Dyrektywa o ochronie sygnalistów obowiązuje od lat, każde państwo członkowskie ma już ustawę transponującą, a pytanie na biurku compliance officera nie brzmi już, czy uruchomić kanał zgłoszeniowy, tylko czy ten, który już działa, naprawdę spełnia obowiązki. Wprowadzanie przepisów do codziennej pracy podmiotu nadal sprowadza się do trzech etapów: opracowania procedury, uruchomienia systemu i utrzymywania go w ruchu. Każdy z nich przestał być abstrakcją.
Najpierw mapa podmiotu, dopiero potem procedura
Zanim powstanie procedura, trzeba opisać podmiot. Liczba pracowników decyduje, czy obowiązek wchodzi w grę: każdy prywatny pracodawca zatrudniający co najmniej 50 osób musi prowadzić wewnętrzny kanał zgłoszeniowy od 17 grudnia 2023 r. Struktura grupy decyduje, gdzie kanał ma siedzieć: spółki holdingowe nie mogą zlać wszystkiego do jednej wspólnej skrzynki bez naruszenia ustaleń raportu Komisji Europejskiej z lipca 2024 r.
Spółka holdingowa z kilkoma podmiotami prawnymi musi utrzymać oddzielne granice poufności między nimi; Komisja Europejska wskazała wzorzec wspólnej skrzynki jako jedną z najczęstszych luk transpozycyjnych.
Istniejące procedury decydują, co trzeba zmienić. Wewnętrzną ścieżkę skarg HR, infolinię compliance czy portal kodeksu etyki, które już działają, można w to wpasować, ale tylko wtedy, gdy ich poziom poufności i rejestracji odpowiada wymaganiom Dyrektywy. Efektem etapu mapowania jest lista nazwanych kanałów, nazwanych odbiorców zgłoszeń oraz oświadczenie o zakresie określające, jakie kategorie naruszeń kanał obejmuje.
Co kanał wewnętrzny musi naprawdę robić
Artykuł 9 Dyrektywy wyznacza dwa terminy operacyjne: potwierdzenie wpłynięcia w ciągu 7 dni oraz konkretną informację zwrotną w ciągu 3 miesięcy. Kanał musi przyjmować zgłoszenia pisemne i ustne (telefon, poczta głosowa, osobiście na żądanie), prowadzić poufny rejestr z kontrolą dostępu i wskazać bezstronną jednostkę. Pominięcie któregokolwiek z tych elementów to najczęstsza przyczyna upadku programów.
| Aspekt | Kanał wewnętrzny | Kanał zewnętrzny (regulator) |
|---|---|---|
| Prowadzony przez | Bezstronną jednostkę lub osobę wskazaną przez pracodawcę | Organ krajowy wyznaczony przez ustawę transponującą |
| Potwierdzenie odbioru | W ciągu 7 dni | W ciągu 7 dni |
| Informacja zwrotna | W ciągu 3 miesięcy | W ciągu 3 miesięcy |
| Wybór zgłaszającego | Pierwsza ścieżka, ale nieobowiązkowa | Może być użyty bezpośrednio, bez utraty ochrony |
Poza terminami kanał musi prowadzić rejestr zgłoszeń z limitami przechowywania i kontrolą dostępu. Musi wskazać bezstronną jednostkę lub osobę bez konfliktu interesów, a to wskazanie musi być opublikowane wewnętrznie, żeby zgłaszający wiedzieli, z kim rozmawiają.
Poufność tożsamości zgłaszającego nie podlega negocjacjom. Przekazanie nazwiska komukolwiek poza zespołem bezstronnym bez zgody samo w sobie jest naruszeniem, a kilka transpozycji krajowych przewiduje za to odrębną karę (często do 50 000 euro za pojedyncze naruszenie).
Wdrożenie: ludzie, szkolenia i ISO 37002
Wdrożenie zamienia papierową procedurę w coś, z czego pracownicy mogą realnie korzystać. Komisję albo osobę odpowiedzialną za rozpatrywanie zgłoszeń trzeba wybrać, przeszkolić i wyposażyć; generalista HR z infolinią obsługiwaną przy okazji rzadko wytrzymuje pierwszą poważną sprawę. Szkolenie musi objąć każdego kierownika liniowego, który może być pierwszą osobą słyszącą o naruszeniu, bo ochrona z Dyrektywy włącza się w chwili zgłoszenia, a nie wypełnienia formularza.
