Pomimo upływu terminu na zaimplementowanie do polskich przepisów Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej „Dyrektywa”) projekt polskiej ustawy o ochronie osób zgłaszających naruszenia prawa wciąż jest na etapie opiniowania[1]. Co do zasady brak implementacji unijnych dyrektyw zawiesza ich stosowanie, co jednak nie będzie miało miejsca w przypadku przywołanej Dyrektywy. Jej przepisy w większości nie wymagają doprecyzowania, a stosownie do ugruntowanego orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej – jeżeli dane państwo nie dokona implementacji w odpowiednim terminie, jego obywatele mają prawo powoływać się bezpośrednio na unijne regulacje.
SZEROKI KRĄG PODMIOTÓW OBOWIĄZANYCH
Po 17 grudnia 2021 roku, w urzędach państwowych, urzędach samorządowych oraz w podległych im jednostkach, a także w podmiotach prywatnych (pracodawcy) zatrudniających powyżej 249 osób (w tym również w oparciu o umowy cywilnoprawne) przepisy Dyrektywy, a zatem i określone w niej obowiązki, będą miały zastosowanie bezpośrednio – tj. bez bufora w postaci ustawy, która mogłaby odpowiednio uregulować kwestie niejasne, dostosować je do krajowych standardów legislacyjnych lub takie, które unijny ustawodawca pozostawił do rozstrzygnięcia ustawodawcy krajowemu. Zgodnie z przepisami przejściowymi, w zakresie podmiotów prywatnych, te które zatrudniają od 50 do 249 osób będą obowiązane stosować przepisy od 17 grudnia 2023 roku.
W przypadku podmiotów prywatnych ilość zatrudnionych osób nie jest jedynym kryterium, które obliguje do stosowania przepisów Dyrektywy. Wskazanego progu nie stosuje się do pracodawców wykonujących działalność w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska (tj. działalności objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do Dyrektywy).
Oznacza to, że bez względu na ilość zatrudnionych osób obowiązki określone w Dyrektywie powinny zostać wdrożone m.in. przez tzw. instytucje obowiązane, których katalog znajduje się w art. 1 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej „Ustawa AML”).
Podmiotami, które powinny dostosować się do unijnej regulacji, bez względu na ilość zatrudnionych osób są m.in.: banki, krajowe instytucje płatnicze, firmy i fundusze inwestycyjne, zakłady ubezpieczeń, przedsiębiorcy prowadzący działalność kantorową, podmioty prowadzące działalność gospodarczą polegającą na świadczeniu usług w zakresie wymiany pomiędzy walutami wirtualnymi oraz walutami wirtualnymi i środkami płatniczymi, notariusze, adwokaci, radcowie prawni, doradcy podatkowi, przedsiębiorcy, których podstawową działalnością gospodarczą jest świadczenie usług polegających na sporządzaniu deklaracji, prowadzeniu ksiąg podatkowych, udzielaniu porad, opinii lub wyjaśnień z zakresu przepisów prawa podatkowego lub celnego, podmioty prowadzące działalność w zakresie usługowego prowadzenia ksiąg rachunkowych, przedsiębiorcy świadczący usługi polegające na tworzeniu spółek (osób prawnych lub jednostek organizacyjnych nieposiadających osobowości prawnej), przedsiębiorcy świadczący usług polegające na pełnieniu funkcji członka zarządu lub umożliwianiu innej osobie pełnienia tej funkcji lub podobnej funkcji, przedsiębiorcy świadczący usługi polegające na zapewnianiu siedziby, adresu prowadzenia działalności lub adresu korespondencyjnego oraz innych pokrewnych usług, pośrednicy w obrocie nieruchomościami, podmioty prowadzące działalność w zakresie gier losowych, przedsiębiorcy, którzy przyjmują lub dokonują płatności za towary w gotówce o wartości równej lub przekraczającej równowartość 10 000 euro (bez względu na to czy jest to pojedyncza transakcja, czy wiele powiązanych ze sobą transakcji), instytucje pożyczkowe, przedsiębiorcy zajmujący się obrotem działami sztuki.
Katalog podmiotów obowiązanych do wdrożenia przepisów Dyrektywy niezależnie od progu w postaci liczby zatrudnionych osób jest więc bardzo szeroki, a powyżej wymienione przykłady, stanowią jedynie określone przez Ustawę AML instytucje obowiązane (ponadto nie jest to wyliczenie zupełne – w art. 1 ust. 1 Ustawy AML znajduje się katalog wszystkich tych podmiotów). Dyrektywa wskazuje na jeszcze szerszy katalog podmiotów, niezwiązany z praniem pieniędzy i finansowaniem terroryzmu, a z działalnością związaną z bezpieczeństwem transportu i ochroną środowiska.
