Ochrona sygnalistów przestała być tematem teoretycznym. Polska ustawa, wdrażająca unijną dyrektywę, nakłada na wiele firm konkretny obowiązek: uruchomienie wewnętrznego kanału zgłoszeń oraz ochronę osób, które zgłaszają nieprawidłowości. Dla właściciela lub menedżera MŚP oznacza to nowe procedury, nową dokumentację i realną odpowiedzialność za to, jak firma reaguje na sygnał o naruszeniu. Poniżej praktyczne wyjaśnienie, kogo to dotyczy i od czego zacząć.
Kto to jest sygnalista
Sygnalista to osoba, która w związku z pracą zgłasza informacje o naruszeniu prawa. Ważne, że nie chodzi wyłącznie o pracowników na umowie o pracę. Ochrona obejmuje szeroki krąg osób powiązanych z organizacją:
- pracowników, także byłych oraz kandydatów do pracy,
- zleceniobiorców i osoby na kontraktach B2B,
- stażystów, praktykantów i wolontariuszy,
- wspólników, akcjonariuszy oraz członków organów,
- osoby współpracujące z wykonawcami i dostawcami.
Chodzi o to, żeby każdy, kto w związku z pracą dowiaduje się o nieprawidłowości, mógł ją zgłosić bez obawy o odwet.
Kogo dotyczy obowiązek
Kluczowym kryterium jest liczba osób wykonujących pracę na rzecz podmiotu. Obowiązek utworzenia wewnętrznej procedury zgłoszeń dotyczy podmiotów, na rzecz których pracę wykonuje określona liczba osób, liczona na wyznaczony dzień w roku. W praktyce granicą, od której większość firm musi działać, jest próg pięćdziesięciu osób.
Istnieją jednak wyjątki. Niektóre podmioty, na przykład z sektora finansowego lub objęte przepisami o przeciwdziałaniu praniu pieniędzy, muszą wdrożyć procedurę niezależnie od liczby zatrudnionych. Dlatego samo liczenie etatów nie wystarczy, trzeba też sprawdzić specyfikę branży.
Z praktyki: firmy tuż poniżej progu często odkładają temat, a potem przekraczają go w trakcie roku przy jednym większym kontrakcie i sezonowych zleceniach. Warto liczyć wszystkie osoby wykonujące pracę, nie tylko etaty, bo próg łatwo przekroczyć niepostrzeżenie.
Jakie obowiązki nakłada ustawa
Sercem ustawy jest wewnętrzny kanał zgłoszeń oraz procedura, która opisuje, jak firma go obsługuje. Do najważniejszych obowiązków należą:
- Ustanowienie procedury zgłoszeń wewnętrznych i skonsultowanie jej z załogą lub jej przedstawicielami.
- Uruchomienie co najmniej jednego kanału zgłoszeń, który umożliwia zgłoszenia pisemne, ustne lub oba naraz.
- Zapewnienie poufności tożsamości sygnalisty i osób, których zgłoszenie dotyczy.
- Wyznaczenie osoby lub komórki odpowiedzialnej za przyjmowanie i weryfikację zgłoszeń.
- Prowadzenie rejestru zgłoszeń.
- Zakaz działań odwetowych wobec sygnalisty.
Kanał zgłoszeń w praktyce
Kanał musi być bezpieczny i faktycznie chronić tożsamość zgłaszającego. Może to być dedykowana skrzynka, platforma online, wyznaczona linia telefoniczna lub bezpośrednie spotkanie na wniosek sygnalisty. W praktyce najlepiej sprawdza się rozwiązanie cyfrowe z ograniczonym dostępem i pełną kontrolą uprawnień, tak aby zgłoszenia nie trafiały przypadkiem do osób, których mogą dotyczyć.
Tu pojawia się mocny związek z RODO. Zgłoszenia zawierają dane osobowe, często wrażliwe, dotyczące konkretnych osób. Trzeba ustalić podstawę przetwarzania, okresy przechowywania i zasady dostępu. Dlatego kanał zgłoszeń warto projektować razem z ochroną danych, na przykład opierając go o outsourcing IOD, żeby od początku był zgodny z przepisami, a nie łatany po pierwszym zgłoszeniu.
Terminy, o których trzeba pamiętać
Ustawa wyznacza konkretne terminy obsługi zgłoszenia i to one najczęściej sprawiają problem, gdy brakuje procedury. W praktyce należy pilnować dwóch kluczowych momentów:
- Potwierdzenie przyjęcia zgłoszenia sygnaliście w ciągu 7 dni od jego otrzymania.
- Przekazanie informacji zwrotnej o działaniach następczych w rozsądnym terminie, nie dłuższym niż 3 miesiące od potwierdzenia.
Do tego dochodzą terminy związane z samym wdrożeniem procedury po przekroczeniu progu. Jeśli firma dopiero teraz zauważa obowiązek, nie ma sensu zwlekać, bo brak procedury działa na jej niekorzyść od razu.
Konsekwencje braku zgodności
Ustawa przewiduje odpowiedzialność, i to na kilku poziomach. Za nieustanowienie procedury zgłoszeń wewnętrznych, za utrudnianie zgłoszenia oraz za działania odwetowe wobec sygnalisty grożą sankcje, w tym kary finansowe, a w poważniejszych przypadkach odpowiedzialność karna osób odpowiedzialnych. Sygnalista, który doświadczył odwetu, może też dochodzić roszczeń.
Realne ryzyko jest jednak szersze niż sama kara. Źle obsłużone zgłoszenie, wyciek tożsamości sygnalisty albo odwet to poważny problem wizerunkowy i prawny naraz. Dobrze poprowadzony kanał działa odwrotnie: pozwala wcześnie wykryć nieprawidłowość i naprawić ją wewnątrz firmy, zanim urośnie.
Jak to spina się z innymi obowiązkami
Ochrona sygnalistów nie stoi w oderwaniu od reszty obowiązków firmy. W organizacjach objętych nowymi wymogami cyberbezpieczeństwa procedury zgłaszania nieprawidłowości i incydentów często się uzupełniają. Jeśli równolegle porządkujesz zgodność, na przykład przy wdrożeniu NIS2, warto zaplanować oba obszary spójnie, żeby nie mnożyć osobnych, sprzecznych ze sobą procedur.
Podsumowanie
Ochrona sygnalistów to obowiązek, który dotyka coraz więcej firm, a jego lekceważenie jest ryzykowne prawnie i wizerunkowo. Dobrze zaprojektowany kanał zgłoszeń, jasna procedura i pełna zgodność z RODO zamieniają ten wymóg w realne narzędzie zarządzania ryzykiem, a nie kolejny papier do szuflady.
Jeśli chcesz sprawdzić, czy Twoja firma podlega ustawie i czy kanał zgłoszeń jest bezpieczny, zacznij od diagnozy stanu obecnego w ramach audytu RODO. Na tej podstawie pomożemy uruchomić rozwiązanie, które faktycznie chroni sygnalistę i firmę, a nie tylko formalnie odhacza obowiązek.