Obowiązki pracodawcy w związku z ochroną sygnalistów – cz. II (rejestr zgłoszeń i działania następcze)

W dzisiejszym wpisie wracamy z tematem wdrożenia do polskiego porządku prawnego przepisów realizujących założenia tzw. dyrektywy o ochronie sygnalistów. W poprzednim artykule link omówiliśmy obowiązek utworzenia przez pracodawcę kanału zgłoszeń oraz jakie funkcje ma on pełnić. Odpowiedzieliśmy również na pytanie, czy do utworzenia kanału możemy upoważnić podmiot trzeci, a także czy pracodawca będzie musiał rozpoznawać zgłoszenia anonimowe.

Dziś przedstawimy pozostałe obowiązki, jakie czekają na pracodawców w związku z wdrożeniem w firmach procedury whistleblowingowej.

Jakie obowiązki czekają pracodawców – krótkie przypomnienie

Dyrektywa o sygnalistach zobowiązuje pracodawców do wdrożenia wewnętrznego systemu przyjmowania zgłoszeń o nieprawidłowościach (działaniach niezgodnych z prawem lub nadużywaniem prawa), w tym między innymi utworzenia bezpiecznego i zapewniającego poufność kanału komunikacji. Sygnalista (może nim być np. pracownik) posiadając możliwość bezpiecznego dokonania zgłoszenia potencjalnego naruszenia, będzie bardziej skłonny do dokonania zgłoszenia za jego pośrednictwem, zanim zdecyduje się dokonać zgłoszenia zewnętrznego (do organów publicznych). Dzięki temu przedsiębiorca jest w stanie wcześniej wykryć i wyeliminować naruszenie, chroniąc tym samym reputację i wizerunek firmy.

Wewnętrzny rejestr zgłoszeń

Zgłoszenia, które napłyną do pracodawcy utworzonym przez niego kanałem (kanałami) zgłoszeń, będą musiały być przez niego odpowiednio zarejestrowane. Projekt ustawy nie precyzuje, w jakiej formie będzie należało prowadzić rejestr, może być on zatem prowadzony w formie papierowej, jak i elektronicznej. Ważne, by spełniał on swój podstawowy cel, czyli zapewniał możliwość wyszukania każdego zgłoszenia, a także – w stosownych wypadkach – możliwość wykorzystania informacji otrzymanych w drodze zgłoszeń jako dowodu w ramach działań związanych z egzekwowaniem prawa.

Upoważnienie do prowadzenia rejestru zgłoszeń zewnętrznych

Pracodawca do prowadzenia rejestru zgłoszeń wewnętrznych może upoważnić tę samą osobę lub jednostkę, którą wyznaczono do przyjmowania zgłoszeń wewnętrznych lub podejmowania działań następczych. W razie powierzenia tych obowiązków podmiotowi zewnętrznemu, istnieje także możliwość upoważnienia takiego podmiotu do prowadzenia rejestru zgłoszeń wewnętrznych.

Co powinien zawierać rejestr zgłoszeń wewnętrznych?

Zgodnie z projektem ustawy, rejestr powinien zawierać co najmniej:

numer zgłoszenia;
przedmiot naruszenia;
dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób;
adres do kontaktu sygnalisty;
datę dokonania zgłoszenia;
informację o podjętych działaniach następczych;
datę zakończenia sprawy.

Powyższe dane osobowe oraz pozostałe informacje widniejące w rejestrze zgłoszeń wewnętrznych mają być przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

Rejestr a ochrona danych osobowych

Ważnym obowiązkiem pracodawcy w związku z wdrażaniem procedury whistleblowingowej jest zapewnienie poufności danych zgłaszającego naruszenie, jak i innych podmiotów trzecich, które wskazane zostaną w zgłoszeniu, bowiem przyjmowanie i rozpatrywanie zgłoszeń jest już przetwarzaniem danych osobowych. Poufność musi zostać zagwarantowana na każdym etapie dokonywania zgłoszenia przez sygnalistę – przyjmowania zgłoszenia, rejestrowania go, prowadzenia postępowania wyjaśniającego oraz archiwizowania sprawy.

Dane uzyskane na podstawie zgłoszenia oraz podjętych działań następczych (o których mowa poniżej) muszą być przetwarzane, przechowywane i usuwane zgodnie z regulacjami dotyczącymi ochrony danych osobowych. Jako że ochrona danych osobowych jest integralną częścią procedury whistleblowingowej, należy zadbać o to, aby osoby odpowiedzialne za jej realizację posiadały odpowiednią wiedzę z zakresu danych osobowych i ich przetwarzania.

