Sygnalista & whistleblowing
Bezpieczny kanał sygnalistów. Oferta -> wdrożenie ochrony sygnalistów.
Ochrona „sygnalistów” to nowe obowiązki dla organizacji (prywatnych i publicznych).
W dniu 7 października 2019 r. Rada Unii Europejskiej oficjalnie przyjęła nową dyrektywę w sprawie ochrony osób zgłaszających przypadki naruszenia prawa unijnego. Dyrektywa została opublikowana w Dzienniku Urzędowym Unii Europejskiej w dniu 26 listopada 2019 r. i weszła w życie w dniu 17 grudnia 2019 r.
Celem dyrektywy jest zagwarantowanie wysokiego poziomu ochrony osobom, które publicznie ujawniają informacje o naruszeniach nabytych w kontekście ich działalności zawodowej (zwanymi “osobami zgłaszającymi” lub “informatorami” tj. „sygnalista” z ang. whistleblower).
Zgodnie z Artykułem 2 zakres przedmiotowy dyrektywy obejmuje;
– zamówienia publiczne;
– usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu;
– bezpieczeństwo produktów i ich zgodność z wymogami;
– bezpieczeństwo transportu;
– ochrona środowiska;
– ochrona radiologiczna i bezpieczeństwo jądrowe;
– bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt;
– zdrowie publiczne;
– ochrona konsumentów;
– ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych (jest to dodatkowa tarcza ochrona uzupełniająca GDPR / RODO).
Więcej informacji w zakresie przedmiotowym zawarte jest dyrektywie w Załączniku – Część I oraz Część II.
UE zagwarantuje sygnalistom dużą ochronę w szeregu sektorów, m.in. w dziedzinie zamówień publicznych, usług finansowych, walki z praniem pieniędzy, bezpieczeństwa produktów i transportu, publicznego oraz ochrony konsumentów oraz ochrony prywatności i danych osobowych
Dyrektywa nakazuje tworzenie bezpiecznych kanałów zgłaszania nieprawidłowości. Mają to być kanały zarówno wewnątrz organizacji (prywatnych lub publicznych), jak i kanały skierowane do organów publicznych. Nowe przepisy dają też sygnalistom dużą ochronę przed odwetem i zobowiązują organy krajowe do odpowiedniego informowania obywateli i szkolenia urzędników publicznych oraz pracowników organizacji, jak postępować w przypadku sygnalizacji nieprawidłowości.
Zgodnie z motywem nr 74 Dyrektywy o ochronie sygnalistów „w celu rozpatrywania zgłoszeń oraz w celu zapewnienia komunikacji z osobą dokonującą zgłoszenia, a także w celu prowadzenia we właściwy sposób działań następczych w związku ze zgłoszeniem członkowie personelu właściwych organów, którzy są odpowiedzialni za rozpatrywanie zgłoszeń, powinni być specjalnie przeszkoleni, między innymi w kwestii mających zastosowanie przepisów o ochronie danych”. Dotyczy zgłoszeń wewnętrznych i zgłoszeń zewnętrznych.
Również dla organizacji wyznaczonych dla "zgłoszeń zewnętrznych" nowym obowiązkiem jest przejście „specjalistycznego szkolenia”.
Główne założenia dyrektywy to:
Utworzenie w organizacjach (prywatnych i publicznych) skutecznych i bezpiecznych kanałów zgłaszania nieprawidłowości: obowiązek dotyczyłby firm zatrudniających ponad 50 pracowników oraz gmin liczących ponad 10 000 mieszkańców. Polski ustawodawca może wdrożyć niższe progi, gdyż dyrektywa nie ogranicza możliwości poszerzenia powyższych obowiązków dla mniejszych firm i gmin.
Próg liczby zatrudnienia nie ma zastosowania do podmiotów objętych zakresem stosowania dyrektywy wymienionych w części I.B i II załącznika;
a) usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu:
Hierarchia kanałów: sygnaliści mieliby najpierw używać kanałów wewnętrznych swojej organizacji, a dopiero potem kanałów zewnętrznych utworzonych przez organy publiczne. W żadnym razie nie straciliby ochrony, gdyby postanowili najpierw użyć kanałów zewnętrznych
Duża liczba grup chronionych nowymi przepisami: chronione będą osoby o różnym statusie, mogące w kontekście zawodowym pozyskać informacje o naruszeniach prawa, np. pracownicy (w tym służba cywilna szczebla krajowego/lokalnego), wolontariusze i stażyści, członkowie nie wykonawczy, udziałowcy itp.
