W niedawnym artykule pisałem, że wydłużanie się prac nad ustawą o sygnalistach wynika z problemu ze wskazaniem instytucji odpowiadających za zgłoszenia zewnętrzne. Potwierdził to piąty już projekt ustawy, który zewnętrzną ścieżkę zgłaszania uczynił jeszcze większą enigmą i jednocześnie testem na wytrwałość dla sygnalisty.

Należy żałować, że projektodawca nie pochylił się tym razem uważniej nad procedurą zgłoszeń wewnętrznych, którą na tym etapie uznał za nie wymagającą większych zmian. Uległ modyfikacji przepis o karach grzywny dla pracodawców, którzy mają odpowiadać m.in. za ustanowienie procedury „z istotnym naruszeniem wynikających z ustawy wymogów”. W odróżnieniu od poprzedniego, obecny zdaje się obejmować także zaniedbania związane z brakiem konsultacji procedury ze związkami zawodowymi lub reprezentacją pracowników czy z niedotrzymaniem terminów na wdrożenie procedury. I nie jest to zła propozycja poza słowem „istotnym”, które wprowadza niepotrzebny element uznaniowości. Kto i na jakiej podstawie ma bowiem odróżniać naruszenia istotne od nieistotnych? – nie wiadomo. Nie jest jasne nawet, który organ publiczny miałby kontrolować to, czy wewnętrzna procedura zgłoszeń została wdrożona i w jaki sposób. Tymczasem w niezmienionym brzmieniu pozostał art. 25. ust. 1 p. 3, który niepotrzebnie ogranicza możliwość zlecenia podmiotowi zewnętrznemu prowadzenia działań następczych, mimo że projekt dopuszcza jednocześnie przyjmowanie za jego pośrednictwem zgłoszeń. Podobnie brakuje przepisu, który potwierdzałby, że podmiot prawny może upoważnić podmiot zewnętrzny do prowadzenia rejestru zgłoszeń wewnętrznych. Wydaje się, że są to oczywiste do zlikwidowania luki w projekcie, w końcu sporo, zwłaszcza większych podmiotów prawnych decyduje się na wsparcie firm wyspecjalizowanych w obsłudze systemów zgłaszania.

Nowy projekt przede wszystkim postawił do góry nogami organizację zgłoszeń zewnętrznych. Rzecznik Praw Obywatelskich, który we wszystkich wcześniejszych propozycjach był centralną instytucją odpowiadającą za przyjmowanie, weryfikację i przekazywanie do właściwych organów zgłoszeń sygnalistów, z obecnego tekstu zniknął zupełnie. Jego miejsce, choć z nieco okrojonymi uprawnieniami, zajęła Państwowa Inspekcja Pracy. Znamienne, że tego rozwiązania nie uzgodniono z samą zainteresowaną instytucją. W wydanej 22 grudnia opinii Główny Inspektor Pracy zdecydowanie zaprotestował przeciwko przydzieleniu nowych zadań, które w dodatku miałyby zacząć być realizowane już po dwóch miesiącach od uchwalenia ustawy.

PIP i okręgowe inspektoraty pracy w świetle nowej propozycji mają być czymś w rodzaju koła ratunkowego dla sygnalisty, kiedy zupełnie straci orientację jaki organ jest kompetentny do zajęcia się jego sprawą. O taką sytuację nie będzie trudno, ponieważ projektodawca zamiast wskazać na konkretne organy zewnętrzne zobowiązane do przyjmowania zgłoszeń zewnętrznych i podejmowania działań wyjaśniających, posłużył się ogólną kategorią organów publicznych, rozumiejąc przez to organy administracji rządowej, inne organy państwowe, organy wykonawcze samorządu, regionalne izby obrachunkowe i Komisję Nadzoru Finansowego. Łącznie to blisko 3000 organów, które będą musiały ustanowić procedurę zgłoszeń zewnętrznych, sporządzać sprawozdanie z danymi statystycznymi o podjętych działaniach oraz informować w Biuletynie Informacji Publicznej na temat zasad zgłaszania i warunkach ochrony. Można mieć poważne wątpliwości czy obarczanie nowymi obowiązkami tak dużej grupy podmiotów to rozwiązanie racjonalne i proporcjonalne w stosunku do faktycznych potrzeb, zważywszy, że gro spraw sygnalistów ma być rozwiązywane w ich miejscu pracy. Z pewnością tak rozproszony system będzie prowokował spory kompetencyjne między podmiotami i bardzo często wstrzymywał proces wyjaśniania zgłoszenia do czasu przekazania go właściwemu organowi. Najgorzej zaś, jeżeli zgłoszenie zostanie przekazane do rozpatrzenia przez organ, którego właściwość do zajęcia się sprawą zostanie podważona – wówczas zgodnie z kodeksem postępowania administracyjnego bez względu na trafność rozstrzygnięcia może ono zostać uznane za nieważne. O pomyłkę nie będzie trudno, już kilka lat temu w raporcie z badania na temat postrzegania sygnalistów wyrażano się krytycznie o zdolnościach PIP, która od tego czasu nie przeszła prawdziwej reformy: „Zdarza się, że okręgowe inspektoraty pracy działające w poszczególnych województwach podejmują różne decyzje w podobnych sprawach. Z opowieści związkowców wyłania się obraz instytucji fasadowej, pozbawionej skutecznych narzędzi kontroli i sankcji, a także cierpiącej z powodu niekompetencji swoich kadr i braku środków finansowych.” („Sygnaliści w Polsce okiem pracodawców i związków zawodowych”, Fundacja Batorego 2016)

