Q&A – Draft of the Polish Act of 6 April 2022 on the Protection of Persons Who Report Breaches of Law (“Whistleblowers”)

This article is also available in Polish.

Much has already been written about last year's anticipated Act on the Protection of Persons Who Report Breaches of Law (the "Act"), i.e. on the protection of so-called whistleblowers, whose implementation deadline passed on 17 December 2021. The proposed Act aims to transpose the provisions of Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of European Union law. On Tuesday, 12 April, another draft was published on the Government Legislation Centre website.

The main areas of the proposed Act include: (i) indicating the conditions under which whistleblowers will be covered by statutory protection, (ii) regulating the means of protection available to whistleblowers, (iii) introducing rules for establishing an internal procedure for reporting breaches of law and taking follow-up actions, (iv) defining the rules for reporting breaches of law to the Polish Ombudsman or another public body, (v) defining the rules for public disclosure of breaches of law, and (vi) defining the competence of public bodies in matters of reporting breaches of law and taking follow-up action.

Below, we provide with ten key questions that may be asked by any organization required to fulfil the obligations of the proposed Act:

1. What areas can be the subject of breach of law reporting?

The proposed Act does not substantially modify the material scope included in the previous draft and identifies fifteen mandatory areas that may give rise to a breach of the law through the act or omission of a potential offender. They include: (i) public procurement, (ii) services, products and financial markets, (iii) anti-money laundering and terrorist financing, (iv) product safety and compliance, (v) transport safety, (vi) environmental protection, (vii) radiological protection and nuclear safety, (viii) food and animal feed safety, (ix) animal health and welfare, (x) public health, (xi) consumer protection, (xii) protection of privacy and personal data, (xiii) security of networks and information and communication systems, (xiv) financial interests of the Republic of Poland and the EU, and (xv) the EU internal market, including the EU competition and state aid rules and corporate taxation. In these areas, it will undoubtedly be possible to make notification under the provisions of the proposed Act.

Will it be possible to extend the material scope?

Yes, an important change in the current draft of the Act is the fact that, under the provisions of an internal procedure, each authorized entity will be able to report breaches of law also in other areas, e.g. conduct inconsistent with ethical standards or reporting violations of law in all matters concerning labour law issues, in particular unequal treatment, mobbing or discrimination, as well as other, non-codified areas such as harassment or other unethical behaviour or actions inconsistent with the principles of social coexistence in the workplace. Authorized entities will be free to expand the subject catalogue internally according to organizational needs.

2. In which areas will it not be possible to report a potential breach of the law?

Under no circumstances may the subject of a report be: (i) classified information, (ii) information covered by professional secrecy - medical or legal, including the secrecy of judicial deliberation, (iii) information obtained in the course of criminal proceedings conducted out of the public eye, and (iv) breaches of law in the field of public procurement related to matters of national defense and security.

3. Who will be able to become a whistleblower?

Under the Act, practically any natural person who, in the context related to work, including prior to establishing an employment relationship or any other legal relationship constituting the basis for provision of work or services, performance of functions or supply of goods, or when such relationship has already ceased, obtains information on a potential breach of the law, will be able to benefit from the protection granted to the whistleblower, provided that the statutory prerequisites are met. The Act identifies persons employed on various legal bases (e.g. employment contract, civil law contract, temporary employment contract) at each level of the organizational hierarchy (from an intern and trainee to a shareholder or partner). Interestingly, the Act will also apply to professional soldiers and public officials (e.g. the Police, Central Anti-corruption Office “CBA” or Internal Security Agency “ABW”).

When will a whistleblower be entitled to statutory protection?

If he or she submits a report in good faith, that is, having reasonable grounds to believe that the information that is the subject of the report or public disclosure is true at the time of the notification or public disclosure and that such information constitutes information on breach of law.

Will protection against unfounded reports be introduced?

Yes, first and foremost bad faith of the whistleblower excludes the possibility of extending statutory protection to the whistleblower. If a notification/disclosure is knowingly false, the person who has suffered damage as a result will be entitled to seek compensation from the whistleblower at an average pay rate in the enterprise sector as at the day on which the notification or public disclosure occurred. The average pay rate is announced monthly by the President of the Central Statistical Office (GUS). In February 2022, it amounted to PLN 6,220.04.

Furthermore, knowingly reporting or disclosing false information to the public, or assisting in the reporting of false information, will be punishable by a fine, restriction of liberty or imprisonment of up to 3 years.

4. What safeguards will the whistleblower have?

No retaliatory action or even attempts or threats of such action may be taken against a whistleblower as a result of reporting a potential breach of law. This applies in particular to the prohibition of any disciplinary action (in particular the prohibition against terminating the employment relationship, reduction of remuneration, negative evaluation of attitude and work effects or any form of unjustified unequal treatment). If the whistleblower is not an employee, the prohibition on retaliation includes the prohibition against terminating, rescinding or terminating without notice the contract between the parties, including the prohibition against imposing additional obligations or curtailing any contractual rights. Unless the employer or contractor taking such action demonstrates objective and justifiable grounds for taking such action.