Szeroki zakres: nowe przepisy dotyczą takich dziedzin jak zamówienia publiczne, usługi finansowe, zapobieganie praniu pieniędzy, zdrowie publiczne itp. Dla pewności prawa w załączniku do dyrektywy znalazła się lista wszystkich aktów prawnych UE nią objętych. Państwa członkowskie mogą podczas wdrażania nowych przepisów wykraczać poza tę listę
Wsparcie i ochrona dla sygnalistów: przepisy wprowadzają zabezpieczenia, by chronić sygnalistów przed odwetem, np. zawieszeniem, degradacją i zastraszeniem. Chronione będą również osoby pomagające sygnalistom, np. koledzy czy rodzina. Dyrektywa zawiera też listę środków wsparcia, które zostaną zapewnione sygnalistom
Zobowiązanie władz i firm do informacji zwrotnej: przepisy przewidują obowiązek reakcji na zgłoszenia sygnalistów i podjęcia działań następczych w ciągu 3 miesięcy (ewentualnie 6 miesięcy w należycie uzasadnionych przypadkach dla kanałów zewnętrznych).
Dlaczego potrzebna jest ochrona sygnalistów?
Sygnaliści to osoby, które reagują na nieprawidłowości napotkane w kontekście zawodowym mogące szkodzić interesowi publicznemu, np. działanie na szkodę środowiska, zdrowia publicznego, bezpieczeństwa konsumentów czy finansów publicznych.
Ochrona sygnalistów jest obecnie fragmentaryczna. Kompleksowe prawo w tej kwestii ma jedynie 10 krajów UE. Na szczeblu UE prawo istnieje tylko w kilku sektorach (głównie w dziedzinie usług finansowych).
Jak wykazało badanie przeprowadzone dla Komisji w 2017 r., brak ochrony sygnalistów w samym tylko obszarze zamówień publicznych naraża UE na utratę potencjalnych korzyści rzędu 5,8–9,6 mld EUR rocznie.
Zakres podmiotowy
Dyrektywa ma zastosowanie do “osób zgłaszających” pracujących w sektorze prywatnym lub publicznym, które uzyskały informacje o naruszeniach w kontekście zawodowym. Obejmuje to pracowników, osoby prowadzące działalność na własny rachunek, członków zarządu, udziałowców, wolontariuszy, osoby ubiegające się o pracę, osoby, których zatrudnienie zostało zakończone, a także osoby znajdujące się pod nadzorem lub kierownictwem wykonawcy, podwykonawcy lub dostawcy (art. 4).
Dyrektywa zapewnia również ochronę dla „osoby pomagającej w dokonaniu zgłoszenia”; tj. oznacza osobę fizyczną, która pomaga osobie dokonującej zgłoszenia w tej czynności w kontekście związanym z pracą i której pomoc nie powinna zostać ujawniona
„Kontekst związany z pracą” oznacza obecne lub przyszłe działania związane z pracą w sektorze publicznym lub prywatnym, w ramach, których – niezależnie od charakteru tych działań – osoby uzyskują informacje na temat naruszeń i mogłyby doświadczyć działań odwetowych w przypadku zgłoszenia takich informacji;
Warunki ochrony
Osoba zgłaszająca naruszenia będzie chroniona, jeśli ma uzasadnione powody, by sądzić, że je popełniła:
– że informacje te są prawdziwe w momencie składania sprawozdania; oraz
– że jest on objęty zakresem stosowania dyrektywy (art. 5).
Wewnętrzne kanały sprawozdawcze
Zgodnie z dyrektywą państwa członkowskie muszą zapewnić, aby osoby prawne zatrudniające co najmniej 50 pracowników stworzyły wewnętrzne kanały i procedury zgłaszania naruszeń. Dla firm zatrudniających do 249 pracowników możliwe jest współdzielenie kanału sprawozdawczego z innymi firmami. Kanał sprawozdawczy i procedura muszą być ustanowione w celu zapewnienia poufności osoby składającej sprawozdanie. Wymagane jest potwierdzenie sprawozdania w ciągu siedmiu dni oraz przekazanie osobie składającej sprawozdanie informacji zwrotnej w ciągu trzech miesięcy (art. 7-9).
