Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów zawiera przepisy, które mają ułatwiać wprowadzanie i stosowanie procedur zgłoszeń wewnętrznych w grupach kapitałowych, a także mają umożliwiać łączenie się niezależnych podmiotów w grupy w celu wspólnego przyjmowania, weryfikowania i wyjaśniania zgłoszeń naruszeń prawa. Choć wprowadzone regulacje otwierają nowe możliwości w zakresie wspólnego zarządzania ryzykiem związanym z naruszeniami prawa, jednocześnie powstaje pytanie, na ile te przepisy dadzą się wykorzystać w praktyce.
Należy zaznaczyć, że Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, którą implementowała do polskiego porządku prawnego wskazana wyżej ustawa, w zasadzie nie odnosi się do możliwości ustalania procedur w grupach kapitałowych, jeżeli nie liczyć dość ogólnej wzmianki w motywie 55. do dyrektywy, gdzie wskazano, że procedury zgłoszeń wewnętrznych powinny umożliwiać przyjmowanie zgłoszeń także od pracowników podmiotów zależnych i powiązanych z danym podmiotem.
Ustawa o ochronie sygnalistów rozwija ten wątek w art. 28 ust. 8 i wprost wprowadza możliwość ustalenia wspólnej procedury zgłoszeń wewnętrznych w grupie kapitałowej, przy czym za taką grupę, zgodnie z przepisami ustawy o ochronie konkurencji i konsumentów, należy uważać wszystkich przedsiębiorców, którzy są kontrolowani w sposób bezpośredni lub pośredni przez jednego przedsiębiorcę, w tym również tego przedsiębiorcę (art. 4 pkt 14 ustawy o o. k. i k.). Przepisy antymonopolowe traktują grupę kapitałową jako jeden organizm gospodarczy, co w kwestiach dotyczących sygnalistów ma między innymi taki skutek, że podmioty należące do grupy nie są wobec siebie podmiotami zewnętrznymi w rozumieniu ustawy o ochronie sygnalistów. Ustalenie więc w ramach grupy kapitałowej wspólnej procedury wiąże się z możliwością wyznaczenia jednego podmiotu przyjmującego i rozpatrującego zgłoszenia oraz prowadzącego działania następcze, co może ułatwiać utrzymanie jednolitości w zakresie traktowania i rozwiązywania w grupie spraw naruszeń prawa.
Ustawa wprowadza warunek zapewnienia zgodności takich działań z ustawą, który może się wydawać zbędnym (każdy podmiot ma przecież obowiązek działać zgodnie z prawem), ale trzeba ten warunek rozumieć w ten sposób, że każdy podmiot należący do grupy – mimo istnienia wspólnej procedury – będzie indywidualnie rozliczany ze spełniania takich wymogów i ograniczeń jak zachowanie poufności (w szczególności danych sygnalisty) i zakaz działań odwetowych wobec sygnalistów.
Sprawa mocno się komplikuje się w przypadku międzynarodowych grup kapitałowych, które dość często już posiadają i stosują wewnętrzne regulacje dotyczące whistleblowingu, włącznie z ustalonymi kanałami zgłoszeń naruszeń prawa. Ze względu na odmienność regulacji odnoszących się do sygnalistów w różnych państwa (nawet w ramach Unii Europejskiej) co do zasady nie jest możliwe ustalenie wspólnej procedury zgłoszeń, gdy do grupy należy, najczęściej jako podmiot właścicielski, spółka zagraniczna. Konieczne jest więc ustalenie odrębnej procedury dla polskiej części grupy. Fakt, że procedura powinna być sporządzona w języku polskim, jest w tym kontekście przeszkodą i trudnością drugorzędną.
Nieco inaczej potraktowano w Dyrektywie kwestię wspólnego przyjmowania i rozpatrywania zgłoszeń przez podmioty prywatne niepowiązane ze sobą, jeżeli zatrudniają od 50 do 249 pracowników. Jak się wydaje, wprowadzeniu takiej możliwości przyświecał pomysł ulżenia takim podmiotom w ponoszeniu ciężaru organizacyjnego i finansowego ochrony sygnalistów. Tutaj zarówno Dyrektywa, jak i ustawa, zawierają podobnie brzmiącą wskazówkę – że niezależne podmioty mogą na podstawie umowy ustalić wspólne zasady przyjmowania i weryfikacji zgłoszeń oraz prowadzenia postępowania wyjaśniającego.
Podobnie jak w przypadku procedur w grupie kapitałowej, tutaj także ustawa zawiera warunek zapewnienia zgodności wykonywanych czynności z ustawą, który został rozwinięty w art. 28 ust. 4 w ten sposób, że zawarcie umowy, która ma być podstawą współpracy podmiotów prywatnych, nie wyłącza indywidualnej odpowiedzialności każdego z nich za spełnienie obowiązków odnoszących się do procedur zgłoszeń wewnętrznych, a więc m.in. do zachowanie poufności, przekazywania sygnaliście informacji zwrotnych oraz podjęcia działań następczych.
