Estońska ustawa o ochronie sygnalistów "TÕRTKS"
Estońska ustawa o ochronie sygnalistów pojawiła się jako jedna z ostatnich w Unii Europejskiej. Kraj nie dotrzymał terminu wyznaczonego na grudzień 2021 roku. Komisja Europejska skierowała sprawę do Trybunału Sprawiedliwości. Parlament uchwalił TÕRTKS dopiero 15 maja 2024 roku, a w życie weszła ona 1 września 2024 roku.
Najważniejsze informacje
- Estońska ustawa o ochronie sygnalistów obowiązuje dużych pracodawców od 1 września 2024 roku, a firmy zatrudniające od 50 do 249 osób od 1 stycznia 2025 roku.
- Obejmuje naruszenia prawa Unii Europejskiej w 13 obszarach, od zamówień publicznych po ochronę danych.
- Pracodawcy muszą prowadzić poufny wewnętrzny kanał zgłoszeń i wyznaczyć osobę do ich obsługi.
- Nie ma centralnego urzędu ds. sygnalistów, więc zgłoszenia zewnętrzne przyjmuje regulator właściwy dla danego sektora.
- Kary sięgają 1200 EUR dla osoby fizycznej i 100 000 EUR dla organizacji, a ich egzekwowaniem zajmuje się Zarząd Policji i Straży Granicznej.
Czym jest TÕRTKS i dlaczego trwało to tak długo?
TÕRTKS to estońska wersja unijnej dyrektywy o ochronie sygnalistów. Jej pełna nazwa to ustawa o ochronie osób zgłaszających związane z pracą naruszenia prawa Unii Europejskiej. Określa ona zasady zgłaszania naruszenia prawa UE wykrytego w pracy i zakazuje karania zgłaszającego za jego dokonanie.
"Celem niniejszej ustawy jest zapewnienie ochrony osobie, która zgłasza naruszenie prawa Unii Europejskiej, o którym dowiedziała się w związku ze swoją działalnością zawodową."
Art. 1 ust. 2 TÕRTKS
Opóźnienie zdefiniowało tę ustawę. Estonia była jednym z ostatnich krajów wspólnoty, które podjęły działania. Zanim projekt przeszedł, Komisja zdążyła już skierować sprawę do sądu. Późniejsza zmiana, obowiązująca od 18 maja 2025 roku, rozszerzyła zakres na naruszenia unijnych sankcji.
Wdrożenie przebiegało w dwóch etapach. Organy państwowe i duzi prywatni pracodawcy zostali objęci ustawą od 1 września 2024 roku. Prywatne firmy zatrudniające od 50 do 249 pracowników miały czas na uruchomienie kanału do 1 stycznia 2025 roku. Oba terminy już minęły, więc każdy objęty obowiązkiem pracodawca powinien już taki kanał prowadzić.
Kto jest chroniony i które naruszenia się liczą?
Osoby, które ustawa chroni
Ochrona sięga daleko poza listę płac. Ustawa wymienia dziesięć rodzajów zgłaszających, więc nie ogranicza się do pracowników na umowie. Obejmuje:
- pracowników i urzędników publicznych;
- osoby samozatrudnione;
- członków zarządu i organów nadzorczych oraz wspólników spółki;
- wolontariuszy i stażystów;
- kandydatów do pracy będących w trakcie rozmów o zatrudnienie oraz byłych pracowników, których stosunek pracy ustał;
- osoby pracujące dla wykonawcy lub dostawcy organizacji.
Ochrona przed odwetem obejmuje również osoby powiązane ze zgłaszającym, takie jak współpracownik czy krewny. Obejmuje także każdą jednostkę, która obsługuje zgłoszenie w imieniu pracodawcy.
Naruszenia objęte zakresem ustawy
Ustawa idzie za prawem UE, a nie za każdym rodzajem nieprawidłowości. Stosuje się do naruszeń przepisów Unii Europejskiej w 13 obszarach:
- zamówienia publiczne;
- usługi finansowe i przeciwdziałanie praniu pieniędzy;
- bezpieczeństwo produktów i transportu;
- środowisko oraz bezpieczeństwo jądrowe i ochrona radiologiczna;
- żywność, pasze i dobrostan zwierząt;
- zdrowie publiczne i prawa konsumentów;
- prywatność i bezpieczeństwo sieci;
- interesy finansowe i jednolity rynek UE, w tym nadużycia w podatku od osób prawnych.
