Co dla sektora finansowego oznacza dyrektywa w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii
W dniu 7 października 2019 r. Rada Unii Europejskiej przyjęła dyrektywę w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii (dalej: „Dyrektywa”), która stanowi nie tylko punkt zwrotny w kwestii ochrony tzw. sygnalistów (ang. whistleblowers), ale także kolejne źródło obowiązków nałożonych na przedsiębiorców.
Ochrona sygnalistów od lat stanowi przedmiot bardziej lub mniej wzmożonej debaty na temat zakresu i kształtu regulacji prawnej, która ma to zjawisko opisywać. Niezależnie od punktu widzenia wydaje się, że stworzenie przemyślanych ram dla jej funkcjonowania jest wysoce pożądane z perspektywy interesu tak przedsiębiorców, jak i samych osób, którzy zgłaszają naruszenia w dobrej wierze.
Jakie regulacje dotyczące sygnalistów obowiązywały w Polsce dotychczas
Do momentu wejścia w życie ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: „uAML”) ochrona sygnalistów nie była przedmiotem właściwie żadnej regulacji w polskim porządku prawnym[1]. Pomijając działania Prezesa UOKiK nakierowane na popularyzację zgłaszania nieprawidłowości, możliwość korzystania z anonimowej infolinii dla sygnalistów zgłaszających naruszenie prawa ochrony konkurencji i konsumentów oraz pojedyncze wystąpienia organów administracyjnych w tym przedmiocie[2], temat sygnalistów nie był szerzej poruszany w działalności administracji publicznej. Dość wskazać, że na gruncie polskiego prawa istniała dotychczas wyłącznie regulacja art. 23 ust. 2 ustawy o Państwowej Inspekcji Pracy, przewidująca możliwość wydania przez kontrolującego inspektora postanowienia o zachowaniu w tajemnicy jakiejkolwiek informacji mogącej identyfikować osobę wyjawiającą mu pewne informacje. Przepis ten nigdy jednak nie został uzupełniony o inne kwestie, na przykład o ochronę przed negatywnymi konsekwencjami zgłoszenia lub odpowiedzialność za dokonanie zgłoszenia w złej wierze.
Wspomniana uAML wprowadziła obowiązek wdrożenia przez instytucje obowiązane procedury anonimowego zgłaszania naruszeń. Zgodnie z art. 53 uAML powinna ona określać następujące elementy:
- osobę odpowiedzialną za odbieranie zgłoszeń;
- sposób odbierania zgłoszeń;
- sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
- sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
- zasady zachowania poufności w przypadku ujawnienia tożsamości sygnalistów lub gdy ich tożsamość jest możliwa do ustalenia;
- rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia;
- termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.
Chcąc wzmocnić wydźwięk tej regulacji, ustawodawca obwarował obowiązek wdrożenia procedury karą administracyjną w wysokości do 5 milionów euro. Niezależnie od powyższego należy uznać, że w świetle postulatu szerokiego uregulowania kwestii ochrony sygnalistów istnienie regulacji skierowanej wyłącznie do podmiotów spełniających definicję instytucji obowiązanych wydaje się niewystarczające.
Jakie obowiązki wobec przedsiębiorców przewiduje Dyrektywa?
Dyrektywa przewiduje zobowiązanie określonych podmiotów do podjęcia wskazanych w niej działań nakierowanych na ochronę sygnalistów. Wśród przedsiębiorców, którzy mają być zobowiązani do wykonywania tych działań, Dyrektywa wymienia podmioty prywatne i publiczne. Przedsiębiorcy, którzy zostaną objęci nowymi regulacjami, to:
- prywatne podmioty prawne zatrudniające co najmniej 50 pracowników;
- prywatne podmioty prawne dowolnej wielkości prowadzące działalność w obszarze usług finansowych lub podmioty narażone na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu, zgodnie z uregulowaniami zawartymi w aktach Unii, o których mowa w załączniku do Dyrektywy.
Powyższe wyliczenie oznacza, że niezależnie od liczby pracowników zatrudnianych przez przedsiębiorcę oraz wysokości osiągniętego przezeń obrotu Dyrektywa będzie miała zastosowanie do tych przedsiębiorców, którzy prowadzą działalność w zakresie szeroko rozumianych usług finansowych[3] lub są narażeni na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu. Z uwagi na sposób sformułowania tego przepisu należy domniemywać, że przedsiębiorcami narażonymi na ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu są w rozumieniu prawodawcy unijnego tak zwane instytucje obowiązane, tj. podmioty wymienione w art. 2 ust. 1 uAML.
Spośród obowiązków określonych w Dyrektywie wspomnieć należy przede wszystkim o:
- udostępnieniu pracownikom i kontrahentom jasnych i łatwo dostępnych informacji na temat procedur oraz zewnętrznych możliwości zgłaszania naruszeń;
- stworzeniu w przedsiębiorstwie wewnętrznych, poufnych i bezpiecznych kanałów przyjmowania zgłoszeń od sygnalistów i poinformowanie o nich pracowników oraz partnerów biznesowych;
- wyznaczenie osób odpowiedzialnych za weryfikację zgłaszanych informacji o możliwych naruszeniach;
- podejmowanie działań wyjaśniających z zachowaniem należytej staranności;
- przekazywanie sygnaliście informacji zwrotnych (w ciągu siedmiu dniu o przyjęciu zgłoszenia oraz w ciągu kolejnych trzech miesięcy o podjętych działaniach).
