Dyrektywa o ochronie sygnalistów. Jak wdrożyć bezpieczne kanały zgłoszeń?

Od września 2024 roku ochrona sygnalistów w firmie to obowiązek prawny wynikający z polskiej ustawy implementującej dyrektywę Parlamentu Europejskiego. Organizacje zatrudniające minimum 50 osób muszą wdrożyć wewnętrzne kanały zgłaszania nieprawidłowości – brzmi prosto, ale diabeł tkwi w szczegółach.

Z artykułu dowiesz się:

• Jakie wymogi stawia organizacjom ustawa o ochronie sygnalistów i kogo rzeczywiście dotyczy?
• Które rozwiązania techniczne spełniają standardy bezpieczeństwa i zgodności z RODO?
• Jak krok po kroku wdrożyć system zgłoszeń – od analizy po monitoring skuteczności?

Jak pokazują badania ACFE, anonimowe zgłoszenia wykrywają 43 proc. wszystkich nadużyć w firmach, podczas gdy audyt wewnętrzny zaledwie 15 proc. Bezpieczny system whistleblowingu może uratować organizację przed stratami finansowymi, kryzysem reputacyjnym i sankcjami sięgającymi milionów złotych.

Zgodność z dyrektywą UE – ramy prawne i zakres obowiązków

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 nałożyła na państwa członkowskie obowiązek stworzenia kompleksowych mechanizmów ochrony osób zgłaszających naruszenia prawa. Polska implementowała te przepisy z kilkuletnim opóźnieniem – Trybunał Sprawiedliwości UE ukarał kraj karą w wysokości 7 mln euro plus 40 tys. euro za każdy dzień zwłoki. Organizacje nie mogą już zwlekać z wdrożeniem – kary dla firm za brak systemu mogą wynieść nawet 1 080 000 zł.

Obowiązek dotyczy podmiotów prywatnych zatrudniających co najmniej 50 osób według stanu na 1 stycznia lub 1 lipca danego roku. Liczą się nie tylko pracownicy etatowi – uwzględnia się również zleceniobiorców, kontrahentów i inne osoby wykonujące pracę zarobkową. Szczególne wymogi obejmują firmy z regulowanych branż, działające w obszarach przeciwdziałania praniu pieniędzy, usług finansowych, bezpieczeństwa transportu czy ochrony środowiska – niezależnie od liczby zatrudnionych. Sektor publiczny, w tym gminy powyżej 10 tys. mieszkańców, również musi dostosować się do nowych regulacji.

Katalog naruszeń, które można zgłaszać, jest szeroki. Obejmuje korupcję, zamówienia publiczne, usługi finansowe, bezpieczeństwo produktów i transportu, ochronę środowiska, bezpieczeństwo żywności, ochronę konsumentów oraz danych osobowych, a także naruszenia interesów finansowych państwa i Unii Europejskiej. Ochrona nie ogranicza się wyłącznie do obecnych pracowników – dotyczy także:

• byłych pracowników,
• kandydatów do pracy,
• stażystów,
• wolontariuszy,
• przedsiębiorców współpracujących na zasadzie B2B,
• akcjonariuszy,
• członków organów osób prawnych,
• osoby świadczące pracę u podwykonawców.

Ta szeroka definicja sygnalisty wymusza kompleksowe podejście do projektowania procedur.

Ochrona sygnalistów w firmie. Jakie kanały zgłaszania wybrać?

Organizacje mogą wybrać między kanałami ustnymi i pisemnymi, każdy z nich ma swoje zalety i ograniczenia. Kanały ustne – spotkania osobiste, infolinie telefoniczne czy komunikatory internetowe – przydają się przy wielowątkowych, złożonych zgłoszeniach, gdzie potrzebne jest natychmiastowe doprecyzowanie informacji. Problem polega na trudności w zachowaniu pełnej anonimowości i konieczności nagrywania rozmów oraz sporządzania protokołów. System ustny generuje też wyzwania w prowadzeniu rejestru zgłoszeń.

Z kolei kanały pisemne oferują wyższy poziom bezpieczeństwa, zwłaszcza gdy organizacja wykorzystuje dedykowane platformy online. Zwykły adres e-mail nie spełnia wymogów dyrektywy – brak szyfrowania end-to-end i możliwość identyfikacji nadawcy dyskwalifikują to rozwiązanie. Fizyczna skrzynka pocztowa to rozwiązanie przestarzałe i niewygodne. Profesjonalne platformy whistleblowingowe zapewniają pełne szyfrowanie, dwustronną szyfrowaną komunikację, automatyczne usuwanie metadanych, zgodność z RODO i automatyczne raportowanie.

Obecnie systemy oferują szyfrowanie end-to-end, gdzie dane są szyfrowane na urządzeniu sygnalisty przed wysłaniem i deszyfrowane dopiero przez upoważnione osoby. Zewnętrzne przechowywanie klucza deszyfrującego gwarantuje, że nawet pracownicy dostawcy platformy nie mogą odczytać zgłoszeń. Ochrona przed atakami typu man-in-the-middle, wielokrotne szyfrowanie i uwierzytelnianie dwuskładnikowe to dodatkowe warstwy bezpieczeństwa. Profesjonalne systemy powinny posiadać certyfikat ISO 27001, certyfikat ISAE 3000 Type 2 oraz regularne testy penetracyjne przeprowadzane przez niezależnych specjalistów.

Podstawowe pakiety dla małych organizacji zaczynają się od około 4-5 tys. zł netto rocznie. Wersje rozszerzone dla większych firm to koszt 7-12 tys. zł rocznie. W cenę zazwyczaj wchodzi wdrożenie systemu, materiały szkoleniowe, wzór procedury wewnętrznej oraz szkolenia dla odbiorców i pracowników. Należy uwzględnić dodatkowe koszty konsultacji prawnych (5-15 tys. zł), szkoleń dla pracowników (2-8 tys. zł) i przeprowadzenia oceny skutków dla ochrony danych (3-10 tys. zł).

Kanały zgłaszania nieprawidłowości a wymogi RODO

Prezes Urzędu Ochrony Danych Osobowych jednoznacznie wskazał, że systemy whistleblowingowe wymagają przeprowadzenia oceny skutków dla ochrony danych – DPIA jest obowiązkowym elementem wdrożenia. Ocena musi obejmować identyfikację procesów przetwarzania danych, analizę ryzyka, wdrożenie odpowiednich środków technicznych i organizacyjnych oraz określenie kategorii przetwarzanych danych – zarówno sygnalisty, jak i osób wymienionych w zgłoszeniu, świadków czy sprawców.

Zasada minimalizacji danych nakazuje przetwarzanie wyłącznie informacji niezbędnych do rozpatrzenia zgłoszenia. Dane niemające znaczenia dla sprawy należy usunąć w ciągu 14 dni. Ograniczenie czasowe określa, że dane związane ze zgłoszeniem przechowuje się przez 3 lata po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu lub zakończono działania następcze. Zakaz ujawniania tożsamości sygnalisty to fundament całego systemu – dane pozwalające na identyfikację nie podlegają ujawnieniu osobom nieupoważnionym, chyba że za wyraźną zgodą sygnalisty lub gdy jest to niezbędne dla prowadzonego postępowania.

Zasada Privacy by Design i Privacy by Default wymaga, aby ochrona danych była zaprojektowana już na etapie projektowania systemu. Organizacja musi przygotować dedykowane klauzule informacyjne dla sygnalistów, osób, których dotyczy zgłoszenie, oraz świadków. Klauzule powinny zawierać informacje o administratorze danych, celu i podstawie prawnej przetwarzania, okresie przechowywania oraz prawach osób, których dane dotyczą. Hosting w Unii Europejskiej zapewnia zgodność z wymogami RODO i dodatkowo buduje zaufanie do systemu.

Procedury sygnalizowania nieprawidłowości – etapy wdrożenia

Wdrożenie rozpoczyna się od audytu obecnej sytuacji, który trwa 4-6 tygodni. Organizacja musi ocenić, które obszary wymagają poprawy, zidentyfikować istniejące procedury dotyczące zgłaszania nieprawidłowości, zmapować potencjalne ryzyka i sprawdzić, czy istnieją komórki prawne lub compliance. Spotkanie z zarządem i działem HR pozwala określić specyfikę branży, charakterystyczne zagrożenia i ustalić budżet na wdrożenie. Rewizja istniejących procedur pod kątem nowych obowiązków, weryfikacja terminów przyjmowania zgłoszeń i ocena zgodności z RODO zamykają etap analityczny.