Trzeba zwrócić uwagę, że z literalnego brzmienia art. 28 ust. 3 ustawy wynika, że owo połączenie sił może dotyczyć jedynie wspólnego przyjmowania i weryfikacji zgłoszeń oraz prowadzenia postępowania wyjaśniającego. Nie obejmuje więc prowadzenia działań następczych, co jest kluczowym, z punktu widzenie celów Dyrektywy i ustawy, elementem system przyjmowania zgłoszeń naruszeń prawa. Oznacza to, że nie jest możliwe ustalenie wspólnej (jak w grupach kapitałowych) procedury zgłoszeń wewnętrznych. Każdy podmiot powinien wprowadzić własną procedurę, natomiast współpraca w zakresie zgłoszeń (w granicach wyznaczonych ustawą) powinna być uregulowana w stosownej umowie.
Co ważne, w przeciwieństwie do grupy kapitałowej, w przypadku współpracy niepowiązanych podmiotów każdy z takich podmiotów jest odrębnym administratorem danych osobowych, co wynika wprost z art. 28 ust. 6 ustawy i co oznacza, że wszelkie czynności przetwarzania danych przez inny podmiot wiązałoby się z koniecznością spełnienia wymogów RODO, m.in. w zakresie udostępniania lub powierzenia przetwarzania danych osobowych.
W przypadku grup kapitałowych, gdy się zważy na możliwość wprowadzenia wspólnej procedury zgłoszeń wewnętrznych oraz jednorodność interesów członków grupy i możliwość zapewnienia jednolitych kryteriów oceny naruszeń prawa, w tym zasad etycznych, odpowiedź wydaje się pozytywna. Potwierdza to zresztą fakt, że w wielu grupach kapitałowych już przed wejściem w życie nowych przepisów istniały wspólne procedury zgłaszania naruszeń, które co najwyżej mogą wymagać dostosowania do wymogów ustawy o ochronie sygnalistów.
Nieco inaczej sprawa wygląda w grupach podmiotów prywatnych łączących się na potrzeby ustalenia wspólnych zasad przyjmowania i rozpatrywania zgłoszeń. Można zaryzykować stwierdzenie, że ewentualne korzyści z takiej współpracy (w szczególności oszczędność kosztów) z reguły nie będą równoważyć ułomności i negatywnych skutków takiej współpracy. Wniosek taki może wynikać z następujących okoliczności:
Po pierwsze, jak wskazano wyżej, mimo zawarcia umowy i podjęcia współpracy i tak każda ze stron umowy będzie odrębnie rozliczana z przestrzegania ustawy o ochronie sygnalistów, a współpraca musi być ograniczona do obszarów wskazanych w ustawie.
Po drugie, różnym podmiotom o odmiennych interesach może być trudniej zachować poufność danych (nie tylko danych osobowych sygnalisty, ale także danych objętych zgłoszeniem) oraz ustalić właściwe kanały komunikacji spełniające ustawowe kryteria, zwłaszcza kryterium bezstronności, oraz pozwalające uniknąć ryzyka błędnego zaadresowania zgłoszenia.
Po trzecie, sens współpracy niepowiązanych podmiotów w zakresie zgłoszeń staje pod znakiem zapytania w świetle deklarowanych celów Dyrektywy i ustawy, którymi są zapewnienie możliwości wprowadzenia w danej organizacji auto-korekty dzięki wykryciu w odpowiednio wcześnie naruszeń lub ryzyka ich wystąpienia. W przypadku współpracy niepowiązanych podmiotów te cele mogą być trudniejsze do zrealizowania ze względu na różne – a nie można wykluczyć, że także przeciwstawne – interesy uczestników takiej współpracy.
Już tylko ubocznie należy wskazać, że zawieranie umów o współpracy w zakresie zgłoszeń naruszeń prawa, zwłaszcza gdyby miało się odbywać pomiędzy podmiotami z tej samej branży, co wydaje się naturalnym odruchem, musiałoby uwzględniać ryzyko zainteresowania taką umową ze strony Prezesa UOKiK – czy umowa nie wypełnia (choćby przez fakt wymiany informacji) przesłanek niedozwolonych porozumień ograniczających konkurencję.
Generalnie więc podjęcie przez podmioty prywatne współpracy na podstawie art. 28 ust. 3 ustawy o ochronie sygnalistów wcale nie musi oznaczać ułatwienia przyjmowania i rozpoznawania zgłoszeń. Nie musi też prowadzić do oszczędności, gdy się uwzględni, że samodzielne ustalenie i wprowadzenie procedury zgłoszeń wewnętrznych nie jest znowu tak kosztowne i w zasadzie jest wydatkiem jednorazowym. Dlatego warto dobrze rozważyć, czy łączenie się z innymi podmiotami w celu przyjmowania i rozpatrywania zgłoszeń ma sens nie tylko ekonomiczny, ale także biznesowy.
Sprawdź naszą usługę: Ochrona sygnalistów
ul. Hrubieszowska 2
01-209 Warszawa
Polska
+48 22 295 33 00
contact@tgc.eu
NIP: 525-22-71-480, KRS: 0000167447,
REGON: 01551820200000. Sąd Rejonowy dla
m.st. Warszawy, XII Wydział Gospodarczy