Reporting a potential breach of law must not give rise to disciplinary proceedings or claims for liability for damages, infringement of the rights of others, in particular defamation, infringement of personal rights, copyright, data protection rules or trade secrets.

The provisions of legal acts and contracts on the basis of which work is performed to the extent excluding the rights of the whistleblower will be null and void by virtue of law.

A whistleblower against whom retaliatory action has been taken will be entitled to receive full compensation.

Importantly, a person assisting the whistleblower in submitting the report or a person associated with the whistleblower will be covered by the statutory protection granted to whistleblowers. This also applies to legal persons and other organizational units without legal personality.

5. Who will be required to implement the internal whistleblowing procedure and by when?

Compared to the previous draft, the proposed Act significantly extends the deadline for fulfilling statutory obligations:

1. entities hiring at least 250 persons,
2. entities operating in the fields of financial services, products and markets, anti-money laundering and protection of terrorist financing, transport safety and environmental protection, regardless of the number of employees,
3. organizational units of municipalities with more than 100 000 inhabitants,
4. Polish Ombudsman and the remaining public bodies,
   – within 3 months of the Act coming into force
5. entities hiring between 50 and 249 persons
   – by 17 December 2023
6. entities hiring up to 49 persons will be allowed to implement such procedure voluntarily

6. What should be borne in mind when implementing an internal whistleblowing procedure (an “Internal Procedure”)?

• Consultation of an Internal Procedure and advising the workers of it:

An Internal Procedure will have to be established by the entity obliged to implement it within the statutory deadline (see point 4, above) and will be subject to prior consultation with all the company trade unions operating in the given organization, and if there are none, then the Internal Procedure will have to be presented to and approved by the workers’ representatives, who will be selected in accordance with the customary procedure in a given organization.

Consultation with authorized parties will take place no less than 7 days and no more than 14 days after the submission of the text of the Internal Procedure.

The agreed Internal Procedure will come into force 2 weeks after it has been communicated to workers and any newly recruited persons will have to be made aware of such Internal Procedure already at the stage of recruitment or pre-contractual negotiations

• inclusion of mandatory provisions

Each Internal Procedure will need to include the following elements: (i) identification and designation of the entity authorized to receive reports, (ii) identification of the ways in which reports will be submitted and processed, (iii) identification and designation of the neutral entity authorized to verify the report and take follow up actions, including feedback to the whistleblower, (iv) obligation to confirm to the whistleblower the acceptance of the report within 7 days, (v) identification of the follow-up actions that may be taken within the organization, (vi) maximum deadline for feedback to the whistleblower, max. 3 months from the date of report acknowledgement, and (vii) accessible and understandable information about the possibility of submitting an external report to the Ombudsman or another public body.

• means for submitting the reports on breaches of law

The Act makes it clear that reports of breaches of law may be submitted in almost any form - orally, in writing and electronically. Reports may also be made by phone or through other channels of voice communication. All types of notifications must be duly documented - in the form of a detailed report or recording of the notification.

• obligation to process personal data as required by law

Each entity must ensure that the processing of personal data in connection with the report of a potential breach complies with the GDPR and, in particular, prevents unauthorized persons from gaining access to the information covered by the notification and ensures that the confidentiality of the identity of the whistleblower, the person to whom the report relates and the third party identified in the notification is protected. The protection of confidentiality applies to information from which the identity of such persons can be directly or indirectly established. Therefore, persons authorized to receive and manage notifications will need to be duly authorized to process personal data.

• possibility of authorizing an external entity to carry out obligations imposed by the Act

In such cases, it will be necessary to conclude an agreement in which the organization involved delegates the handling of the receipt of the reports, the acknowledgement of the receipt of the reports, the provision of feedback and the provision of information on the internal procedure with technical and organizational solutions ensuring the compliance of these activities with the projected Act. However, concluding such an agreement will not release the organization from liability for failure to fulfil its obligations. It will also be necessary to regulate the issue of personal data processing, as the external entity will be a separate personal data controller.

• possibility of sharing resources for receiving and verifying reports and conducting internal investigations

This option is particularly desirable in capital groups, but the Act permits it only in the case of private entities employing up to 249 persons. It will then be possible to conclude an agreement under which the entities will share resources with respect to receiving and verifying reports and conducting internal investigations. The condition is to ensure compliance of the activities performed with the Act.

