Sygnaliści – Działania następcze a przyjmowanie zgłoszeń

Aby ustalić czego ustawodawca wymaga w zakresie przyjmowania zgłoszeń i działań następczych (obsługi zgłoszeń) trzeba spojrzeć na kilka przepisów:

Art. 2

    1)     działaniu następczym –

należy przez to rozumieć działanie podjęte przez podmiot prawny lub organ publiczny

  • w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz
  • w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem zgłoszenia,

w szczególności przez

  • postępowanie wyjaśniające,
  • wszczęcie kontroli lub postępowania administracyjnego,
  • wniesienie oskarżenia,
  • działanie podjęte w celu odzyskania środków finansowych lub
  • zamknięcie procedury realizowanej w ramach wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych lub procedury przyjmowania zgłoszeń zewnętrznych i podejmowania działań następczych;

    4)     informacji zwrotnej –

należy przez to rozumieć przekazaną sygnaliście informację na temat planowanych lub podjętych działań następczych i powodów takich działań;

Art. 25

1. Procedura zgłoszeń wewnętrznych określa:

    1)     wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych;

 3)     bezstronną wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, upoważnione do podejmowania działań następczych, włączając w to

  • weryfikację zgłoszenia wewnętrznego i
  • dalszą komunikację z sygnalistą, w tym
    • występowanie o dodatkowe informacje i
    • przekazywanie sygnaliście informacji zwrotnej;

funkcję tę może pełnić wewnętrzna jednostka organizacyjna lub osoba, o których mowa w pkt 1, jeżeli zapewniają bezstronność;

W pierwszym rzędzie należy zauważyć, że w słowniczku ustawy działania następcze są wymienione przykładowo a nie wyczerpująco, potwierdza to art. 25 ust. 1 pkt 3 który do działań następczych zalicza przekazanie informacji zwrotnej (czyli informacji o działaniach następczych).

Ustawodawca pozwala przyjmowanie zgłoszeń przekazać na zewnątrz organizacji zaś rozpatrywanie (działania następcze) musi być prowadzone przez personel podmiotu prawnego (wewnątrz).

W praktyce najczęściej z przekazaniem na zewnątrz przyjmowania zgłoszeń będziemy mieli do czynienia w grupie spółek, gdzie kilka postanowi jedną upoważnić do przyjmowania zgłoszeń. W przypadku podmiotu niepowiązanego trudno sobie wyobrazić motywację zlecenia na zewnątrz takiej czynności jak przyjmowanie zgłoszeń.

Dedykowane aplikacje

Należy zauważyć, że korzystanie z dedykowanych kanałów zgłoszeń w postaci specjalnych aplikacji do przyjmowania i obsługi zgłoszenia, nie stanowi przekazania zadania przyjmowania zgłoszeń, chyba że pracownicy dostawcy tej aplikacji samodzielnie odbierali by zgłoszenia i następnie „ręcznie” przekazywali je do osób z wewnątrz organizacji powołanych do działań następczych. Samo korzystanie przez pracownika organizacji (podmiotu prawnego) z zewnętrznego narzędzia nie oznacza przekazania czynności na zewnątrz, analogicznie jeśli Kowalski korzysta ze skrzynki mailowej to nie znaczy, że wysyłanie/odbieranie maili zlecił dostawcy tego narzędzia – sam wysyła maile przy pomocy narzędzia. Również jeśli organizacja jako kanał ustaliła adres mailowy, to nie znaczy że zleciła do Microsoftu przyjmowanie zgłoszeń sygnalistów. Motyw 54 dyrektywy stanowiąc o tym, że można przyjmowanie zgłoszeń przekazać na zewnątrz przykładowo podaje, że można upoważnić dostawcę platformy, doradcę czy audytora a nawet związek zawodowy. Ale można też korzystać z pomocy dostawcy platformy, która polega na dostarczeniu kanału zgłoszeń jednocześnie nie upoważniając go do przyjmowania tych zgłoszeń.

(54) osoby trzecie upoważnione do przyjmowania zgłoszeń

Do przyjmowania zgłoszeń naruszeń w imieniu podmiotów prawnych w sektorze prywatnym i publicznym mogą również zostać upoważnione osoby trzecie, pod warunkiem że zapewniają należyte gwarancje poszanowania niezależności, poufności, ochrony danych i zachowania tajemnicy.

Takimi osobami trzecimi mogą być dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związków zawodowych lub przedstawiciele pracowników.

Art. 28 stanowi, że z osobą z zewnątrz upoważnioną do przyjmowania zgłoszeń należy podpisać umowę powierzenia.

Art. 28. Powierzenie przetwarzania

(Zw. z art. 25 ust. 1 pkt 1 i art. 2 pkt 1)

1. Upoważnienie podmiotu zewnętrznego, o którym mowa w art. 25 ust. 1 pkt 1, wymaga zawarcia umowy w celu powierzenia

  • obsługi przyjmowania zgłoszeń wewnętrznych,
  • potwierdzania przyjęcia zgłoszenia,
  • przekazywania informacji zwrotnej oraz
  • dostarczania informacji na temat procedury zgłoszeń wewnętrznych

z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą.

    2. Umowa, o której mowa w ust. 1, określa szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 rozporządzenia 2016/679.

Co ciekawe przepis ten niekonsekwentnie przekazanie informacji zwrotnej pozwala zlecić na zewnątrz mimo że zaliczył je do działań następczych a działania następcze pozwala podejmować jedynie wewnątrz organizacji. Wynika z tego, że przekazanie informacji zwrotnej jest jedynym działaniem następczym które można zlecić na zewnątrz, obok:

  • obsługi przyjmowania zgłoszeń wewnętrznych,
  • potwierdzania przyjęcia zgłoszenia,
  • dostarczania informacji na temat procedury zgłoszeń wewnętrznych (spełnienie OI),

przy tym potwierdzenie przyjęcia i spełnienie OI trudno kwalifikować do którejkolwiek z dwóch kategorii (przyjęcie i działania następcze) są to po prostu obowiązki informacyjne wobec sygnalisty.

Przepis ten stanowi lex specialis wobec regulacji rodo, ponieważ rodo nie każdego dostawcę usługi uznaje za procesora, procesorem nie jest dostawca usługi który identyfikuje własną podstawę legalizacyjną i wprost rodo wymienia takiego którego cele i sposoby zostały określone w prawie (zawody regulowane), ponadto wymienia spółki z grupy które mogą przetwarzać dane na prawnie uzasadnionym interesie w wewnętrznych celach administracyjnych. Art. 28 u.o.s. oznacza, że przekazanie funkcji przyjmowania zgłoszeń i w związku z tym przetwarzania danych dla tego celu zawsze wymaga umowy powierzenia.

Umowy powierzenia wymaga również zawarcie umowy z dostawcą aplikacji stanowiącej bezpieczny kanał zgłoszeń (usługą (uśude) nie jest przyjmowanie zgłoszeń tylko dostarczenie narzędzia do przyjmowania zgłoszeń, a zgłoszenia przyjmuje wewnętrznie organizacja przy pomocy zewnętrznego narzędzia), z tych samych powodów dla których na zasadzie powierzenia odbywa się korzystanie ze skrzynki mailowej czy chmury. Również jeśli w aplikacji są takie funkcjonalności jak możliwość ustawienia automatycznego potwierdzenia przyjęcia zgłoszenia, to ustawia to organizacja a nie upoważnia do takiego działania dostawcę, jeśli w tej aplikacji zamieszcza klauzulę informacyjną z u.o.s. to również robi to (dostarcza informacji) sama organizacja a nie dostawca aplikacji w jej imieniu.