Trudno przypuszczać, żeby PIP, do której według oceny skutków regulacji ma trafiać od kilku do kilkunastu tysięcy zgłoszeń rocznie, w każdym przypadku była w stanie nieomylnie określić ich adresata. Przede wszystkim dlatego, że będzie musiała to robić na podstawie znajomości bardzo różnych dziedzin prawa, w ramach których będą rozpatrywane naruszenia, a które nie leżą w kompetencjach PIP. Absurdem jest, że instytucji, która zajmuje się kontrolą i nadzorem nad przestrzeganiem prawa pracy, przydzielono kluczową rolę w zewnętrznym systemie przyjmowania zgłoszeń sygnalistów, pomimo tego, że sam obszar łamania praw pracowniczych nie został włączony do projektu ustawy. W kontekście nowej roli PIP w uzasadnieniu do projektu jest mowa nawet o udzielaniu pomocy prawnej w postępowaniach karnych i transgranicznych postępowaniach cywilnych. To kolejny absurd, ponieważ PIP nie jest przygotowana do świadczenia takiej pomocy, a doświadczenie PIP w prowadzeniu porad, na które powołuje się projektodawca, w ogóle nie dotyczy materii związanej z przyszłą ustawą o sygnalistach. Polecam prześledzić przykład Słowacji, która w pierwszej regulacji wprowadzającej ochronę osób zgłaszających nieprawidłowości jeszcze z 2014 r. przydzieliła kompetencje przyjmowania i weryfikacji zgłoszeń regionalnym inspekcjom pracy. Kilka lat później odeszła od tego modelu na rzecz ustanowienia urzędu ds. ochrony sygnalistów, mimo że w prawie słowackim pierwotne rozwiązanie miało głębsze uzasadnienie w postaci uprawnień inspekcji do zawieszania negatywnych decyzji pracodawców w stosunku do sygnalistów. Inspekcje nie sprostały powierzonym im zadaniom ze względu na brak dodatkowego wsparcia finansowego i niewykwalifikowane w nowym obszarze działania kadry. W Polsce wciąż możemy dać sobie szansę uniknięcia podobnych błędów.

Sygnalista nie w każdym przypadku będzie mógł liczyć na to, że to PIP rozwiąże jego problem z zakwalifikowaniem naruszenia. Otóż nowa wersja ustawy wymaga od osoby zgłaszającej już nie tylko rozpoznania czy dana nieprawidłowość dotyczy wymienionych w ustawie obszarów prawa, ale też czy może stanowić przestępstwo. O podejrzeniu przestępstwa sygnalista będzie musiał bowiem powiadomić komendanta wojewódzkiego policji, względnie prokuratora jeżeli sprawa dotyczy stosowania aktów prawa europejskiego, interesów finansowych Unii lub podatków od osób prawnych. Stworzy to równoległy do kodeksu postępowania karnego tryb zawiadamiania o przestępstwie, który będzie jednak wymagał od policji wdrożenia nowych standardów działania, m.in. gwarantujących pełną poufność osobom zgłaszającym. Istnieje jednak ryzyko, że różnica między dwoma trybami powiadomienia o przestępstwie ograniczy się do nowego wzoru formularza dla sygnalistów, którzy wszelkie informacje i tak będą musieli zgłaszać pod nazwiskiem i na warunkach organów ścigania, a może nawet pod groźbą składania fałszywych zeznań. Sygnalista zamieni się w świadka, który będzie zobowiązany do współpracy z organami ścigania w kolejnych etapach czynności wyjaśniających, nawet jeżeli uniemożliwi mu to dalsze egzystowanie w miejscu pracy. W efekcie tej i wcześniej omówionych zmian ścieżka zewnętrzna dla sygnalisty z trudnej zamieni się w hiper wymagającą, przeznaczoną dla najbardziej odważnych i zdeterminowanych pracowników.

Istnieje jeszcze jedna nowinka wprowadzona w projekcie ustawy, która tylko z pozoru wygląda jak wyjście naprzeciw potrzebom sygnalistom. Chodzi o możliwość żądania zaświadczenia od organu publicznego, „w którym potwierdza, iż zgłaszający podlega ochronie”. Czemu jednak zaświadczenia mają służyć, poza pretekstem do stygmatyzacji sygnalistów w miejscu pracy? Nie ma na to przekonującego wytłumaczenia, wszak Dyrektywa UE już wymaga od organów zewnętrznych dostarczenia zgłaszającemu potwierdzenia otrzymania zgłoszenia, a później informacji o działaniach następczych. Jeżeli wystarczającą podstawą do wydania zaświadczenia, jak przekonuje projektodawca w uzasadnieniu, będzie sam fakt zarejestrowania zgłoszenia w rejestrze zgłoszeń zewnętrznych, czym zatem będzie się ono różniło od potwierdzenia przyjęcia zgłoszenia? Być może tym, że zgodnie z kodeksem postępowania administracyjnego organ publiczny będzie mógł odmówić wydania zaświadczenia, na co osobie zgłaszającej przysługiwać ma zażalenie. Jeśli jednak wydanie zaświadczenia ma być czynnością niemal automatyczną, to co może zadecydować o odmowie jego wydania? Czy organ publiczny będzie zobowiązany podjąć uprzednie działania weryfikacyjne zanim wyda zaświadczenie? Nie jest to dobry kierunek regulacji i projektodawca powinien się z niego szybko wycofać. Zamiast na postępowaniu wyjaśniającym w zgłoszonej sprawie, organy publiczne będą zmuszone przy wydaniu zaświadczenia skupić się na tym czy osoba zgłaszająca może korzystać z praw sygnalisty. Pośrednio wejdą w kompetencje sądów, orzekając wyłącznie na podstawie otrzymanego zgłoszenia, czy jego nadawca spełnia warunki ochrony określone w ustawie o ochronie osób zgłaszających naruszenia prawa. Takie „glejty” wydawane sygnalistom przez komendantów policji czy prokuratorów tylko utrwalą negatywne stereotypy o sygnalistach jako osobach, którym zależy przede wszystkim na własnej bezkarności.

Piąty projekt ustawy Ministerstwa Rodziny i Polityki Społecznej, opublikowany w czasie, gdy właściwe przepisy powinny w Polsce obowiązywać już od roku, rozczarowuje. Wygląda na nieudaną próbę pogodzenia sprzecznych interesów instytucji publicznych, z których żadna nie chce wziąć odpowiedzialności za to jak ma funkcjonować system ochrony sygnalistów w Polsce. Wszystko to kosztem osób zgłaszających, którzy sami będą musieli odnaleźć właściwą drogę, gdzie udać się z wrażliwymi informacjami o swojej organizacji.

Marcin Waszak, specjalista etyki biznesu w Linii Etyki Sp. z o.o.