• keeping a register of internal reports

Each entity authorized to implement the Internal Procedure will be required to maintain a register of internal reports (or to authorize an external entity to do so). The basis for entry in such a register will be each internal report. The register will contain: (i) the number of the internal report, (ii) information about the breach, (iii) the date on which the internal report was made, (iv) the follow-up action taken and (v) the date on which the case was closed. The data in the register, under the amended Act, will be kept for a maximum period of 12 months from the date of completion of the follow-up actions.

7. What is meant by the follow-up actions?

The Act clearly defines the concept of follow-up actions, which should be understood as any action undertaken by the entity receiving and managing the report of a potential breach of law. As part of such actions, it will be necessary to assess the truthfulness of the allegations contained in the report and verify them, e.g. to conduct explanatory proceedings, initiate control or administrative proceedings, file a notice on a reasonable suspicion that a crime has been committed. Follow-up actions are also any activity aimed at recovering funds or closing an internal procedure of reporting violations of law and taking further actions introduced internally (e.g. taking appropriate measures against verified offenders, proportionate to the circumstances of the breach of law and subject to the measures available to the organization).

8. By what means can an external report be made and which entity will be authorized to receive it?

Each whistleblower will be entitled to make an external report bypassing the Internal Procedure, which, however, should contain practical information about the possibility of making such external report. The Act provides detailed conditions for making external reports. An external report on breach of law could be addressed - an option which has been made available in the Act - to the Polish Ombudsman or another public authority, which, within the meaning of the Act, is: (i) chief and central government administration bodies, (ii) other state bodies (iii) executive bodies of local government units, (iv) regional chambers of audit, (v) Chief of General Staff of the Polish Army, (vi) Chief Fire Officer, and (viii) Office of the Financial Supervision Authority. External reports could also be made orally, in writing or electronically.

The Polish Ombudsman will be obliged to implement a procedure for receiving notifications in all statutory fields, and other public bodies, within the scope of their activity. The Ombudsman will accept external reports on breaches of law, carry out their preliminary verification (i.e. determine whether the notification concerns information on breach of law and by which public body it must be examined) and forward them to the relevant public body to undertake appropriate follow-up action. In addition, these entities will be obliged to publish on their websites in the Public Information Bulletin accessible and practical information for whistleblowers who want to make such an external report.

The procedure for an external report will follow the same rules as for an internal report, which has been further specified in the Act, and will include: (i) performing a preliminary verification of the external report; (ii) accepting the external report - where the report relates to breaches falling within the remit of the public body; (iii) forwarding the external report immediately, but no later than within 14 days of notification, to the public body competent to take a follow-up action - where the report relates to violations in the field not falling within the scope of responsibilities of the authority and informs the whistleblower thereof; (iv) taking a follow-up action; and (v) providing feedback to the whistleblower. Entities entitled to receive external reports will be required to keep appropriate registers of external reports.

Consideration of an external report should take place within 3 months from the date of its receipt, and in particularly justified cases, this deadline may be extended up to 6 months, of which the whistleblower must be informed accordingly.

The entities authorized to receive external reports will be required to draw up an annual report on the receipt and handling of external reports.

9. When will it be possible to make a public disclosure?

A whistleblower will be covered by statutory protection in the case of public disclosure of a breach of law if he/she first makes an internal and then an external report and does not receive such information within the determined deadline or if the appropriate follow-up actions are not taken. Alternatively, the whistleblower will immediately file an external report (bypassing the internal path) and the entity authorized to receive and process the external report has not responded. At the same time, the whistleblower will have fulfilled all his/her obligations related to submitting the report, in particular he/she will provide contact data to the relevant entities.

What does it mean if the follow-up action is considered inappropriate?

The assessment of whether the follow-up action is appropriate must take into account, in particular, the steps taken to verify the information on breach of law, the correctness of the assessment of the information on breach of law and the adequacy of the measures taken following the breach, including, where appropriate, to prevent further breaches, having regard to the gravity of the breach. It will all depend on the facts of the public disclosure in question.

10. What sanctions does the Act provide for?

1. Obstructing or attempting to obstruct submission of a report on breach of law will be punishable by a fine or a restriction of liberty under the general rules,
2. If violence, threat or deceit is used to obstruct submission of a report, the likely sanctions could include any of the following: a fine, restriction of liberty or imprisonment of up to 2 years,
3. Committing retaliation will be punishable by a fine, a restriction of liberty or imprisonment of up to 2 years,
4. If two or more retaliatory actions are taken against the whistleblower, then such actions will be sanctioned with imprisonment of up to 3 years,
5. Breach of the duty to keep confidential the identity of the person who made the report will be punishable by a fine, restriction of liberty or imprisonment of up to one year.
6. Failure to comply with the obligation to establish an Internal Procedure will be subject to a fine, under the general rules.

