Standard ochrony w miejscu pracy
Procedura zgłoszeń wewnętrznych stanowi centralny element systemu ochrony sygnalistów, czyli osób zgłaszających nieprawidłowości w funkcjonowaniu podmiotów publicznych i prywatnych. Obowiązek wdrożenia takiej procedury wynika z ustawy o ochronie osób zgłaszających naruszenia prawa (Dz.U. 2024 poz. 928), która implementuje dyrektywę UE 2019/1937. Przepisy nakładają obowiązki proceduralne, techniczne i organizacyjne, które mają zapewnić sygnalistom skuteczną ochronę oraz realną możliwość zgłoszenia naruszenia prawa – bez ryzyka odwetu.
Kogo obowiązuje wdrożenie procedury?
Obowiązek wprowadzenia procedury zgłoszeń wewnętrznych dotyczy podmiotów prawnych, na rzecz których pracuje co najmniej 50 osób – zarówno na podstawie umowy o pracę, jak i innych form odpłatnego świadczenia pracy (jeśli nie zatrudniają własnych pracowników). Próg ten nie obowiązuje jednak podmiotów działających w szczególnie wrażliwych sektorach, takich jak finanse, bezpieczeństwo transportu, przeciwdziałanie praniu pieniędzy czy ochrona środowiska – te muszą wdrożyć procedurę niezależnie od liczby zatrudnionych.
Z obowiązku zwolnione są natomiast jednostki organizacyjne gmin i powiatów liczące poniżej 10 000 mieszkańców.
Czym jest zgłoszenie sygnalisty?
Zgłoszenie może dotyczyć m.in.:
- korupcji;
- zamówień publicznych;
- usług, produktów i rynków finansowych;
- przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;
- bezpieczeństwa produktów i ich zgodności z wymogami;
- bezpieczeństwa transportu;
- ochrony środowiska;
- ochrony radiologicznej i bezpieczeństwa jądrowego;
- bezpieczeństwa żywności i pasz;
- zdrowia i dobrostanu zwierząt;
- zdrowia publicznego;
- ochrony konsumentów;
- ochrony prywatności i danych osobowych;
- bezpieczeństwa sieci i systemów teleinformatycznych;
- interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej, jednostki samorządu terytorialnego oraz Unii Europejskiej;
- rynku wewnętrznego Unii Europejskiej, w tym publicznoprawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych;
- konstytucyjnych wolności i praw człowieka i obywatela – występujące w stosunkach jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi w pkt 1–16.
Informacja o naruszeniu prawa to zgłoszenie – także w formie uzasadnionego podejrzenia – dotyczące rzeczywistego lub potencjalnego naruszenia przepisów prawa, które miało miejsce, może mieć miejsce lub istnieje ryzyko jego ukrycia. Może ono dotyczyć organizacji, z którą sygnalista jest lub był związany zawodowo – na przykład poprzez zatrudnienie, udział w rekrutacji, negocjacje poprzedzające zawarcie umowy lub inną formę współpracy.
Co istotne – zgłoszenie nie musi opierać się na twardych dowodach. Wystarczy, że osoba zgłaszająca posiada wiarygodne, uzasadnione podstawy, by sądzić, że do naruszenia doszło, może dojść w przyszłości lub ktoś próbuje je zataić.
Konsultacje i wejście w życie procedury
Projekt procedury zgłoszeń wewnętrznych powinien zostać skonsultowany z zakładową organizacją związkową, a jeżeli taka nie działa – z przedstawicielami pracowników wyłonionymi w przyjętym trybie. Konsultacje muszą trwać minimum 5 i maksimum 10 dni. Po ich zakończeniu procedura wchodzi w życie po upływie 7 dni od podania jej do wiadomości osób wykonujących pracę.
Co istotne, informację o procedurze należy przekazać już na etapie rekrutacji – każdej osobie ubiegającej się o zatrudnienie lub współpracę.