Poznaliśmy kolejną wersję projektu ustawy o ochronie osób zgłaszających naruszenia prawa. Dla pracodawców oznacza, że nadchodzi to czego mogli się spodziewać po wcześniejszym projekcie tylko bardziej. A zatem bardziej rozbudowane procedury wewnętrzne, bardziej złożone rejestry zgłoszeń i bycie bardziej odpowiedzialnym za działania przeciwko sygnaliście.

Datowany na 4 lipca dokument nie przynosi dużych zmian, i w stosunku do poprzedniego raczej uzupełnia i precyzuje wybrane przepisy, aniżeli wywraca porządek rzeczy. Projekt przeszedł etap konsultacji międzyresortowych, co najpewniej oznacza koniec poprawek ze strony rządu i oby jak najszybsze jego wniesienie do laski marszałkowskiej. Według medialnych doniesień ma to nastąpić w sierpniu.

Utartym szlakiem Dyrektywy UE

Część ostatnich zmian, które się pojawiły, to powtórzenie artykułów Dyrektywy UE, jak chociażby przepis o tym, że sygnalista nie może odpowiadać za pozyskanie zgłaszanych przez siebie informacji lub dostęp do nich, jeżeli nie stanowi to czynu zabronionego (art. 16 ust. 3). Znajdziemy też nowe wątki, w których projekt „twórczo” rozwija postanowienia Dyrektywy UE. Dotyczy to zdjęcia z sygnalisty obowiązku udowodnienia, że podejmowane przeciwko niemu działania i decyzje są powodowane zgłoszeniem lub ujawnieniem publicznym nadużyć, innymi słowy spełniają kryteria działań odwetowych (art. 12 ust. 3). Zasada odwróconego ciężaru dowodowego to jeden z kanonów regulacji ochrony sygnalistów. Wynika z oczywistych trudności z zebraniem materiału dowodowego w sytuacji sygnalisty pozbawionego wystarczających uprawnień czy możliwości dostępu do informacji, które mogłyby dowieść, że to co go spotyka jest formą odwetu. Dlatego Dyrektywa UE przesuwa ciężar dowodu na osobę, która była sprawcą szkodliwych działań. Polski projektodawca poszedł jednak nieco dalej, stanowiąc o tym, że ciężar dowodowy ma spoczywać na pracodawcy (!). To pracodawca będzie musiał udowodnić, że zastosowane wobec sygnalisty działania, które mogą naruszać jego prawa lub wyrządzać nieuzasadnioną szkodę, nie były reakcją na zasygnalizowanie nadużyć. Ta subtelna różnica może zrobić dużo zamieszania w sytuacji, gdy to nie pracodawca, ale jego pracownik dopuszcza się działań odwetowych na swoim podwładnym. Nie jest to też spójne z określoną w projekcie ustawy odpowiedzialnością karną za stosowanie działań odwetowych, która spoczywa na tym, kto ich dokonuje. Jeżeli ten przepis się utrzyma z pewnością jednak zdyscyplinuje pracodawców do tego, żeby bacznie przyglądać się jak traktowani są sygnaliści w miejscu pracy, a także aby zadbać o właściwe uzasadnienie wszelkich decyzji i działań wobec nich podejmowanych.

Do zachęt, czas start

Narastającą ciekawość adresatów ustawy wzbudza włączenie „systemu zachęt do korzystania z procedury wewnętrznej” do tejże procedury. O ile w poprzednim projekcie był to jej element fakultatywny, teraz wszedł w zakres obowiązkowego minimum, bez którego procedura będzie wadliwa, czyli groziła pracodawcy grzywną. Pojawiło się też analogiczne jak w Dyrektywie UE zastrzeżenie, że zachęcanie ma dotyczyć przypadków, gdy organizacja jest zdolna zaradzić naruszeniu, a sygnalista nie obawia się działań odwetowych. Koniec końców niewiele to jednak zmienia, bowiem jeżeli w organizacji panuje atmosfera strachu przed zgłaszaniem, to żadne zachęcanie i tak nie pomoże. To uzupełnienie ma jednak rozwiewać wątpliwości, że nie chodzi tutaj o próbę ograniczania sygnalistom dostępu do kanałów zewnętrznych.

Skąd jednak wziął się tajemniczo brzmiący przepis o zachętach?  Osobiście stawiam na kulawą implementację przepisów unijnych. Dyrektywa co prawda mówi o tym, żeby zachęcać pracowników do korzystania z możliwości zgłaszania naruszeń do pracodawcy. Jednak w myśl tej regulacji to odpowiednia (czytaj: bezpieczna i skuteczna) procedura wewnętrznego zgłaszania nieprawidłowości i działań następczych ma sama w sobie stanowić zachętę dla sygnalistów. Natomiast jeżeli na kimś spoczywa obowiązek zachęcania do korzystania z wewnętrznych procedur przed poinformowaniem zewnętrznych organów, to w myśl art. 7 ust. 2 Dyrektywy UE mają go realizować państwa członkowskie. Wszystko na to wskazuje, że w Polsce odpowiadać za to będą wyłącznie pracodawcy, którym dodatkowy system zachęt przyjdzie wymyślić i wdrożyć.

A może zachęty to nie jest głupi pomysł…

Przepis o zachętach może budzić konsternację, ale z przeglądu całego projektu ustawy dochodzę do wniosku, że ma on ukryte uzasadnienie i głęboki sens. Otóż trudno się dalej łudzić, że w polskiej ustawie znajdą się przepisy zobowiązujące organizacje do przyjmowania zgłoszeń anonimowych. Z każdą nową wersją projektu polski projektodawca coraz bardziej odchodzi od tej możliwości. W obecnym poszerzono zakres informacji, które muszą się znaleźć w rejestrze wewnętrznym, o dane osobowe zgłaszającego i domniemanego sprawcy oraz adres do kontaktu zgłaszającego. Wszelkie znaki na niebie i ziemi, o których piszę dalej, mówią, że to nie będzie zachęcać do zgłaszania.

