System whistleblowingowy w aspekcie bezpieczeństwa sygnalisty
Ochrona sygnalistów i wprowadzenie efektywnego systemu whistleblowingowego to wyzwanie, przed którym stoją lub już za chwilę staną przedsiębiorcy. System zgłaszania nieprawidłowości to inwestycja w bezpieczeństwo organizacji, jednak będzie skutecznie wspierać zarządzanie jeżeli zagwarantuje sygnalistom bezpieczeństwo.
Istota systemu whistleblowingowego, który wspiera proces zarządzania organizacją sprowadza się do stworzenia w organizacji warunków, po pierwsze, do sprawnego i efektywnego pozyskiwania informacji o nieprawidłowościach, do których dochodzi w danym podmiocie prawnym, po drugie, do skutecznego zarządzania pozyskanymi informacjami i po trzecie, do zagwarantowania ochrony sygnalistom – tj. osobom, które dokonują zgłoszenia.
Istota systemu whistleblowingowego
W szerokim ujęciu system służy ochronie organizacji – eliminuje ryzyka prawne, wizerunkowe, jest szansą na doskonalenie procesów w działaniu organizacji. Sprzyja tworzeniu bezpiecznego środowiska pracy, wzmacnia kulturę organizacyjną i buduje do niej zaufanie.
Wdrożenie systemu whistleblowingowego jest niezaprzeczalnie korzyścią dla organizacji, która zyskuje sposobność wczesnej identyfikacji nadużyć (zarówno w sferze prawnej, jak i innych regulacji obowiązujących w danym podmiocie, które decyzją podmiotu prawnego zostaną do systemu włączone), jak i zagrożeń wystąpienia takich nadużyć.
System bezpośrednio koresponduje z budowaniem kultury wzajemnej odpowiedzialności za organizację, lojalności wobec organizacji, wzmacnia jej wizerunek zarówno w oczach osób zatrudnionych, jak i zewnętrznych interesariuszy.
Ochrona sygnalistów i wprowadzenie efektywnego systemu whistleblowingowego (systemu do zgłaszania nieprawidłowości) to wyzwanie, przed którym stoją lub już za chwilę staną przedsiębiorcy (ci, którzy z wdrożeniem wewnętrznego kanału do zgłaszania naruszeń prawa czekają do dnia wejścia przepisów w życie). W dniu 26 listopada 2019 roku została opublikowana Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii – tzw. Dyrektywa o ochronie sygnalistów. Akt ten podlega obowiązkowej implementacji do krajowego porządku prawnego każdego państwa członkowskiego. Termin na implementację dyrektywy upłynął 17 grudnia 2021 roku. Dotychczas pojawiło się sześć projektów ustawy, na mocy której miałoby dojść do transpozycji ustawy [stan styczeń 2023 r.].
System do zgłaszania nieprawidłowości
Budując skuteczny system do zgłaszania nieprawidłowości swoją uwagą należy objąć zarówno kwestie prawne, proceduralne, jak i techniczne. Stąd ważnym jest uwzględnienie takich elementów, jak:
→ kultura organizacji i jej otoczenie – aby zapewnić efektywne wdrożenie systemu, aby dokonać wyboru odpowiedniego kanału zgłoszeniowego,
→ opracowanie i przygotowanie dokumentacji obowiązujących procedur,
→ opracowanie, a następnie wdrożenie strategii komunikacji na temat wdrożonych rozwiązań,
→ cykliczne szkolenia pracowników z zakresu wdrożonych procedur, ale też budujące wiedzę i świadomość na temat sygnalistów,
→ konieczność monitoringu cyklu życia systemu, by móc go modyfikować, tak by odpowiadał potrzebom organizacji.
Kwestie dotyczące dokonywania zgłoszeń wewnętrznych – w tym m.in. kto będzie odpowiedzialny za przyjmowanie zgłoszeń, czy przyjmowane będę zgłoszenia anonimowe, znormalizować należy w regulaminie wewnętrznym, który pracodawca ustala po konsultacji z zakładową organizacją związkową lub z przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy, jeżeli nie działa u niego zakładowa organizacja związkowa.
Wybór kanału do dokonywania zgłoszeń może determinować otoczenie biznesowe, w którym działa dany przedsiębiorca.
Bez względu na kanał komunikacji, na który zdecyduje się przedsiębiorca, będzie on zobowiązany do zapewnienia ochrony poufności tożsamości osoby dokonującej zgłoszenia, osób trzecich wymienionych w zgłoszeniu.
Ochrona sygnalisty – zasada poufności
Poufność danych osoby zgłaszającej sprowadza się do tego, iż chronione będą zarówno jej dane osobowe, jak i wszelkie informacje, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość sygnalisty. Ujawnienie tożsamości sygnalisty będzie możliwe jedynie za jego zgodą oraz gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa Unii lub prawa krajowego, w kontekście postępowań wyjaśniających prowadzonych przez osoby odpowiedzialne za przyjmowanie zgłoszeń oraz prowadzenie postępowania wyjaśniającego przez odpowiednie organy lub w kontekście postępowań sądowych, w szczególności w celu zagwarantowania prawa do obrony osobom, których dotyczy zgłoszenie.