Obowiązkowe elementy procedury zgłoszeń
Zgodnie z ustawą o ochronie sygnalistów, każda procedura zgłoszeń wewnętrznych musi zawierać:
- wskazanie osoby lub jednostki (wewnętrznej lub zewnętrznej), upoważnionej do przyjmowania zgłoszeń,
- sposoby dokonywania zgłoszeń i obowiązek podania adresu do kontaktu (e-mail lub korespondencyjnego),
- wyznaczenie osoby lub jednostki bezstronnej, odpowiedzialnej za działania następcze i kontakt z sygnalistą,
- tryb postępowania z anonimowymi zgłoszeniami,
- obowiązek potwierdzenia przyjęcia zgłoszenia w terminie 7 dni (chyba że brak adresu do kontaktu),
- termin na przekazanie informacji zwrotnej – maksymalnie 3 miesiące od potwierdzenia przyjęcia (lub od upływu 7 dni od zgłoszenia, jeśli nie potwierdzono),
- jasne i dostępne informacje o możliwości dokonania zgłoszenia zewnętrznego (np. do RPO lub odpowiednich organów administracji publicznej i UE).
Dodatkowe elementy procedury (opcjonalne)
Podmiot może wprowadzić także zapisy rozszerzające, takie jak:
- wykaz naruszeń specyficznych dla działalności firmy (np. korupcja, naruszenia regulacyjne),
- wskazanie czynników ryzyka w organizacji,
- system zachęt do korzystania z procedury wewnętrznej (np. gdy problem można rozwiązać bez eskalacji i nie ma ryzyka odwetu),
- informacja, że zgłoszenia mogą być dokonywane bezpośrednio do RPO lub organów publicznych – niezależnie od systemu wewnętrznego.
Dokonywanie zgłoszeń wewnętrznych
1. Zidentyfikowanie naruszenia przez sygnalistę
Osoba zatrudniona lub współpracująca z organizacją zauważa potencjalne naruszenie prawa – może to być np. korupcja, nadużycia finansowe, naruszenia przepisów środowiskowych, łamanie praw pracowniczych. Sygnalista decyduje się zgłosić sprawę wewnętrznie, wierząc, że sprawę można wyjaśnić w ramach organizacji.
- Wybór sposobu zgłoszenia
Sygnalista ma do dyspozycji różne formy zgłoszenia, które powinny być opisane w procedurze:
- pisemnie – poprzez e-mail, formularz online lub list (papierowy lub złożony osobiście),
- ustnie – przez rozmowę telefoniczną (nagrywaną lub nienagrywaną),
- osobiście – w formie spotkania na wniosek sygnalisty (zorganizowanego w terminie do 14 dni od zgłoszenia takiej potrzeby).
Wybierając formę, sygnalista decyduje, czy chce ujawnić swoją tożsamość, czy działać anonimowo (jeśli procedura dopuszcza taką możliwość). Jeśli podaje dane kontaktowe, otrzyma potwierdzenie przyjęcia zgłoszenia oraz informacje zwrotne.
- Dokonanie zgłoszenia
Zgłoszenie zawiera możliwie dokładny opis naruszenia:
– co się wydarzyło,
– kiedy i gdzie,
– kto był zaangażowany,
– jakie są dowody lub źródła informacji,
– jaki wpływ miało lub może mieć naruszenie.
Jeśli zgłoszenie jest ustne, może być nagrane za zgodą sygnalisty albo dokumentowane w formie transkrypcji lub protokołu. Sygnalista ma prawo zapoznać się z dokumentacją i ją zatwierdzić.
- Potwierdzenie przyjęcia zgłoszenia (do 7 dni)
Jeśli sygnalista podał dane kontaktowe, w ciągu 7 dni od otrzymania zgłoszenia organizacja przesyła potwierdzenie jego przyjęcia. Brak danych kontaktowych (np. zgłoszenie anonimowe) zwalnia z tego obowiązku, ale nie uniemożliwia rozpatrzenia zgłoszenia.
- Weryfikacja zgłoszenia i działania następcze
Wyznaczona osoba lub jednostka (wewnętrzna lub zewnętrzna) analizuje treść zgłoszenia. W razie potrzeby może kontaktować się z sygnalistą, prosząc o dodatkowe informacje.