At the time of publication of this alert, the proposed Act in its current form is at the examination stage, after which it will be referred to the relevant Committees of the Council of Ministers and then to Parliament for debate. According to press information, the Act will be debated in Parliament in the second quarter of this year.

A dedicated team from Taylor Wessing's Warsaw office is monitoring works on the enactment of the Act and provides assistance and supports in fulfilling obligations related to the implementation of the relevant legal instruments.

Q&A – Projekt ustawy z dnia 6 kwietnia 2022 r. w sprawie ochrony osób zgłaszających naruszenia prawa

Wiele już zostało napisane na temat wyczekiwanej od minionego roku ustawy o ochronie osób zgłaszających naruszenia prawa („Ustawa”), czyli o ochronie tzw. sygnalistów, której termin implementacji minął 17 grudnia 2021 r. Oczekiwana Ustawa ma na celu transpozycję postanowień Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. We wtorek, 12 kwietnia na stronie Rządowego Centrum Legislacji opublikowano najnowszy projekt Ustawy.

Główne obszary projektowanej Ustawy obejmują: (i) wskazanie warunków, w których sygnaliści zostaną objęci ustawową ochroną, (ii) uregulowanie środków ochrony przysługujących sygnalistom, (iii) wprowadzenie zasad ustalania wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych, (iv) określenie zasad zgłaszania naruszeń prawa do RPO bądź innego organu publicznego, (v) określenie zasad publicznego ujawniania przypadków naruszenia prawa oraz (vi) określenie właściwości organów publicznych w sprawach zgłaszania naruszeń prawa i podejmowania działań następczych.

Poniżej przedstawiamy dziesięć najważniejszych pytań jakie postawi przed sobą każda organizacja zobowiązana do wypełnienia obowiązków projektowanej Ustawy:

1. Jakie obszary mogą być przedmiotem zgłoszenia naruszenia prawa?

Projektowana Ustawa nie modyfikuje istotnie zakresu przedmiotowego i wskazuje na piętnaście obligatoryjnych obszarów, które mogą stanowić podstawę naruszenia prawa poprzez działanie lub zaniechanie potencjalnego sprawcy i obejmują one: (i) zamówienia publiczne, (ii) usługi, produkty i rynki finansowe, (iii) przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu, (iv) bezpieczeństwo produktu i zgodność z wymogami, (v) bezpieczeństwo transportu, (vi) ochronę środowiska, (vii) ochronę radiologiczną i bezpieczeństwo jądrowe, (viii) bezpieczeństwo żywności i pasz, (ix) zdrowie i dobrostan zwierząt, (x) zdrowie publiczne, (xi) ochronę konsumentów, (xii) ochronę prywatności i danych osobowych, (xiii) bezpieczeństwo sieci i systemów teleinformatycznych, (xiv) interesy finansowe RP oraz UE, a także (xv) rynek wewnętrzny UE, w tym unijne zasady konkurencji i pomocy państwa oraz opodatkowania osób prawnych. W tych obszarach bezsprzecznie będzie można dokonać zgłoszenia na mocy przepisów projektowanej Ustawy.

Czy będzie możliwe rozszerzenie zakresu przedmiotowego?

Tak, istotną zmianą w aktualnym projekcie Ustawy jest fakt, że na podstawie postanowień wewnętrznej procedury każdego uprawnionego podmiotu, będzie można objąć możliwością zgłaszania naruszenia prawa także w innych obszarach, np. postępowanie niezgodne ze standardami etycznymi czy zgłoszenie naruszeń prawa we wszystkich kwestiach dotyczących spraw z zakresu prawa pracy, w szczególności takich jak nierówne traktowanie, mobbing czy dyskryminacja, a także inne, nieskodyfikowane obszary jak prześladowanie lub inne nieetyczne zachowania bądź działania niezgodne z zasadami współżycia społecznego w miejscu pracy. Podmioty uprawnione będą mogły dowolnie wewnętrznie rozszerzyć katalog przedmiotowy w zależności od potrzeb organizacyjnych.

2. W jakich obszarach nie będzie można zgłosić potencjalnego naruszenia prawa?

Przedmiotem zgłoszenia w żadnym wypadku nie będą mogły być: (i) informacje niejawne, (ii) informacje objęte tajemnicą zawodową – medyczną lub prawniczą, w tym tajemnicą narady sędziowskiej, (iii) informacje uzyskane w toku postępowania karnego prowadzonego z wyłączeniem jawności oraz (iv) naruszenia prawa w zakresie zamówień publicznych w dziedzinach obronności i bezpieczeństwa.

