Tworząc w organizacji warunki umożliwiające bezpieczne zgłaszanie nieprawidłowości jesteśmy zaledwie w pół drogi do uczynienia naszej procedury skuteczną. Drugie pół musimy pokonać podejmując odpowiednie działania następcze. A ścieżka ta po ogłoszeniu ostatniego projektu ustawy z dnia 6 kwietnia wydaje się jeszcze bardziej kręta i nieprzewidywalna.
Słusznie polski projektodawca przepisów o ochronie sygnalistów konsekwentnie stosuje termin „wewnętrzna procedura zgłaszania naruszeń prawa i podejmowania działań następczych”. Wskazuje tym samym na równorzędne znaczenie aktu zgłoszenia, jak i tego, co w angielskim tekście Dyrektywy określane jest jako „follow-up”, czyli ciąg dalszy, badanie zgłoszenia. Żeby lepiej zrozumieć, o co chodzi w działaniach następczych otrzymaliśmy do dyspozycji ich definicje zawarte w tekście Dyrektywy UE (art. 5 ust. 12) jak i nowym polskim projekcie ustawy (art. 2 ust. 1). Obie podkreślają dwa podstawowe cele podejmowania takich działań. Po pierwsze zweryfikowanie, czy zgłoszona przez sygnalistę informacja jest prawdziwa. Po drugie, w przypadku gdy zgłoszenie się potwierdzi, przeciwdziałanie (w polskim tłumaczeniu Dyrektywy UE jest mowa chyba niezbyt fortunnie o „zaradzeniu”) wykrytym naruszeniom. Obie definicje służą nam też przykładami, sugerując jednocześnie, że to tylko pewne podstawowe formy działań następczych, do których wcale nie trzeba się ograniczać. Dyrektywa 2019/1937 mówi o dochodzeniu wewnętrznym i postępowaniu wyjaśniającym (relacja między tymi terminami pozostaje enigmatyczną), a idąc dalej o wniesieniu oskarżenia i działaniach podjętych w celu odzyskania środków. Polski projekt poświęca działaniom następczym nieco więcej miejsca, podpowiadając, że w ramach wyjaśniania zgłoszenia możliwe jest też wszczęcie kontroli lub postępowania administracyjnego, co jak się zdaje jest informacją uzupełniającą skierowaną w stronę jednostek sektora finansów publicznych. Obie regulacje są zgodne co do tego, że zamknięcie procedury także należy do działań następczych.
Jeżeli informacja od sygnalisty wymaga zweryfikowania w postępowaniu wyjaśniającym, to kierunek działań następczych jest jasny. Oczywiście każda organizacja na swoje potrzeby musi przyjąć pewien model prowadzenia działań wyjaśniających i najlepiej, żeby przemyślała go przed przyjęciem procedury, a nie post factum. Jednak towarzyszyć temu procesowi będą podobne czynności, polegające na wysłuchaniu zainteresowanych stron, zebraniu i weryfikacji dowodów czy zaraportowaniu wyników prac. Jeżeli w ich wyniku zgłoszenie nie potwierdziło się, działania następcze można uznać za zamknięte. W przypadku otrzymania informacji niepoważnych, w oczywisty sposób fałszywych lub zbyt niejasnych, aby na ich podstawie wszcząć jakiekolwiek czynności, pierwszym i ostatnim etapem działań następczych będzie zakończenie postępowania. W takiej sytuacji regulacje nie pozostawiają zbyt dużego pola do dylematów dla organizacji. Pozostaje tylko przekazać informację zwrotną sygnaliście.
