Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów wskazuje, że procedura zgłoszeń wewnętrznych naruszenia prawa określa obowiązkowo m.in.:

• wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych;

• 3) bezstronną wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, upoważnione do podejmowania działań następczych, włączając w to weryfikację zgłoszenia wewnętrznego i dalszą komunikację z sygnalistą, w tym występowanie o dodatkowe informacje i przekazywanie sygnaliście informacji zwrotnej; funkcję tę może pełnić wewnętrzna jednostka organizacyjna lub osoba, o których mowa w pkt 1, jeżeli zapewniają bezstronność.

Podzielmy ten niełatwy temat na dwie mniejsze części. Okazuje się bowiem, że prawo dopuszcza, aby inna osoba przyjmowała, a inna rozpatrywała zgłoszenia sygnalistów.

Zgłoszenia mogą być przyjmowane na podstawie stosownego upoważnienia przez:

• wewnętrzną jednostkę organizacyjną (np. dział spraw osobowych, dział księgowości) lub

• osobę w ramach struktury organizacyjnej podmiotu prawnego (np. wyznaczony pracownik, zleceniobiorca, zastępca prezesa, inspektor ochrony danych osobowych, compliance officer) lub

• podmiot zewnętrzny (np. kancelaria prawna, wyspecjalizowana firma, która zwykle zapewnia dostęp do formularza zgłoszeń przez Internet).

Mamy pełną swobodę w wyborze którejś z ww. opcji. Przez przyjmowanie zgłoszeń rozumiemy techniczną czynność odebrania zgłoszenia od sygnalisty na piśmie, ustnie lub drogą elektroniczną, a także przekazanie sygnaliście potwierdzenia przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie.

Ta sama jednostka czy osoba w ramach struktury organizacyjnej podmiotu prawnego może prowadzić dalsze procedowanie ze zgłoszeniem. Pracodawca musi zająć się tym już samodzielnie, czyli bez udział podmiotów zewnętrznych, chociaż nie do końca…

Wewnętrzna jednostka organizacyjna lub osoba w ramach struktury organizacyjnej podmiotu prawnego, która zajmuje się rozpatrywaniem zgłoszeń sygnalnych musi „zapewniać bezstronność”. To jedyne, co podpowiada nam ustawa.

W praktyce można wyznaczyć w podmiocie jedną osobę, która będzie zajmowała się zgłoszeniami od początku do końca czyli np. „pełnomocnika ds. obsługi zgłoszeń sygnalnych” lub „koordynatora ds. zgodności”. W tradycji anglosaskiej używa się określenia „whistleblowing officer”. Nie ma zakazu, aby obsługę zgłoszeń sygnalistów nie można było powierzyć inspektorowi ochrony danych osobowych. Niemniej takie rozwiązanie jest dość ryzykowne, bo inspektor nie ma obowiązku znać się na wszystkim, a zakres merytoryczny zgłoszeń jest dużo szerszy, niż sprawy związane z naruszeniem danych osobowych.

Można dodać obowiązki związane z obsługą zgłoszeń do zakresu pracy danej jednostki organizacyjnej w naszym podmiocie, albo sformować osobny zespół/komisję odpowiedzialną za rozpatrywanie zgłoszeń.

Żadne z tych rozwiązań nie jest idealne. Wszystko zależy od realiów naszej pracy, potrzeb, zagrożeń i posiadanych zasobów ludzkich. Jeżeli jest taka konieczność można skorzystać pomocniczo i w ograniczonym zakresie ze wsparcia od kogoś z zewnątrz, czyli spoza organizacji. Dotyczy to w szczególności konsultacji ze specjalistą z określonej dziedziny, wydania przez niego ekspertyzy, opinii, gdy sprawa wymaga wiedzy specjalistycznej (np. z zakresu zamówień publicznych, radiologii, cyberbezpieczeństwa, BHP).

Przez rozpatrzenie zgłoszenia ustawa rozumie weryfikację zgłoszenia wewnętrznego i dalszą komunikację z sygnalistą, w tym występowanie o dodatkowe informacje i przekazywanie sygnaliście informacji zwrotnej.

W ramach dalszych działań następczych ww. osoba czy jednostka powinna pamiętać o wyciągnięciu konsekwencji adekwatnych do skali stwierdzonego naruszenia prawa. Paleta takich działań jest bardzo rozległa i nie zostały one przybliżone w ustawie nawet jako przykładowy katalog.

Przykładowe działania następcze wobec osoby, która naruszyła prawo w naszej organizacji to:

• kara porządkowa wobec pracownika,

• przeniesienie na inne stanowisko,

• rozwiązanie umowy o pracę, w tym w trybie dyscyplinarnym,

• naliczenie kary umownej, jeżeli jest przewidziana w kontrakcie,

• zainicjowanie postępowania cywilnego, administracyjnego, prawno-pracowniczego (np. ws. mobbingu),

• zawiadomienie o popełnieniu przestępstwa, przestępstwa skarbowego, wykroczenia lub wykroczenia skarbowego.

Przykładowe działania następcze służące prewencji przyszłych naruszeń to:

• zmiana wewnętrznych procedur, instrukcji, standardów działania, regulaminów,

• działania informacyjne wśród załogi,

• audyt obszaru naruszenia,

• szkolenia, konsultacje.

Poniżej przedstawiamy trzy podstawowe modele, jakie można przyjąć w organizacji, wyznaczając osoby odpowiedzialne za obsługę wewnętrznego kanału zgłoszeń sygnalnych oraz ich zalety i wady.

W razie wyznaczenia jednej osoby lub zespołu osób do rozpatrywania zgłoszeń powinny istnieć w organizacji zasady jej/ich wyłączania z udziału w prowadzeniu spraw dotyczących ich samych, ich krewnych, podwładnych lub przełożonych.

Kryteria wyznaczenia ww. osoby lub osób powinny być same w sobie bezstronne i obiektywne.

Skład komisji powinien być zróżnicowany pod względem posiadanego przez członków doświadczenia i wiedzy. Nie jest wskazane zawężanie składu do kadry jednego działu merytorycznego (np. spraw osobowych, zamówień publicznych, spraw prawnych, działu IT itd.).

Niezależnie od przyjętego modelu podmiot prawny ma obowiązek zagwarantować, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.

Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych ww. osób mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych.

także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.

W przypadku kooperacji z podmiotem zewnętrznym jest wymagane zawarcie umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą.