W związku z wejściem w życie 16 grudnia 2019 r. dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej przedsiębiorcy oraz podmioty publiczne staną w obliczu konieczności dostosowania się do nowych wymogów.
Wśród przedsiębiorców z sektora prywatnego, którzy mają być zobowiązani do wykonywania wskazanych działań, dyrektywa wymienia:
- podmioty zatrudniające co najmniej 50 pracowników;
- podmioty dowolnej wielkości prowadzące działalność w obszarze usług finansowych lub podmioty narażone na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu, zgodnie z uregulowaniami zawartymi w aktach Unii, o których mowa w załączniku do dyrektywy.
Powyższe wyliczenie oznacza, że niezależnie od liczby zatrudnianych pracowników dyrektywa będzie miała zastosowanie do tych przedsiębiorców, którzy prowadzą działalność w zakresie szeroko rozumianych usług finansowych (m.in. w zakresie bankowości, ubezpieczeń i reasekuracji, emerytur zakładowych lub indywidualnych, papierów wartościowych, funduszy inwestycyjnych, usług płatniczych i doradztwa inwestycyjnego) lub są narażeni na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu (patrz instytucje obowiązane, tj. podmioty wymienione w art. 2 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu).
Dyrektywa wymienia kilka najważniejszych obowiązków stojących po stronie przedsiębiorców. Składają się na nie:
a) Zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń.
Obowiązek ten w praktyce może polegać na opracowaniu czytelnego komunikatu w wersji, która będzie łatwo dostępna dla wskazanych osób (pracownicy i kontrahenci). W zależności od rodzaju przedsiębiorstwa możemy założyć, że taką formą komunikatu może być wiadomość e-mailowa z opisem przyjętych wewnętrznie sposobów zgłaszania naruszeń, plakat z podobną treścią wywieszony w obrębie pomieszczeń biurowych lub zamieszczenie stosownej informacji dla nowych pracowników w ramach tzw. pakietu zerowego. Ponadto warto rozważyć organizację szkoleń informujących o celach i możliwościach skorzystania z wewnętrznego lub zewnętrznego systemu zgłaszania naruszeń. Niezależnie od tego osoby rozważające zgłoszenie o potencjalnym naruszeniu powinny otrzymać stałą możliwość skontaktowania się z osobą odpowiedzialną za przyjmowanie zgłoszeń o naruszeniach, aby uzyskać wszelkie niezbędne informacje w tym zakresie.
b) Stworzenie w przedsiębiorstwie wewnętrznych kanałów raportowania zgłoszeń. Prawidłowe wykonanie tego obowiązku może stanowić o sukcesie lub porażce wdrożenia wewnętrznego systemu zgłaszania naruszeń. Podstawowym elementem zarówno procedury, jak i systemu powinno być takie ukształtowanie ich postaci, aby zapewnić pełną poufność i bezpieczeństwo zarówno osób zgłaszających naruszenie, jak i osób, których naruszenie dotyczy. Ponadto w fazie projektowania systemu należy zapewnić możliwość wielopoziomowego raportowania o nieprawidłowościach, w szczególności poprzez umożliwienie kontaktu za pomocą różnych kanałów, np. e-mail, formularz na stronie internetowej lub poczta tradycyjna, osobiste spotkanie z osobą wyznaczoną do przyjmowania zgłoszeń.
Należy też zawczasu uwzględnić konieczność stosowania silnych zabezpieczeń dostosowanych do potencjalnej wagi przekazywanych informacji tak, aby zminimalizować ryzyko wycieku takich danych poza krąg osób uprawnionych. Istotnym elementem systemu zgłaszania naruszeń na poziomie proceduralnym powinien być także obowiązek dokonywania cyklicznych przeglądów jego funkcjonowania pod kątem sprawności rozpatrywania zgłoszeń, ewentualnych problemów w jego działaniu, ale przede wszystkim jego podatności na wszelkiego rodzaju zagrożenia bezpieczeństwa.
c) Wyznaczenie osób odpowiedzialnych za rozpatrywanie zgłoszeń o naruszeniach. Pojęcie osoby odpowiedzialnej oznacza osobę, która ze względu na pełnioną funkcję i stanowisko posiada daleko idącą niezależność, bezstronność, a także brak konfliktu interesów w ramach struktury organizacyjnej danego podmiotu. W praktyce idealnym rozwiązaniem będzie powierzenie tej roli stanowiskom lub działom odpowiedzialnym za kontrolę wewnętrzną, które z uwagi na brak powiązań z tzw. działami operacyjnymi mogą posiadać pożądane w tym kontekście cechy. W przypadku mniejszych podmiotów, które nie mają tak rozbudowanych struktur kontroli, całkowicie wystarczające może się okazać wyznaczenie takiego zadania osobie pełniącej już funkcję kierowniczą, która zapewnia odpowiedni poziom niezależności.