Dedykowana aplikacja ma największą doniosłość praktyczną w przypadku organizacji, która decyduje się przyjmować zgłoszenia anonimowe, ponieważ zwykle ma funkcjonalność polegającą na tym, że sygnalista ma dostęp do punktu kontaktowego (i kanału komunikacji w obie strony) bez ujawniania własnych danych kontaktowych i identyfikacyjnych, poprzez unikalne dane autoryzacyjne (np. link i pin).

Radca prawny/adwokat jako zewnętrzny konsultant

Natomiast kontrowersyjnym zagadnieniem może się zdawać czy dopuszczenie w charakterze konsultanta zewnętrznego doradcy w osobie radcy prawnego czy adwokata do działań następczych wymaga umowy powierzenia. Jeśli ten zewnętrzny doradca nie wykonuje zawodu regulowanego to oczywiście tak, ale czy art. 28 u.o.s. stanowiący lex specialis na zasadzie a fortiori oznacza że skoro podzlecenie procesu przyjęcia zgłoszenia wymaga zawsze powierzenia to przekazanie danych w celu uzyskania pomocy przy rozpatrzeniu tym bardziej? Tego typu dylemat należałoby rozstrzygnąć przez wykładnię funkcjonalną stwierdzając, że byłby to absurd wynikający z błędu legislacyjnego żeby adwokata/radcę ustalać jako procesora dla jedynego typu klienta, który przekazuje dane sygnalisty przekazując zgłoszenie w celu uzyskania pomocy prawnej. Jednak taki dylemat w ogóle nie istnieje jeśli spojrzeć na art. 5 u.o.s.

Art. 5. Wyłączenia

1. Ustawy nie stosuje się do informacji objętych:

    1)     przepisami o ochronie informacji niejawnych oraz innych informacji, które nie podlegają ujawnieniu z mocy przepisów prawa powszechnie obowiązującego ze względów bezpieczeństwa publicznego;

    2)     tajemnicą zawodową zawodów medycznych oraz prawniczych;

W związku z tym udostępnienie adwokatowi/radcy danych osobowych zawartych w zgłoszeniu sygnalisty (czyli informacji objętych tajemnicą zawodową) następuje poza reżimem ustawy o ochronie sygnalistów, na zasadach ogólnych. Z przepisu tego wynika również norma stanowiąca, że radca/adwokat nie podlega ochronie (ustawy nie stosuje się) jeśli zgłosiłby naruszenie, o którym dowiedział się wykonując zawód, czyli pracując lub wykonując usługę (pomoc prawną) na rzecz organizacji. Oczywiście dostrzeżone naruszenia radca/adwokat ma wręcz obowiązek zgłaszać organizacji której świadczy usługi (na tym polega pomoc prawna i przeciwko swojemu klientowi – pracodawcy, usługobiorcy – nie działa tajemnica zawodowa) ale poza reżimem ustawy, bez korzystania z kanałów zgłoszeń, czyli bezpośrednio najwyższemu kierownictwu a nie osobom powołanym do przyjmowania zgłoszeń. Nie korzysta również z praw przewidzianych ustawą gdyby dokonał zgłoszenia zewnętrznego czy ujawnienia publicznego.

