Jako profesjonalny dostawca kanałów zgłoszeń dla sygnalistów, stale monitorujemy aktualizacje w przepisach prawnych. W odniesieniu do Polski pisaliśmy już wcześniej. Wreszcie, 14 czerwca 2024 r. został przyjęty Ustawa o ochronie sygnalistów.
-1.jpg?width=600&height=343&name=DALL%C2%B7E%202024-08-07%2010.43.14%20-%20Vector%20illustration%20of%20a%20whistleblower%20in%20Poland%20standing%20in%20Warsaw.%20The%20image%20is%20primarily%20in%20blue%20and%20green%20colors%20on%20a%20white%20background%2c%20with%20a%20sty%20copy%202%20(1)-1.jpg)
Przyjrzyjmy się, co wyróżnia ten akt prawny w porównaniu do innych podobnych przepisów oraz jakie są jego szczególne wymagania wobec firm? Jak dużo czasu pozostało na wdrożenie? Zastanawiamy się również, czy dla firm i organizacji jest to trudne do spełnienia?
Oczywiście, analizujemy też, jak wymagania ustawy odnoszą się do naszej platformy, aby ułatwić pracę naszym obecnym i przyszłym klientom.
Najważniejsze punkty w skrócie:
- Jeśli firma zatrudnia więcej niż 50 pracowników, musi wdrożyć wewnętrzną procedurę zgłaszania nieprawidłowości.
- Ostateczny termin - 3 miesiące, czyli do 14 września 2024 r.
- Brak wdrożenia procedury lub jej niewłaściwe wdrożenie — podlega karze grzywny.
- Wszystko można rozwiązać poprzez współpracę z certyfikowanym niezależnym dostawcą, takim jak Ethicontrol.
W kontekście zgodności z Dyrektywą:
- Dość szeroki zakres obejmujący różne dziedziny (art. 3)
- Szerokie zdefiniowanie pojęcia sygnalisty (art. 4), w tym uwzględnienie wolontariuszy i żołnierzy (z pewnymi ograniczeniami dotyczącymi umów w dziedzinie obronności i bezpieczeństwa oraz działań wywiadowczych).
- Prawo do przyjmowania anonimowych zgłoszeń (art. 7)
- Ochrona poufności danych (art. 8)
- Właściwe zarządzanie danymi osobowymi — ograniczona ich przetwarzanie i przechowywanie.
- Małe organizacje (do 249 osób) mogą mieć wspólne kanały, "wspólne zasady przyjmowania i weryfikacji wewnętrznych zgłoszeń oraz prowadzenia dochodzeń" (art. 28), pod warunkiem że są "oddzielnymi administratorami", którzy nie mają dostępu do danych osobowych uzyskanych przez innego administratora.
- Wymóg dla osób prawnych ustanowienia "wewnętrznej procedury zgłaszania" (art. 24).
- Obowiązek potwierdzenia otrzymania wewnętrznego zgłoszenia sygnaliście w ciągu 7 dni od jego otrzymania (art. 25).
- Maksymalny termin na przekazanie informacji zwrotnej sygnaliście wynosi 3 miesiące.
Jest oczywiste, że platforma Ethicontrol, która działa na rynku od ponad 7 lat, w pełni spełnia wymagania Dyrektywy, dlatego też dalsze uwagi będziemy odnosić wyłącznie do szczególnych funkcjonalności.
Szczegóły:
|
Wymagania ustawy |
Realizacja w Ethicontrol |
Komentarz dotyczący realizacji |
|
Zgodnie z art. 3 pkt 2, mechanizm obejmuje nie tylko naruszenia prawa, ale również naruszenia "wewnętrznych zasad lub standardów etycznych". Dobrze, że o tym wspomniano, ponieważ nadal spotykamy się z organizacjami, w których funkcjonują równolegle dwa mechanizmy. |
W pełni |
Nasz wykaz naruszeń zawiera ponad 70 elementów i jest mapowany do Dyrektywy oraz ustawy. Wykaz można dostosować do dokumentów klienta. |
|
Wyraźnie określono organ uprawniony do przyjmowania zgłoszeń o naruszeniach prawa przez specjalne służby. (art. 5) |
W pełni |
Platforma zawiera szereg ról, które pozwalają na rozdzielenie odpowiedzialności za procesy biznesowe. |
|
Sygnalista nabywa status od momentu zgłoszenia (art. 6). Jest to bardziej progresywne podejście niż nabycie statusu po rozpoczęciu odpowiedniego postępowania i wydaniu decyzji sądu lub organu, ale mniej progresywne niż gdyby było to od momentu podjęcia decyzji lub rozpoczęcia przygotowań do zgłoszenia. |
W pełni |
Użytkownik platformy nabywa wszystkie możliwości niezależnie od etapu rozpatrywania zgłoszenia. |
|
Zgodnie z art. 8 pkt 4 pojawia się zakaz gromadzenia danych niezwiązanych z przetwarzaniem zgłoszenia oraz obowiązek ich usunięcia w ciągu 14 dni. |
W pełni |
Możliwość dokonywania wstępnego przeglądu zgłoszeń oraz ich kwalifikacji. Możliwość usunięcia niezakwalifikowanych zgłoszeń. |
|
Obowiązek usuwania danych osobowych i dokumentów po 3 latach. (art. 29 pkt 5) |
W pełni |
Przypomnienie o ręcznym usunięciu lub automatyczne zasady usuwania. |
|
Sprawy można nie usuwać, jeśli dotyczą "materiałów postępowań przed sądem lub administracyjnych". (art. 8 pkt 10) |
W pełni |
Możliwość przypisania odpowiedniego atrybutu do sprawy, aby zapobiec jej usunięciu. |
|
Prawo do odszkodowania finansowego dla sygnalisty za działania represyjne w wysokości "nie niższej niż przeciętne miesięczne wynagrodzenie w gospodarce narodowej za poprzedni rok" (art. 14). |
Nie dotyczy platformy |
|
|
Małe organizacje (do 50 osób) również mają prawo ustanowić wewnętrzną procedurę zgłaszania i korzystać z praw i obowiązków zgodnie z ustawą. (art. 24) |
W pełni |
Oferujemy dostępny plan taryfowy "Początkujący". |
|
Obowiązek konsultacji z przedstawicielami związków zawodowych lub pracowników (art. 24) |
W pełni |
Materiały z konsultacji można zamieścić na portalu dla sygnalistów. |
|
Obowiązek informowania odbiorców docelowych o istnieniu mechanizmu, w tym kandydatów do pracy. (art. 24 pkt 6) |
W pełni |
Pomagamy klientom w realizacji kampanii komunikacyjnych, zarówno na etapie planowania, jak i wykonania. Dostarczamy szablony, tworzymy materiały graficzne i wideo. |
|
Procedura wewnętrznych zgłoszeń powinna mieć przypisany odpowiedzialny i bezstronny wewnętrzny dział lub niezależnego dostawcę, takiego jak Ethicontrol. |
W pełni |
Prawdziwa bezstronność to tylko profesjonalny niezależny dostawca wybrany w otwartej i sprawiedliwej procedurze przetargowej. |
|
Konieczność informowania o zasadach postępowania z informacjami. |
W pełni |
Istnieje możliwość zamieszczenia polityk i procedur na portalu dla sygnalistów. |
|
Obowiązek informowania potencjalnych sygnalistów o możliwości zgłaszania spraw do ombudsmana lub organów państwowych (art. 25 pkt 8). Termin realizacji tego obowiązku - 6 miesięcy zgodnie z art. 64. |
W pełni |
Możliwość dostosowania portalu dla sygnalistów. |
|
Środki przekazywania wewnętrznych zgłoszeń powinny być dostępne w formie ustnej lub pisemnej. |
W pełni |
Wsparcie dla portalu internetowego i kanału e-mail. Wsparcie dla tworzenia zgłoszeń przez wewnętrznych użytkowników. |
|
Zgłoszenie ustne musi mieć nagranie rozmowy z możliwością wyszukiwania lub pełną i dokładną transkrypcję wywiadu (art. 26 pkt 3). Sygnalista może przejrzeć, poprawić i zatwierdzić transkrypcję wywiadu lub protokół z wywiadu, podpisując go. (art. 26 pkt 5) |
W pełni |
Nie zalecamy pierwszej opcji z nagraniami rozmów, ponieważ uważamy to za niepoufne i niebezpieczne dla zgłaszających. W przypadku zamówienia usług naszego centrum telefonicznego nasi konsultanci przygotowują transkrypcję rozmowy i przechowują ją w systemie. Transkrypcja rozmowy jest dostępna dla zgłaszającego poprzez osobisty panel. |
|
Na prośbę sygnalisty zgłoszenie ustne może być złożone podczas osobistego spotkania zorganizowanego w ciągu 14 dni od otrzymania takiej prośby. |
W pełni |
Istnieje dodatkowy przycisk na portalu do zamawiania spotkań, który można zintegrować z kalendarzem spotkań. |
|
Obowiązek zapobiegania dostępowi osób nieupoważnionych do informacji, o której mowa w zgłoszeniu (art. 27). |
W pełni |
Przewidziano procedury automatycznej eskalacji z odpowiednim ograniczeniem dostępu. |
|
Rozdzielenie dostępu do danych osobowych między różnymi administratorami danych (art. 28). |
W pełni |
Zapewniamy rozdzielenie dostępu na podstawie ról, procedur i działów. |
|
Obowiązek prowadzenia rejestru wewnętrznych zgłoszeń (art. 29), który musi zawierać siedem obowiązkowych atrybutów (numer, przedmiot, dane kontaktowe, data rejestracji, działania i data zamknięcia). |
W pełni |
Rejestr zdarzeń i zarządzanie sprawami są dostępne we wszystkich planach taryfowych. Liczba atrybutów jest znacznie większa niż wymienione siedem. Dostępny jest eksport tabel. |
Dyskusyjne kwestie:
Jakie sankcje grożą za niewdrożenie lub nieprawidłowe wdrożenie — nie wiadomo. Nie jest również dokładnie znane, który organ będzie odpowiedzialny za kontrolę i nakładanie kar.
Co oznacza "istotne naruszenie wymagań"? Jakie kryteria są stosowane? Przypuszczamy, że takimi kryteriami mogą być:
- Brak przypisania odpowiedzialnej osoby i jej bezstronności.
- Brak przeprowadzenia wcześniejszych konsultacji z przedstawicielami związków zawodowych lub pracowników.
- Brak zawarcia umowy o powierzeniu przetwarzania zgłoszeń.
- Niewystarczająca ochrona przed dostępem osób trzecich.
- Naruszenie terminów potwierdzenia otrzymania zgłoszenia lub przekazania informacji zwrotnej.
- Obowiązek usunięcia nieistotnych danych osobowych w ciągu 14 dni (art. 8) może być nadużywany przez niektóre przedsiębiorstwa. Punkt 4 nie precyzuje, czy dotyczy to całej sprawy, czy tylko danych osobowych w niej zawartych. W praktyce może to oznaczać, że jeśli otrzymasz zgłoszenie i zdecydujesz się go nie przetwarzać (jako nieistotne, duplikat lub spam), musisz usunąć dane osobowe lub całą sprawę.
- Prawo do odszkodowania za szkodę wynikającą ze "świadomego fałszywego zgłoszenia lub ujawnienia przez sygnalistę informacji" (art. 15). Jest to bardzo interesująca norma.😱 Takie odszkodowanie, uwaga, ma być wypłacane przez sygnalistę. Oznacza to, że za każde zgłoszenie, które się nie potwierdziło (przypomnijmy, że takich zgłoszeń jest według benchmarków ponad 50%), można złożyć cywilny pozew przeciwko sygnaliście, i to nie będzie traktowane jako presja na niego czy prześladowanie, a jedynie jako legalne prawo do odszkodowania za poniesione straty. Naszym zdaniem ta norma może być niebezpieczna dla sygnalistów i może zniechęcać do podejmowania takich działań.
- Obowiązek informowania o istnieniu kanałów zgłoszeń kandydatów na stanowiska (art. 24 pkt 6) jest dobrą praktyką, jednak definicja sygnalisty oraz lista osób z artykułu 4 nie zawiera wzmianki o kandydatów na stanowiska.
Share blog post:
