Dyrektywa o sygnalistach – nowe obowiązki pracodawców

21.10.2021 / Prawo

W celu zagwarantowania jednolitych standardów ochrony sygnalistów w Unii Europejskiej w 2019 r. przyjęta została Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, zwana Dyrektywą o sygnalistach.

Zgodnie z założeniami Dyrektywy osoby dokonujące zgłoszenia naruszeń z zakresu określonych dziedzin prawa (m.in. bezpieczeństwa produktów i ich zgodności z wymogami, bezpieczeństwa transportu, ale też ochrony konsumentów czy ochrony prywatności i danych osobowych) nie mogą być narażone m.in. ze strony swojego pracodawcy na jakikolwiek uszczerbek lub możliwość postawienia zarzutu z powodu dokonania zgłoszenia.

 

Właśnie opublikowano projekt polskiej ustawy implementującej Dyrektywę, choć termin implementacji upływa już 17 grudnia 2021 r., a nowych obowiązków nałożonych na pracodawców będzie sporo.

 

Przedsiębiorstwa zatrudniające powyżej 250 pracowników będą zobowiązane do ustanowienia odpowiednich kanałów  i procedur na potrzeby dokonywania zgłoszeń dotyczących potencjalnych naruszeń prawa i podejmowania działań następczych. Przyjęte rozwiązania będą musiały być przedmiotem uzgodnień z przedstawicielami pracowników.

 

Ochroną przewidzianą w Dyrektywie mają być objęci nie tylko pracownicy danego przedsiębiorcy (bez względu na podstawę prawną świadczenia pracy), ale także osoby dopiero ubiegające się o pracę i osoby, których stosunek pracy ustał, osoby świadczące pracę na rzecz podmiotów, z którymi pracodawca utrzymuje relacje gospodarcze (jego wykonawcy, podwykonawcy lub dostawcy), wspólnicy, akcjonariusze lub członkowie organu zarządzającego przedsiębiorstwa.

 

Sygnaliści raportujący przypadki naruszenia powinni mieć możliwość składania zgłoszeń w sposób skuteczny i anonimowy: poprzez system internetowy, skrzynkę pocztową, pocztę tradycyjną i/lub ustnie np. tzw. hotline. Przedsiębiorstwa są również zobowiązane do zaoferowania osobistego spotkania, jeżeli sygnalista tego zażąda. Kluczowym obowiązkiem przedsiębiorcy jest jednak zapewnienie zachowania w poufności tożsamości sygnalisty, niezależnie od tego, jaki kanał sprawozdawczy zostanie przez niego wykorzystany. Wszystkie dane osobowe, zarówno samego sygnalisty, jak i osób objętych jego zgłoszeniem, muszą być przetwarzane zgodnie z przepisami RODO. Oznacza to zatem, że przy zbieraniu informacji o naruszeniu należy rozważyć, które dane osobowe faktycznie mają znaczenie dla rozpatrywania konkretnego zgłoszenia.

 

Pracodawca zobowiązany będzie do potwierdzenia otrzymania zgłoszenia w ciągu siedmiu dni. Sygnalista powinien również w ciągu trzech miesięcy uzyskać informacje o wszelkich działaniach podjętych w wyniku jego zgłoszenia, w tym o stanie wewnętrznego dochodzenia i jego wyniku. Przyjęte zgłoszenia trzeba będzie odpowiednio ewidencjonować w specjalnym rejestrze.

 

Kanały dokonywania zgłoszeń, jak również działania następcze w związku ze zgłoszeniami mogą być obsługiwane zarówno wewnętrznie przez wyznaczoną do tego osobę lub zespół (np. compliance officera lub dział HR) lub mogą zostać zlecone na zewnątrz.

 

Dyrektywa zobowiązuje państwa członkowskie do ustanowienia sankcji wobec osób fizycznych lub prawnych, które będą utrudniały dokonanie zgłoszenia przez sygnalistę, nie zapewnią poufności jego tożsamości bądź będą podejmowały działania odwetowe. Dyrektywa przewiduje również wprowadzenie kar dla osób, które dokonają zgłoszenia w złej wierze. Założenia projektu polskiej ustawy nie odnoszą się jeszcze do kwestii rodzaju ani wysokości tych sankcji.

 

Przedsiębiorstwa zatrudniające 250 lub więcej pracowników będą musiały dostosować się do nowych przepisów już od grudnia 2021 r., pozostałe (zatrudniające od 50 do 249 pracowników) będą miały na to kolejne dwa lata.

Na ewentualne pytania w tym zakresie chętnie odpowiedzą autorzy artykułu:
Joanna Toruniewska
Radca Prawny
Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.