3. Kto będzie mógł zostać sygnalistą?

Na gruncie projektowanej Ustawy praktycznie każda osoba fizyczna, która w kontekście związanym z pracą, w tym także przed nawiązaniem stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji albo dostarczania towarów, lub gdy taki stosunek już ustał uzyska informację o potencjalnym naruszeniu prawa będzie mogła korzystać z ochrony przyznanej sygnaliście, przy spełnieniu ustawowych przesłanek. Projektowana Ustawa wskazuje osoby zatrudnione na różnej podstawie prawnej (m.in. umowa o pracę, umowa cywilnoprawna, umowa o pracę tymczasową) na każdym szczeblu hierarchii organizacyjnej (od praktykanta i stażysty po akcjonariusza czy wspólnika). Co ciekawe, Ustawa będzie miała zastosowanie także do żołnierzy zawodowych oraz funkcjonariuszy służb publicznych (np. Policji, CBA czy ABW).

Kiedy sygnaliście będzie przysługiwać ustawowa ochrona?

Jeżeli dokona zgłoszenia w dobrej wierze, czyli będzie miał uzasadnione podstawy by sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa.

Czy wprowadzona zostanie ochrona przed nieuzasadnionymi zgłoszeniami?

Tak, przede wszystkim zła wiara sygnalisty wyłącza możliwość objęcia go ustawową ochroną. Jeżeli zgłoszenie / ujawnienie jest świadomie nieprawdziwe, to osoba która poniosła z tego tytułu szkodę uprawniona będzie do dochodzenia od sygnalisty odszkodowania w wysokości co najmniej przeciętnego wynagrodzenia w sektorze przedsiębiorstw, obowiązującego w dniu dokonania zgłoszenia lub ujawnienia publicznego. Obwieszczenie w sprawie takiego przeciętnego wynagrodzenia ogłaszane jest co miesiąc przez Prezesa GUS, w lutym 2022 r. wyniosło 6220,04 PLN.

Co więcej, świadome dokonanie zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji lub pomoc w dokonaniu zgłoszenia nieprawdziwych informacji, podlegać będzie grzywnie, karze ograniczenia wolności lub pozbawienia wolności do lat 3.

4. Jakie środki ochrony będą przysługiwać sygnaliście?

Wobec sygnalisty nie będą mogły być podejmowane jakiekolwiek działania odwetowe ani nawet próby lub groźby ich zastosowania w następstwie zgłoszenia potencjalnego naruszenia prawa. Dotyczy to w szczególności zakazu wyciągania jakichkolwiek negatywnych konsekwencji prawnopracowniczych (w szczególności zakazu wypowiedzenia stosunku pracy, obniżenia wynagrodzenia, negatywnej oceny postawy i efektów pracy czy jakiejkolwiek formy nieuzasadnionego nierównego traktowania). Jeżeli sygnalista nie jest pracownikiem zakaz podejmowania działań odwetowych obejmuje zakaz wypowiedzenia, odstąpienia czy rozwiązania bez wypowiedzenia łączącej strony umowy, a także zakaz nakładania dodatkowych obowiązków czy pozbawiania uprawnień. Wyjątkiem będzie sytuacja, gdy pracodawca lub kontrahent stosujący takie działania wykaże obiektywne i uzasadnione przesłanki do podjęcia takich działań.

Dokonanie zgłoszenia o potencjalnym naruszeniu prawa nie może stanowić podstawy do wszczęcia postępowania dyscyplinarnego lub dochodzenia roszczeń z tytułu odpowiedzialności za szkodę, naruszenia praw innych osób, w szczególności zniesławienia, naruszenia dóbr osobistych, praw autorskich, zasad ochrony danych osobowych czy tajemnicy przedsiębiorstwa.

Postanowienia aktów prawnych i umów, na podstawie których świadczona jest praca, w zakresie wyłączającym uprawnienia sygnalisty, będą nieważne z mocy prawa.

Sygnalista wobec którego dopuszczono się działań odwetowych będzie uprawniony do otrzymania odszkodowania w pełnej wysokości.

Co istotne, osoba pomagająca sygnaliście w dokonaniu zgłoszenia lub osoba powiązana z sygnalistą będzie objęta ustawową ochroną przyznaną sygnalistom. Dotyczy to także osób prawnych i innych jednostek organizacyjnych nieposiadających osobowości prawnej.

5. Kto i w jakim terminie będzie zobowiązany do wdrożenia wewnętrznej procedury zgłaszania naruszenia prawa?

Projektowana Ustawa w stosunku do poprzedniego projektu znacząco wydłuża termin na wypełnienie ustawowych obowiązków:

1. i. organizacje zatrudniające min. 250 osób,
2. ii. podmioty wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska – niezależnie od liczby zatrudnionych,
3. iii. jednostki organizacyjne gmin powyżej 100 000 mieszkańców,
4. iv. Rzecznik Praw Obywatelskich i pozostałe organy publiczne,
   – w ciągu 3 miesięcy od wejścia w życie Ustawy
5. v. organizacje, zatrudniające od 50 do 249 osób
   – do 17 grudnia 2023 r.
6. vi. organizacje zatrudniające do 49 osób będą mogły wdrożyć taką procedurę dobrowolnie.