W tym etapie ustala się, czy zgłoszenie jest zasadne, jakie działania należy podjąć (np. postępowanie wyjaśniające, kontrola wewnętrzna, przekazanie sprawy organom zewnętrznym). Całość odbywa się z zachowaniem poufności tożsamości sygnalisty i osób wskazanych w zgłoszeniu.
- Informacja zwrotna do sygnalisty (do 3 miesięcy)
W terminie nie dłuższym niż 3 miesiące od potwierdzenia przyjęcia zgłoszenia (lub od dnia zgłoszenia, jeśli potwierdzenia nie było), sygnalista powinien otrzymać informację zwrotną o:
- statusie zgłoszenia,
- ewentualnych działaniach podjętych lub planowanych,
- zakończeniu sprawy.
Informacja ta nie musi zawierać szczegółów ani danych objętych tajemnicą, ale powinna potwierdzać, że organizacja potraktowała zgłoszenie poważnie.
- Rejestracja zgłoszenia
Zgłoszenie zostaje zarejestrowane w rejestrze zgłoszeń wewnętrznych, który prowadzony jest zgodnie z wymogami ustawy. Rejestr obejmuje m.in. numer sprawy, daty, dane stron (jeśli znane), opis naruszenia i zakończone działania.
- Zamknięcie sprawy
Po zakończeniu działań następczych sprawa zostaje formalnie zakończona, a dane przechowywane są przez 3 lata od końca roku, w którym zakończono sprawę lub postępowanie z niej wynikające.
Ochrona poufności i przetwarzanie danych
Ustawa wprowadza bardzo rygorystyczne wymogi w zakresie ochrony danych i poufności. Podmiot prawny musi zagwarantować, że osoby nieuprawnione nie mają dostępu do zgłoszeń, a tożsamość sygnalisty, osoby wskazanej w zgłoszeniu oraz osób trzecich jest chroniona – również w sposób pośredni.
Do obsługi zgłoszeń mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie. Są one związane tajemnicą także po ustaniu stosunku pracy lub współpracy.
Te wymagania mają na celu zapewnienie skutecznej archiwizacji i ochrony danych w rejestrze zgłoszeń wewnętrznych, co jest kluczowe dla zachowania transparentności i bezpieczeństwa procesu zgłaszania naruszeń.
Możliwość powierzenia obsługi podmiotowi zewnętrznemu
Podmiot może zlecić obsługę zgłoszeń firmie zewnętrznej, zawierając odpowiednią umowę. Umowa ta musi zawierać postanowienia dotyczące powierzenia przetwarzania danych osobowych i obowiązków związanych z udzielaniem odpowiedzi oraz ochroną poufności.
Podmioty prywatne zatrudniające od 50 do 249 osób mogą też wspólnie prowadzić system zgłoszeń – np. w ramach jednej grupy kapitałowej – o ile zapewniają pełną zgodność z ustawą.
Rejestr zgłoszeń wewnętrznych
Każdy podmiot prowadzi rejestr zgłoszeń, zawierający numer zgłoszenia, przedmiot naruszenia prawa, dane osobowe sygnalisty i osoby wskazanej, adres kontaktowy, daty zgłoszenia i zakończenia sprawy, a także informacje o działaniach następczych.
Rejestr przechowuje się przez 3 lata od zakończenia roku, w którym zakończono sprawę lub postępowanie zainicjowane zgłoszeniem.
Podmioty prywatne zatrudniające od 50 do 249 osób mogą też wspólnie prowadzić system zgłoszeń – np. w ramach jednej grupy kapitałowej – o ile zapewniają pełną zgodność z ustawą.
Znaczenie procedury zgłoszeń dla organizacji
Odpowiednio wdrożona i prawidłowo funkcjonująca procedura zgłoszeń to nie tylko spełnienie wymogu prawnego, ale również element nowoczesnego zarządzania zgodnością i kulturą etyki. Umożliwia wczesne wykrycie nieprawidłowości, minimalizację ryzyka prawnego i reputacyjnego oraz budowę zaufania wśród pracowników i partnerów biznesowych.