Najpóźniej w grudniu 2021 r. państwa członkowskie UE powinny przyjąć przepisy umożliwiające wdrożenie dyrektywy unijnej nr 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, popularnie nazywanych sygnalistami. Nie znamy jeszcze propozycji konkretnych rozwiązań, jakie przyjęte będą w Polsce. To jednak dobry czas, żeby zacząć planować proces wdrożenia wymaganych procedur i zapoznać się z założeniami dyrektywy.
Czemu mają służyć nowe przepisy?
Ich celem jest zapewnienie ochrony osób ujawniających naruszenia prawa Unii w określonych dziedzinach życia (m. in. w zakresie zamówień publicznych, usług i produktów finansowych, bezpieczeństwa produktów i transportu, ochrony środowiska, bezpieczeństwa jądrowego, bezpieczeństwa żywności, zdrowia publicznego, ochrony konsumentów etc.). Ujawnienie to może przybrać formę tzw. zgłoszenia wewnętrznego (dokonanego wewnątrz organizacji), bądź zewnętrznego – skierowanego bezpośrednio do właściwych organów (każde państwo członkowskie wyznaczy takie organy).
Najogólniej rzecz ujmując, dyrektywa dotyczy ochrony przed działaniami odwetowymi osób, które zgłaszają domniemane naruszenia prawa w związku z działalnością organizacji, względem której pozostają w stosunku zależności, np. wynikającej z pozostawania w zatrudnieniu, chociaż zależność ta może wynikać także z innych okoliczności prawnych lub faktycznych.
Obowiązek wdrożenia procedur i kanałów przyjmowania zgłoszeń
Przepisy nałożą nowe obowiązki, zarówno na podmioty sektora publicznego, jak i podmioty prywatne (w tym drugim przypadku co do zasady zatrudniające co najmniej 50 osób, choć i od tej reguły przewidziane będą wyjątki).
Obowiązkowe będzie przede wszystkim wdrożenie procedur i kanałów umożliwiających dokonywanie przez sygnalistów zgłoszeń naruszeń prawa. Kanały te będą mogły być obsługiwane zarówno przez osoby zatrudnione w organizacji, jak też – pod pewnymi warunkami – outsourcowane.
Kanały przyjmowania zgłoszeń będą musiały być zaprojektowane i wdrożone w taki sposób, aby zapewnić ochronę poufności tożsamości sygnalisty oraz osoby, której działania bądź zaniechania dotyczy zgłoszenie. Mają one również umożliwić dokonywanie zgłoszeń ustnie lub pisemnie oraz zapewnić możliwość przekazania zgłaszającemu zwrotnej informacji w zakreślonym przepisami terminie. Co do konieczności przyjmowania zgłoszeń anonimowych – dyrektywa pozostawia w tym zakresie wolną rękę państwom członkowskim, chociaż pamiętać należy, że na mocy prawa unijnego, w niektórych obszarach (np. ochrona konkurencji i konsumentów) już obecnie istnieje możliwość anonimowego zgłaszania naruszeń prawa.
Konieczne będzie także prowadzenie przez organizacje rejestru przyjętych zgłoszeń i to z zapewnieniem wymogów poufności. W przypadku zgłoszeń dokonywanych ustnie możliwe będzie – za zgodą osoby zgłaszającej – ich nagrywanie a także dokumentowanie w postaci transkrypcji, przy czym zgłaszający ma mieć prawo jej zatwierdzenia przez podpisanie.
Wpłynęło zgłoszenie, co dalej?
Oczywiście na przyjęciu zgłoszenia nie będą się kończyć obowiązki organizacji. Zgłoszenie wymagać będzie podjęcia tzw. działań następczych. Nie później niż w ciągu tygodnia od otrzymania zgłoszenia konieczne będzie potwierdzenie jego otrzymania, a następnie przeprowadzenie postępowania wyjaśniającego. Przepisy określają jego ramy czasowe – co do zasady ma ono się zakończyć w ciągu 3 miesięcy, a w szczególnie uzasadnionych przypadkach – w ciągu pół roku.
Na czym polegać będzie ochrona sygnalistów?
Podstawowym środkiem ochrony będzie konieczność zachowania poufności osoby dokonującej zgłoszenia. Jej tożsamość będzie mogła być ujawniona tylko wówczas, jeżeli będzie to niezbędne w kontekście np. postępowań sądowych prowadzonych zgodnie z przepisami państwa członkowskiego.
Dyrektywa przewiduje także swoisty immunitet dla dokonujących zgłoszeń. Stanowi bowiem, że osoby te nie naruszają żadnych ograniczeń w zakresie ujawniania informacji (np. podpisanych zobowiązań do zachowania poufności) i nie ponoszą żadnej odpowiedzialności w związku z dokonanym zgłoszeniem, pod warunkiem jednak, że miały uzasadnione podstawy, by sądzić, że zgłoszenie lub ujawnienie informacji było niezbędne do ujawnienia naruszenia.
Co więcej, w postępowaniach sądowych mających za przedmiot szkodę poniesioną przez sygnalistę – jeżeli twierdzi ona, że szkodę tę poniosła wskutek zgłoszenia nieprawidłowości, obowiązywać będzie domniemanie, że szkoda ta wynikła z działań odwetowych za zgłoszenie. Tym samym to na osobie, która podjęła działania powodujące szkodę, spoczywać będzie ciężar udowodnienia, że działania te podjęła w odpowiednio uzasadnionych powodów.
Dokonane przez sygnalistę zgodnie z omawianą dyrektywą zgłoszenie, stanowić będzie także podstawę umorzenia ewentualnych postępowań dotyczących zniesławienia, naruszenia praw autorskich, przepisów o ochronie danych, ochrony tajemnicy (w tym tajemnicy przedsiębiorstwa), czy też dochodzonych odszkodowań. Umorzenie to będzie możliwe o ile sygnalista miał uzasadnione podstawy, by sądzić, że zgłoszenie było niezbędne do ujawnienia naruszenia zgodnie z dyrektywą.