Czy wdrażają Państwo kompleksowe wdrożenie ochrony sygnalistów zgodnie z Dyrektywą 2019/1937?

TAK, wdrażamy kompleksowo ochronę sygnalistów.
Ochrona „sygnalistów” to nowe obowiązki dla organizacji (prywatnych i publicznych) pod rygorem sankcji karnych. W dniu 7 października 2019 r. Rada Unii Europejskiej oficjalnie przyjęła nową dyrektywę w sprawie ochrony osób zgłaszających przypadki naruszenia prawa unijnego. Dyrektywa została opublikowana w Dzienniku Urzędowym Unii Europejskiej w dniu 26 listopada 2019 r. i weszła w życie w dniu 17 grudnia 2019 r.


Czy dzięki Państwa systemowi informatycznemu i usługom wdrożeniowym możemy zagwarantować wdrożenie Dyrektywy 2019/1937?

Tak, gwarantujemy wdrożenie w Państwa organizacji (publicznej lub prywatnej) skutecznego systemu dla „sygnalistów” plus pełne wsparcie naszych usług prawnych, szkoleniowych i wdrożeniowych.

W jaki sposób wdrażają Państwo ochronę sygnalistów?

Wdrażamy ochronę sygnalistów badając podatność na ryzyko dla organizacji;

  • Kontekst organizacji (zrozumienie organizacji)
  • Audyt w podmiocie (prywatnym lub publicznym)
  • Identyfikacja, analiza i ocena ryzyka braku zgodności
  • Zewnętrzne procesy
  • Komunikacja wewnętrzna
  • Ustanowienie kontroli i opracowanie procedur wewnętrznych
  • Opracowanie wewnętrznych polityk, kodeksów postępowania i innych wewnętrznych regulacji
  • Wdrożenie ochrony sygnalistów
  • Szkolenia, zwiększenie świadomości pracowników i zarządu
  • Ocena wyników
  • Monitorowanie, pomiar, analiza i ocena
  • Wykrywanie niezgodności i działania naprawcze
  • Okresowe szkolenia 
  • Ewaluacja wprowadzonych procedur 
  • Stały monitoring zmian w przepisach i działania adaptacyjne do nowych regulacji

Czy możemy pełnić funkcję Compliance Officer oraz czy wdrażamy kompleksowo Compliance?

Tak, pełnimy funkcję Compliance Officer oraz wdrażamy kompleksowo Compliance.
Wspieramy proces identyfikacji istniejących nieprawidłowości i braków w zakresie zarządzania zgodnością w związku z nowymi wymogami projektu ustawy o odpowiedzialności podmiotów zbiorowych i innych regulacji branżowych lub sektorowych. Zakres prac obejmuje w szczególności; audyt compliance, analiza ryzyka compliance, mapowanie compliance, weryfikację dokumentacji, procedur oraz systemów IT. W wyniku naszych prac powstają zalecenia i raporty zgodności, tworzymy pełną dokumentację compliance i przygotowanie Państwa firmy zgodnie z wymogami projektu ustawy o odpowiedzialności podmiotów zbiorowych. Określamy niezbędne działania dostosowawcze dla firmy. Wdrożenie compliance jest kompleksowe. SZKOLENIA, WDROŻENIE, NADZÓR PROCESÓW COMPLIANCE

Jaka jest cena wdrożenia systemu IT zgodnie z Dyrektywą 2019/1937?

Cena wdrożenia jest przedstawiona w sekcji cennik. Osobno wyceniamy w zależności od wielkości firmy szkolenie dla Państwa pracowników. W tym celu prosimy o kontakt z naszą firmą przez formularz w sekcji kontakt.

Jaki jest cel wdrożenia Dyrektywy 2019/1937 oraz jaki zakres przedmiotowy obejmuje?

Celem dyrektywy jest zagwarantowanie wysokiego poziomu ochrony osobom, które publicznie ujawniają informacje o naruszeniach nabytych w kontekście ich działalności zawodowej (zwanymi “osobami zgłaszającymi” lub “informatorami” tj. „sygnalista” z ang. whistleblower).
Zgodnie z Artykułem 2 zakres przedmiotowy dyrektywy obejmuje;
– zamówienia publiczne;
– usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu;
– bezpieczeństwo produktów i ich zgodność z wymogami;
– bezpieczeństwo transportu;
– ochrona środowiska;
– ochrona radiologiczna i bezpieczeństwo jądrowe;
– bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt;
– zdrowie publiczne;
– ochrona konsumentów;
– ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych (jest to dodatkowa tarcza ochrona uzupełniająca GDPR / RODO).