Zatem dopuszczenie możliwości anonimowego powiadamiania przez pracodawców we własnej organizacji może być pierwszą naturalną zachętą dla sygnalistów. Jest to rozwiązanie, co do którego istnieje największa pewność, że zadziała. Zachowanie anonimowości sygnalisty przed pracodawcą jest w opinii większości Polaków należnym mu uprawnieniem, co pokazał sondaż Fundacji Batorego z 2019 r. Z kolei według ankiety braf-techu z 2021 r., w której wprost zapytano 403 pracowników polskich firm o to jakie cechy procedury przekonują ich do zgłaszania, zdecydowana większość wskazała albo możliwość dokonywania zgłoszeń anonimowych albo unikanie zbierania danych osobowych osoby zgłaszającej. Zapewnienie anonimowości może być zachętą do zgłaszania zwłaszcza w mniejszych organizacjach, co dostrzegło Ministerstwo Funduszy i Polityki Regionalnej w uwagach złożonych w ramach konsultacji międzyresortowych. Instytucja ta poświęciła zgłoszeniom anonimowym dłuższy komentarz: „Z doświadczeń wynikających z funkcjonowania mechanizmu (od 2015 roku) służącego do sygnalizowania nieprawidłowości w Programach Operacyjnych finansowanych ze środków UE wynika, że sygnały pochodzące od osób anonimowych są wartościowe i stanowią cenne źródło wiedzy. Jednocześnie objęcie takich sygnałów ustawą uprości ich procedowanie.” Niestety autorzy projektu nie podjęli polemiki z tym stanowiskiem, kwitując je stwierdzeniem, że decyzja o braku obowiązku przyjmowania zgłoszeń anonimowych już zapadła.

Patrząc szerzej, system zachęt z polskiego projektu chciałbym widzieć jako zobowiązanie do proaktywnego udoskonalania kanałów zgłoszeń i do autorefleksji sięgającej głębiej niż „jest/nie ma procedury”. Bo jeżeli skutkiem wdrożenia ustawy o ochronie sygnalistów w organizacji poza zapewnieniem zgodności z prawem ma być także zachęcenie do zgłaszania, to działania pozorne i po łebkach przestają mieć sens. Na system zachęt składa się to, jak przeprowadzamy konsultacje procedury, w jaki sposób informujemy o niej pracowników czy jak prowadzone są działania następcze. Jego istotą nie jest płacenie sygnalistom albo obietnica innych profitów, tylko podniesienie jakości (lub należyta staranność mówiąc w języku compliance) przy wykonywaniu wszystkich procesów i działań towarzyszących wewnętrznej procedurze zgłaszania. Działanie w logice systemu zachęt to poważne wyzwanie i postulat dla organizacji, który nie zasługuje na wyśmianie. Być może jedynym tragikomicznym faktem związanym z obowiązkiem zachęcania jest to, że bez wpisania go do przepisów nie zadalibyśmy sobie w ogóle podstawowych pytań o system zgłoszeń. I choć projekt ustawy nie trafił jeszcze do Sejmu, to już teraz dzięki niemu zastanawiamy dlaczego i jak należy przekonywać do korzystania z wewnętrznej procedury.

Marcin Waszak, specjalista etyki biznesu w Linii Etyki Sp. z o.o.

Raport Stowarzyszenia Biegłych ds. Przestępstw i Nadużyć Gospodarczych (Association of Certified Fraud Examiners – ACFE) publikowany regularnie co dwa lata to jedno z bogatszych źródeł wiedzy na temat walki z naruszeniami w organizacjach. Właśnie ukazała się jego kolejna edycja.

Tegoroczny raport można nazwać pandemicznym, gdyż zbiera wiedzę o stanie rozwiązań compliance i wyśledzonych naruszeniach, zebraną w trakcie trwania pandemii koronawirusa na świecie, a dokładniej od stycznia 2020 do września 2021 r. Autorzy zastrzegają jednak, że ponieważ przeciętny czas trwania naruszenia oszacowany na podstawie danych to 12 miesięcy, wiele z analizowanych przypadków spraw miało swój początek jeszcze przed pandemią. Bazą do przedstawionych w raporcie statystyk jest zbiór ponad 2000 przypadków oszustw, którymi zostały dotknięte organizacje ze 133 krajów działające w 23 branżach. Niewątpliwą zaletą raportu jest fakt, że nie koncentruje się wyłącznie na sektorze prywatnym jak większość podobnych publikacji, ale uwzględnia też dane z sektora publicznego.

Raport dzieli opisywane naruszenia na trzy główne typy: sprzeniewierzenie majątku organizacji, korupcję i nadużycia finansowe. Porównanie między podstawowymi kategoriami naruszeń pokazuje, że występują z różną częstotliwością i są związane z różną skalą strat. I tak z przytoczonych danych wynika, że fałszowanie sprawozdawczości finansowej zdarza się w ramach całkowitej puli naruszeń stosunkowo rzadko (9%), jednak koszty z tego wynikające przewyższają wyraźnie straty z tytułu częściej występujących korupcji (50%) i nadużywania zasobów firmy (86%).

Zgłoszenia pozostają bezkonkurencyjnie najskuteczniejszym sposobem identyfikowania naruszeń w organizacjach, gdyż aż 42% z nich wykrywanych jest dzięki sygnalistom. Tymczasem audyt wewnętrzny, druga najczęściej sprawdzająca się metoda w tym rankingu, pomaga wyśledzić „zaledwie” 16% wszystkich oszustw. Wśród osób zgłaszających przeważają pracownicy (55%), jednak dane pokazują, że organizacje powinny być też otwarte na sygnalistów z zewnątrz takich jak klienci, dostawcy czy konkurencja, którzy dostarczają blisko jedną trzecią wszystkich zgłoszeń. Same organizacje dostrzegają, że ochrona sygnalistów buduje ich potencjał do prowadzenia uczciwej działalności. W porównaniu z poprzednim raportem wzrósł odsetek organizacji, które wdrożyły kanał powiadamiania, a nawet takich stosujących nagrody dla sygnalistów.