Prawdziwe schody zaczynają się dopiero w momencie potwierdzenia naruszenia. W szczególnych przypadkach poważnych przestępstw określonych w kodeksie karnym (art. 240 § 1) jak np. sprowadzenie katastrofy właściwie nie mamy innego wyboru jak niezwłocznie zawiadomić organy ścigania. W innej sytuacji organizacja będzie musiała zdecydować, czy sprawca naruszeń ma ponieść konsekwencje w ramach wewnętrznego postępowania dyscyplinarnego czy też są podstawy do wytoczenia mu postępowania prokuratorskiego albo sprawy sądowej. Najtrudniejsze może okazać się przeciwdziałanie naruszeniu, gdyż nie zawsze ukaranie sprawcy będzie do tego wystarczające, jeżeli mamy do czynienia np. z oszustwami finansowymi czy podatkowymi. Jednak zakres działań następczych wydaje się na tym nie kończyć. Mamy bowiem do dyspozycji jeszcze cały wachlarz czynności, które można zakwalifikować pod zastosowanym z Dyrektywie słowem „zaradzenie”. Wskazuje to na możliwość podjęcia działań prewencyjnych, które zminimalizują ryzyko wystąpienia podobnych naruszeń w przyszłości. Otwiera się tutaj nieskończona lista możliwych inicjatyw, planowanych tak w krótko jak i długo okresowej perspektywie. Wszelkiego rodzaju szkolenia, cykliczne audyty, kampanie edukacyjne, mechanizmy zarządzania ryzykiem itd. jak się wydaje mogą być kwalifikowane jako działania następcze, mimo że ich bezpośredni związek z konkretnym naruszeniem nie jest tak oczywisty jak w przypadku samego wyjaśniania czy działań naprawczych.
Uświadamiając sobie jak duży zbiór rozmaitych czynności może kryć się pod definicją działań następczych nagle zaczynamy mieć spore problemy interpretacyjne z wytycznymi zawartymi w przepisach projektu ustawy. W kilku miejscach posługuje się on terminem „dnia zakończenia działań następczych”, który warunkuje podejmowanie istotnych dla organizacji czynności. Po pierwsze, od tego dnia biegnie okres 12 miesięcy, kiedy dane w rejestrze zgłoszeń powinny być przechowywane (art. 29 ust. 5). Po drugie, okres poinformowania osoby, której dotyczy zgłoszenie o samym fakcie jego przyjęcia (ale nie o tożsamości sygnalisty!) może zostać wydłużony w stosunku do wytycznych RODO do 3 miesięcy właśnie od dnia zakończenia działań następczych (art. 8 ust. 6). Rodzi się praktyczny problem czy zawsze da się precyzyjnie określić dzień zakończenia działań następczych? Jeżeli zaliczymy do nich także postępowania sądowe to jak wiadomo mogą one toczyć się wiele lat. Podobnie jeżeli za działania następcze potraktujemy rozpisany na kilka lat plan szkoleń pracowników. Nagle okazuje się, że skrócony do 12 miesięcy w ostatnim projekcie okres retencji danych wcale taki krótki być nie musi. A co jeżeli pojawią się nowe fakty w sprawie, które każą nam podjąć dodatkowe działania następcze, mimo że poprzednie uznaliśmy za zakończone? Czy wówczas możemy tak po prostu zmienić zadeklarowany wcześniej dzień zakończenia działań następczych, nie przejmując się wcześniej wymienionymi konsekwencjami? Ustawodawca powinien niewątpliwie zadbać o dobrostan operatorów zgłoszeń i uczynić w tym zakresie przepisy dużo bardziej czytelnymi.
Na tym wątpliwości się nie kończą, ponieważ niejasny jest też związek między dniem zakończenia działań następczych a datą zakończenia sprawy, która musi być wpisana do rejestru zgłoszeń wewnętrznych (art. 29, ust. 4, p. 5). Głęboko wierzę że, gdyby oba pojęcia oznaczały to samo, to polski projektodawca ująłby je tak samo. I zastanawiam się co jeszcze poza zakończeniem działań następczych musi się zdarzyć, żeby daną sprawę zamknąć. Zaryzykować można dość logiczne stwierdzenie, że bez zakończenia działań następczych trudno mówić o zamknięciu sprawy. Jednak po zakończeniu działań następczych nadal według projektu ustawy nic nie stoi na przeszkodzie, żeby sprawa pozostawała widoczna w rejestrze jako otwarta. Tylko jaki jest tego ukryty cel, przyznam nie wiem.
Parafrazując słynny cytat ze Shreka – cebula ma warstwy, ogry mają warstwy i działania następcze też mają warstwy. I nigdy nie możemy być pewni, czy ta, którą się obecnie zajmujemy jest ostatnią.
Marcin Waszak, specjalista etyki biznesu w Linii Etyki Sp. z o.o.