Sygnalista musi mieć świadomość, iż dokonanie zgłoszenia wiąże się z przetwarzaniem jego danych osobowych (o ile nie jest to zgłoszenie anonimowe), stąd pracodawca ma obowiązek zapewnić sygnaliście pełną informację o przetwarzaniu danych (tzw. klauzulę informacyjną). Najlepiej zrobić to niezwłocznie – już w informacji zwrotnej po otrzymaniu zgłoszenia.

Działania następcze

Kluczowym elementem procedury whistleblowingowej jest podjęcie stosownych działań następczych po otrzymaniu zgłoszenia od sygnalisty. Przez działanie następcze rozumiemy działanie podjęte przez pracodawcę celem oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem zgłoszenia, w szczególności przez podjęcie postępowania wyjaśniającego, wszczęcie kontroli, wniesienie oskarżenia czy zamknięcie procedury realizowanej w ramach wewnętrznej procedury zgłaszania naruszeń prawa.

Po otrzymaniu zgłoszenia, podmiot zobowiązany (np. pracodawca) ma obowiązek w terminie 7 dni poinformować zgłaszającego o sposobie przyjęcia i rozpatrzenia zgłoszenia (chyba że zgłaszający nie podał adresu do kontaktu, na który należy przekazać potwierdzenie). Następnie jest on obowiązany przeprowadzić analizę zgłoszenia, w tym zweryfikować wiarygodność zgłoszonych informacji i ocenić ich potencjalny wpływ na interes publiczny lub prywatny.

W przypadku, gdy analiza zgłoszenia wykaże, że istnieje uzasadnione podejrzenie naruszenia prawa, podmiot zobowiązany wszczyna postępowanie wyjaśniające. Celem postępowania wyjaśniającego jest przeprowadzenie szeregu czynności dowodowych, zatem znaczą część postępowania wyjaśniającego stanowi gromadzenie i analizowanie zebranych dowodów. Katalog potencjalnych środków dowodowych jest szeroki i może obejmować w szczególności dokumenty wewnętrzne, komunikację mailową czy przeprowadzenie rozmów wyjaśniających z osobami mogącymi posiadać istotne informacje.

Każda czynności podjęta w postępowaniu wyjaśniającym oraz każda uzyskana w jego tego informacja powinna być szczegółowo protokołowana.

Z przeprowadzanego postępowania wyjaśniającego powinien zostać sporządzony raport końcowy podsumowujący podjęte działania i zgromadzone dowody oraz wyznaczający kierunek dalszych działań. W większości przypadków raport taki będzie obejmował stwierdzenie, czy w danej sprawie miało miejsce naruszenie przepisów, sposób tego naruszenia oraz wskazanie zgromadzonych dowodów. Raport musi ponadto określać, jakie działania w związku z ujawnionymi nieprawidłowościami przedsiębiorca zamierza podjąć. Element ten jest niezwykle istotny dla samego sygnalisty, bowiem dokonując zgłoszenia oczekuje on od przyjmującego zgłoszenie podjęcia konkretnych działań i zastosowania środków naprawczych w związku z ujawnionym przez sygnalistę naruszeniem.

Raport końcowy ma być dla pracodawcy kierunkowskazem, określającym jakie działania naprawcze i prewencyjne powinien podjąć, by zapobiec podobnym naruszeniom w przyszłości (np. modyfikacja wewnętrznych procedur, wdrożenie mechanizmów kontrolnych).

Całe postępowanie powinno zamknąć się w ciągu 3 miesięcy, o czym również powinno poinformować się zgłaszającego, przekazując mu informację zwrotną.

***

Zapraszamy do lektury pozostałych artykułów z naszej serii o sygnalistach. Znajdziesz w nich m.in. odpowiedzi na pytania, kto może zostać sygnalistą, kto ma obowiązek wdrożenia przepisów o ochronie sygnalistów oraz na czym polega obowiązek utworzenia kanału zgłoszeń w firmie.

Ustawa o sygnalistach – które firmy muszą wdrożyć procedury whistleblowingowe? https://mkpartner.com.pl/ustawa-o-sygnalistach-ktore-firmy-musza-wdrozyc-procedury-whistleblowingowe/

Obowiązki pracodawcy w związku z ochroną sygnalistów – cz. I (kanały zgłoszeń, anonimowe zgłoszenia) https://mkpartner.com.pl/obowiazki-pracodawcy-w-zwiazku-z-ochrona-sygnalistow-cz-i-kanaly-zgloszen-anonimowe-zgloszenia/

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.