Najwyższe kierownictwo w zespole do przyjmowania/działań następczych

Na marginesie można powiedzieć, że również w reżimie ustawy informacja o naruszeniu jest ostatecznie przeznaczona dla najwyższego kierownictwa co jest oczywiste (ponieważ ono korzystając z wyników postępowania wyjaśniającego osób powołanych do działań następczych, podejmuje decyzję jak załatwić sprawę) i o czym świadczy motyw 56 dyrektywy, który tak mówi o najwłaściwszych osobach do przyjmowania zgłoszeń i działań następczych: „W przypadku mniejszych podmiotów funkcja ta może być podwójną funkcją sprawowaną przez osobę odpowiedzialną za określone zadania w przedsiębiorstwie, której stanowisko umożliwia zgłaszanie naruszeń bezpośrednio dyrektorowi organizacji”. Dalej jako osobę najwłaściwszą do przyjmowania/działań następczych motyw ten proponuje członka zarządu. Z powyższego wynika, że zgłoszenia wewnętrzne są przewidziane głównie dla sytuacji kiedy sygnalista dostrzega naruszenie dokonywane przez kogoś z personelu niższego szczebla czyli współpracownika czy szefa któregoś działu, natomiast jeśli dostrzega naruszenie samego kierownictwa korporacji, to właściwą reakcją jest zgłoszenie zewnętrzne.

Zgłoszenie gdy podejrzany jest zarząd lub osoby do obsługi zgłoszeń

Ewentualnie jeśli struktura danego podmiotu prawnego przewiduje organ nadzorczy jak rada nadzorcza czy organ stanowiący/właścicielski (lub jego pełnomocnika), to tam może zgłosić sygnalista naruszenie dokonane przez najwyższy organ wykonawczy (zarządczy), niezależnie od przewidzianych kanałów zgłoszeń, stąd też ustawa przewiduje, że na żądanie sygnalisty zawsze musi odbyć się spotkanie jako sposób zgłoszenia. Jeśli uwzględniając hierarchię podmiotu prawnego i istniejące zależności, sygnalista stwierdza że nie ma szans na bezstronne załatwienie sprawy, pozostaje mu zgłoszenie zewnętrzne, które w przeciwieństwie do ujawnienia publicznego, nie jest obarczone żadnymi warunkami, a więc zależy od przekonania sygnalisty, co będzie skuteczne (tu trzeba odnotować, że przepisów o zgłoszeniu zewnętrznym i ujawnieniu publicznym nie stosuje się do naruszeń wykraczających poza ustawowe minimum – art. 3 ust. 2 zd. 2). Z tego względu wydaje się, że należy rekomendować, nieco wbrew motywowi 56, żeby osoby powołane do przejmowania lub działań nadzorczych nie były zbyt blisko zarządu, aby sygnalista miał przekonanie, że jeśli zgłosi naruszenie dokonane przez zarząd, to wyniki postępowania wyjaśniającego trafią do osób kontrolujących zarząd czyli do właścicieli w sensie ekonomicznym, a zarząd nie będzie miał na to wpływu.

Podobnie jeśli podejrzane są osoby do obsługi zgłoszeń, oczywiście zgłoszenie nie powinno być składane do nich (ulegają wyłączeniu) tylko do zarządu.

Pewną dodatkową wątpliwość może tu wprowadzić art. 16 dyrektywy: „1. Państwa członkowskie zapewniają, by tożsamość osoby dokonującej zgłoszenia nie została ujawniona – bez wyraźnej zgody tej osoby – żadnej osobie, która nie jest upoważnionym członkiem personelu właściwym do przyjmowania zgłoszeń i podejmowania w związku z nimi działań następczych.”. Czy w takim razie jeśli zarząd wskaże inne osoby niż członków zarządu do działań następczych, to informacja o zgłoszeniu w tym dane sygnalisty nie mogą trafić do zarządu? Jednak na to pytanie należy dopowiedzieć w ten sposób: skoro zarząd może siebie ustanowić do przyjmowania zgłoszeń i działań następczych, to tym bardziej jest uprawniony do odebrania wyników działań następczych od osób które ustanowił w tym celu, a poza tym istotą działań następczych jest przeciwdziałanie naruszeniu prawa będącemu przedmiotem zgłoszenia, a takie działania można podjąć na najwyższym szczeblu. Ponadto z samego charakteru czynności prawnej upoważniającej wynika, że nie można upoważnić do czegoś do czego samemu nie ma się prawa. Jedyną okolicznością która to wyłącza jest konflikt interesów polegający na tym, że zgłoszenie dotyczy upoważniającego (zarządu) – brak bezstronności wymaganej przez art. 25 ust. 1 pkt 3, który dotyczy wprawdzie upoważnionego ale norma która z niego wynika dotyczy również upoważniającego. Oceny tej nie zmienia

