Sygnaliści – obowiązki samorządów

Do 17 grudnia 2021 roku wszystkie kraje Unii Europejskiej mają obowiązek zaimplementowania Dyrektywy o ochronie sygnalistów. W Polsce jest już opublikowany projekt ustawy, a teraz czekamy na ostateczny obraz po jego zaopiniowaniu. Z uwagi na to, że Art. 3.1. definiuje naruszenie prawa dotyczące również ochrony prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów teleinformatycznych postanowiliśmy w skrócie opisać Państwu obowiązki jakie będą musiały spełniać samorządy po 17 grudnia bieżącego roku.

Kto jest zobligowany do przestrzegania ustawy ?

Wszystkie podmioty prawne w sektorze publicznym, które zatrudniają co najmniej 50 osób.

Kim jest sygnalista ? (Art.4)

Sygnalistą jest osobą fizyczną, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą.

Sygnalistą może być:
pracownik, także w przypadku, gdy stosunek pracy już ustał,
osoba ubiegająca się o zatrudnienie, która uzyskała informację o naruszeniu prawa w procesie rekrutacji lub negocjacji poprzedzających zawarcie umowy,
osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, przedsiębiorca,
akcjonariusz lub wspólnik,
członek organu osoby prawnej,
osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej,
stażysta,
wolontariusz
Reasumując sygnalistą jest osoba, która dokonuje zgłoszenia naruszenia – najczęściej będzie to nasz pracownik, niezależnie od umowy jaka go wiąże z naszą jednostką. Po stronie samorządu pozostaje obowiązek przyjmowania tych zgłoszeń oraz weryfikowania czy są one podstawne czy bezpodstawne.

Zgłoszenia naruszeń

Priorytetem jest utworzenie wewnętrznego kanału zgłoszeń, tak aby sygnalista informował jednostkę o naruszeniu możliwie szybko, jeszcze zanim naruszenie zostanie zgłoszone np. do mediów czy organów zewnętrznych. Warto więc zmobilizować działania i utworzyć wewnętrzny kanał, który będzie pierwszym wyborem sygnalistów. Jeśli od początku wdrożymy wewnętrzne procedury i kanały to możemy wypracować dobre praktyki, które będą ustawiały hierarchię zgłoszeń poczynając od kanału wewnętrznego, choć należy pamiętać, że sygnalista może dokonać zgłoszenia zewnętrznego bez uprzedniego dokonania zgłoszenia wewnętrznego.

Ochrona sygnalisty (Rozdział 2)

Sygnaliści czyli osoby zgłaszające naruszenia muszą mieć zapewnione bezpieczeństwo i komfort działań. Ustawa zakazuje działań odwetowych w stosunku do sygnalistów i bardzo mocno go chroni. (Art. 11 pkt.2) Za niekorzystne traktowanie, o którym mowa w ust. 1, uważa się w szczególności:
odmowę nawiązania stosunku pracy,
wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy,
niezawarcie umowy o pracę na czas określony po rozwiązaniu umowy o pracę na okres próbny, niezawarcie kolejnej umowy o pracę na czas określony lub niezawarcie umowy o pracę na czas nieokreślony, po rozwiązaniu umowy o pracę na czas określony – w sytuacji gdy pracownik miał uzasadnione oczekiwanie, że zostanie z nim zawarta taka umowa,
obniżenie wynagrodzenia za pracę,
wstrzymanie awansu albo pominięcie przy awansowaniu,
pominięcie przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą,
przeniesienie pracownika na niższe stanowisko pracy,
zawieszenie w wykonywaniu obowiązków pracowniczych lub służbowych,
przekazanie innemu pracownikowi dotychczasowych obowiązków pracowniczych,
niekorzystną zmianę miejsca wykonywania pracy lub rozkładu czasu pracy,
negatywną ocenę wyników pracy lub negatywną opinię o pracy,
nałożenie lub zastosowanie środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze,
wstrzymanie udziału lub pominięcie przy typowaniu do udziału w szkoleniach podnoszących kwalifikacje zawodowe,
nieuzasadnione skierowanie na badanie lekarskie, w tym badania psychiatryczne, o ile przepisy odrębne przewidują możliwość skierowania pracownika na takie badanie,
działanie zmierzające do utrudnienia znalezienia w przyszłości zatrudnienia w danym sektorze lub branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego
– chyba że pracodawca udowodni, że kierował się obiektywnymi powodami.