Z informacji zbieranych przez respondentów badania wynika, że 70% organizacji mierzących się z naruszeniami miało u siebie kanał powiadamiania. Podmioty te lepiej radziły sobie z wykrywaniem i zaradzeniem skutkom naruszeń aniżeli organizacje pozbawione takich procedur. Dokładniej rzecz biorąc organizacje wykorzystujące linię powiadamiania ponosiły o połowę mniejsze straty finansowe oraz skracały czas wykrycia naruszenia aż o pół roku. Od 2014 r. w raportach ACFE zauważalny jest systematyczny wzrost odsetka zgłoszeń wysyłanych przez „gorące linie” – już 58% z nich kierowanych jest tą drogą. Dodatkowo w miejscach, gdzie wraz z procedurami wdrażane są szkolenia mamy do czynienia z wyraźnie większą liczbą zgłoszeń. Zaprezentowane dane potwierdzają, że sygnaliści raportują nie tylko dedykowanymi kanałami, ale też często wykorzystują do tego drogę służbową. Odsetek osób, które w pierwszym kroku zdecydowały się zawiadomić o swoich podejrzeniach bezpośredniego przełożonego wyniósł 30%, zaś kierownika 15%.

Mimo że porównania między regionami nieco różnicują przedstawiony powyżej obraz, trendy są jednoznaczne. Organizacje zapewniają coraz więcej możliwości powiadamiania o naruszeniach, a sygnaliści chętniej z nich korzystają, przyczyniając się do ochrony wspólnego interesu.

Raport do pobrania:

Occupational Fraud 2022: A Report to the Nations, ACFE 2022

Marcin Waszak, specjalista etyki biznesu w Linii Etyki Sp. z o.o.

Tworząc w organizacji warunki umożliwiające bezpieczne zgłaszanie nieprawidłowości jesteśmy zaledwie w pół drogi do uczynienia naszej procedury skuteczną. Drugie pół musimy pokonać podejmując odpowiednie działania następcze. A ścieżka ta po ogłoszeniu ostatniego projektu ustawy z dnia 6 kwietnia wydaje się jeszcze bardziej kręta i nieprzewidywalna.

Słusznie polski projektodawca przepisów o ochronie sygnalistów konsekwentnie stosuje termin „wewnętrzna procedura zgłaszania naruszeń prawa i podejmowania działań następczych”. Wskazuje tym samym na równorzędne znaczenie aktu zgłoszenia, jak i tego, co w angielskim tekście Dyrektywy określane jest jako „follow-up”, czyli ciąg dalszy, badanie zgłoszenia. Żeby lepiej zrozumieć, o co chodzi w działaniach następczych otrzymaliśmy do dyspozycji ich definicje zawarte w tekście Dyrektywy UE (art. 5 ust. 12) jak i nowym polskim projekcie ustawy (art. 2 ust. 1). Obie podkreślają dwa podstawowe cele podejmowania takich działań. Po pierwsze zweryfikowanie, czy zgłoszona przez sygnalistę informacja jest prawdziwa. Po drugie, w przypadku gdy zgłoszenie się potwierdzi, przeciwdziałanie (w polskim tłumaczeniu Dyrektywy UE jest mowa chyba niezbyt fortunnie o „zaradzeniu”) wykrytym naruszeniom. Obie definicje służą nam też przykładami, sugerując jednocześnie, że to tylko pewne podstawowe formy działań następczych, do których wcale nie trzeba się ograniczać. Dyrektywa 2019/1937 mówi o dochodzeniu wewnętrznym i postępowaniu wyjaśniającym (relacja między tymi terminami pozostaje enigmatyczną), a idąc dalej o wniesieniu oskarżenia i działaniach podjętych w celu odzyskania środków. Polski projekt poświęca działaniom następczym nieco więcej miejsca, podpowiadając, że w ramach wyjaśniania zgłoszenia możliwe jest też wszczęcie kontroli lub postępowania administracyjnego, co jak się zdaje jest informacją uzupełniającą skierowaną w stronę jednostek sektora finansów publicznych. Obie regulacje są zgodne co do tego, że zamknięcie procedury także należy do działań następczych.

Jeżeli informacja od sygnalisty wymaga zweryfikowania w postępowaniu wyjaśniającym, to kierunek działań następczych jest jasny. Oczywiście każda organizacja na swoje potrzeby musi przyjąć pewien model prowadzenia działań wyjaśniających i najlepiej, żeby przemyślała go przed przyjęciem procedury, a nie post factum. Jednak towarzyszyć temu procesowi będą podobne czynności, polegające na wysłuchaniu zainteresowanych stron, zebraniu i weryfikacji dowodów czy zaraportowaniu wyników prac. Jeżeli w ich wyniku zgłoszenie nie potwierdziło się, działania następcze można uznać za zamknięte. W przypadku otrzymania informacji niepoważnych, w oczywisty sposób fałszywych lub zbyt niejasnych, aby na ich podstawie wszcząć jakiekolwiek czynności, pierwszym i ostatnim etapem działań następczych będzie zakończenie postępowania. W takiej sytuacji regulacje nie pozostawiają zbyt dużego pola do dylematów dla organizacji. Pozostaje tylko przekazać informację zwrotną sygnaliście.

Prawdziwe schody zaczynają się dopiero w momencie potwierdzenia naruszenia. W szczególnych przypadkach poważnych przestępstw określonych w kodeksie karnym (art. 240 § 1) jak np. sprowadzenie katastrofy właściwie nie mamy innego wyboru jak niezwłocznie zawiadomić organy ścigania. W innej sytuacji organizacja będzie musiała zdecydować, czy sprawca naruszeń ma ponieść konsekwencje w ramach wewnętrznego postępowania dyscyplinarnego czy też są podstawy do wytoczenia mu postępowania prokuratorskiego albo sprawy sądowej. Najtrudniejsze może okazać się przeciwdziałanie naruszeniu, gdyż nie zawsze ukaranie sprawcy będzie do tego wystarczające, jeżeli mamy do czynienia np. z oszustwami finansowymi czy podatkowymi. Jednak zakres działań następczych wydaje się na tym nie kończyć. Mamy bowiem do dyspozycji jeszcze cały wachlarz czynności, które można zakwalifikować pod zastosowanym z Dyrektywie słowem „zaradzenie”. Wskazuje to na możliwość podjęcia działań prewencyjnych, które zminimalizują ryzyko wystąpienia podobnych naruszeń w przyszłości. Otwiera się tutaj nieskończona lista możliwych inicjatyw, planowanych tak w krótko jak i długo okresowej perspektywie. Wszelkiego rodzaju szkolenia, cykliczne audyty, kampanie edukacyjne, mechanizmy zarządzania ryzykiem itd. jak się wydaje mogą być kwalifikowane jako działania następcze, mimo że ich bezpośredni związek z konkretnym naruszeniem nie jest tak oczywisty jak w przypadku samego wyjaśniania czy działań naprawczych.

