Zaprezentowana w lipcu 2022 r. trzecia wersja projektu polskiej ustawy transponująca do krajowego porządku prawnego założenia unijnej dyrektywy wydaje się już tą ostateczną i jest kwestią czasu, kiedy zostanie przegłosowana i trafi do dziennika ustaw.
Jak podkreślają eksperci ze środowisk prawniczych, zmiany w ostatnim projekcie są raczej kosmetyczne, ale jedna rzecz pozostaje bez zmian – przepisy w pierwszej kolejności obejmą firmy prywatne zatrudniające co najmniej 250 osób, podmioty działające w szeroko pojętym sektorze finansowym oraz podmioty publiczne lub będące pod kontrolą państwa, z wyjątkiem urzędów gmin zamieszkałych przez mniej niż 10.000 mieszkańców.
Zgodnie z wytycznymi wynikającymi z dyrektywy UE, od 17 grudnia 2023 r. przepisy te obejmą również firmy prywatne zatrudniające od 50 do 249 osób. To oznacza, że konieczność implementacji procedur whistleblowingowych obejmie nawet kilkadziesiąt tysięcy firm i instytucji. Obowiązek taki nie spoczywa na barkach mniejszych podmiotów, ale, również firmy z sektora M¦P powinny zdecydować się na taki krok.
Nadużycia
Występowanie nadużyć nie jest domeną wyłącznie dużych organizacji. Różne badania, np. „Raport to the Nations 2022” opracowany przez ACFE wskazuje, że także mniejsze firmy czy instytucje mogą stać się ofiarami lub inicjatorami przestępstw związanych z prowadzoną działalnością.
Prawie ¼ wszystkich zgłoszonych i zbadanych przypadków na świecie dotyczyła firm zatrudniających mniej niż 100 pracowników, z medianą oszustw na poziomie 150k USD. Raport dotyczy przede wszystkim oszustw finansowych, ale do tego należy dodać łamanie także innych przepisów prawa Unii związanych np. z ochroną środowiska, RODO, cyberbezpieczeństwem, zdrowiem publicznym, ochroną żywności czy zamówieniami publicznymi.
Do tego dochodzą jeszcze sytuacje nie ujęte w dyrektywie czy projekcie krajowej ustawy, ale również stanowiące pole do nadużyć i niosące ryzyko dla firm – np. prawo pracy czy przepisy bhp.
Prawne, finansowe i wizerunkowe konsekwencje
Przepisy wymienione w dyrektywie i polskiej ustawie, których złamanie może być przedmiotem zgłoszeń sygnalistów, ale też wskazane przez eksperta kwestie pracownicze, dotyczą niemal wszystkich obszarów działalności gospodarczej. Krajowa ustawa nie nakłada obowiązku stosowania procedur whistleblowingowych przez mniejsze podmioty w niej nie ujęte, ale ich nie zabrania.
Co więcej, jeśli zgłoszenie o nadużyciach trafi do Rzecznika Praw Obywatelskich, czyli podmiotu wskazanego w polskiej ustawie do przekierowywania zgłoszeń zewnętrznych do innych organów państwowych, lub zostanie skierowana bezpośrednio do konkretnej instytucji, to taka sprawa będzie procedowana.
Z tego względu, wdrożenie własnych procedur jest jak najbardziej na miejscu, bowiem pozwala organizacji na podjęcie wewnętrznych działań wyjaśniających, ograniczając ryzyko poważniejszych konsekwencji prawnych oraz ekonomicznych, np. kary finansowe nakładane przez instytucje państwowe czy utrata koncesji i licencji.
Ujawnione przestępstwa czy nadużycia mają również negatywny wpływ reputację przedsiębiorstwa, co może skutkować spadkiem zaufania, a nawet utratą klientów czy partnerów biznesowych. Do tego dochodzą również sprawy związane z osobami zatrudnionymi czy wykonującymi zadania na rzecz danej organizacji – spadek morale, frustracja, odejścia pracowników.
Whistleblowing w MSP – jak do tego podejść
Poza przedsiębiorstwami finansowymi, czyli prowadzącymi działalność w zakresie usług, produktów i rynków finansowych i podlegających pod ustawę AML, firmy MSP nie są ustawowo zobligowane do implementacji procedur whistleblowingowych. Jednak decydując się na taki krok z własnej woli, powinny wykonać to zgodnie z obowiązującymi przepisami.