Projektowanie procedur zajmuje 6-8 tygodni i obejmuje opracowanie dokumentacji wewnętrznej. Procedura zgłoszeń wewnętrznych to główny dokument określający zakres naruszeń, kanały dokonywania zgłoszeń, jednostkę przyjmującą zgłoszenia, sposób potwierdzania ich przyjęcia, terminy rozpatrywania, zasady ochrony poufności i danych osobowych oraz zakaz działań odwetowych. Procedura obsługi zgłoszenia opisuje krok po kroku proces rozpatrywania, role i odpowiedzialności poszczególnych osób, sposób prowadzenia postępowania wyjaśniającego i zasady komunikacji z sygnalistą. Rejestr zgłoszeń wewnętrznych to narzędzie dokumentujące wszystkie zgłoszenia zgodnie z wymogami ustawowymi – bez niego organizacja łamie prawo.

Wybór i wdrożenie kanału technicznego (4-6 tygodni) wymaga oceny kilku wymiarów. Bezpieczeństwo techniczne obejmuje szyfrowanie end-to-end, certyfikaty ISO 27001 i ISAE 3000, regularne testy penetracyjne oraz hosting w UE. Funkcjonalność powinna zapewniać możliwość zgłoszeń anonimowych i jawnych, dwustronną szyfrowaną komunikację, obsługę plików i nagrań, automatyczne raportowanie oraz wielojęzyczność. Zgodność prawna to spełnienie wymogów ustawy o sygnalistach, zgodność z RODO i możliwość obsługi zgłoszeń wewnętrznych i zewnętrznych. W ESG bezpieczeństwo systemów raportowania to element dobrego ładu korporacyjnego.

Wyznaczenie i przeszkolenie odbiorców zgłoszeń (2-4 tygodnie) jest etapem często niedocenianym. Osoba przyjmująca zgłoszenia musi być niezależna od struktur mogących być przedmiotem zgłoszeń, gwarantować pełną poufność, posiadać odpowiednie wykształcenie i doświadczenie do prawidłowej oceny zgłoszeń oraz być obdarzona zaufaniem pracowników i kierownictwa. Najczęściej funkcję tę pełnią osoby z działów compliance, audytu wewnętrznego lub prawnego. Możliwe jest również zlecenie obsługi zgłoszeń podmiotowi zewnętrznemu, ponieważ może to zwiększyć niezależność systemu.

Ochrona przed działaniami odwetowymi i sankcje

Działanie odwetowe to każde bezpośrednie lub pośrednie działanie lub zaniechanie związane z pracą, spowodowane zgłoszeniem, które narusza prawa sygnalisty lub wyrządza mu szkodę. Katalog działań odwetowych obejmuje m.in.:

• odmowę nawiązania stosunku pracy,
• zwolnienie,
• rozwiązanie umowy bez wypowiedzenia,
• obniżenie wynagrodzenia,
• wstrzymanie awansu,
• przeniesienie na niższe stanowisko,
• przekazanie obowiązków sygnalisty innemu pracownikowi,
• zawieszenie w wykonywaniu obowiązków,
• mobbing,
• dyskryminację,
• spowodowanie straty finansowej lub gospodarczej.

Ciężar dowodu spoczywa na pracodawcy – to pracodawca musi udowodnić, że podjęte działania nie miały charakteru odwetowego. Sankcje są dotkliwe. Kary za uniemożliwienie lub utrudnienie zgłoszenia to grzywna do 1 080 000 zł, ograniczenie wolności do 2 lat lub pozbawienie wolności do roku. Jeśli przy użyciu przemocy, groźby lub podstępu – pozbawienie wolności do 3 lat.

Ujawnienie tożsamości sygnalisty również podlega sankcjom – grzywnie, ograniczeniu wolności lub pozbawieniu wolności. Organizacja musi zagwarantować pełną ochronę sygnalisty od momentu zgłoszenia do zakończenia sprawy – nieprzestrzeganie tego obowiązku może kosztować firmę nie tylko karę finansową, ale także utratę zaufania pracowników i reputacji na rynku. Podobnie jak w przypadku wdrażania dyrektywy CSRD, ochrona sygnalistów wymaga systemowego podejścia i zaangażowania najwyższego kierownictwa.

Whistleblowing w kontekście zrównoważonego rozwoju

System whistleblowingowy jest częścią szerszego systemu zarządzania zgodnością. Skuteczna integracja pozwala na kompleksowe zarządzanie ryzykiem, wczesne wykrywanie nieprawidłowości zanim przerodzą się w poważne problemy, identyfikację systemowych słabości w organizacji i mapowanie obszarów wysokiego ryzyka. Spójność procesów zapewnia jednolite standardy dokumentacji, wspólne procedury reagowania na incydenty i zintegrowane raportowanie do zarządu. W kontekście zrównoważonego rozwoju mechanizmy whistleblowingu chronią organizacje przed naruszeniami nie tylko w obszarze compliance, ale również w kwestiach środowiskowych i społecznych.

