakłada jedynie na podmioty ją wdrażające obowiązek wskazania w ramach przyjętej procedury „trybu postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo”. Inaczej mówiąc, podmioty wdrażając wymagania wynikające z Ustawy, będą musiały rozstrzygnąć w ramach przyjętej regulacji, czy sygnalistom będzie przysługiwała możliwość zgłaszania naruszeń w formie anonimowej, czy taka możliwość zostanie wykluczona.
7. Niezależnie od tego dane osobowe sygnalisty (informacje pozwalające na ustalenie jego tożsamości) nie podlegaj ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty. Zasady tej nie stosuje się jedynie w przypadku, gdy ujawnienie byłoby koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.
8. Dodatkowo, zgodnie z Ustawą, żaden z członków Zespołu Przyjmującego Zgłoszenie, nie będzie uprawniony do ujawniania tożsamości sygnalisty oraz informacji o fakcie, miejscu, czasie i przebiegu spotkań organizowanych w ramach wyjaśniania zarzutów wskazanych w zgłoszeniu.
W tym kontekście warto zwrócić uwagę na treść „uzasadnienia” do projektu ustawy o sygnalistach, zgodnie z którym projektodawca nie zdecydował się na wprowadzenie możliwości wdrożenia anonimowego trybu dokonywania zgłoszeń wewnętrznych, jak i zgłoszeń zewnętrznych. Oznacza to, iż dla skutecznego dokonania zgłoszenia, osoba zgłaszająca będzie musiała podać dane identyfikujące taką osobę i umożliwiające kontakt z taką osobą. Zgłoszenia anonimowe nie będą podlegały rygorom ustawy, co oznacza, iż mogą one być pozostawione bez rozpoznania. Niemniej w przypadku, w którym podmiot prawny lub organ publiczny zdecydują się rozpatrywać zgłoszenia anonimowe, należało będzie odpowiednie regulacje tej kwestii umieścić odpowiednio w procedurze zgłoszeń wewnętrznych podmiotu prawnego lub procedurze zgłoszeń zewnętrznych organu publicznego. (…) Jeżeli informacja o naruszeniu zostanie zgłoszona podmiotowi prawnemu lub organowi publicznemu lub ujawniona publicznie anonimowo i, z jakiejkolwiek przyczyny, dojdzie następnie do ujawnienia tożsamości zgłaszającego, który doświadczy działań odwetowych, przepisy ustawy o środkach ochrony określonych w projektowanym rozdziale dotyczącym zakazu działań odwetowych i środków ochrony znajdą zastosowanie, jeżeli spełnione zostaną warunki określone w art. 6 ustawy (uzasadnione podstawy zgłoszenia). Rezygnacja z możliwości dokonywania zgłoszeń anonimowo uzasadniona jest przesłankami o charakterze praktycznym, takimi jak ryzyko nadmiernego wpływu informacji przypadkowych i o niskiej wartości z perspektywy rzeczywistego przeciwdziałania naruszeniom czy trudności w uzyskaniu dodatkowych informacji od zgłaszającego, gdy już przekazane informacje są istotne, lecz niepełne. W przypadku zgłoszeń anonimowych problematyczne byłoby także niekiedy późniejsze udowodnienie, na potrzeby jakiegokolwiek postępowania, związku przekazanej informacji z osobą zgłaszającego. Należy mieć także na uwadze koszty i obciążenie organizacyjne związane z przetwarzaniem licznych informacji, potencjalnie bezwartościowych, w ramach ustanowionych mechanizmów zgłaszania.
W podobnym kierunku rozwija tę kwestię w swojej opinii „Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych” [i]. Jak wskazuje się w opinii, anonimowość może być problematycznym rozwiązaniem, zarówno z perspektywy zgłaszającego, jak i organizacji, w ramach której następuje zgłoszenie, zważywszy że:
- Zachowanie anonimowości nie gwarantuje, że inne osoby w firmie nie domyślą się, kto złożył doniesienie;
- Trudniej jest prowadzić dochodzenie, jeśli nie można zadać uzupełniających pytań informatorowi;
- Jeśli zastrzeżenia są wnoszone jawnie, łatwiej jest zorganizować ochronę informatora przed działaniami odwetowymi, zwłaszcza jeśli taka ochrona jest gwarantowana prawem;
- Anonimowe doniesienia mogą prowadzić do koncentrowania uwagi na informatorze i podejrzeń, że złożył doniesienie w złej wierze;
- Organizacja musi liczyć się z ryzykiem stworzenia środowiska, w którym anonimowe, wrogie doniesienia staną się normą;
- Atmosfera w organizacji może ulec pogorszeniu, gdy pracownicy będą mieć świadomość, że w każdej chwili ktoś może złożyć na nich anonimowe doniesienie”.
Warto tutaj przywołać brzmienie art. 10 ust. 2 Ustawy, zgodnie z którym ustawa nie wyłącza stosowania przepisów odrębnych, przewidujących szczególny tryb zgłaszania naruszeń prawa, w tym rozpatrywania informacji o naruszeniu prawa zgłoszonych anonimowo. Wskazany zapis w sposób jednoznaczny sugeruje, iż wskazany w Ustawie tryb zgłaszania naruszeń ma charakter generalny, natomiast anonimowe zgłaszanie naruszeń, wynikające z przepisów wskazanych na początku analizy, jest formą szczególną trybu i nie ma charakteru powszechnego. Można zatem założyć, iż na etapie pisania projektu ustawy jej autorzy za podstawę przyjęli formułę zgłoszenia imiennego, tj. ze wskazaniem tożsamości sygnalisty, oczywiście z zachowaniem poufności danych zgłaszającego oraz ochrony samego sygnalisty.
Konkluzja
Biorąc powyższe pod uwagę, wydaje się, iż wdrożenie obowiązków wynikających z Ustawy w ramach wcześniej funkcjonujących w „instytucjach obowiązanych” Procedur, generuje dla takich podmiotów rzeczywiste ryzyka, zwłaszcza w obszarze ich zdolności do wywiązania się z obowiązków wynikających z Ustawy, przy założeniu, iż sygnaliści będą mieli możliwość anonimowego zgłaszania naruszeń. Bardziej racjonalnym rozwiązaniem będzie więc zagwarantowanie takiej anonimowości jedynie pracownikom „instytucji obowiązanych” oraz innym osobom wykonującym czynności na rzecz takich podmiotów w ramach dotychczasowej Procedury, natomiast w obrębie nowej regulacji przyznać sygnalistom (bardzo szeroko wskazanym przez Ustawę) prawo do zgłaszania naruszeń (także w obrębie nowo opisanych obszarach), pod warunkiem wskazania swojej tożsamości.
Opracował
Arkadiusz Kraus
A2KP KANCELARIA Sp. z o.o.
[i] Grupa robocza powołana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych; opinia 1/2006 w sprawie zastosowania unijnych zasad ochrony danych do wewnętrznych systemów informowania o nieprawidłowościach w dziedzinie księgowości, wewnętrznych kontroli księgowych, spraw związanych z audytem, zwalczania przekupstwa oraz przestępstw bankowych i finansowych
(http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_pl.pdf).