Bezdyskusyjną kwestią będzie przyjmowanie, przetwarzanie i przechowywanie zgłoszeń wewnętrznych zgodnie z RODO oraz ustawą o ochronie sygnalistów. Oznacza to m.in. ograniczenie dostępu do danych osobowych tylko do osób upoważnionych odpowiedzialnych za obsługę i weryfikację zgłoszeń, a także prowadzenia działań następczych oraz przechowywanie ich zgodnie z opisanymi w ustawie terminami.
Kolejna kwestia to wyznaczenie osoby lub osób zajmujących się przyjmowaniem zgłoszeń. W większości przypadków ta odpowiedzialność przypada prawnikom zatrudnionym w firmie lub kancelarii obsługującej M¦P albo działowi HR/kadr. Dostępne analizy prawne dowodzą, że może nią być także Inspektor Ochrony Danych Osobowych (IOD) wyznaczony w ramach przepisów RODO w przedsiębiorstwie.
Warunkiem będzie możliwość łączenia obu funkcji i wykonywanie nowych obowiązków z należytą starannością oraz posiadanie odpowiednich kwalifikacji. Również istotne
będzie wybór odpowiedniego kanału dla sygnalistów, który umożliwi zachowanie poufności zgłoszeń, czyli dostęp będzie do niego ściśle ograniczony dla wyznaczonych osób.
Kanał komunikacji
Kanał komunikacji powinien umożliwić także dwustronną komunikację, czyli przekazanie informacji zwrotnej o przyjęciu zgłoszenia, statusie sprawy czy potrzebie przekazania dodatkowych materiałów dowodowych. Najlepszymi rozwiązaniami do tego celu mogą być specjalnie zaprojektowane systemy informatyczne, gwarantujące wysoki poziom bezpieczeństwa ochrony danych oraz usprawnią cały proces przyjmowania i przetwarzania zgłoszeń.
Aplikacje informatyczne mają wiele zalet, które wyróżniają je spośród dotychczas stosowanych w firmach kanałów zbierania zgłoszeń wewnętrznych o nieprawidłowościach. Przede wszystkim jest to ochrona poufności sygnalisty, ponieważ zgłoszenie może być dokonane z dowolnego miejsca dającego największy komfort. Skrzynka na listy umiejscowiona w hali produkcyjnej czy biurze już tego nie gwarantuje.
Poza tym dostęp do takiego systemu będą miały tylko osoby wyznaczone w ramach organizacji, a logowanie osób trzecich można uniemożliwić na podstawie mechanizmów dwustopniowego uwierzytelnienia. Druga zaleta to znaczne ułatwienie późniejszych prac osób odpowiedzialnych za obsługę zgłoszeń. Te w formie rozmowy telefonicznej trzeba dokumentować pisemnie, a zgłoszenia papierowe digitalizować. W przypadku aplikacji wszystko mamy w jednym miejscu, a część procesów jest po prostu zautomatyzowana – przekazywanie dokumentacji do osób zajmujących się wyjaśnieniem sprawy, archiwizowanie, przypomnienia o terminach i najważniejsze – ciągłość komunikacji z sygnalistą.
Do tego dochodzi również kwestia anonimowości zgłoszeń, bo choć nie jest to cecha uwzględniona w polskiej ustawie, to badanie ARC Rynek i Opinia z 2021 r. pokazało, iż 70 prac. pracowników oczekuje takiej funkcjonalności.
Tworząc procedury wewnętrzne, nie można zapomnieć również o komunikacji i edukacji pracowników – muszą oni zrozumieć, jaki jest cel wdrażania systemu whistleblowingowego i zaufać w dobre intencje firmy. Bez tego system jest skazany na porażkę, bo ewentualne zgłoszenia nie będą wpływać lub pracownik skieruje je do zewnętrznego podmiotu, zamiast skorzystać z kanału wyznaczonego przez firmę.
Whistleblowing, nawet w małych organizacjach ma podstawy do stosowania już teraz, bowiem nie jesteśmy w stanie przewidzieć jakie problemy w firmie wystąpią, a konsekwencje wynikające z poinformowania organów państwowych mogą być znacznie poważniejsze. Warto też wziąć pod uwagę fakt, że z czasem organizacja rośnie, także pod względem zatrudnienia, a wtedy prowadzenie procesów zbierania informacji o nadużyciach i rozwiązywania spraw staje się nie dobrą praktyką biznesową, a prawnym obowiązkiem. Bądźmy na to przygotowani!
Autorka: ekspert z obszaru compliance