Uświadamiając sobie jak duży zbiór rozmaitych czynności może kryć się pod definicją działań następczych nagle zaczynamy mieć spore problemy interpretacyjne z wytycznymi zawartymi w przepisach projektu ustawy. W kilku miejscach posługuje się on terminem „dnia zakończenia działań następczych”, który warunkuje podejmowanie istotnych dla organizacji czynności. Po pierwsze, od tego dnia biegnie okres 12 miesięcy, kiedy dane w rejestrze zgłoszeń powinny być przechowywane (art. 29 ust. 5). Po drugie, okres poinformowania osoby, której dotyczy zgłoszenie o samym fakcie jego przyjęcia (ale nie o tożsamości sygnalisty!) może zostać wydłużony w stosunku do wytycznych RODO do 3 miesięcy właśnie od dnia zakończenia działań następczych (art. 8 ust. 6). Rodzi się praktyczny problem czy zawsze da się precyzyjnie określić dzień zakończenia działań następczych? Jeżeli zaliczymy do nich także postępowania sądowe to jak wiadomo mogą one toczyć się wiele lat. Podobnie jeżeli za działania następcze potraktujemy rozpisany na kilka lat plan szkoleń pracowników. Nagle okazuje się, że skrócony do 12 miesięcy w ostatnim projekcie okres retencji danych wcale taki krótki być nie musi. A co jeżeli pojawią się nowe fakty w sprawie, które każą nam podjąć dodatkowe działania następcze, mimo że poprzednie uznaliśmy za zakończone? Czy wówczas możemy tak po prostu zmienić zadeklarowany wcześniej dzień zakończenia działań następczych, nie przejmując się wcześniej wymienionymi konsekwencjami? Ustawodawca powinien niewątpliwie zadbać o dobrostan operatorów zgłoszeń i uczynić w tym zakresie przepisy dużo bardziej czytelnymi.

Na tym wątpliwości się nie kończą, ponieważ niejasny jest też związek między dniem zakończenia działań następczych a datą zakończenia sprawy, która musi być wpisana do rejestru zgłoszeń wewnętrznych (art. 29, ust. 4, p. 5). Głęboko wierzę że, gdyby oba pojęcia oznaczały to samo, to polski projektodawca ująłby je tak samo. I zastanawiam się co jeszcze poza zakończeniem działań następczych musi się zdarzyć, żeby daną sprawę zamknąć. Zaryzykować można dość logiczne stwierdzenie, że bez zakończenia działań następczych trudno mówić o zamknięciu sprawy. Jednak po zakończeniu działań następczych nadal według projektu ustawy nic nie stoi na przeszkodzie, żeby sprawa pozostawała widoczna w rejestrze jako otwarta. Tylko jaki jest tego ukryty cel, przyznam nie wiem.

Parafrazując słynny cytat ze Shreka – cebula ma warstwy, ogry mają warstwy i działania następcze też mają warstwy. I nigdy nie możemy być pewni, czy ta, którą się obecnie zajmujemy jest ostatnią.

Marcin Waszak, specjalista etyki biznesu w Linii Etyki Sp. z o.o.

Gdyby projekt ustawy o ochronie osób zgłaszających naruszenia prawa z 6 kwietnia 2022 r. ukazał się rok temu, wzięlibyśmy to pewnie za dobrą nowinę. Wciąż byłby czas na publiczne konsultacje, wprowadzenie niezbędnych poprawek i koniec końców implementację Dyrektywy UE o sygnalistach w terminie. Tymczasem budzimy się w rzeczywistości, w której opóźnienie w implementacji wynosi już ponad 4 miesiące, a my ledwie dotarliśmy do etapu drugiej wersji rządowego projektu, który dotąd nie trafił do Sejmu. Biorąc pod uwagę charakter zmian wprowadzonych w stosunku do pierwszego projektu, można by rzec, że mamy do czynienia z dojrzałym już dokumentem. Poprawki mają bowiem głównie charakter doprecyzowujący, porządkujący lub uzupełniający pierwotny tekst. Jeżeli jednak za kryterium przygotowania projektu uznamy zaawansowanie procesu legislacyjnego, nie jest on gotowy nawet w tym samym stopniu co nowelizacja ustawy o odpowiedzialności podmiotów zbiorowych – także w części zajmująca się sygnalizowaniem nieprawidłowości – o której słuch zaginął na początku 2019 r. już po nadaniu druku sejmowego.

Minimalizm do kwadratu

Projektodawca w uzasadnieniu chętnie powołuje się zwłaszcza na te fragmenty Dyrektywy UE, które usprawiedliwiają zachowawczy charakter projektu. Pierwszy z brzegu przykład to wyłączenie spod działania ustawy zamówień publicznych w dziedzinach obronności i bezpieczeństwa. Drugi to skorzystanie z możliwości zwolnienia gmin do 10 000 mieszkańców z obowiązku przyjmowania zgłoszeń wewnętrznych.

