Od 17 grudnia 2021 r. polscy sygnaliści (osoby zgłaszające nieprawidłowości) powinni być objęci ochroną prawną na podstawie ustawy implementującej wymogi dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej Dyrektywa o sygnalistach). Niestety, jak dotąd (luty 2024 r.), Polska jako jedno z dwóch państw UE (obok Estonii) nie dokonała transpozycji unijnych przepisów do polskiego porządku prawnego.
Dlaczego należy wdrożyć system zgłaszania naruszeń?
Zamiast zastanawiać się nad przyczynami opieszałości w tym zakresie polskiego państwa, lepiej skupić się nad tym jak skutecznie wdrożyć i zarządzać systemem zgłaszania naruszeń (inaczej system whistleblowingowy), bez względu na to czy prawo nas do tego obliguje, czy nie. Przecież zagrożenia nie czekają na ustawy tylko się materializują, często w najmniej spodziewanych okolicznościach, uderzając boleśnie w zasoby organizacji, jej bezpieczeństwo i ciągłość działania oraz wizerunek. Co do zasady, nie ma organizacji, która nie jest narażona na ryzyko wystąpienia nieprawidłowości. Odpowiedzialny menedżer nie zastanawia się nad tym czy w jego organizacji wystąpi naruszenie, tylko kiedy i gdzie może wystąpić oraz jak nim skutecznie zarządzać, by minimalizować jego negatywne skutki.
Nic nie stoi na przeszkodzie by wdrażać systemy whistleblowingowe np. w oparciu o same wymagania Dyrektywy o sygnalistach, które i tak muszą być zaimplementowanie do polskiego prawa.
Wcześniejsze rozpoczęcie procesu wdrożeniowego w organizacji pozwoli między innymi na:
- lepsze i spokojniejsze przygotowanie oraz przeprowadzenie skutecznych przedsięwzięć edukacyjnych i komunikacyjnych; świadomość w szczególności pracowników na temat tego czym jest system zgłaszania naruszeń, do czego służy, jak i kiedy go używać, będzie miał fundamentalne znaczenie dla jego skuteczności oraz dla bezpieczeństwa organizacji;
- przetestowanie systemu w kontekście jego skuteczności i bezpieczeństwa; już pierwsze zgłoszenia po wdrożeniu sytemu powinny pokazać organizacji charakter występujących w niej zagrożeń, skuteczność przeprowadzonych szkoleń (jakość i zakres przekazywanych zgłoszeń) czy problemy i podatności w procesie obsługi zgłoszeń, którymi należy bezzwłocznie zarządzić;
- racjonalizację kosztów i ograniczenie ryzyka związanych ze źle wdrożonym systemem; w momencie uchwalenia ustawy o ochronie sygnalistów ceny usług doradczych w tym zakresie mogą znacznie wzrosnąć (przykład RODO), a dostępność prawdziwych ekspertów w tym zakresie będzie mocno ograniczona; jednocześnie pojawi się wiele niedoświadczonych usługodawców, którzy mogą wyrządzić więcej szkód niż pożytku;
- szybszą i skuteczniejszą identyfikację naruszeń i zagrożeń, co powinno być podstawowym celem wdrożenia systemu, a nie tylko unikanie potencjalnych sankcji w związku z niedostosowaniem się do nowych wymagań prawnych;
- budowa wizerunku etycznej, dojrzałej i odpowiedzialnej organizacji, która buduje kulturę organizacyjną opartą na zaufaniu i współodpowiedzialności.
Na sposób podejścia do wdrożenia systemu whistleblowingowego może wpłynąć zmiana perspektywy kierownictwa organizacji. Mowa tu o sytuacji, kiedy decydenci zaczną traktować taki system nie jako kolejny koszt i problem dla organizacji, ale jako szansę na poprawę jej bezpieczeństwa i jej doskonalenie. Przecież bezpieczna i efektywna organizacja pozwala skuteczniej realizować krótkoterminowe i długoterminowe cele strategiczne, w tym osiągać przewagę konkurencyjną (w odniesieniu do przedsiębiorców). Traktując system whistleblowingowy jako inwestycję, a nie koszt, działania wdrożeniowe będą bardziej przemyślane, odpowiedzialne i rzetelne. Przecież dla inwestora ważna jest odpowiednia stopa zwrotu z inwestycji. Jeśli planujesz lub chcesz wdrożyć system dla sygnalistów w swojej firmie, zapoznaj się z ofertą od Enform – https://enform.pl/o-e-nform/.
Jak w takim razie wdrożyć skuteczny system dla sygnalistów?