Biorąc pod uwagę taki zakres nowych obowiązków, przedsiębiorcy będą musieli zweryfikować swoje wewnętrzne procedury w zakresie compliance. Szczególnie ci, którzy już teraz posiadają wewnętrzne procedury odnoszące się do zgłaszania naruszeń prawa, powinni przeanalizować, czy zawierają one wszystkie elementy wymagane treścią Dyrektywy, a później implementowanej ustawy. Ci, którzy takich procedur nie posiadają, będą musieli stworzyć kompletną dokumentację uwzględniającą wszystkie elementy narzucone wprowadzanymi przepisami, a następnie odpowiednio wdrożyć zawarte w nich rozwiązania. Konieczne może okazać się także przeprowadzenie odpowiednich szkoleń skierowanych do pracowników w celu poinformowania ich o sposobach oraz dostępnych kanałach zgłaszania nieprawidłowości.
Warto zaznaczyć, że odpowiedzialnością objęte zostaną osoby, które utrudniają lub próbują utrudniać zgłaszanie naruszeń, podejmują działania odwetowe wobec osób zgłaszających, wszczynają uciążliwe postępowania przeciwko osobom zgłaszającym lub dopuszczają się naruszeń obowiązku utrzymania w tajemnicy tożsamości osób zgłaszających. Prawodawca unijny chce w ten sposób wzmocnić bezpieczeństwo sygnalistów, a także stworzyć bezpieczne warunki do zgłaszania naruszeń.
Co istotne, przepisy Dyrektywy uwzględniają także ryzyko dokonywania zgłoszeń w złej wierze. Sytuacja taka mogłaby mieć miejsce, gdyby osoba korzystająca z anonimowości i ochrony przyznanej wewnętrznymi procedurami dokonywała złośliwych, niemających pokrycia w rzeczywistości zgłoszeń w stosunku do innych osób. W świetle Dyrektywy fałszywi sygnaliści muszą się liczyć z ryzykiem poniesienia kar, które jej przepisy określają jako skuteczne, proporcjonalne i odstraszające, z odpowiedzialnością odszkodowawczą włącznie.
Implementacja
Zgodnie z art. 26 ust. 1 Dyrektywy państwa członkowskie mają obowiązek implementacji jej przepisów do krajowych porządków prawnych w ciągu 2 lat od wejścia w życie Dyrektywy, natomiast stosowanie przepisów wobec przedsiębiorstw zatrudniających od 50 do 249 pracowników ma nastąpić w ciągu lat 4. Co istotne, nie jest wykluczone, iż ustawodawca krajowy rozszerzy obowiązki związane z ochroną osób zgłaszających naruszenia. Taką możliwość daje art. 25 Dyrektywy, przesądzający jednocześnie o tym, że jej przepisy określają minimum w zakresie zasad ochrony sygnalistów, które należy wprowadzić do przepisów krajowych (tzw. dyrektywa minimalnej harmonizacji). Z uwagi na przyznanie krajowym ustawodawcom wspomnianej swobody warto śledzić proces uchwalania polskiej ustawy implementującej Dyrektywę, monitorować sposób wdrożenia poszczególnych jej przepisów, a także podejmować wcześniejsze działania nakierowane na przegląd wewnętrznych zasad i dokumentacji oraz na ich dostosowanie do aktualnych wymogów w tym zakresie.
[1] W tym kontekście warto zwrócić uwagę na próbę wprowadzenia instytucji sygnalisty do polskiego porządku prawnego podjętą w ramach projektu ustawy o jawności życia publicznego. Na jego gruncie status sygnalisty miał być przyznawany osobie informującej organy ścigania o poszczególnych, wymienionych enumeratywnie czynach zabronionych. Projektodawca chciał, aby status ten był nadawany przez prokuratora, zaś informacja o jego nadaniu, wraz z personaliami osoby zgłaszającej, miała być udostępniana jej pracodawcy (zleceniodawcy) z zastrzeżeniem rocznego zakazu zwalniania tej osoby oraz stosowania wobec niej innych środków represji. Ostatecznie projektowanych przepisów nie uchwalono.
[2] „Prezes podkreślił, że niezbędne jest zapewnienie ochrony danych osobowych sygnalistów, którą umożliwia stosowanie zarówno przepisów k.p.a., dotyczących procedury rozpatrywania skarg i wniosków, jak również RODO. W ocenie organu dane osobowe osób wnoszących taką skargę (sygnalistów) nie podlegają ujawnieniu w toku ww. postępowania. Co więcej, nie mają żadnego znaczenia dla takiego postępowania, którego celem jest zweryfikowanie i wyeliminowanie sygnalizowanych nieprawidłowości. Nawet jeżeli na skutek tych skarg zostaną wszczęte odrębne postępowania, przewidziane przepisami szczególnymi” (Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych za rok 2018).
[3] Zgodnie z załącznikiem do Dyrektywy mowa tu przede wszystkim o usługach w zakresie bankowości, kredytów, ubezpieczeń i reasekuracji, emerytur zakładowych lub indywidualnych, papierów wartościowych, funduszy inwestycyjnych, płatności i doradztwa inwestycyjnego.