Więcej informacji w zakresie przedmiotowym zawarte jest dyrektywie w Załączniku – Część I oraz Część II.UE zagwarantuje sygnalistom dużą ochronę w szeregu sektorów, m.in. w dziedzinie zamówień publicznych, usług finansowych, walki z praniem pieniędzy, bezpieczeństwa produktów i transportu, publicznego oraz ochrony konsumentów oraz ochrony prywatności i danych osobowych

Dlaczego muszą być tworzone bezpieczne kanały zgłaszania nieprawidłowości?

Dyrektywa nakazuje tworzenie bezpiecznych kanałów zgłaszania nieprawidłowości. Mają to być kanały zarówno wewnątrz organizacji (prywatnych lub publicznych), jak i kanały skierowane do organów publicznych. Nowe przepisy dają też sygnalistom dużą ochronę przed odwetem i zobowiązują organy krajowe do odpowiedniego informowania obywateli i szkolenia urzędników publicznych oraz pracowników organizacji, jak postępować w przypadku sygnalizacji nieprawidłowości.

Czy jest obowiązek przeprowadzenia szkolenia zgodnie z Dyrektywą 2019/1937?

Tak, realizujemy szkolenia w zakresie wdrożenia i ochrony sygnalistów.
Jednym z nowych obowiązków dla organizacji jest przejście „specjalistycznego szkolenia” dla osób w organizacji, które będą obsługiwać kanały zgłaszania nieprawidłowości (Artykuł 12, ust. 5 „Członkowie personelu, o których mowa w ust. 4, przechodzą specjalne szkolenie z zakresu rozpatrywania zgłoszeń.”).

Jakie są główne założenia Dyrektywy 2019/1937?

Główne założenia dyrektywy to: Utworzenie w organizacjach (prywatnych i publicznych) skutecznych i bezpiecznych kanałów zgłaszania nieprawidłowości: obowiązek dotyczyłby firm zatrudniających ponad 50 pracowników oraz gmin liczących ponad 10 000 mieszkańców. Polski ustawodawca może wdrożyć niższe progi, gdyż dyrektywa nie ogranicza możliwości poszerzenia powyższych obowiązków dla mniejszych firm i gmin.

Uwaga: Próg liczby zatrudnienia nie ma zastosowania do podmiotów objętych zakresem stosowania dyrektywy wymienionych w części I.B i II załącznika;

  1. usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu:

Jaka jest hierarchia używania kanałów komunikacji?

Hierarchia kanałów: sygnaliści mieliby najpierw używać kanałów wewnętrznych swojej organizacji, a dopiero potem kanałów zewnętrznych utworzonych przez organy publiczne. W żadnym razie nie straciliby ochrony, gdyby postanowili najpierw użyć kanałów zewnętrznych

Jakie osoby będą chronione nowymi przepisami Dyrektywy 2019/1937?

Duża liczba grup chronionych nowymi przepisami: chronione będą osoby o różnym statusie, mogące w kontekście zawodowym pozyskać informacje o naruszeniach prawa, np. pracownicy (w tym służba cywilna szczebla krajowego/lokalnego), wolontariusze i stażyści, członkowie nie wykonawczy, udziałowcy itp.

Jaki jest zakres stosowania Dyrektywy 2019/1937?

Dyrektywa wprowadza bardzo szeroki zakres: nowe przepisy dotyczą takich dziedzin jak zamówienia publiczne, usługi finansowe, zapobieganie praniu pieniędzy, zdrowie publiczne itp. Dla pewności prawa w załączniku do dyrektywy znalazła się lista wszystkich aktów prawnych UE nią objętych. Państwa członkowskie mogą podczas wdrażania nowych przepisów wykraczać poza tę listę

Jak szybko należy odpowiedzieć na zgłoszenia sygnalistów?