Zewnętrzne kanały sprawozdawcze
Państwa członkowskie powinny zachęcać do korzystania ze sprawozdawczości wewnętrznej przed wyjściem na zewnątrz. Państwa członkowskie muszą jednak również utworzyć zewnętrzne kanały sprawozdawcze z odpowiednimi właściwymi organami, które podlegają tym samym wymogom w zakresie poufności, otrzymywania i przekazywania informacji zwrotnych, co kanały wewnętrzne (z tym wyjątkiem, że informacje zwrotne mogą, w należycie uzasadnionych przypadkach, zostać przekazane w ciągu sześciu miesięcy). Te zewnętrzne kanały sprawozdawcze muszą przekazywać informacje do odpowiednich instytucji UE (art. 10-14).
Publiczne ujawnienie
Jeżeli dana osoba korzystała z kanałów wewnętrznych i zewnętrznych, ale w wymaganych ramach czasowych nie podjęto odpowiednich działań; lub jeżeli osoba dokonująca zgłoszenia miała powody, by sądzić, że zostanie poddana działaniom odwetowym z powodu zgłoszenia, lub jeżeli uważa, że szanse na skuteczne zaradzenie naruszeniu są niewielkie; lub jeżeli naruszenie może spowodować bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, osoba dokonująca zgłoszenia może być chroniona w przypadku publicznego ujawnienia (art. 15).
Środki ochrony
Osoby zgłaszające” są chronione przed wszelkimi formami odwetu (w tym przed groźbami i próbami odwetu, pośrednimi lub bezpośrednimi). W szczególności mowa jest o zawieszeniu, zwolnieniu, zwolnieniu, zdegradowaniu lub wstrzymaniu awansu (art. 19). W postępowaniu przed sądem, jeżeli “osoba zgłaszająca” ustali, że dokonała ujawnienia w ramach dyrektywy, ciężar dowodu ulega odwróceniu, a zatem pracodawca będzie musiał wykazać, że szkoda nie została poniesiona z powodu zgłoszenia (art. 21).
Osoby zgłaszające” są również chronione przed odpowiedzialnością za naruszenie NDA i nie powinny ponosić odpowiedzialności wynikającej z uzyskania odpowiednich informacji, pod warunkiem, że nie popełniono przestępstwa (art. 21).
Kary
Państwa członkowskie muszą przewidzieć “skuteczne, proporcjonalne i odstraszające” sankcje, aby zapobiec utrudnianiu (lub próbom utrudniania) składania sprawozdań, podejmowaniu działań odwetowych wobec osób składających sprawozdania lub wszczynaniu dokuczliwych postępowań wobec osób składających sprawozdania, lub naruszaniu obowiązku zachowania poufności. Podobnie, państwa członkowskie powinny przewidzieć “skuteczne, proporcjonalne i odstraszające” sankcje, aby zapobiec składaniu fałszywych sprawozdań lub fałszywym informacjom publicznym.
Wdrożymy program ochrony sygnalistów i system zarządzania
Wdrażamy ochronę sygnalistów badając podatność na ryzyko dla organizacji;
- Kontekst organizacji (zrozumienie organizacji)
- Audyt w podmiocie (prywatnym lub publicznym)
- Identyfikacja, analiza i ocena ryzyka braku zgodności
- Zewnętrzne procesy
- Komunikacja wewnętrzna
- Ustanowienie kontroli i opracowanie procedur wewnętrznych
- Opracowanie wewnętrznych polityk, kodeksów postępowania i innych wewnętrznych regulacji
- Wdrożenie ochrony sygnalistów
- Szkolenia, zwiększenie świadomości pracowników i zarządu
- Ocena wyników
- Monitorowanie, pomiar, analiza i ocena
- Wykrywanie niezgodności i działania naprawcze
- Okresowe szkolenia
- Ewaluacja wprowadzonych procedur
- Stały monitoring zmian w przepisach i działania adaptacyjne do nowych regulacji
Nasz interdyscyplinarny zespół
Zespół Whistleblower Security Europe tworzą: Inspektorzy Ochrony Danych Osobowych, Compliance officer, prawnicy, adwokaci, radcy prawni, informatycy z zakresu bezpieczeństwa informacji, cyberbezpieczeństwa, doświadczeni praktycy i szkoleniowcy w zakresie wdrażania Compliance i ochrony danych osobowych.
Skutecznie wdrożymy dla Twojej organizacji system ochrony sygnalistów.
TWOJE DANE SĄ U NAS BEZPIECZNE
© Wszystkie prawa zastrzeżone