6. O czym należy pamiętać przy wdrożeniu wewnętrznej procedury zgłaszania naruszeń prawa („Procedura Wewnętrzna”)?

• o konsultacji tekstu Procedury Wewnętrznej i poinformowaniu o niej zatrudnionych:

Procedura Wewnętrzna będzie musiała być ustalona przez podmiot zobowiązany do jej wdrożenia w ustawowym terminie (patrz punkt 4, powyżej) i podlegać będzie uprzedniej konsultacji z wszystkimi zakładowymi organizacjami związkowymi działającymi w danej organizacji, a jeśli takich nie ma – wówczas należy skonsultować Procedurę Wewnętrzną z przedstawicielami osób świadczących pracę, którzy zostaną wyłonieni w trybie zwyczajowo przyjętym w danej organizacji.

Konsultacje z uprawnionymi podmiotami będą trwały nie krócej niż 7 dni i nie dłużej niż 14 dni od momentu przedstawienia tekstu Procedury Wewnętrznej.

Uzgodniona Procedura Wewnętrzna wejdzie w życie po upływie 2 tygodni od podania jej do wiadomości osobom wykonującym pracę, a każda nowozatrudniona osoba będzie musiała być zapoznana z taką Procedurą Wewnętrzną już na etapie przystąpienia do rekrutacji bądź negocjacji poprzedzających zawarcie umowy.

• o zawarciu obligatoryjnych postanowień

Każda Procedura Wewnętrzna będzie musiała zawierać następujące elementy: (i) ustalenie i wskazanie podmiotu uprawnionego do przyjmowania zgłoszeń, (ii) określenie sposobów, w jakich zgłoszenia będą przekazywane i procedowane, (iii) ustalenie i wskazanie bezstronnego podmiotu uprawnionego do weryfikacji zgłoszenia i podejmowania działań następczych, w tym do przekazywania sygnaliście informacji zwrotnych, (iv) obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia w terminie 7 dni, (v) określenie działań następczych, jakie mogą być podejmowane w obrębie danej organizacji, (vi) maksymalny termin na przekazanie sygnaliście informacji zwrotnej, max. 3 miesiące od daty potwierdzenia przyjęcia zgłoszenia, oraz (vii) przystępne i zrozumiałe informacje o możliwości dokonania zgłoszenia zewnętrznego do RPO lub innego organu publicznego.

• o sposobach przekazywania zgłoszeń naruszenia prawa

Projektowana Ustawa doprecyzowuje, że zgłoszenia naruszenia prawa mogą być przekazywane niemalże w każdej formie – ustnie, pisemnie oraz elektronicznie. Zgłoszenia mogą być dokonywane także telefonicznie lub za pośrednictwem pozostałych kanałów komunikacji głosowej. Wszelkie typy zgłoszeń muszą być należycie udokumentowane – w postaci dokładnego protokołu bądź nagrania zgłoszenia.

• o obowiązku przetwarzania danych osobowych zgodnie z prawem

Każdy zobowiązany podmiot musi zapewnić, by sposób przetwarzania danych osobowych w związku z dokonaniem zgłoszenia potencjalnego naruszenia prawa był zgodny z RODO i przede wszystkim uniemożliwił uzyskanie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom oraz zapewniały ochronę poufności tożsamości zgłaszającego, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób. Dlatego też osoby upoważnione do przyjmowania i zarządzania zgłoszeniami będą musiały posiadać stosowne upoważnienie do przetwarzania danych osobowych.

• o możliwości upoważnienia podmiotu zewnętrznego do realizowania obowiązków nałożonych projektowaną Ustawą

W takim przypadku konieczne będzie zawarcie umowy, w której obowiązana organizacja powierzy obsługę przyjmowania zgłoszeń, potwierdzanie przyjęcia zgłoszenia, przekazanie informacji zwrotnej oraz zapewnienie informacji na temat procedury wewnętrznej z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z projektowaną Ustawą. Jednakże zawarcie takiej umowy nie zwolni obowiązanej organizacji z odpowiedzialności za niezrealizowanie ciążących na niej obowiązków. Konieczne będzie także uregulowanie kwestii przetwarzania danych osobowych, bowiem zewnętrzny podmiot będzie odrębnym administratorem danych osobowych.