ISO 37002:2021 jest tu najużyteczniejszym rusztowaniem. To norma w trybie wytycznych, a nie certyfikowalny system zarządzania, ale opisuje, jak wygląda działający program (ocena ryzyka, podział ról, przyjmowanie zgłoszeń, postępowanie wyjaśniające, działania następcze, monitoring) i została zaprojektowana tak, żeby dała się wpiąć w stos compliance zgodny z ISO, który podmiot może już prowadzić.
Życie z systemem: monitoring, działania odwetowe, RODO
Po uruchomieniu systemu trzy rzeczy go utrzymują przy życiu. Monitoring to sprawdzanie co kwartał, czy terminy operacyjne są dotrzymywane, informacje zwrotne wychodzą na czas, rejestr zgadza się z aktami spraw i czy z kanału w ogóle ktoś korzysta. Ochrona przed odwetem przerzuca ciężar dowodu na pracodawcę. RODO nakłada warstwę obowiązków danych osobowych na całość.
Monitoring nie sprowadza się do liczenia zgłoszeń. Infolinia, która przez osiemnaście miesięcy nie odbiera niczego, jest sygnałem, zwykle złym.
Reżim ochrony przed odwetem przekształca procedurę HR. Jeśli osoba zgłosiła naruszenie, każde niekorzystne dla niej działanie (zwolnienie, degradacja, przeniesienie, wstrzymanie awansu, kara dyscyplinarna) jest domniemanym odwetem, a ciężar dowodu przechodzi na pracodawcę, który musi wykazać, że to działanie i tak by nastąpiło. To domniemanie musi kształtować każdą decyzję personalną dotyczącą osoby z udokumentowanym wcześniejszym zgłoszeniem.
Ochrona danych przykrywa wszystko. Dane sygnalisty są danymi osobowymi w rozumieniu RODO, więc szyfrowanie w transmisji i w spoczynku, dostęp oparty na rolach, limity przechowywania i udokumentowany cel przetwarzania nie są opcjonalne. To te same obowiązki artykuł po artykule, które stosujemy do każdego systemu HR.
Cena pomyłki
Zakres sankcji jest szerszy, niż większość zarządów się spodziewa. Krajowe ustawy transponujące przewidują grzywny za odwet, naruszenie poufności i utrudnianie zgłoszeń, często w przedziale 30 000 do 50 000 euro za naruszenie, sumowalne przy systematycznych uchybieniach. Pięciu najwolniejszym państwom członkowskim Komisja wymierzyła na początku 2025 r. łącznie około 40 mln euro kar za przekroczenie terminu transpozycji.
Poza tymi nagłówkowymi karami Komisja prowadziła postępowania w sprawie uchybienia zobowiązaniom przeciwko większości państw członkowskich, które spóźniły się z transpozycją, i wskazała poufność oraz odwet jako dwa obszary, które obserwuje pod kątem dalszych działań egzekucyjnych.
Sytuacja kraj po kraju pozostaje nierówna. Słowacja wycofała się z planu rozwiązania własnego organu właściwego pod presją UE, Niemcy testują w sądach granice ochrony zgłoszeń zewnętrznych, a Polska, ostatnie państwo członkowskie, które dokonało transpozycji, wprowadziła ustawę o ochronie sygnalistów w życie 25 września 2024 r.; rozdział o zgłoszeniach zewnętrznych do Rzecznika Praw Obywatelskich uruchomił się trzy miesiące później.
Da się to wszystko prowadzić wewnątrz organizacji, ale rzadko bywa to tanie, a warstwa operacyjna (dotrzymywanie siedmiodniowego terminu, utrzymywanie czystego rejestru, obrona bezstronności komisji) to miejsce, w którym najwięcej programów się sypie. WeMoral pokrywa tę warstwę operacyjną od początku do końca, od opracowania procedury, przez prowadzenie kanału, po wytworzenie ścieżki audytowej, o którą zapyta inspektor.
Młodszy specjalista ds. compliance, nadzoruje implementację polityki compliance i wewnętrzny przepływ informacji. Współorganizuje szkolenia. Odpowiada za monitorowanie i wsparcie we wdrażaniu obowiązujących regulacji.