Jakie nowe obowiązki nakładane są na podmioty ? (Rozdział 3)

Podmioty, które objęte są ustawą będą musiały wyznaczyć zespół bądź osobę do przyjmowania i wyjaśniania zgłoszeń. Osoby te powinny być upoważnione pisemnie do dostępu do zgłoszeń i ich procedowania. Dostęp do zgłoszeń powinien być maksymalnie ograniczony, wyłącznie do osób upoważnionych ponieważ mogą one zawierać dane poufne.

Kolejnym obowiązkiem jest utworzenie procedury przyjmowania zgłoszeń, która zawiera również sposoby czy inaczej mówiąc kanały przekazywania zgłoszeń przez sygnalistów.

Bardzo istotnym elementem spełniania wymogów ustawy jest przestrzeganie terminów :
W ciągu 7 dni od otrzymania zgłoszenia należy przekazać sygnaliście potwierdzenie jego przyjęcia (z wyjątkiem gdy zgłaszający nie podał adresu, na który należy przekazać potwierdzenie). W ciągu 3 miesięcy należy przekazać sygnaliście informację zwrotną zawierającą raport ze zgłoszenia.

Pracodawca jest zobowiązany do zapoznania pracowników z treścią regulaminu zgłoszeń wewnętrznych jeszcze przed dopuszczeniem ich do pracy. Ponad to pracodawca musi poinformować pracowników również o możliwości zgłaszania nieprawidłowości przy pomocy innych sposobów tj. kanału zewnętrznego i ujawnienia publicznego. Warto również pomyśleć o przeszkoleniu pracowników aby wiedzieli, które zdarzenia należy zgłaszać – wyeliminuje to problem nadmiernych/ bezpodstawnych zgłoszeń, które będą generowały w organizacji niepotrzebną pracę i zamieszanie.

Zgłoszenia wewnętrzne – ochrona

Bardzo istotnym elementem i wyzwaniem stawianym pracodawcom będzie ochrona kanału wewnętrznego zgłoszeń w którym będą pojawiać się dane poufne m.in. dane osobowe. Rolą organizacji będzie uniemożliwienie uzyskania dostępu do kanału wewnętrznego osobom nieupoważnionym, a co za tym idzie odpowiednie jego zabezpieczenie.

Rejestr zgłoszeń

Bardzo ważne jest prowadzenie szczegółowej dokumentacji zgłoszeń, która będzie obejmowała również ich rejestr.

Ustawa nakazuje prowadzenie rejestru wszystkich przyjętych zgłoszeń. (Art. 34 pkt. 4) W rejestrze zgłoszeń wewnętrznych gromadzi się następujące dane: numer sprawy;
przedmiot naruszenia;
datę dokonania zgłoszenia wewnętrznego;
informację o podjętych działaniach następczych;
datę zakończenia sprawy.

Pamiętaj!

Dane w rejestrze zgłoszeń wewnętrznych należy przechowywać 5 lat od przyjęcia zgłoszenia. Kary za nieprzestrzeganie zapisów ustawy (Rozdział 6 ) Kary za nieprzestrzeganie przepisów ustawy są wysokie i należą do nich m.in. grzywny, ograniczenie wolności oraz pozbawienie wolności do lat 3. Karze podlegają działania: Utrudnianie dokonywania zgłoszeń. Podejmowanie działań odwetowych wobec sygnalistów. Naruszenie obowiązku zachowania poufności tożsamości sygnalistów. Dokonywanie zgłoszeń lub ujawniania publicznego nieprawdziwych informacji. Brak wewnętrznej procedury zgłoszeń i podejmowania działań naprawczych. Ustanowiona procedura narusza art. 29 ust. 1.

Ustawa implementująca ochronę sygnalistów jest kolejnym przepisem, który będzie wchodził w skład szerokorozumianego cyberbezpieczeństwa. Zgłaszane naruszenia będą niejednokrotnie pokrywać się z przepisami RODO czy też Procedurami związanymi z cyberbezpieczeństwem np. zgłaszaniem incydentów cybernetycznych. Samorządy powinny pamiętać, że wdrażanie procedur to nie tylko usystematyzowanie procesów, ale również ich usprawnianie. Bardzo często w trakcie tworzenia dokumentacji czy zapisywania procedur które obowiązywały w toku zasad niepisanych istnieje możliwość usprawnienia procesów np. poprzez wyeliminowanie niepotrzebnych kroków.