Zobowiązanie władz i firm do informacji zwrotnej: przepisy przewidują obowiązek reakcji na zgłoszenia sygnalistów i podjęcia działań następczych w ciągu 3 miesięcy (ewentualnie 6 miesięcy w należycie uzasadnionych przypadkach dla kanałów zewnętrznych).

Dlaczego potrzebna jest ochrona sygnalistów?

Sygnaliści to osoby, które reagują na nieprawidłowości napotkane w kontekście zawodowym mogące szkodzić interesowi publicznemu, np. działanie na szkodę środowiska, zdrowia publicznego, bezpieczeństwa konsumentów czy finansów publicznych.

Ochrona sygnalistów jest obecnie fragmentaryczna. Kompleksowe prawo w tej kwestii ma jedynie 10 krajów UE. Na szczeblu UE prawo istnieje tylko w kilku sektorach (głównie w dziedzinie usług finansowych).Jak wykazało badanie przeprowadzone dla Komisji w 2017 r., brak ochrony sygnalistów w samym tylko obszarze zamówień publicznych naraża UE na utratę potencjalnych korzyści rzędu 5,8–9,6 mld EUR rocznie.

Jaki jest zakres przedmiotowy stosowania Dyrektywy 2019/1937?

Dyrektywa ma zastosowanie do “osób zgłaszających” pracujących w sektorze prywatnym lub publicznym, które uzyskały informacje o naruszeniach w kontekście zawodowym. Obejmuje to pracowników, osoby prowadzące działalność na własny rachunek, członków zarządu, udziałowców, wolontariuszy, osoby ubiegające się o pracę, osoby, których zatrudnienie zostało zakończone, a także osoby znajdujące się pod nadzorem lub kierownictwem wykonawcy, podwykonawcy lub dostawcy (art. 4).

Czy osoby pomagające w zgłoszeniu również będą podlegać ochronie?

Dyrektywa zapewnia również ochronę dla „osoby pomagającej w dokonaniu zgłoszenia”; tj. oznacza osobę fizyczną, która pomaga osobie dokonującej zgłoszenia w tej czynności w kontekście związanym z pracą i której pomoc nie powinna zostać ujawniona „Kontekst związany z pracą” oznacza obecne lub przyszłe działania związane z pracą w sektorze publicznym lub prywatnym, w ramach których – niezależnie od charakteru tych działań – osoby uzyskują informacje na temat naruszeń i mogłyby doświadczyć działań odwetowych w przypadku zgłoszenia takich informacji;

Jakie są warunki ochrony na podstawie Dyrektywy 2019/1937?

Warunki ochrony; Osoba zgłaszająca naruszenia będzie chroniona, jeśli ma uzasadnione powody, by sądzić, że je popełniła:
– że informacje te są prawdziwe w momencie składania sprawozdania; oraz
– że jest on objęty zakresem stosowania dyrektywy (art. 5).
Wewnętrzne kanały sprawozdawcze
Zgodnie z dyrektywą państwa członkowskie muszą zapewnić, aby osoby prawne zatrudniające co najmniej 50 pracowników stworzyły wewnętrzne kanały i procedury zgłaszania naruszeń. Dla firm zatrudniających do 249 pracowników możliwe jest współdzielenie kanału sprawozdawczego z innymi firmami. Kanał sprawozdawczy i procedura muszą być stanowione w celu zapewnienia poufności osoby składającej sprawozdanie. Wymagane jest potwierdzenie sprawozdania w ciągu siedmiu dni oraz przekazanie osobie składającej sprawozdanie informacji zwrotnej w ciągu trzech miesięcy (art. 7-9).  
Zewnętrzne kanały sprawozdawcze
Państwa członkowskie powinny zachęcać do korzystania ze sprawozdawczości wewnętrznej przed wyjściem na zewnątrz. Państwa członkowskie muszą jednak również utworzyć zewnętrzne kanały sprawozdawcze z odpowiednimi właściwymi organami, które podlegają
tym samym wymogom w zakresie poufności, otrzymywania i przekazywania informacji zwrotnych, co kanały wewnętrzne (z tym wyjątkiem, że informacje zwrotne mogą, w należycie uzasadnionych przypadkach, zostać przekazane w ciągu sześciu miesięcy). Te zewnętrzne kanały sprawozdawcze muszą przekazywać informacje do odpowiednich instytucji UE (art. 10-14).

