Przepisy dotyczące „zgłoszeń naruszeń prawa oraz ochrony sygnalistów” a regulacje systemów zarządzania

/ Artykuły i informacje / Przepisy dotyczące „zgłoszeń naruszeń prawa oraz ochrony sygnalistów” a regulacje systemów zarządzania

Przepisy dotyczące „zgłoszeń naruszeń prawa oraz ochrony sygnalistów” a regulacje systemów zarządzania. (2022-10-06)

 

W dalszym ciągu trwają prace legislacyjne nad ustawą, której celem jest wprowadzenie przepisów krajowych niezbędnych do wykonania Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (link do dyrektywy). W dniu pisania niniejszego artykułu w dalszym ciągu nie widać końca tych prac, pomimo że zgodnie z przywołaną dyrektywą termin na wprowadzenie przepisów krajowych upłynął w dniu 17 grudnia 2021 r. Regulacje przedstawiane w kolejnych projektach lub propozycjach wzbudzają słuszne emocje, w szczególności wśród przedstawicieli dużych przedsiębiorstw, które będą zobowiązane w pierwszej kolejności do wdrożenia nowych regulacji. Jaki ostatecznie czas dostaną przedsiębiorstwa na wdrożenie stosownych rozwiązań zarówno technicznych jak i proceduralnych dowiemy się niestety dopiero z ostatecznej treści ustawy.

 

Niezależnie od ostatecznego wyglądu krajowych przepisów w tej materii chciałbym zwrócić uwagę, że regulacje te powinny mieć wpływ na część systemów zarządzania jakie funkcjonują w przedsiębiorstwach. Celowo użyłem słowa powinny, ponieważ to w jaki sposób regulacje systemów zarządzania będą powiązane z rozwiązaniami stanowiącymi odpowiedź na wymagania w zakresie zgłaszania nieprawidłowości oraz ochrony sygnalistów będzie zależało jak zawsze tylko i wyłącznie od postawy jaką przyjmą w tej materii przedsiębiorstwa. W niniejszym artykule chciałbym zwrócić uwagę na kilka istotnych kwestii, które należy rozważyć, jeśli chcemy zapewnić odpowiednią efektywność tych rozwiązań w kontekście skuteczności systemów zarządzania.

 

  1. Systemy zarządzania oparte na normach, w których wprost są przedstawione wymagania w odniesieniu do zarządzania zgłoszeniami nieprawidłowości oraz ochrony praw sygnalistów.

    Najpopularniejszymi systemami zarzadzania, które spełniają przedstawiony warunek są:

    • System Zarządzania Działaniami Antykorupcyjnymi zgodny z wymaganiami normy ISO 37001

    • System Zarządzania Zgodnością – zgodny z wymaganiami normy ISO 37301

    • Odpowiedzialność społeczna SA8000

     

    Wśród wymagań norm określających te systemy zarządzania znajdują się jednoznaczne wymagania odnośnie zgłaszania nawet nie tyle rzeczywistych naruszeń co zgłaszania, w przypadku zaistnienia uzasadnionych podstaw, podejrzewanego naruszania obowiązujących regulacji w przedmiotowym danej normy. Do obowiązków organizacji, która te systemy, lub jeden z tych systemów wdraża lub utrzymuje i doskonali należą między innymi:

    • Zachęcanie i umożliwianie dokonywania zgłoszeń rzeczywistych lub podejrzewanych naruszeń zobowiązań zgodności;

    • Zapewnienie odpowiedniej świadomości personelu odnośnie kanałów i procesu zgłaszania oraz odnośnie ochrony, jaka jest zapewniana osobom dokonującym zgłoszenia;

    • Traktowanie zgłoszeń jako poufne, w celu ochrony tożsamości osoby zgłaszającej oraz innych osób zaangażowanych lub wymienionych w zgłoszeniu;

    • Zapewnienie wsparcia doradczego dla osób mających wątpliwości co mają zrobić w danej sytuacji, w której się znalazły;

    • Umożliwienie dokonywania zgłoszeń anonimowych;