Z pewnością punktem wyjścia dla takiego wdrożenia będą wymagania prawne określone w Dyrektywie o sygnalistach, które muszą znaleźć się także w ustawie implementującej. Wymagania te obejmują w szczególności”
- Wdrożenie skutecznych, poufnych i bezpiecznych kanałów zgłaszania naruszeń
Kanały zgłoszeniowe stanowią jeden z fundamentów skutecznego systemu zgłoszeniowego. Dokonując ich wyboru, organizacja musi zapewnić w szczególności: (a) dostępność kanałów dla osób z organizacji, jak i spoza niej (trzeba np. uwzględnić fakt, że niektóre osoby mogą być wykluczone cyfrowo); (b) skuteczne przekazywanie informacji do organizacji; (c) bezpieczne przetwarzanie informacji ze zgłoszenia, by uniemożliwić dostęp do nich osobom nieupoważnionym. Z pewnością jedna z ważniejszych decyzji będzie dotyczyła tego czy kanały zgłoszeniowe mają zapewniać anonimowość osobom zgłaszającym (brak identyfikacji autora zgłoszenia), czy tylko poufność (konieczność identyfikacji personaliów przez zgłaszającego). Można założyć, że kanały anonimowe będą budziły większe zaufanie wśród potencjalnych sygnalistów, gdyż uniemożliwiają identyfikację ich tożsamości. To zaś minimalizuje ryzyko działań odwetowych oraz uczestnictwa sygnalisty w ewentualnych czynnościach procesowych.
- Formalne wyznaczenie określonych osób do prowadzenia działań następczych
Rzetelność i skuteczność działań następczych (w tym w szczególności czynności wyjaśniających) oraz bezpieczeństwo sygnalistów będzie w rękach osób, którym kierownictwo powierzy takie zadania na podstawie pisemnych upoważnień. Z uwagi na charakter i zakres odpowiedzialności, wyznaczone osoby powinny posiadać odpowiednie kompetencje i doświadczenie praktyczne, co nie będzie łatwe, w szczególności w mniejszych podmiotach zarówno sektora prywatnego, jak i publicznego.
- Rzetelne i bezstronne prowadzenie działań następczych
Zapewnienie należytej staranności działań następczych jest warunkiem niezbędnym zarówno do skutecznego i transparentnego wyjaśniania zgłoszeń, jak również bezpiecznego przetwarzania danych i właściwej ochrony sygnalistów. Równie ważne jest zapewnienie bezstronności prowadzonych czynności, by uniknąć sytuacji, w których operator systemu może zostać posądzony o brak obiektywizmu (np. prowadzenie czynności we własnej sprawie lub wobec osoby bliskiej dla operatora).
- Ustanowienie wewnętrznych procedur przyjmowania zgłoszeń i prowadzenia działań następczych.
Opracowane procedury powinny zawierać wszystkie elementy wymagane przez dyrektywę i ustawę implementującą. Sama Dyrektywa wskazuje na aspekty, które powinna opisywać procedura, tj.: (a) bezpieczne kanały zgłaszania naruszeń; (b) wyznaczenie upoważnionych osób do prowadzenia działań następczych; (c) obowiązki informacyjne wobec sygnalisty (7 dni i 3 miesiące), (d) bezstronność i należyta staranność w prowadzeniu działań następczych; (e) zapewnienie zrozumiałych informacji dotyczących możliwości dokonywania zgłoszeń zewnętrznych. Co więcej projekt procedury powinien być skonsultowany z przedstawicielami pracowników, np. ze związkami zawodowymi.
Dodatkowo warto także pamiętać o tym, by procedura pokazywała w sposób transparentny cały proces whistleblowingowy, w tym prawa i obowiązki wszystkich stron zaangażowanych. Powinno się także położyć nacisk na język procedury, który powinien być zrozumiały dla wszystkich.
- Rejestrowanie zgłoszeń i ich retencja
Zgłoszenia przekazywane w ramach systemu whistleblowingowego powinny być rejestrowane i przechowywane przez określony przepisami okres, zazwyczaj liczony od dnia zakończenia działań następczych. Rejestr zgłoszeń powinien stanowić swoistego rodzaju zabezpieczenie przed działaniami mającymi na celu tzw. „zamiatanie spraw pod dywan”.
- Zarządzane danymi osobowymi zgodnie z wymogami RODO
Przepisy o ochronie danych osobowych, z niewielkimi wyjątkami, które mogą być określone w ustawie implementującej, mają zastosowanie także do systemów whistleblowingowych. W związku z tym należy pamiętać między innymi o stosownych obowiązkach informacyjnych, okresach przetwarzania danych, anonimizacji czy pseudonimizacji danych w określonych prawem przypadkach.