Art. 27. Gwarancja upoważnienie tajemnica

1. Podmiot prawny gwarantuje, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.

    2. Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.

ponieważ przepis ten nie dotyczy upoważniającego podmiotu prawnego (jego organu operacyjnego jak zarząd w spółce kapitałowej) tylko upoważnionego personelu. Podobnie na gruncie prawa ochrony danych osobowych zarząd nie potrzebuje upoważnienia (ado nie upoważnia sam siebie; organ jest składnikiem osobowości osoby prawnej) do przetwarzania danych osobowych tylko upoważnia personel zgodnie za zakresem kompetencji tego personelu, sam będąc kompetentnym we wszystkich procesach co do których upoważnia (oczywiście na gruncie rodo w ogóle nie potrzeba upoważnienia pisemnego).

Rejestr zgłoszeń

Jak stanowi art. 29 podmiot prawny może upoważnić osobę przyjmującą zgłoszenia lub dokonującą działań następczych do prowadzenia rejestru zgłoszeń. W tym zakresie odsyła do art. 25 ust. 1 pkt 1 lub 3 – pkt 1 mówi również o osobach z zewnątrz upoważnionych do przyjmowania (podmiocie który może być jedno lub wieloosobowy). Natomiast do prowadzenia rejestru można wykorzystać narzędzie dostarczone przez zewnętrznego dostawcę, zwykle aplikacja do przyjmowania i obsługi zgłoszeń stanowi jednocześnie rejestr, ponieważ gromadzi wymagane przez art. 29 dane.

Art. 29. Rejestr zgłoszeń

1. Podmiot prawny:

    1)     prowadzi rejestr zgłoszeń wewnętrznych;

    2)     jest administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych.

    2. Podmiot prawny może upoważnić wewnętrzną jednostkę organizacyjną lub osobę, o których mowa w art. 25 ust. 1 pkt 1 lub 3, do prowadzenia rejestru zgłoszeń wewnętrznych.

Czyli przykładowo kilka spółek z grupy może wyznaczyć jedną do przyjmowania, przekazania informacji zwrotnej, spełnienia OI i prowadzenia rejestru i to wszystko może być również przy wykorzystaniu aplikacji od zewnętrznego dostawcy, który zbudował ją na chmurze od jeszcze innego dostawcy, na gruncie prawa ochrony danych osobowych zajdzie relacja: ado – proc – subproc – subproc.

Należy zauważyć że rejestr elektroniczny jest zasobem, a art. 28 ust. 3 stanowi:

3. Podmioty prywatne, na rzecz których wykonuje pracę zarobkową co najmniej 50, lecz nie więcej niż 249 osób, mogą na podstawie umowy ustalić wspólne zasady dotyczące przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz prowadzenia postępowania wyjaśniającego, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą. Przepisy art. 23 ust. 1 i 2 stosuje się odpowiednio.

Jednakże błędem byłoby tu wnioskowanie a contrario że nie można powierzyć procesu prowadzenia rejestru przy wykorzystaniu zasobu jakim jest rejestr el. Nie ma tu żadnej wspólności zasobów ani zasad. Dochodzi do powierzenia procesu na zasadach ogólnych. Ale nawet gdyby spółki miały wspólny rejestr co miałoby odzwierciedlenie na gruncie rodo w instytucji współadministrowania to u.o.s. nie stoi temu na przeszkodzie, ponieważ istnieje obowiązek wykładni prounijnej a dyrektywa w art. 8 ust. 6 mówi wprost, że:

6. Podmioty prawne w sektorze prywatnym zatrudniające od 50 do 249 pracowników mogą dzielić się zasobami w zakresie przyjmowania zgłoszeń i wszelkich prowadzonych postępowań wyjaśniających. Pozostaje to bez uszczerbku dla obowiązków nałożonych na te podmioty przez niniejszą dyrektywę w zakresie zachowania poufności, przekazywania informacji zwrotnych oraz zaradzenia naruszeniu będącemu przedmiotem zgłoszenia.