Prawdziwym ciosem w sygnalistów jest jednak rezygnacja ze zgłoszeń anonimowych, co uważam za największą zmianę in minus. Jak wynika z uzasadnienia do projektu podmioty prawne, Rzecznik Praw Obywatelskich oraz organy publiczne będą miały możliwość pozostawienia zgłoszeń anonimowych bez rozpatrzenia. Podmioty prawne i organy publiczne (co ciekawe uzasadnienie pomija tutaj RPO) zachowają możliwość przyjmowania zgłoszeń anonimowych na podstawie regulacji, które same przyjmą dla obsługiwanych przez siebie wewnętrznych i zewnętrznych ścieżek zgłaszania. Takie podejście jest sprzeczne ze stanowiskiem grupy eksperckiej Komisji Europejskiej ds. wdrożenia Dyrektywy z 11 grudnia 2021 r. mówiącym, że zasady przyjmowania zgłoszeń anonimowych powinno określać prawo, a nie organy publiczne samodzielnie. Wyłączenie zgłoszeń anonimowych jest oczywiście wygodne dla organów obsługujących zewnętrzne ścieżki zgłaszania. Oznacza to mniejszy nakład pracy dla urzędników i zrzucenie z siebie odpowiedzialności za problematyczne dochodzenia, z których będzie można zrezygnować z uwagi na brak świadka lub brak kontaktu z nim. Powoływanie się przy tym w uzasadnieniu na opinię grupy roboczej ds. przetwarzania danych osobowych z 2006 wydaje się nie przystawać do stanu wiedzy, który mamy w roku 2022. Przez ostatnich 16 lat zostało przeprowadzonych wiele reprezentatywnych badań, zebrano ogromne ilości danych z systemów sygnalizowania, a poza wszystkim ujawniono właśnie dzięki anonimowym sygnalistom ogromnej skali nadużycia (patrz afera GetBack). Gdyby Projektodawca zapoznał się z nimi, z pewnością nie brnąłby w argumentację o licznych, ”potencjalnie bezwartościowych” anonimowych zgłoszeniach.

Ruchy pozorowane

Mamy też do czynienia z licznymi zmianami, które przywodzą na myśl słynny cytat z powieści „Lampart”: „Trzeba wiele zmienić, żeby wszystko zostało po staremu”. Z pewnością na pochwałę zasługuje włączenie do katalogu sygnalistów funkcjonariuszy służb i żołnierzy zawodowych. Obecnie widzimy zresztą na przykładzie rosyjskiej agresji na Ukrainę czym się kończy niczym nieposkromiona kleptokracja w armii podczas wojny. Sygnaliści w sektorze bezpieczeństwa i obrony przy obecnej skali wydatków na zbrojenia Polski są bardziej niż kiedykolwiek potrzebni w kraju, dlatego w tym przypadku nie warto oglądać się na Dyrektywę i Unię Europejską. Dobrze zatem, że Projektodawca dostrzegł miejsce dla służb mundurowych w systemie sygnalizowania nieprawidłowości. Tylko jakie sprawy mogliby zgłaszać funkcjonariusze, aby uzyskać ochronę prawną? W katalogu naruszeń prawa, których zgłaszanie podlega pod ustawę brakuje obszaru bezpieczeństwa i obrony. Jak już wspomniałem zamówienia zbrojeniowe także zostało wyłączone z zakresu działania ustawy. Sygnaliści ze służb i armii mogą pozostać zatem zwyczajnie bezbronni.

Kolejny pusty gest w stronę sygnalistów to zniknięcie z projektu ustawy absurdalnego przepisu o pozbawieniu ochrony dla zgłaszającego naruszenie godzące wyłącznie w jego prawa lub we własnym indywidualnym interesie. Takie sytuacje jak wynika z doświadczeń Linii Etyki zdarzają się dość często, jednak dotyczą właściwie wyłącznie łamania praw pracowniczych, w tym mobbingu i dyskryminacji. Znów mamy tutaj do czynienia z obszarem nadużyć niewymienionym w ustawie. Co prawda może być on przedmiotem regulacji wewnętrznych pracodawcy, jednak sprawy z zakresu naruszeń pracowniczych i tak nie będę podlegały ani zgłoszeniu zewnętrznemu ani ujawnieniu publicznemu.

Dwa przytoczone wcześniej przykłady pokazują dobitnie, że nie ma mowy o żadnym poszerzonym katalogu spraw do zgłaszania w stosunku do obszarów z Dyrektywy UE. Dopuszczenie do zgłaszania przypadków naruszeń prawa krajowego, nie tylko unijnego, to istotne, ale jednak naturalne posunięcie. Mimo wszystko wciąż obracamy się w tym samym zaklętym kręgu dziedzin enumeratywnie narzuconych przez prawodawcę unijnego.

Wreszcie projekt ustawy powtarza za Dyrektywą UE, że jeżeli tożsamość anonimowego sygnalisty zostanie ujawniona, będzie mógł skorzystać z ochrony przed działaniami odwetowymi. Słuszne założenie, trudno będzie jednak udowodnić fakt, że osoba w ogóle cokolwiek zgłosiła, jeżeli zgłoszenia anonimowe nie będą notowane i rozpoznawane przez podmioty prawne, organy publiczne i Rzecznika Praw Obywatelskich.

Coś optymistycznego

Trzeci rodzaj zmian to takie, które naprawiają oczywiste błędy poprzedniego projektu. Głęboki oddech ulgi u sygnalistów wywoła na pewno modyfikacja wcześniejszego przepisu o karach dla zgłaszających informacje nieprawdziwe – przytomnie dodano, że chodzi o tych, którzy robią to świadomie. W ogóle cały rozdział dotyczący kar wygląda lepiej, gdyż ich wysokości i rodzaje zniuansowano w zależności od stopnia i rodzaju przewinienia. Pracodawców nie straszy się już więzieniem za niewdrożenie wewnętrznych procedur sygnalizowania lub za uchybienia w tym zakresie, a wyłącznie grzywną. To czy widmo takiej kary przyniesie pożądany przez ustawodawcę skutek trudno ocenić, gdyż nie jest jasne w jakiej może być wysokości i od czego zależeć. Grzywna lub ograniczenie wolności ma grozić za utrudnianie zgłaszania lub nawet próbę utrudniania. Gdy sprawca ucieka się przy tym do groźby, podstępu lub przemocy, kara staje się poważniejsza, nawet do 2 lat pozbawienia wolności. Poza tym karane będzie bezprawne ujawnienie tożsamości już nie tylko sygnalisty, ale też osoby pomagającej w dokonaniu zgłoszenia i osoby z nim powiązanej. Na znaczeniu zyskała lista przykładowych działań odwetowych, gdyż ich liczba warunkuje wysokość kary dla sprawcy. Przy popełnieniu więcej niż dwóch działań opisanych w ustawie, grozi nawet 3 lata pozbawienia wolności. Sama lista uległa poszerzeniu i to też jest dobra wiadomość, gdyż pojawiły się na niej dość powszechne formy działań odwetowych, o których poprzedni projekt milczał, w tym mobbing, dyskryminacja, niekorzystne lub niesprawiedliwe traktowanie.