Zgodnie z motywem 56 dyrektywy w gronie takich osób można wymienić dyrektora ds. zgodności z przepisami, zasobów ludzkich, prawnych lub prywatności (np. inspektora ochrony danych), dyrektora finansowego czy dyrektora ds. audytu lub członka zarządu. Na marginesie warto zaznaczyć, że wyznaczenie osób odpowiedzialnych za przyjmowanie i rozpatrywanie wewnętrznych zgłoszeń nie oznacza, że muszą być to osoby zatrudnione w danym podmiocie. Zgodnie z motywem 54 dyrektywy zarówno podmioty prywatne, jak i publiczne mogą w takie kompetencje wyposażyć osoby trzecie (outsourcing funkcji), „pod warunkiem że zapewniają one należyte gwarancje poszanowania niezależności, poufności, ochrony danych i zachowania tajemnicy”.
d) Podejmowanie działań następczych z zachowaniem należytej staranności. Niezwykle istotnym elementem zapewniającym wiarygodność systemu zgłaszania naruszeń wobec potencjalnych sygnalistów jest właściwa realizacja związanych z nim zadań przez osoby, którym powierzono przyjmowanie zgłoszeń. W praktyce efekt ten można osiągnąć przede wszystkim przez maksymalnie szczegółowe uregulowanie zasad opisujących ten wycinek działalności przedsiębiorstwa, tj. określenie poszczególnych czynności wyjaśniających oraz wskazanie działań nakierowanych na zabezpieczenie kanałów komunikacji i przechowywania rekordów związanych z dokonanymi zgłoszeniami. Istotne mogą okazać się również szkolenia kadry zajmującej się przyjmowaniem zgłoszeń.
e) Przekazywanie sygnaliście informacji zwrotnych. W celu budowania zaufania do wewnętrznego systemu zgłaszania naruszeń dyrektywa wymaga, aby sygnaliści otrzymywali stosowne potwierdzenie podjęcia działań. Dyrektywa przewiduje obowiązek potwierdzenia otrzymania zgłoszenia w ciągu siedmiu dni i poinformowania o podjętych działaniach następczych w ciągu najwyżej trzech miesięcy. Niezbędne będzie zatem uwzględnienie wskazanych terminów w ramach wewnętrznych procedur, a także wprowadzenie przejrzystej dokumentacji obejmującej przyjmowane zgłoszenia (w szczególności rejestr zgłoszeń) pozwalającej na punktualne wywiązywanie się z nałożonych obowiązków informacyjnych.
Sygnaliści a ochrona danych osobowych
Zgodnie z motywem 76 i 83 dyrektywy jej celem jest szeroka ochrona danych osobowych osób zgłaszających naruszenia oraz osoby, której dotyczy zgłoszenie, w szczególności w postępowaniach administracyjnych. Unijny prawodawca oczekuje, że państwa członkowskie wdrożą szczegółowe procedury ochrony anonimowości. Anonimowość sygnalistów ma swoje zakorzenienie także w przepisach RODO. Oznacza to, że naruszenie ochrony tożsamości sygnalisty stanowić może już obecnie podstawę do stwierdzenia naruszenia zasad przetwarzania danych osobowych na gruncie RODO. Może ono prowadzić do odpowiedzialności administracyjnej, cywilnej lub karnej administratora odpowiedzialnego za rozpatrzenie zgłoszenia, który dokona tego z naruszeniem elementarnych zasad przetwarzania danych. Warto w tym kontekście wziąć pod uwagę potrzebę przeanalizowania polityk bezpieczeństwa stosowanych wewnątrz przedsiębiorstwa. W szczególności należy zwrócić uwagę na zasady przechowywania, tj. bezpieczeństwo i okres, przez jaki zapisy ze zgłoszeń mogą być retencjonowane u danego administratora. Istotne powinno być także uwzględnienie możliwości skorzystania z tych danych w postępowaniach prowadzonych przez właściwe organy, jeżeli zgłoszenia te przyczyniły się do ich zainicjowania.
Implementacja dyrektywy
Państwa członkowskie mają obowiązek implementacji przepisów dyrektywy w ciągu 2 lat od jej wejścia w życie, tj. do 16 grudnia 2021 r. Jednocześnie stosowanie przepisów wobec przedsiębiorstw zatrudniających od 50 do 249 pracowników ma nastąpić w ciągu 4 lat. Co istotne, nie jest wykluczone, iż ustawodawca krajowy rozszerzy obowiązki związane z ochroną osób zgłaszających naruszenia. Taką możliwość daje art. 25 dyrektywy, przesądzający jednocześnie o tym, że jej przepisy określają minimum w zakresie zasad ochrony sygnalistów, które należy wprowadzić do przepisów krajowych (tzw. dyrektywa minimalnej harmonizacji).
Biorąc pod uwagę wskazany zakres nowych obowiązków, przedsiębiorcy będą musieli stworzyć nowe lub zweryfikować dotychczasowe wewnętrzne procedury w zakresie compliance. Niezależnie bowiem od tego, że dyrektywa wymaga jeszcze implementacji przez polskiego ustawodawcę, warto już teraz podejmować pierwsze działania związane z wdrażaniem systemu zgłaszania naruszeń. Rozwijanie tego elementu wewnętrznej struktury przedsiębiorstwa, jako dobrej praktyki biznesowej (best practice), pozwoli na zdobycie niezbędnych doświadczeń potrzebnych do jego właściwego funkcjonowania jeszcze przed wejściem w życie przepisów krajowych. Niezależnie od tego trzeba pamiętać, że poza wymogami regulacyjnymi posiadanie sprawnego systemu raportowania naruszeń jest dla każdego podmiotu wartościowym bezpiecznikiem. Jego brak może się w konsekwencji okazać dla poszczególnych podmiotów bardzo kosztowny.