Co prawda art. 25 dyrektywy stanowi, że państwo członkowskie może przyjąć przepisy korzystniejsze dla praw sygnalistów, ale wykluczenie korzystania ze wspólnych zasobów korzystnie na prawa sygnalistów nie wpływa stąd należy uznać, że nie jest to zakres zastosowania art. 25.

Decyzja w sprawie przypisania zadań

Redagując procedurę organizacja musi m.in. podjąć decyzję co do osób:

  • przyjmujących zgłoszenia
  • dokonujących działań następczych.

Nie musi ich definiować przez imię i nazwisko ale powinny być zdefiniowane przez funkcję, np. informatyk, kierownik działu compliance itd. Osoba przyjmująca może jedynie pełnić funkcję techniczną przekazania zgłoszenia do merytorycznej osoby powołanej do działań następczych, ale może być też tak, że osób do działań następczych będzie tyle ile obszarów naruszeń które może zgłaszać sygnalista. W takim razie osoba przyjmująca może mieć zadanie merytoryczne wybrać osobę z wyznaczonych do działań następczych np. szefa działu odo jeśli zgłoszenie brzmi „nie ma wdrożonego rodo, klauzula dezinformuje”. Może być też tak że procedura postanowi, że kierownictwo (np. zarząd spółki, dyrektor szkoły) ad hoc będzie wybierało osoby do działań następczych.

Ze względu na niekonsekwencje w regulacjach ustawowych najlepiej i najbardziej naturalnie jest wyznaczyć jedną osobę do przyjmowania i działań następczych, ewentualnie do niej dobrać kilka osób do działań następczych lub postanowić o powoływaniu takich doraźnie. Powołanie osoby wyłącznie do przyjmowania zgłoszeń ma sens jeśli jest to połączone z koniecznością decydowania przez tę osobę komu przekazać sprawę do działań następczych, czyli jeśli osób do działań następczych jest wiele o różnych kompetencjach.

Procedura powinna też powtarzać normę wynikającą z ustawy, że zgłoszenie nie może trafić do osób, których dotyczy zgłoszenie (podejrzanych cechujących się brakiem bezstronności), chyba że taka jest wola sygnalisty, i wskazywać jako adresata zgłoszenia:

  • zarząd, jeśli przedmiotem zgłoszenia są osoby do obsługi zgłoszeń
  • osoby kontrolujące zarząd, jeśli przedmiotem zgłoszenia jest zarząd, czyli radę nadzorczą reprezentującą interesy spółki (wspólników w sensie ekonomicznym), albo samych wspólników jeśli nie ma rady nadzorczej.

Na koniec należy podkreślić, że procedura zgłoszeń wewnętrznych ma charakter głównie informacyjny, jest klauzulą informacyjną, natomiast prawo wynika z ustawy. Stąd brak procedury nie oznacza braku możliwości zgłoszeń, zakazu działań odwetowych, statusu sygnalisty itd., brak procedury oznacza jedynie odpowiedzialność zobowiązanych do ustanowienia procedury w podmiocie prawnym, na gruncie u.o.s. tę odpowiedzialność określa art. 58.

Inne artykuły z serii Sygnaliści

Sygnaliści a rodo

Sygnaliści – ustawa podpisana

Sygnaliści – podstawowe pojęcia

Sygnaliści – Przyjęcie procedury zgłoszeń wewnętrznych. Z kim konsultować.

Sygnaliści – jak liczyć 50 pracowników na podmiot prawny

Sygnaliści – obowiązek informacyjny