    • Ochrona osób, które dokonują zgłoszenia (sygnalistów) przed odwetem, w tym w formie działań dyskryminacyjnych, dyscyplinarnych itp. np. ochrona przed groźbami i zastraszaniem, izolowaniem danej osoby, degradacją, uniemożliwieniem lub utrudnianiem awansu, przeniesieniem, zwolnieniem, tyranizowaniem, represjonowaniem oraz innymi formami nękania;

    • Przeprowadzanie przez kompetentne osoby, posiadające stosowne uprawnienia, rzetelnych i niezależnych ocen wpływających zgłoszeń oraz gdy jest to właściwe przeprowadzanie dochodzeń /badań;

    • Zapewnienie odpowiednich procedur raportowania wyników postępowań i dochodzeń z jednoczesnym zapewnieniem odpowiedniego poziomu poufności informacji;

    • Wykorzystanie wyników postępowań do doskonalenia swojego systemu zarządzania i jego skuteczności.

     

    W przypadku tych systemów zarzadzania istotnym będzie zapewnienie zgodności procesu zgłaszania nieprawidłowości, ochrony sygnalistów oraz prowadzenia postępowań dochodzeniowych przede wszystkim w odniesieniu do przepisów prawa, ale również w odniesieniu do odpowiednich wymagań norm w tej materii. Zaznaczyć należy, że jak w każdym systemie zarządzania przepisy prawa mają pierwszeństwo przed wymaganiami normy, w każdym przypadku, gdy stosowanie danej normy jest fakultatywne a nie obligatoryjne. Jeśli jednak celem organizacji będzie certyfikacja systemu zarządzania działaniami antykorupcyjnymi na zgodność z ISO 37001, systemu zarządzania zgodnością w odniesieniu do ISO 37301 czy certyfikacja systemu odpowiedzialności społecznej na zgodność z SA8000 to niezbędnym będzie wykazanie spełnienia wszystkich wymagań przedstawionych w przedmiotowej normie.

    2.  

  2. Systemy zarządzania, których zakres przedmiotowy jest wskazany lub przynajmniej powiązany z jedną lub większą ilością dziecin wykazanych w treści dyrektywy 2019/1937 lub mającej zastosowanie w tej materii polskiej ustawie (jeśli w końcu takowa zostanie ustanowiona).

    W ust. 1 art. 2 Dyrektywy 2019/1937 wskazany został zakres przedmiotowy stosowania przepisów wskazanych w tej dyrektywie. Należy zwrócić uwagę na fakt, że katalog dziedzin przedstawiony w dyrektywie może ulec rozszerzeniu w ramach przepisów krajowych. Czy tak się stało będziemy wiedzieli po opublikowaniu ostatecznej wersji polskiej ustawy.

    Dziedziny, które z punktu widzenia najpopularniejszych na rynku systemów zarządzania zgodnych z normami ISO (i podobnych) zostały przedstawione w zakresie przedmiotowym ustawy to:

    • Bezpieczeństwo produktów i ich zgodność z wymaganiami oraz ochrona konsumentów

      Te zagadnienia są ściśle powiązane z systemami zarządzania jakością w tym między innymi z ISO 9001, ISO 13485, ISO 22163, IATF 16949, AQAP, systemy ZKP i inne oraz zagadnienia dotyczące dobrych praktyk produkcyjnych np. ISO 22716.

    • Ochrona środowiska

      To zagadnienie jest powiązane z systemem zarządzania środowiskowego, w tym zgodnym z ISO 14001, ISO 50001 czy EMAS. Dodatkowo można do tego zakresu zaliczyć standardy odpowiedzialności społecznej, kładące nacisk na zarządzanie wpływami na środowisko naturalne (EcoVadis, BSCI, SMETA) oraz standardy zrównoważonej gospodarki (FSC, PEFC, RSPO, ASI, …).

    • Bezpieczeństwo żywności i pasz, zdrowia i dobrostanu zwierząt

      To zagadnienia powiązane z systemami takimi jak: HACCP, ISO 22000, GMP+, standardami „sieci handlowych”: BRC Food i IFS Food. Dodatkowo bezpieczeństwo żywności jest to zagadnienie tożsame z bezpieczeństwem produktów, stąd zastosowanie mogą mieć odpowiednie standardy jakościowe (te, których zastosowanie w branży spożywczej czy produkcji pasz ma racjonalne uzasadnienie).

    • Ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych

      To zagadnienie charakterystyczne dla standardów odnoszących się do zarządzania bezpieczeństwem informacji w tym przede wszystkim: ISO/IEC 27001, VDA ISA (TISAX ®) czy ISO 27701. Dodatkowo należy mieć na uwadze, że w tym zakresie zastosowanie mają inne przepisy prawa w tym w szczególności Rozporządzenie RODO (link do rozporządzenia) oraz mające zastosowanie przepisy krajowe. To właśnie w tych przepisach określone zostały zasady zgłaszania naruszeń ochrony danych osobowych do Organu Nadzorczego (UODO), która są przecież szczególnych przypadkiem naruszenia przepisów prawa UE, które są przedmiotem Dyrektywy 2019/1937.

     

    Jaki wpływ będzie miało wprowadzenie przepisów prawa krajowego dotyczących zgłaszania naruszeń oraz ochrony sygnalistów na funkcjonujące już systemy zarządzania?

    Praktycznie każdy system zarządzania, czy jest o tym wprost mowa w przedmiotowym standardzie czy nie, ma dwa podstawowe filary, które zapewniają jego odpowiednią skuteczność. Pierwszy istotniejszy to prewencja. System powinien dawać możliwość określenia i wdrożenia odpowiedzi na zagrożenia, które zapobiegną ich materializacji lub przynajmniej zredukują prawdopodobieństwo ich wystąpienia. Drugi filar dotyczy zapewnienia odpowiedniej odpowiedzi i reakcji w przypadku, jeśli dane niepożądane zdarzenie wystąpi, pomimo całego wysiłku jaki przez organizację został włożony w prewencję. To właśnie z działaniami zapewniającymi spełnienie przez systemy zarządzania ich reaktywnej roli powiązać należy działania wynikające z wymagań prawnych dotyczących zgłaszania naruszeń oraz ochrony sygnalistów.

     

    W ramach tej reaktywnej roli w większości systemów zarządzania funkcjonują procedury zgłaszania niezgodności oraz uruchamianych w ich konsekwencji postępowań w tym działań korekcyjnych i korygujących. Zgłoszone naruszenie w przedmiocie danego sytemu zarządzania, które zostało ocenione jako zasadne należy potraktować jako niezgodność. Spełniając wymagania prawa odnośnie reakcji na takie zgłoszenie należy jednocześnie zapewnić, że spełnione zostaną stosowne wymagania danej normy w odniesieniu do postępowania z niezgodnością oraz planowaniem, realizacją i oceną działań korygujących. Wskazane jest, aby albo sprowadzić to do jednego procesu albo zapewnić rozwiązania, które zapewnią odpowiednią efektywność działań prowadzonych niezależnie a w szczególności uniknąć realizacji tych samych działań w tym tworzenia tych samych dokumentów przez różne osoby odpowiedzialne za te dwa obszary. Bardziej problematycznym w takim przypadku będzie nie brak efektywności a sytuacje takie jak:

    • brak rekcji na niezgodność spełniającą wymagania danej normy lub co gorsza, kiedy postępowanie z niezgodnością będzie procesowane zgodnie z regulacjami systemowymi a niedopełnione zostaną wymagania prawne;

    • brak spójności pomiędzy działaniami zaplanowanymi i wdrażanymi w odniesieniu do zgłoszonego, zasadnego naruszenia będącego jednocześnie niezgodnością, w ramach danego systemu zarządzania. Nie będzie problemem, jeśli działania uruchomione w ramach dwóch procesów będą się uzupełniały i wzmacniały, źle będzie, gdy będą ze sobą sprzeczne lub osłabiały wzajemnie swoje planowane wyniki.

     

  3. Zapewnienie ochrony sygnalistów a system zarządzania bezpieczeństwem informacji w tym w szczególności system ochrony danych osobowych zgodny z Rozporządzeniem RODO oraz mającymi zastosowanie pozostałymi przepisami prawa.

    W celu zapewnienie poufności danych i ochrony sygnalistów oraz, jeśli w krajowych przepisach zostanie to wprowadzone, zapewnienia możliwości składania zgłoszeń anonimowych, niezbędne będzie zastosowanie odpowiednich zabezpieczeń i regulacji dotyczących bezpieczeństwa informacji.