Kiedy może wystąpić „publiczne ujawnienie”?

Jeżeli dana osoba korzystała z kanałów wewnętrznych i zewnętrznych, ale w wymaganych ramach czasowych nie podjęto odpowiednich działań; lub jeżeli osoba dokonująca zgłoszenia miała powody, by sądzić, że zostanie poddana działaniom odwetowym z powodu zgłoszenia, lub jeżeli uważa, że szanse na skuteczne zaradzenie naruszeniu są niewielkie; lub jeżeli naruszenie może spowodować bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, osoba dokonująca zgłoszenia może być chroniona w przypadku publicznego ujawnienia (art. 15).

Jakie środki ochrony powinno się wdrożyć?

Osoby zgłaszające” są chronione przed wszelkimi formami odwetu (w tym przed groźbami i próbami odwetu, pośrednimi lub bezpośrednimi). W szczególności mowa jest o zawieszeniu, zwolnieniu, zwolnieniu, zdegradowaniu lub wstrzymaniu awansu (art. 19). W postępowaniu przed sądem, jeżeli “osoba zgłaszająca” ustali, że dokonała ujawnienia w ramach dyrektywy, ciężar dowodu ulega odwróceniu, a zatem pracodawca będzie musiał wykazać, że szkoda nie została poniesiona z powodu zgłoszenia (art. 21). Osoby zgłaszające” są również chronione przed odpowiedzialnością za naruszenie NDA i nie powinny ponosić odpowiedzialności wynikającej z uzyskania odpowiednich informacji, pod warunkiem, że nie popełniono przestępstwa (art. 21).

Jakie mogą być stosowane kary za brak wdrożenia ochrony sygnalistów?

Państwa członkowskie muszą przewidzieć “skuteczne, proporcjonalne i odstraszające” sankcje, aby zapobiec utrudnianiu (lub próbom utrudniania) składania sprawozdań, podejmowaniu działań odwetowych wobec osób składających sprawozdania lub wszczynaniu dokuczliwych postępowań wobec osób składających sprawozdania, lub naruszaniu obowiązku zachowania poufności. Podobnie, państwa członkowskie powinny przewidzieć “skuteczne, proporcjonalne i odstraszające” sankcje, aby zapobiec składaniu fałszywych sprawozdań lub fałszywym informacjom publicznym.

W jaki sposób gwarantujemy bezpieczeństwo danych osobowych sygnalistów?

Wiadomości są trwale zaszyfrowane. Przechowujemy wiadomości na serwerach w zaszyfrowanej formie. Są one również szyfrowane podczas transmisji pomiędzy naszymi serwerami i urządzeniami użytkownika. Wymiana szyfrowanych wiadomości pomiędzy użytkownikami następuje w ramach bezpiecznej sieci serwerów. Dzięki szyfrowaniu danych na każdym kroku, ryzyko przechwycenia wiadomości praktycznie nie istnieje.

Jak zapewniamy anonimowość dla osób zgłaszających nieprawidłowości?

Przesłanie wiadomości od sygnalisty przez nasz System Zgłaszania Nieprawidłowości nie wymaga podawania żadnych danych osobowych. Nie przechowujemy logów IP, które mogłyby zostać połączone z osobami zgłaszającymi nieprawidłowości. Twoja prywatność i anonimowość jest dla nas priorytetem.

Czy zapewniamy ochronę danych osobowych zgodnie z RODO/GDPR?

Tak, zapewniamy kompleksową ochronę danych osobowych sygnalistów. Gwarantujemy pełną obsługę prawną naszych Inspektorów Ochrony Danych osobowych, radców prawnych, adwokatów i specjalistów ds. cyberbezpieczeństwa.

Czy aplikacja „kanału wewnętrznego” jest zgodna z projektem ustawy o ochronie sygnalistów?

Tak, nasza aplikacja jest zgodna z założeniami projektu ustawy o ochronie sygnalistów, oraz jest zgodna z wymogami dyrektywy o ochronie sygnalistów. Aplikacja jest również zgodna z wymogami normy ISO 27001. Aplikacja jest zgodna z wymogami cyberbezpieczeństwa, jest zgodna z wymogami dyrektywy RODO i ustawy o ochronie danych osobowych. Aplikacja jest poddawana audytom informatycznym.