Wdrożenie dyrektywy o ochronie sygnalistów
Termin wdrożenia Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej jako: Dyrektywa) do polskiego porządku prawnego upłynie 17 grudnia 2021 r. W związku z tym przedsiębiorcy będą mieć obowiązek wdrożenia wewnętrznego kanału dokonywania zgłoszeń o naruszeniach prawa unijnego. Dyrektywa ustanawia wspólne minimalne normy ochrony osób zgłaszających naruszenia prawa Unii w następujących obszarach:
- naruszenia objęte zakresem stosowania aktów Unii określonych w załączniku, dotyczące następujących dziedzin:
- zamówienia publiczne;
- usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu;
- bezpieczeństwo produktów i ich zgodność z wymogami;
- bezpieczeństwo transportu;
- ochrona środowiska;
- ochrona radiologiczna i bezpieczeństwo jądrowe;
- bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt;
- zdrowie publiczne;
- ochrona konsumentów;
- ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych;
- naruszenia mające wpływ na interesy finansowe Unii, o których mowa w art. 325 TFUE i określone szczegółowo w stosownych środkach unijnych;
- naruszenia dotyczące rynku wewnętrznego, o którym mowa w art. 26 ust. 2 TFUE, w tym naruszenia unijnych zasad konkurencji i pomocy państwa, jak również naruszenia dotyczące rynku wewnętrznego w odniesieniu do działań, które stanowią naruszenie przepisów o podatku od osób prawnych lub do praktyk mających na celu uzyskanie korzyści podatkowej sprzecznej z przedmiotem lub celem mających zastosowanie przepisów o podatku od osób prawnych.
3 kanały dokonywania zgłoszeń naruszeń prawa unijnego
W Dyrektywie wyróżniono trzy kanały dokonywania zgłoszeń naruszeń prawa unijnego, tj.:
- Wewnętrzny (u danego przedsiębiorcy, w danej organizacji);
- Zewnętrzny (państwa członkowskie wyznaczą organy właściwe do przyjmowania zgłoszeń);
- Ujawnianie publiczne.
Obowiązek wdrożenia wewnętrznego kanału dokonywania zgłoszeń
Dyrektywa nakłada na przedsiębiorców zatrudniających co najmniej 50 pracowników obowiązek wdrożenia wewnętrznego kanału dokonywania zgłoszeń umożliwiającego pracownikom zgłaszanie naruszeń prawa unijnego. Państwa członkowskie po przeprowadzeniu analizy ryzyka mogą nałożyć ten obowiązek również na mniejsze podmioty.
Dyrektywa podaje również wymogi, jakie musi spełniać taki wewnętrzny kanał dokonywania zgłoszeń. Kanał obsługiwania zgłoszeń musi być:
- Zaprojektowany, ustanowiony i obsługiwany w bezpieczny sposób;
- Sposób projektowania, ustanowienia i obsługi musi zapewniać ochronę poufności tożsamości osoby dokonującej zgłoszenia oraz osoby trzeciej wymienionej w zgłoszeniu;
- Sposób ten musi uniemożliwiać uzyskanie dostępu do powyższych informacji nieupoważnionym członkom personelu.
Po otrzymaniu takiego zgłoszenia, przedsiębiorcy będą zobowiązani do podjęcia tzw. działań następczych, które oznaczają działania podjęte przez odbiorcę zgłoszenia lub właściwy organ w celu oceny prawdziwości zarzutów zawartych w zgłoszeniu oraz, w stosownych przypadkach, w celu zaradzenia naruszeniu będącemu przedmiotem zgłoszenia, w tym poprzez takie działania, jak dochodzenie wewnętrzne, postępowanie wyjaśniające, wniesienie oskarżenia, działania podejmowane w celu odzyskania środków lub zamknięcie procedury.
Zakaz podejmowania działań odwetowych
Przedsiębiorcy, których pracownicy zatrudnieni na podstawie wskazanych w Dyrektywie stosunków prawnych zgłoszą naruszenia prawa unijnego, nie będą mieli prawa podejmować tzw. działań odwetowych, które oznaczają bezpośrednie lub pośrednie działanie lub zaniechanie mające miejsce w kontekście związanym z pracą, które jest spowodowane zgłoszeniem wewnętrznym lub zewnętrznym lub ujawnieniem publicznym i które wyrządza lub może wyrządzić nieuzasadnioną szkodę dla osoby dokonującej zgłoszenia.
Do działań odwetowych zgodnie z Dyrektywą należą między innymi:
- zawieszenia, przymusowego urlopu bezpłatnego, zwolnienia lub równoważnych środków;
- degradacji lub wstrzymania awansu;
- przekazania obowiązków, zmiany miejsca pracy, obniżenia wynagrodzenia, zmiany godzin pracy;
- wstrzymania szkoleń;
- negatywnej oceny wyników lub negatywnej opinii o pracy;
- nałożenia lub zastosowania jakiegokolwiek środka dyscyplinarnego, nagany lub innej kary, w tym finansowej;
- przymusu, zastraszania, mobbingu lub wykluczenia;
- dyskryminacji, niekorzystnego lub niesprawiedliwego traktowania;
- nieprzekształcenia umowy o pracę na czas określony w umowę o pracę na czas nieokreślony, w sytuacji gdy pracownik mógł mieć uzasadnione oczekiwania, że zostanie mu zaoferowane stałe zatrudnienie;
- nieprzedłużenia lub wcześniejszego rozwiązania umowy o pracę na czas określony;
- szkody, w tym nadszarpnięcia reputacji danej osoby, zwłaszcza w mediach społecznościowych, lub strat finansowych, w tym strat gospodarczych i utraty dochodu;
- umieszczenia na czarnej liście na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego, co może skutkować tym, że dana osoba nie znajdzie w przyszłości zatrudnienia w danym sektorze lub danej branży;
- wcześniejszego rozwiązania lub wypowiedzenia umowy dotyczącej towarów lub umowy o świadczenie usług;
- odebrania licencji lub zezwolenia;
- skierowania na badania psychiatryczne lub lekarskie.
Obowiązek prowadzenia rejestrów zgłoszeń i stosowanie RODO
Przedsiębiorcy, którzy będą mieli obowiązek wdrożyć Dyrektywę w swojej organizacji, będą obowiązani do prowadzenia rejestrów zgłoszeń. Przypomina to nieco obowiązek prowadzenia rejestru naruszeń znany np. z RODO (rozporządzenie (UE) 2016/679 ogólne rozporządzenie o ochronie danych).
Dyrektywa stanowi wprost, że przetwarzania danych osobowych, w związku z niniejszą Dyrektywą, w tym wymiany lub przekazywania danych osobowych przez właściwe organy dokonuje się zgodnie z RODO. Dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie powinny być zbierane, a w razie przypadkowego zebrania, powinny być niezwłocznie usuwane.
Sankcje za naruszenie obowiązków wynikających z Dyrektywy
Państwa członkowskie ustanawiają skuteczne, proporcjonalne i odstraszające sankcje stosowane wobec osób fizycznych lub prawnych, które:
- utrudniają lub usiłują utrudniać dokonywanie zgłoszeń;
- podejmują działania odwetowe wobec osób, o których mowa w art. 4;
- wszczynają uciążliwe postępowania przeciwko osobom, o których mowa w art. 4;
- dopuszczają się naruszeń obowiązku zachowania poufności tożsamości osób dokonujących zgłoszenia, o którym to obowiązku mowa w art. 16.
Dyrektywa nie określa konkretnych sankcji za naruszenia jej wdrożenia (jak np. RODO).