     

    Niezależnie od tego czy dana organizacja ma wdrożony systemem zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 czy też nie, ma obowiązek spełnienia wymagań prawnych w zakresie ochrony danych osobowych. Kluczowym wymaganiem w tym zakresie jest oczywiście Rozporządzenie RODO. Należy zwrócić uwagę na fakt, że w odniesieniu do czynności przetwarzania danych osobowych osób dokonujących zgłoszenia naruszenia oraz osób trzecich wymienionych w zgłoszeniu, zapewnienie poufności danych tych osób wynika zarówno z regulacji przedstawionych w dyrektywie dotyczącej zgłaszania naruszeń oraz ochrony sygnalistów, jak również z Rozporządzenia RODO. W przypadku dyrektywy, wymagania te zostały przedstawione bardzo lakonicznie, z tego też względu w celu zapewnienia odpowiedniego poziomu bezpieczeństwa należy zastosować regulacje jakie zostały w organizacji wdrożone w ramach systemu ochrony danych osobowych. Należy zwrócić uwagę na fakt, że Rozporządzenie RODO koncentruje się nie tylko na poufności danych osobowych, ale również na pozostałych dwóch atrybutach bezpieczeństwa, czyli na dostępności oraz integralności informacji. Zapewnienie odpowiedniej dostępności i integralności danych w tym zakresie jest niezbędne w celu zapewnienia rozliczalności potwierdzającej spełnienie wymagań dyrektywy dotyczącej zgłaszania naruszeń oraz ochrony sygnalistów.

     

    Należy zwrócić również uwagę na fakt, że wśród wymagań Rozporządzenia RODO znajdują się również wymagania dotyczące obowiązku informacyjnego. Niezbędne jest, aby określając regulaminy zgłaszania naruszeń, zgłaszający naruszenie w sposób nie anonimowy mieli dostęp do informacji odnośnie przetwarzania ich danych osobowych. Dodatkowo osoby, które będą miały dostęp do danych osobowych sygnalistów oraz osób trzecich wymienionych w zgłoszeniu powinny mieć stosowne upoważnienie do przetwarzania danych osobowych. Jednymi słowy, w odniesieniu do tej nowej czynności przetwarzania należy zastosować wszystkie niezbędne regulacje wynikające z wymagań Rozporządzenia RODO.

 

Podsumowując, wdrażając rozwiązania z zakresu zgłaszania naruszeń i ochrony praw sygnalistów należy mieć na uwadze funkcjonujące w organizacjach rozwiązania w tym w szczególności dotyczące postępowania z niezgodnościami oraz działaniami korygującymi oraz regulacje dotyczące bezpieczeństwa danych osobowych. Należy mieć jednak na uwadze, że przedstawiony w Dyrektywie 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii (a przede wszystkim w krajowej ustawie wprowadzającej postanowienia dyrektywy), zakres przedmiotowy obejmuje nie tylko dziedziny, które są zagospodarowane przez funkcjonujące systemy zarządzania. Oznacza to, że w przypadku części przypadków zgłoszonych, zasadnych naruszeń niezbędne będzie dodatkowe spełnienie wymagań odpowiednich norm opisujących systemy zarządzania a w części (zapewne w większości przypadków) nie będzie to koniecznie. Wszystko zależy od tego jakiego rodzaju systemy zarządzania funkcjonują w danej organizacji i jakie zakresy one obejmują, np. system zarządzania działaniami antykorupcyjnymi może obejmować (jeśli tak uzna organizacja) dodatkowo zagadnienia dotyczące oszustw, wykroczeń kartelowych i innych antymonopolowych /przeciwko konkurencyjności, prania pieniędzy lub innych działań. Niezależnie jednak od organizacji i utrzymywanych przez nią systemów zarządzania, w każdym przypadku niezbędne będzie zastosowanie regulacji systemu ochrony danych osobowych w odniesieniu do osób składających zgłoszenia o naruszeniu oraz osób trzecich wymienionych w zgłoszeniu.

 

Rafał Malon


Back to Top