• o możliwości dzielenia się zasobami w zakresie przyjmowania i weryfikowania zgłoszeń oraz przeprowadzania postępowań wyjaśniających

Taka możliwość jest szczególnie pożądana w grupach kapitałowych, jednak projektowana Ustawa dopuszcza taką możliwość wyłącznie w przypadku podmiotów prywatnych zatrudniających do 249 osób. Wówczas będzie możliwe zawarcie umowy, na podstawie której podmioty podzielą się zasobami w zakresie przyjmowania i weryfikacji zgłoszeń oraz prowadzania postępowania wyjaśniającego. Warunkiem jest zapewnienia zgodności wykonywanych czynności z projektowaną Ustawą

• o prowadzeniu rejestru zgłoszeń wewnętrznych

Każdy podmiot uprawniony do wdrożenia Procedury Wewnętrznej zobowiązany będzie do prowadzenia rejestru zgłoszeń wewnętrznych (bądź upoważnienia zewnętrznego podmiotu do realizowania tego obowiązku). Podstawą wpisu do takiego rejestru będzie każde zgłoszenie wewnętrzne. Rejestr będzie zawierał: (i) numer wewnętrznego zgłoszenia, (ii) przedmiot naruszenia, (iii) datę dokonania wewnętrznego zgłoszenia, (iv) informację o podjętych działaniach następczych oraz (v) datę zakończenia sprawy. Dane w takim rejestrze, co zmieniło się w nowym projekcie Ustawy, przechowywane będą maksymalnie przez okres 12 miesięcy od dnia zakończenia działań następczych.

7. Co należy rozumieć przez działania następcze?

Projektowana Ustawa wyraźnie definiuje pojęcie działań następczych, przez które należy rozumieć każde działanie podjęte przez podmiot przyjmujący i zarządzający zgłoszeniem o potencjalnym naruszeniu prawa. W ramach takich działań konieczne będzie przeprowadzenie oceny prawdziwości zarzutów zawartych w zgłoszeniu oraz ich weryfikacja np. przeprowadzenie postępowania wyjaśniającego, wszczęcie kontroli lub postępowania administracyjnego, złożenie zawiadomienia o uzasadnionym podejrzeniu popełnienia przestępstwa. Działania następcze to także każda aktywność mająca na celu odzyskania środków finansowych lub zamknięcie wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania dalszych działań wprowadzonych wewnętrznie (np. wyciągnięcie stosownych konsekwencji wobec zweryfikowanych sprawców naruszenia, stosownie do stanu faktycznego okoliczności naruszenia prawa oraz możliwości danej organizacji).

8. W jakim trybie można dokonać zgłoszenia zewnętrznego i jaki podmiot będzie uprawniony do jego przyjęcia?

Każdy sygnalista będzie uprawniony do dokonania zgłoszenia zewnętrznego z pominięciem Procedury Wewnętrznej, która jednakże powinna zawierać praktyczne informacje o możliwości jego dokonania. Projektowana Ustawa przewiduje szczegółowe warunki dokonywania zgłoszeń zewnętrznych. Zewnętrzne zgłoszenie naruszenia prawa będą mogły być kierowane, co zostało rozszerzone w nowym projekcie ustawy, do Rzecznika Praw Obywatelskich lub innego organu publicznego, którymi w rozumieniu projektowanej Ustawy są: (i) naczelne i centralne organy administracji rządowej, (ii) pozostałe organy państwowe (iii) organy wykonawcze jednostek samorządu terytorialnego, (iv) regionalne izby obrachunkowe, (v) Szef Sztabu Generalnego Wojska Polskiego, (vi) Komendant Główny Straży Pożarnej oraz (viii) Urząd Komisji Nadzoru Finansowego. Zgłoszenia zewnętrzne również będą mogły być dokonywane ustnie, pisemnie lub elektronicznie.>

RPO zobowiązany będzie do wdrożenia procedury przyjmowania zgłoszeń wewnętrznych we wszystkich ustawowo wskazanych dziedzinach, zaś pozostałe organy publiczne, w zakresie ich przedmiotu działalności. RPO przyjmować będzie zgłoszenia zewnętrzne o naruszeniach prawa, dokonywać ich wstępnej weryfikacji (tj. ustalić czy zgłoszenie dotyczy informacji o naruszeniu prawa i przez jaki organ publiczny musi zostać rozpatrzona) oraz przekazywać właściwym organom publicznym do podjęcia stosownych działań następczych. Ponadto, podmioty te zostaną zobowiązane do umieszczenia na swoich stronach podmiotowych w Biuletynie Informacji Publicznej przystępnych i opublikowania praktycznych informacji dla sygnalistów chcących dokonać takiego zgłoszenia zewnętrznego.