Zaangażowanie kierownictwa jest warunkiem sukcesu systemu. Widoczne wsparcie zarządu dla inicjatyw związanych z ochroną sygnalistów, promowanie etycznych zachowań przez przykład, aktywne uczestnictwo w kampaniach informacyjnych i budowanie kultury otwartości oraz transparentności – to fundamenty działającego systemu. Odpowiedzialność zarządu obejmuje zapewnienie odpowiednich zasobów na wdrożenie i utrzymanie systemu, monitorowanie efektywności procedur, reagowanie na zgłoszenia dotyczące członków zarządu i raportowanie do organów nadzorczych. Europejski zielony ład i pakiet regulacji UE wymuszają na firmach większą transparentność – system whistleblowingu staje się naturalnym elementem tej ewolucji.

Skuteczna komunikacja i szkolenia dla pracowników (4-6 tygodni) to ostatni element wdrożenia przed uruchomieniem systemu. Kampania informacyjna musi wyjaśnić cele i korzyści systemu, zaprezentować kanały zgłoszeń i sposób ich użycia, przedstawić gwarancje ochrony przed działaniami odwetowymi oraz budować zaufanie i pozytywne postrzeganie sygnalistów. Formy komunikacji obejmują webinary, szkolenia stacjonarne, e-learning dostępny dla wszystkich pracowników, materiały informacyjne i infografiki, komunikaty w intranecie i newsletterze oraz plakaty i ulotki w widocznych miejscach. Regulamin zgłoszeń wewnętrznych musi być udostępniony pracownikom co najmniej na 14 dni przed wejściem w życie – niedochowanie tego terminu czyni procedurę nieważną.

Monitoring i doskonalenie systemu to proces ciągły. Wskaźniki efektywności (KPI) obejmują liczbę otrzymanych zgłoszeń, procent zgłoszeń rozpatrzonych w terminie, średni czas rozpatrywania zgłoszeń, procent zgłoszeń potwierdzonych jako zasadne, poziom świadomości pracowników o systemie i zaufanie do kanałów zgłoszeń mierzone badaniami ankietowymi. Okresowe audyty wewnętrzne (minimum raz na 3 lata), analiza skuteczności procedur, weryfikacja zgodności z wymogami prawnymi i aktualizacja dokumentacji w odpowiedzi na zmiany przepisów zamykają pętlę doskonalenia.

Standard ISO 37002 to międzynarodowy standard zarządzania systemami whistleblowingowymi, oparty na trzech fundamentalnych zasadach:

1. zaufaniu,
2. bezstronności,
3. ochronie.

Standard obejmuje cztery główne fazy cyklu whistleblowingu: odbieranie zgłoszeń o nieprawidłowościach, ocenę zgłoszeń, rozpatrywanie zgłoszonych nieprawidłowości i zamknięcie zgłoszonych spraw. Wdrożenie systemu zgodnego z ISO 37002 może być dodatkową wartością dla organizacji i zwiększyć zaufanie interesariuszy.

NAJWAŻNIEJSZE WNIOSKI

1. System whistleblowingu wymaga profesjonalnej platformy technicznej z szyfrowaniem end-to-end, certyfikatami bezpieczeństwa ISO 27001 i ISAE 3000 oraz obowiązkowej oceny skutków dla ochrony danych.
2. Wdrożenie bezpiecznych kanałów zgłaszania nieprawidłowości to proces 20-30 tygodni obejmujący audyt, projektowanie procedur, wybór platformy, szkolenia odbiorców i pracowników oraz kampanię komunikacyjną.
3. Ochrona sygnalistów w firmie to nie tylko obowiązek prawny wynikający z zgodności z dyrektywą UE, ale przede wszystkim strategiczne narzędzie zarządzania ryzykiem.

Aleksandra Mrozek-Nowak

Akademia ESG to największa w Polsce baza wiedzy o ESG. Inspirujemy do wdrażania zrównoważonych praktyk, stając się miejscem pierwszego wyboru dla każdego, szukającego najlepiej przygotowanych informacji na temat ESG. E-mail: a.mrozek@akademiaesg.pl

Napisz do nas