Ochrona sygnalisty – zakaz działań odwetowych
Na pracodawcy będzie ciążył obowiązek, by wobec sygnalisty nie zostały podjęte działania o charakterze odwetowym, zarówno ze strony samego podmiotu prawnego, jak i współpracowników czy bezpośrednich przełożonych sygnalisty. Jako niedopuszczalne działania o charakterze odwetowym wskazane zostały m.in. degradacja lub wstrzymanie awansu, zmiana miejsca pracy, obniżenie wynagrodzenia, zmiana godzin pracy, wstrzymanie szkoleń, nałożenie lub zastosowanie jakiegokolwiek środka dyscyplinarnego, nagany lub innej kary, w tym finansowej, mobbing, dyskryminacja, niekorzystne lub niesprawiedliwe traktowanie, zakończenie stosunku pracy.
Ochrona sygnalisty – wewnętrzne postępowanie wyjaśniające
Wewnętrzne postępowanie wyjaśniające jako element działań następczych zasadniczo można podzielić na trzy etapy – pierwszy, w którym następuje przyjęcie zgłoszenia oraz jego kwalifikacja, drugi, w którym prowadzone jest postępowanie sprawdzające mające na celu uzyskanie odpowiedzi na pytanie czy istnieje prawdopodobieństwo, że zgłoszona nieprawidłowość miała miejsce. Trzeci etap to już właściwe postępowanie wyjaśniające. Podczas tego etapu przeprowadzane są wszystkie czynności dowodowe (zbieramy i oceniamy informacje, oceniamy treść i wiarygodność przedłożonych dokumentów itp.). Na tym etapie najczęściej dochodzi do nawiązania kontaktu z sygnalistą, dialogu z nim oraz osobami wskazanymi w treści zgłoszenia, dokonywana jest merytoryczna ocena dokonanego zgłoszenia.
Po dokonaniu zgłoszenia przez sygnalistę, podmiot prawny musi pamiętać o dwóch terminach – 7-dniowym, do poinformowania osoby dokonującej zgłoszenia o przyjęciu zgłoszenia oraz 3-miesięcznym, na przekazanie informacji zwrotnej na temat przeprowadzonych działań następczych.
Dokonując merytorycznej weryfikacji zgłoszenia konieczne staje się podjęcie działań, które będą adekwatne do właściwego rozpoznania sprawy. Z uwagi na różnorodność tematyczną zgłoszeń, zaangażowane podczas postępowania wyjaśniającego powinny być różne osoby lub też różne wewnętrzne zespoły czy komisje, w skład których wchodzą specjaliści z różnych dziedzin, pracownicy o zróżnicowanych kompetencjach, także miękkich, które stają się szczególnie istotne przy niektórych rodzajach zgłoszeń. Na tym etapie najczęściej podejmowane są także decyzje o zaangażowaniu podmiotu zewnętrznego, jak kancelarie prawne, psychologowie, którzy będą wspierać proces merytorycznej weryfikacji zgłoszenia. Podejmowane w ramach działań następczych czynności powinny odnosić się do racjonalnego, przemyślanego harmonogramu działań, tak by budować zaufanie zarówno do kompetencji osób podejmujących działania następcze, jak i do systemu oraz celu jego istnienia w organizacji.
Ochrona sygnalistów – dane osobowe
Na uwagę w odniesieniu do wewnętrznych procedur whistleblowingowych zasługuje m.in. zasada minimalizacji danych, co będzie sprowadzać się do tego, iż danych osobowych, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie należy zbierać, a w przypadku ich przypadkowego zebrania, należy je niezwłocznie usunąć.
Pozyskując dane osobowe w trakcie postępowania wyjaśniającego pamiętać należy, iż przepisy RODO nie pozwalają na wyłączenie obowiązku informacyjnego wobec osoby, która przekazuje swoje dane osobowe. Zakres obowiązku informacyjnego zdefiniowany został w art. 13 RODO (dot. sygnalisty) i obejmuje obowiązek podania informacji identyfikującej administratora i pozwalającej się z nim skontaktować, pozwalającej się skontaktować z inspektorem ochrony danych, dotyczącej celów przetwarzania danych osobowych, podstaw prawnych i przetwarzania, o tym jaki prawnie usprawiedliwiony cel stanowi podstawę przetwarzania danych, o odbiorcach lub kategoriach odbiorców danych, dotyczących przetwarzania danych do państwa trzeciego bądź organizacji międzynarodowej i związanych z tym wymogach.
Obowiązek informacyjny dotyczy także osób, których dane zostaną pozyskane nie bezpośrednio od osoby, której dotyczą – osoby, której zarzuca się nieprawidłowe zachowanie czy świadków takiego naruszenia. W odniesieniu do tych „uczestników” wewnętrznego postępowania wyjaśniającego, obowiązek informacyjny reguluje art. 14 RODO, który pozwala na niewykonanie obowiązku informacyjnego, gdy jego wykonanie mogłoby uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą. Rozwiązanie takie pozwala w pełni realizować cel wewnętrznego postępowania wyjaśniającego oraz skutecznie chronić sygnalistę przed działaniami o charakterze odwetowym.
Podsumowanie
System zgłaszania nieprawidłowości to inwestycja w bezpieczeństwo organizacji. Pozwala on skutecznie, adekwatnie, sprawnie reagować na pojawiające się w organizacji nieprawidłowości i zastosować środki naprawcze, których celem jest zapobieganie lub co najmniej zminimalizowanie ryzyk prawnych, wizerunkowych i finansowych organizacji.
Odpowiedzialna, dojrzała i budująca swój biznes, w oparciu o autentyczne wartości, organizacja potraktuje system whistleblowingowy jako narzędzie wspierające zarządzanie. Mając to zaś na uwadze, w sposób rzetelny podejdzie do zagwarantowania sygnalistom bezpieczeństwa.