Procedowanie zgłoszenia zewnętrznego odbywać się będzie na analogicznych zasadach do zgłoszenia wewnętrznego, co zostało doprecyzowane w projektowanej Ustawie, i obejmować będzie: (i) dokonanie wstępnej weryfikacji zgłoszenia zewnętrznego; (ii) przyjęcie zgłoszenia zewnętrznego – w przypadku gdy zgłoszenie dotyczy naruszeń w dziedzinie należącej do zakresu działania tego organu; (iii) przekazanie zgłoszenia zewnętrznego niezwłocznie, nie później jednak niż w ciągu 14 dni od dnia dokonania zgłoszenia, do organu publicznego właściwego do podjęcia działań następczych – w przypadku gdy zgłoszenie dotyczy naruszeń w dziedzinie nienależącej do zakresu działania tego organu oraz informuje o tym zgłaszającego; (iv) podejmowanie działań następczych oraz (v) przekazanie sygnaliście informacji zwrotnej. Podmioty uprawnione do odbierania zgłoszeń zewnętrznych będą zobowiązane do prowadzenia odpowiednich rejestrów zgłoszeń zewnętrznych.

Rozpatrzenie zgłoszenia zewnętrznego powinno nastąpić w ciągu 3 miesięcy od dnia przyjęcia takiego zgłoszenia, a w szczególnie uzasadnionych przypadkach, termin ten może być przedłużony do 6 miesięcy, o czym sygnalista musi zostać stosownie poinformowany.

Organy upoważnione do odbierania zgłoszeń zewnętrznych będą obowiązane do sporządzenia rocznego sprawozdania dotyczącego przyjęcia i rozpatrzenia zgłoszeń zewnętrznych.

9. Kiedy będzie możliwe dokonanie ujawnienia publicznego?

Sygnalista będzie objęty ustawową ochroną w przypadku publicznego ujawnienia naruszenia prawa, jeżeli uprzednio dokona zgłoszenia wewnętrznego, a następnie zewnętrznego i w terminie na przekazanie informacji zwrotnej takiej informacji nie uzyska bądź nie zostaną podjęte odpowiednie działania następcze. Alternatywnie sygnalista od razu dokona zgłoszenia zewnętrznego (z pominięciem wewnętrznej ścieżki) i organ uprawniony do przyjęcia i procedowania zgłoszenia zewnętrznego pozostanie bezczynny. Przy czym, sygnalista wypełni wszelkie ciążące na nim obowiązki związane z dokonaniem zgłoszenia, w szczególności udostępni stosownym podmiotom dane kontaktowe.

Kiedy działania następcze nie będą odpowiednie, co spowoduje objęcie ochroną sygnalisty dokonującego ujawnienia publicznego?

Ocena, czy działanie następcze jest odpowiednie, uwzględnia w szczególności czynności podjęte w celu zweryfikowania informacji o naruszeniu, prawidłowość oceny informacji o naruszeniu oraz adekwatność środków podjętych w następstwie stwierdzenia naruszenia, w tym, w odpowiednim przypadku, w celu zapobiegnięcia dalszym naruszeniom, z uwzględnieniem wagi naruszenia. Wszystko zależeć będzie od okoliczności faktycznych danego ujawnienia publicznego.

10. Jakie sankcje przewiduje projektowana Ustawa?

1. Utrudnianie lub usiłowanie utrudniania dokonania zgłoszenia podlegać będzie karze grzywny lub karze ograniczenia wolności na zasadach ogólnych,
2. Jeżeli przy utrudnianiu dokonania zgłoszenia stosuje się przemoc, groźbę lub podstęp, wówczas możliwa do zastosowania będzie kara grzywny, kara ograniczenia wolności lub kara pozbawienia wolności do lat 2,
3. Dopuszczenie się działania odwetowego podlegać będzie karze grzywny, karze ograniczenia wolności lub karze pozbawienia wolności do lat 2,
4. Jeżeli wobec sygnalisty podejmowane są co najmniej dwa działania odwetowe, wówczas czynności takie będą sankcjonowane karą pozbawienia wolności do lat 3,
5. Naruszenie obowiązku zachowania w poufności tożsamości osoby, która dokonała zgłoszenia, podlegać będzie karze grzywny, karze ograniczenia wolności lub karze pozbawienia wolności do roku.
6. Brak realizacji obowiązku ustanowienia Procedury Wewnętrznej podlegać będzie karze grzywny, na zasadach ogólnych.

W momencie publikacji niniejszego alertu, projekt Ustawy w obecnym kształcie znajduje się na etapie opiniowania, po czym zostanie przekazany do stosownych Komitetów Rady Ministrów, a następnie zostanie skierowany do procedowania w Sejmie. Według informacji prasowych, ustawa miałaby być procedowana w parlamencie w drugim kwartale bieżącego roku.

Dedykowany zespół warszawskiego biura kancelarii Taylor Wessing monitoruje przebieg prac nad uchwaleniem projektowanej Ustawy i służy pomocą oraz wsparciem w realizacji obowiązków związanych z wdrożeniem stosownych instrumentów prawnych.