W procedurze wewnętrznej według nowego projektu trzeba będzie uwzględnić także element zachęt do korzystania z nich. Stanie się to wyzwaniem dla podmiotów tak publicznych jak i prywatnych, które jednak muszą podjąć, jeżeli chcą, aby ich system pozostawał w użyciu. Otwiera się furtka do wprowadzenia w przyszłości nagród pieniężnych dla sygnalistów przez co bardziej progresywnych pracodawców. Należy przy tym uważać na wszelkie wynaturzenia systemu zachęt, w tym przede wszystkim te oparte na przymusie zgłaszania wszystkiego, co kierownictwo chciałoby wiedzieć.

Gdzie jest sygnalista?

Pytanie zadawane już przy poprzednim projekcie ustawy, gdzie jest definicja sygnalisty i dlaczego nie używa się tego pojęcia ani w tytule ustawy ani w jej treści pozostaje bez odpowiedzi. O sygnalistach wspomina się w uzasadnieniu, ale poza tym autorzy regulacji używają licznych innych określeń, które oznaczają de facto to samo. Jest zatem mowa o: „zgłaszającym”, „osobie dokonującej zgłoszenia”, „zgłaszającym lub ujawniającym naruszenie prawa” a nawet o „źródle pozyskania danych” (w kontekście przepisów RODO). Wśród 17 definicji różnych pojęć ze słowniczka projektu ustawy próżno szukać „sygnalisty”. Nie wiadomo dlaczego nie przechodzi on Projektodawcy przez gardło i woli go nie stosować nawet kosztem czytelności regulacji. Sygnaliści nadal nie mają zatem swojego prawnej definicji, a co najważniejsze nadal nie mają ustawowej ochrony – co najwyżej jej mglistą obietnicę.

Marcin Waszak, specjalista etyki biznesu w Linii Etyki Sp. z o.o.

W ciągu ostatnich dwunastu miesięcy widzimy postępujący wzrost zainteresowania kanałami sygnalizowania naruszeń, czyli problematyką tzw. whistlelbowingu. Na pierwsze webinaria, które Linia Etyki wraz z Akademią Lewiatana organizowała na temat Dyrektywy o ochronie osób zgłaszających naruszenia prawa Unii, rok temu rejestrowało się około 30 zainteresowanych. Dziś jest to ponad setka uczestników.

czytaj dalej…

Jak wynika z badań Transparency International i Stowarzyszenia Biegłych do spraw Przestępstw i Nadużyć ACFE, zgłoszenia wewnętrzne (tzw. tips) to najskuteczniejsza metoda wykrywania nadużyć w organizacjach – korupcji, defraudacji finansowych, naruszenia ochrony informacji poufnych, mobbingu, dyskryminacji. Nie zawsze jednak badanie zgłoszeń odbywa się z zachowaniem zasad poufności, w rezultacie czego sygnalista może być narażony na różnego rodzaju retorsje ze strony zarówno współpracowników, jak i pracodawcy.

Aby temu zapobiec, na poziomie Unii Europejskiej została stworzona dyrektywa, której celem jest ochrona sygnalistów. Szkolenia z teoretycznych i praktycznych aspektów ustawy obowiązującej w tym zakresie również w Polsce organizuje nasza firma. Zapraszamy do współpracy małe, średnie i duże przedsiębiorstwa, a także instytucje publiczne, organizacje i inne podmioty zobligowane do wdrożenia systemów i rozwiązań gwarantujących odpowiednią ochronę sygnalistów. Zachowanie w tajemnicy informacji zawartych w zgłoszeniu to znak, że organizacja wypracowała dobre procedury badania zgłoszeń, mających na celu sygnalizowanie nieprawidłowości, a etyka w firmie stoi na wysokim poziomie. Świadczy to także o kompetencjach pracowników z whistleblowingu, którzy, aby je zdobyć, musieli przejść specjalistyczne szkolenia z zakresu compliance, etyki biznesowej i przepisów ustaw.

czytaj dalej…

W dyskursie naukowym mianem sygnalisty (whistleblowera) określa się osobę, która zwraca uwagę na nieprawidłowości, nadużycia lub zgłaszająca naruszenia w organizacji prywatnej, czy publicznej, informując o nich swoich przełożonych lub inne podmioty. Sygnalista nie musi być pracownikiem podmiotu, w którym dochodzi do naruszeń. Informacje o nieprawidłowościach whistleblower może uzyskać, będąc związanym z danym miejscem pośrednio (np. świadcząc usługi na podstawie umowy o dzieło czy zlecenie). Kluczowe cechy, które powinny wyróżniać sygnalistów to: po pierwsze – działanie w dobrej wierze i po drugie –  pro publico bono, tj. w szeroko pojętym interesie społecznym. Czym jest system sygnalizowania naruszeń, jak wygląda jego wdrożenie oraz procedura sygnalizowania?

czytaj dalej…

Pojęcia whistleblowlingu i sygnalisty stają się w polskiej kulturze korporacyjnej i organizacyjnej coraz bardziej rozpowszechnione. Jednak mimo ciągle rosnącej świadomości społeczeństwa zdarzają się przypadki, że osoba informująca o konkretnych nadużyciach, próbach oszustwa czy zaniedbaniach traktowana jest przez przełożonych z dystansem i lekceważeniem, a przez współpracowników jako zdrajca i donosiciel. To zdecydowanie nieprawidłowe podejście, które wynika z zakorzenionych w polskiej historii konotacji związanych ze słowem „donos”, a ponadto z niezrozumienia wagi problemu, jakim mogą stać się zachowania patologiczne czy nawet nielegalne. Tymczasem przeważnie wynikają one właśnie z braku reakcji, a więc de facto z cichego przyzwolenia. Rozstrzygnijmy tę kwestię zatem raz na zawsze, żeby w odniesieniu do osób reagujących na wykryte nieprawidłowości przestało padać niesprawiedliwe pytanie – sygnalista czy donosiciel? czytaj dalej…