Czy spełnienie powyższych wymagań zagwarantuje organizacji, że system zgłaszania naruszeń będzie skuteczny?
Niestety to może nie wystarczyć. Odpowiedzialna organizacja powinna także uwzględnić następujące aspekty:
- Zaangażowanie najwyższego kierownictwa
Zaangażowane kierownictwo, w szczególności najwyższego szczebla, także stanowi fundament skutecznego systemu zgłoszeniowego. To właśnie kierownictwo powinno stanowić wzór do naśladowania w zakresie przeciwdziałania naruszeniom. To ono powinno tworzyć środowisko przyjazne sygnalistom, którzy są lojalni wobec organizacji i dbają o bezpieczne środowisko pracy. To kierownictwo zapewnia niezbędne zasoby do prawidłowego funkcjonowania systemu, ustanawia stosowne polityki i procedury oraz egzekwuje ich realizację. Także kierownictwo podejmuje kluczowe decyzje po zakończeniu działań następczych (np. czy w danej sprawie skierować do organów ścigania zawiadomienie o podejrzeniu popełnienia przestępstwa).
- Zaangażowanie pracowników
Jeżeli organizacja wymaga od pracowników by reagowali na naruszenia i zagrożenia, to nie tylko powinna im stworzyć do tego odpowiednie warunki, ale także powinna wsłuchać się w ich potrzeby i oczekiwania. Zaangażowanie pracowników w proces wdrażania i doskonalenia systemu zgłoszeniowego, w tym np. w opiniowanie projektów procedur czy wybór określonych kanałów zgłoszeniowych może zwiększyć ich zaufanie do systemu i zachęcić do reagowania na negatywne zdarzenia.
- Skuteczna komunikacja i edukacja
Kolejnym, obok kanałów zgłoszeniowych i zaangażowanego kierownictwa, fundamentów systemu zgłaszania naruszeń, decydującym o sukcesie lub porażce tego procesu jest edukacja i komunikacja. Przeprowadzone sposób rzetelny i angażujący działania informacyjne i szkoleniowe budują świadomość pracowników na temat systemu, co zwiększa ich komfort i zaufanie do niego oraz minimalizuje ryzyka w tym zakresie.
- Zapewnienie bezpieczeństwa przetwarzanych informacji
Biorąc pod uwagę wrażliwość informacji zawartych w zgłoszeniach (w szczególności dane osobowe sygnalistów czy osób, których dotyczy zgłoszenie), bardzo ważne jest ich bezpieczeństwo rozumiane jako zapewnienie (a) poufności (dostęp do informacji posiadają jedynie osoby upoważnione), (b) dostępności (informacja jest osiągalna i użyteczna dla upoważnionej osoby), (c) integralności (informacja jest kompletna i dokładna) oraz (d) rozliczalności (każde działanie z informacją można przypisać określonej osobie fizycznej oraz umiejscowić je w czasie). Choć już sam wybór kanału zgłaszania naruszeń będzie często determinował dalszy sposób przetwarzania informacji (dane w postaci papierowej, elektronicznej czy audio), to jednak trzeba pamiętać aby dane były zabezpieczone w całym cyklu ich przetwarzania w organizacji.
- Wbudowanie systemu w kulturę organizacyjną
System whistleblowingowy nie powinien funkcjonować w próżni, tylko być ścisłe powiązany z wartościami organizacji określonymi np. w kodeksie etyki. Trudno bowiem oczekiwać od pracowników reakcji na niewłaściwe zachowania, jeżeli organizacja nie określiła co jest nieakceptowalne, a co jest pożądane.
- Doskonalenie systemu
Nawet najlepiej wdrożony w danym momencie proces powinien ulegać aktualizacjom i usprawnieniom, biorąc pod uwagę zmiany m.in. w otoczeniu prawnym, społeczny czy technologicznym. Osoby odpowiedzialne za całość lub poszczególne elementy procesu powinny monitorować jego funkcjonowanie i reagować na wszelkie aberracje.
Jak widać powyżej, profesjonalny system whisteblowingowy składa się z wielu komplementarnych elementów, które – tak jak puzzle – możemy ułożyć w jeden spójny i kompletny obraz, albo pozostawić je w nieładzie i oczekiwać na mniejszą lub większą katastrofę. Dobrze zarządzane zapewnia bezpieczeństwo funkcjonowania organizacji niezbędne do realizacji jej strategicznych celów. Nierzetelnie lub pozornie wdrożone i utrzymywane potrafi wyrządzić poważne szkody i generować nowe zagrożenia.
Każda organizacja musi wybrać drogę, którą podąży. Więcej na temat dyrektywy oraz innych aspektów związanych z sygnalistami, można znaleźć na stronie Enform.