Na marginesie warto zaznaczyć, że w art. 53 Ustawy AML wprost określony jest obowiązek objęty materią niezaimplementowanej Dyrektywy.
OBOWIĄZEK WDROŻENIA REGULAMINU ZGŁOSZEŃ WEWNĘTRZNYCH
Głównym obowiązkiem dla podmiotów z sektora prywatnego, obowiązanych do stosowania przepisów Dyrektywy (i w związku z wcześniejszym powołaniem się na regulacje związane z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu należy zaznaczyć, że wskazujemy tutaj tylko obowiązki wskazane w Dyrektywie – zakres obowiązków dla instytucji obowiązanych określony w Ustawie AML jest znacznie szerszy) jest uzgodnienie z przedstawicielami pracowników (lub związkami zawodowymi) oraz wdrożenie procedury na potrzeby zgłoszeń wewnętrznych i działań następczych.
W projekcie polskiej ustawy procedura ta została nazwana Regulaminem zgłoszeń wewnętrznych.
Regulamin zgłoszeń wewnętrznych, to funkcjonujący wewnątrz organizacji pracodawcy, przyjęty przez pracodawcę lub jego organ zarządzający, dokument, który powinien ustanawiać tzw. kanały przyjmowania zgłoszeń wewnętrznych, czyli środków komunikacji zaprojektowanych, ustanowionych i obsługiwanych w sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia naruszenia prawa, które nastąpiło wewnątrz organizacji pracodawcy. Osoba zgłaszająca naruszenia często potocznie nazywana jest sygnalistą.
Krąg osób, które mogą uzyskać status sygnalisty również jest szeroki. Osobami dokonującymi zgłoszeń naruszenia prawa poprzez ustanowione kanały, mogą być m.in.: pracownicy, byli pracownicy, osoby ubiegające się o zatrudnienie, które uzyskały informacje o naruszeniu prawa w wyniku rekrutacji, osoby zatrudnione (świadczące prace) na podstawie umowy cywilnoprawnej, akcjonariusze, wspólnicy, stażyści, wolontariusze, członkowie organów w spółkach – a nawet kontrahenci. Istotnym kryterium, dla oceny czy osoba dokonująca zgłoszenia korzysta z ochrony przewidzianej dla sygnalistów, jest również stwierdzenie, czy owe naruszenie faktycznie istniało lub czy osoba dokonująca naruszenia mogła pozostawać w uzasadnionym przekonaniu o jego zaistnieniu. Statusu sygnalisty nie otrzymają osoby zgłaszające naruszenie w trybie innym niż przewiduje to Regulamin zgłoszeń wewnętrznych (zgłoszone na podstawie przepisów odrębnych np. zawiadomienie o możliwości popełnieniu przestępstwa skierowane bezpośrednio do prokuratury lub innego organu), osoby które zgłaszają naruszenia prawa, które godzi wyłącznie w prawa zgłaszającego, lub kiedy zgłoszenie następuje wyłącznie w jego indywidualnym interesie. Ponadto statusu sygnalisty nie otrzymają osoby, które są sprawcami naruszenia.
Zgodnie z definicją określoną w krajowym projekcie ustawy (która odpowiada definicji określonej w Dyrektywie) poprzez ustanowione kanały, sygnaliści dokonują zgłoszenia informacji o naruszeniu prawa. Należy przez to rozumieć informację, w tym uzasadnione podejrzenie, dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w organizacji pracodawcy, w której sygnalista pracuje lub pracował, lub w innej organizacji, z którą zgłaszający utrzymuje lub utrzymywał kontakt w kontekście związanym z pracą, lub dotyczącą próby ukrycia takiego naruszenia prawa.
Innymi obowiązkami podmiotów stosujących przepisy Dyrektywy są m.in. prowadzenie rejestru zgłoszeń, który zawiera informacje o rodzaju naruszeń oraz podjętych działaniach następczych.
