Projekt ustawy o sygnalistach

Justyna Hamada, Menedżer, Dział Zarządzania Ryzykiem Nadużyć, EY Polska

materiały prasowe

 Spółki zatrudniające przynajmniej 250 pracowników zobowiązane będą do wdrożenia nowych przepisów w pierwszej kolejności, jeszcze w grudniu 2021 r. (o ile proces legislacyjny zostanie zakończony terminowo). Pracodawcy z sektora prywatnego zatrudniający minimum 50 pracowników mają czas do 17 grudnia 2023 r. Co ważne, projektowana ustawa obejmie ochroną osoby dokonujące zgłoszenia lub ujawnienia informacji albo uzasadnionych podejrzeń naruszenia prawa, które uzyskały informacje na temat naruszenia w kontekście związanym z pracą, jednak ich naczelnym celem nie będzie pozyskanie wyłącznie korzyści osobistych. Przewidziane w projekcie ustawy gwarancje i środki prawne będą przysługiwały osobie dokonującej zgłoszenia naruszenia niezależnie od podstawy i formy świadczenia pracy (m.in. umowa o pracę, umowa cywilnoprawna, prowadzenie działalności gospodarczej przez osobę fizyczną, kontrakt menedżerski, wolontariat, staż i praktyka), w tym także świadczącej pracę na rzecz podmiotów, z którymi pracodawca utrzymuje relacje gospodarcze, jak wykonawcy, podwykonawcy lub dostawcy, oraz innym osobom zgłaszającym informacje o naruszeniach w kontekście związanym z pracą, jak akcjonariusze i wspólnicy oraz członkowie organów osoby prawnej. Ochroną przed odwetem, czyli wszelkimi działaniami godzącym w dobro osoby dokonującej zgłoszenia, których mogłaby ona doświadczyć ze strony pracodawcy, będą objęte również osoby dokonujące zgłoszenia, których stosunek pracy ustał lub dopiero ma zostać nawiązany, w przypadku gdy informacje na temat naruszenia uzyskano w trakcie procesu rekrutacji poprzedzającego zawarcie umowy.

Przypomnijmy, że sygnaliści stanowią główne źródło informacji o nieprawidłowościach. Informują o 43 proc. nadużyć wykrywanych w firmach. Dzięki skutecznym systemom raportowania nadużyć firmy wykrywają nieprawidłowości o 33 proc. szybciej, a straty są o 49 proc. niższe.2) Prawidłowe wdrożenie mechanizmów ochrony sygnalistów należy traktować jako wartościowy element ładu korporacyjnego oraz wsparcie kompleksowego systemu zarządzania ryzykiem w organizacji. Środki i wysiłek poniesione na adaptację nowych przepisów oraz wdrożenie procesu ochrony sygnalistów w spółce docelowo ograniczą koszty związane z prowadzeniem postępowań wyjaśniających, potencjalnych kontroli zewnętrznych czy wreszcie ryzyka nałożenia sankcji przewidzianych przez regulatora.

Jakie działania powinny podjąć spółki giełdowe, aby przygotować się do nowych wymogów?

Temat ochrony sygnalistów nie jest obcy spółkom giełdowym, głównie z uwagi na ustawę o ofercie publicznej3), nakładającą na nie obowiązek udostępnienia anonimowych kanałów zgłoszeń. Środowisko compliance od blisko dwóch lat zapoznawało się dyrektywą UE o ochronie sygnalistów4), która była inspiracją dla polskiego projektu ustawy. Dlatego też dość zaskakujące okazały się dla nas wyniki badania przeprowadzonego przez EY we wrześniu 2021 r. „Czas na ochronę sygnalistów", diagnozującego stopień gotowości polskich spółek na wymogi w zakresie ochrony sygnalistów. Wyniki spółek giełdowych nie odbiegały znacząco od wyników spółek nienotowanych i wskazywały, że większość respondentów nie jest gotowa na nowe regulacje. Jednocześnie, jak wynikało z badania, polskie firmy dostrzegają wartość informacji, które mogą być dostarczone przez sygnalistów, a 89 proc. firm uważa, że sama dyrektywa sprzyja ich biznesowi.

Jakie wymogi stawia przed przedsiębiorcami projekt ustawy?

Wśród głównych wymogów na pierwsze miejsce wysuwa się obowiązek wdrożenia poufnych wewnętrznych kanałów do zgłaszania naruszeń oraz udostępnienie informacji o kanałach zewnętrznych. Na tym etapie spółki powinny dołożyć wysiłku, by zachęcić potencjalnych sygnalistów do korzystania w jak największym stopniu z kanałów wewnętrznych, bo jak mówił Benjamin Franklin: „Inwestowanie w wiedzę zawsze przynosi największe zyski". W praktycznym wymiarze gospodarczym oznacza to, że informacja uzyskana od sygnalisty, w tym również zewnętrznego, pozwala na kontrolę sytuacji oraz umożliwia weryfikację, czy dane podejrzenie może być zasadne i czy wymaga podejmowania dalszych kroków.