Zmiana z 2025 roku dodała do tej listy naruszenia unijnych środków ograniczających.
"Naruszeniem w rozumieniu niniejszej ustawy jest działanie lub zaniechanie, które jest niezgodne z prawem lub które niweczy cel normy prawnej."
Art. 4 ust. 1 TÕRTKS
Niektóre obszary pozostają poza jej zakresem. Ustawa ustępuje miejsca w sprawach bezpieczeństwa narodowego i tajemnic państwowych, postępowania karnego oraz tajemnicy zawodowej adwokatów, lekarzy i duchownych. Poza jej zakresem pozostają również same orzeczenia sądów. Tam pierwszeństwo mają własne zasady poufności danego sektora.
Jak można zgłosić naruszenie?
Ustawa otwiera cztery drogi. Zgłaszający może wybrać kanał wewnętrzny, własnego przełożonego, kanał zewnętrzny przy właściwym organie albo, w określonych przypadkach, ujawnienie publiczne. Nie musi najpierw próbować kanału wewnętrznego.
"Kanał zewnętrzny może zostać wybrany do zgłoszenia naruszenia nawet bez uprzedniego skorzystania z kanału wewnętrznego."
Art. 4 ust. 4 TÕRTKS
Wielu pracodawców musi prowadzić kanał wewnętrzny. Obowiązek dotyczy wszystkich organów państwowych i podmiotów nadzoru finansowego. Organy samorządu lokalnego muszą go prowadzić, jeśli zatrudniają 50 lub więcej osób, podobnie jak gminy liczące 10 000 lub więcej mieszkańców. Tak samo każda osoba prawna zatrudniająca 50 lub więcej pracowników. Kanał musi przyjmować zgłoszenia pisemnie, ustnie albo na oba sposoby i zachowywać ich poufność. Firmy zatrudniające do 249 osób mogą korzystać ze wspólnego kanału.
Zegar rusza od razu. Pracodawca musi potwierdzić przyjęcie zgłoszenia w ciągu 7 dni. Jeśli nie jest organem właściwym do działania, przekazuje zgłoszenie dalej w ciągu 5 dni roboczych. Przekazuje zgłaszającemu informację zwrotną w ciągu 3 miesięcy i przechowuje zgłoszenie przez 3 lata.
WeMoral szyfruje każde zgłoszenie i pokazuje je tylko osobie, którą wyznaczysz. Jako aplikacja dla sygnalistów zgodna z RODO odpowiada temu, czego TÕRTKS wymaga od kanału wewnętrznego i przetwarza dane zgodnie z RODO, do którego ustawa odsyła. Jeśli ujawnisz nazwisko zgłaszającego, estoński Zarząd Policji i Straży Granicznej może nałożyć karę do 100 000 euro, dlatego liczy się prowadzony przez WeMoral dziennik ze znacznikami czasu. Możesz uruchomić kanał wewnętrzny samodzielnie albo powierzyć go WeMoral jako podmiotowi zewnętrznemu, na co ustawa pozwala. Firma zatrudniająca do 249 osób może korzystać z jednej wspólnej instalacji. Tak czy inaczej tożsamość zgłaszającego pozostaje chroniona od dnia uruchomienia.
Kto prowadzi kanał zewnętrzny?
Estonia postanowiła nie budować jednego organu nadzorczego. Ustawa opiera się na regulatorach, którzy już istnieją. Organem właściwym dla zgłoszenia jest ten organ państwowy lub samorządowy, który już nadzoruje dany obszar. Naruszenie z zakresu ochrony danych trafia więc do Inspektoratu Ochrony Danych, a finansowe do Urzędu Nadzoru Finansowego.
To ten organ prowadzi kanał zewnętrzny dla swojego sektora. Musi przyjmować zgłoszenia w formie wiadomości głosowej, na spotkaniu osobistym oraz pisemnie i publikuje własne zasady obsługi zgłoszeń. W przypadku zgłoszenia zewnętrznego w skomplikowanej sprawie może mu to zająć do 6 miesięcy na przekazanie informacji zwrotnej, zamiast zwyczajowych trzech.