Podmioty obowiązane do stosowania przepisów Dyrektywy obowiązane są zapewnić sygnalistom szczególną ochronę przed tzw. działaniami odwetowymi, z którymi sygnaliści mogliby się spotkać w związku z dokonaniem zgłoszenia. Do takich działań może należeć m.in. odmowa nawiązania stosunku pracy, rozwiązanie umowy, obniżenie wynagrodzenia, wstrzymanie awansu, zawieszenie pracownika itp. Katalog jest otwarty – tak naprawę każde zdarzenia, którego wpływ można ocenić jako negatywny, pogarszający sytuację sygnalisty może zostać uznany za działanie odwetowe. Dyrektywa niekiedy wprost wskazuje jakie środki należy podjąć w celu zapewnienia ochrony osobom zgłaszającym, regulując obowiązek wyznaczenia bezstronnych osób lub bezstronnych wydziałów właściwych do przyjmowania zgłoszeń oraz podejmowania działań następczych, w związku z przyjętym zgłoszeniem.
Działania następcze, to działania, które mają zostać podjęte w ramach organizacji pracodawcy i zmierzać do eliminacji naruszenia. O rodzaju i rezultacie podjętych działań następczych powinni być informowane osoby zgłaszające naruszenia. Sygnalista musi zostać poinformowany o tym, że jego zgłoszenie zostało przyjęte oraz o rezultacie – jakie działania zostały podjęte w celu eliminacji naruszenia prawa. To wszystko w sposób zapewniający anonimowość sygnalisty i jego bezpieczeństwo. I w tym kontekście warto zaznaczyć, Regulamin zgłoszeń wewnętrznych powinien zawierać również zrozumiałe i jednoznaczne informacje na temat trybu dokonywania zgłoszeń zewnętrznych do organów publicznych oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej. Dyrektywa, ale również projekt ustawy, wprowadzają instytucje zgłoszeń zewnętrznych i wyznaczają właściwe organy do ich przyjmowania. Na tę chwilę, w projekcie ustawy, organem centralnym, właściwym do przyjmowania zgłoszeń i przekazywania ich do innych właściwych rzeczowo organów jest Rzecznik Praw Obywatelskich (za wyjątkiem Prezesa Urzędu Ochrony Konkurencji i Konsumentów, który jest właściwy w zakresie zgłoszeń dotyczących naruszeń prawa z zakresu konkurencji i ochrony konsumentów). Oznacza to, że sygnalista ma możliwość skierowania zawiadomienia o naruszeniu prawa bezpośrednio do organu zewnętrznego niezależnie od możliwości dokonania zgłoszenia wewnętrznego (wewnątrz organizacji pracodawcy). To właśnie dlatego stworzenie wewnętrznych kanałów dokonywania zgłoszeń i ich promocja wśród osób zatrudnionych może być dla pracodawcy korzystna. Powzięcie informacji o naruszeniu prawa wewnętrznie oraz możliwość podjęcia działań następczych zmierzających do ich wyeliminowania we własnym zakresie, wydaje się pozostawać w jak najlepszym interesie podmiotu prywatnego.
MOŻLIWE RYZYKA I KONSEKWENCJE
Podmioty obowiązane do stosowania przepisów Dyrektywy, muszą liczyć się z tym, że w sytuacji, w której nie uwzględnią zgłoszenia sygnalisty (lub nie wdrożą systemu zgłoszeń wewnątrz organizacji, przez co sygnalista nie będzie miał możliwości dokonania zgłoszenia), ten – mogąc powołać się bezpośrednio na przepisy Dyrektywy, zakwestionuje np. rozwiązanie umowy, wskazując, że jest to wynik działań odwetowych, z powodu zgłoszenia przez niego naruszenia (którego w wyniku braku rejestru dokonywanych zgłoszeń nie będzie można w ogóle zarejestrować). Kolejną istotną kwestią jest ochrona tożsamości sygnalisty – bez właściwych kanałów dokonywania zgłoszeń nie będzie ona możliwa do zrealizowania, a zgodnie z Dyrektywą – jest ona obowiązkiem pracodawcy.
Projekt polskiej ustawy zawiera również szereg przepisów karnych, penalizujących m.in. utrudnianie dokonania zgłoszenia, podejmowania działań odwetowych, naruszenia zachowania poufności sygnalisty, oraz nieustanowienia wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych. Wyżej wskazane przestępstwa, zgodnie z projektem ustawy, mają grozić karą grzywny, ograniczenia wolności oraz pozbawienia wolności do lat 3. Projekt polskiej ustawy przewiduje również podobne zagrożenie karą dla sygnalisty, który dokonał zgłoszenia lub ujawnienia publicznego informacji nieprawdziwych.
[1] https://legislacja.rcl.gov.pl/projekt/12352401/katalog/12822845#12822845