Drugi postulat, w którym projekt ustawy pozostawia przedsiębiorcom pewien margines decyzyjności, to ustalenie trybu rozpatrywania zgłoszeń. Przedsiębiorcy mogą zadeklarować (uwzględniając naruszenia prawa wskazane w art. 1 pokrywające się z zakresem przedmiotowym dyrektywy), jakie tematy będą rozpatrywać w ramach organizacji. Niestety, nadmiernie selektywne podejście może skutkować chaosem organizacyjnym. Sygnaliści, zniechęceni zawiłościami proceduralnymi, zdezorientowani, z kim i jak powinni wyjaśniać swoje wątpliwości, mogą zrezygnować z dialogu wewnętrznego i udać się od razu do instancji państwowej. Projekt ustawy proponuje im taki przywilej. Ustawodawca nie podejmie też za przedsiębiorcę decyzji o rozpatrywaniu zgłoszeń anonimowych – projekt ustawy nie definiuje tego obszaru. Jednocześnie instytucje publiczne będą zobowiązane do przyjmowania zgłoszeń sygnalistów nieujawniających swojej tożsamości. W przypadku spółek podlegających ustawie o ofercie publicznej6) ten dylemat schodzi na drugi plan, gdyż emitenci są obowiązani posiadać procedury anonimowego zgłaszania naruszeń prawa, w szczególności przepisów ustawy, rozporządzenia 2017/1129, oraz procedur i standardów etycznych. Rozwiązanie zaproponowane przez regulatora może być interpretowane jako ukłon w stronę pracodawców, którym trudno chronić anonimowego sygnalistę, jednak z drugiej strony może prowadzić do sytuacji działającej na niekorzyść przedsiębiorców, przekierowując sygnalistów poza organizację.

Mniej kontrowersji wywołuje obowiązek (i) stworzenia regulaminu zgłoszeń wewnętrznych określającego wewnętrzną procedurę zgłaszania naruszeń prawa oraz udostępnienie procedury zgłaszania naruszeń prawa organowi publicznemu, (ii) wyznaczenie podmiotu wewnętrznego upoważnionego do przyjmowania zgłoszeń, prowadzenia ich rejestru oraz udzielania sygnalistom informacji zwrotnej w określonych terminach siedmiu dni oraz trzech miesięcy i (iii) zabezpieczenie danych osobowych sygnalistów oraz osób, których zgłoszenie dotyczy, zgodnie z przepisami RODO. Nie zaskakuje też, że projekt ustawy wymaga podejmowania z należytą starannością działań następczych oraz wyznaczenia środków, jakie mogą zostać zastosowane w przypadku naruszeń prawa. I o ile racjonalne jest zapoznanie pracowników z nowymi przepisami jako warunek skutecznej ich adaptacji w spółce, o tyle obowiązek przeprowadzenia konsultacji ze związkami zawodowymi lub przedstawicielami pracowników wykracza poza standard minimum dyrektywy, zwłaszcza że takie konsultacje nie są wiążące i mogą być postrzegane jedynie jako przejaw dobrej woli pracodawcy.

Z praktycznego punktu widzenia przedsiębiorcy będą musieli także prowadzić rejestr zgłoszeń wewnętrznych zawierający numer sprawy, przedmiot naruszenia, datę dokonania zgłoszenia wewnętrznego, informację o podjętych działaniach następczych oraz datę zakończenia sprawy. Taka ewidencja może okazać się bezcenna w razie potrzeby potwierdzenia należytej staranności w ramach procesu wyjaśniania zgłoszeń.

Jak widać, projekt polskiej ustawy zawiera kilka niestandardowych względem dyrektywy propozycji, a gdzieniegdzie ją doprecyzowuje. Jest tak w przypadku okresu przechowywania danych, który został określony na maksymalnie pięć lat od dnia przyjęcia zgłoszenia. Nie wyklucza to, w razie konieczności, wydłużenia przechowywania informacji w danej sprawie dłużej, jednak w takim wypadku niezbędna będzie inna, zasadna podstawa prawna.

Warto wspomnieć, że zarówno proces przyjmowania zgłoszeń, jak i podejmowania działań następczych będzie mógł być „outsourcowany" do podmiotów zewnętrznych. Takie podejście to ukłon w stronę grup kapitałowych.

Jakie kary zostały przewidziane w projekcie?

Zgodnie z oczekiwaniami projekt ustawy zawiera propozycje sankcji za utrudnianie zgłoszeń, podejmowanie działań odwetowych, naruszenie obowiązku zachowania poufności, dokonywanie fałszywych zgłoszeń oraz niewdrożenie systemu zgłaszania naruszeń. Z ich charakteru można wnioskować, że niektóre będą groziły nie tylko zarządom (np. niewdrożenie systemu zgłaszania naruszeń), ale także osobom zajmującym się bezpośrednio rozpatrywaniem zgłoszeń. Co istotne, aby konkretny podmiot miał do tego prawo, musi zostać pisemnie upoważniony przez zarząd. Działanie wbrew ustawie, niedopełnienie lub obejście jej przepisów zagrożone będzie grzywną, karą ograniczenia albo pozbawienia wolności do lat trzech. Aktualnie wszystkie wykroczenia zagrożone są tą samą karą.

W projekcie odnajdziemy sankcję nieważności postanowień umów o pracę i innych aktów objętych prawem pracy oraz czynności cywilnoprawnych w zakresie, w jakim bezpośrednio lub pośrednio wyłączają lub ograniczają prawo do dokonania zgłoszenia. Czas pokaże, czy ustawa podtrzyma założenia projektu, zgodnie z którymi w stosunku do osoby zgłaszającej, pomagającej w dokonaniu zgłoszenia oraz osoby powiązanej ze zgłaszającym obowiązuje sankcja bezskuteczności czynności prawnej w postaci wypowiedzenia lub rozwiązania bez wypowiedzenia stosunku prawnego będącego podstawą świadczenia towarów lub usług w wyniku dokonania zgłoszenia.

1) Projekt ustawy o ochronie osób zgłaszających naruszenia prawa – Wykaz prac legislacyjnych i programowych Rady Ministrów, BIP Rady Ministrów i Kancelarii Prezesa Rady Ministrów (kprm.gov.pl), stan na 18.11.2021

2) Report To The Nations 2020 ACFE – Globalne badanie na temat oszustw i nadużyć pracowniczych