Ujawnienie publiczne to ostateczność. Zgłaszający zachowuje ochronę przewidzianą w ustawie dla ujawnienia publicznego tylko w wąskich przypadkach:
- kanał zewnętrzny nie podjął działań na czas;
- naruszenie stanowi pilne zagrożenie dla interesu publicznego; lub
- istnieją uzasadnione podstawy, by obawiać się odwetu albo zatuszowania sprawy.
Ochrona nie zależy od tego, czy sprawca zostanie najpierw wskazany z nazwiska w prasie.
Jak chroni się sygnalistów przed odwetem?
Działania odwetowe są zakazane wprost. Ustawa zabrania każdego związanego z pracą działania lub zaniechania, które wynika ze zgłoszenia i szkodzi zgłaszającemu bez uzasadnionej przyczyny. Zakaz obejmuje również próbę i groźbę odwetu, a nie tylko sam czyn.
Ciężar dowodu spoczywa na pracodawcy. Zgłaszający nie musi udowadniać, że został ukarany za zabranie głosu. Gdy wykaże, że dokonał zgłoszenia, a następnie poniósł szkodę, ustawa zakłada, że obie te rzeczy są powiązane. Pracodawca musi wówczas udowodnić, że dany środek miał uzasadnioną, niezwiązaną z tym przyczynę.
"Jeżeli wobec osoby zgłaszającej naruszenie zastosowano działania odwetowe, a osoba ta udowodni, że zgłosiła naruszenie, uznaje się, że działania odwetowe zastosowano z powodu zgłoszenia, chyba że osoba, która je zastosowała, udowodni, że było to uzasadnione."
Art. 16 ust. 2 TÕRTKS
Poufność przewija się przez całą ustawę. Osoba obsługująca zgłoszenie może ujawnić tożsamość zgłaszającego wyłącznie za jego pisemną zgodą. Zgłaszający jest też zwolniony z odpowiedzialności za udostępnienie informacji. Obowiązuje to tak długo, jak długo miał uzasadnione podstawy sądzić, że było to konieczne do ujawnienia naruszenia. Ujawnienie w ten sposób tajemnicy przedsiębiorstwa również uznaje się za zgodne z prawem, a ta sama ochrona obejmuje sposób, w jaki zgłaszający uzyskał informacje.
Jakie są kary?
Ustawa traktuje cztery czyny jako wykroczenia. Kary dla osoby fizycznej ustala się w jednostkach grzywny, a jedna jednostka grzywny to 4 EUR, więc górny pułap 300 jednostek daje 1200 EUR. Organizacjom grozi sztywny limit 100 000 EUR.
| Wykroczenie | Osoba fizyczna | Organizacja |
|---|---|---|
| Utrudnianie zgłoszenia (§18) | Do 1200 EUR | Do 100 000 EUR |
| Odwet wobec zgłaszającego (§19) | Do 1200 EUR | Do 100 000 EUR |
| Złamanie poufności zgłaszającego (§20) | Do 1200 EUR | Do 100 000 EUR |
| Świadomie fałszywe zgłoszenie (§21) | Do 1200 EUR | Nie ustalono |
Kary egzekwuje Zarząd Policji i Straży Granicznej. To organ pozasądowy właściwy dla tych wykroczeń, choć Wewnętrzna Służba Bezpieczeństwa wkracza, gdy wykryje takie wykroczenie podczas własnych działań. Utrudnianie zgłoszenia i odwet wobec zgłaszającego są karalne nawet jako próba, a nie dopiero po dokonaniu czynu.
Estońska ustawa w pełni obowiązuje każdego objętego nią pracodawcę, dużego i małego. Ponieważ kraj rozłożył egzekwowanie przepisów na regulatorów poszczególnych sektorów, pierwsze, czego trzeba się dowiedzieć, to który z nich nadzoruje Twój obszar. To właśnie ten regulator jest organem zewnętrznym, do którego mogą zwrócić się Twoi pracownicy. Aby zobaczyć, jak estońskie przepisy wypadają na tle reszty wspólnoty, przejrzyj naszą listę ustaw o ochronie sygnalistów według krajów. Działający kanał wewnętrzny zatrzymuje najpierw wewnątrz firmy zarówno samo zgłoszenie, jak i problem, który ono podnosi.
Doradca prawny od prawa gospodarczego, handlowego i własności intelektualnej. Pisze o przepisach o sygnalistach, dyrektywie UE i wdrażaniu procedur zgłoszeń.