Sygnaliści w administracji publicznej. Procedura dla pracodawcy

Wstęp

Zacznijmy od historii z życia wziętej.

Nowy Jork, lata 60. Frank Serpico, po ukończeniu akademii policyjnej, dostaje pierwsze przydziały. Trafia do jednostki, w której przyjmowanie łapówek i „dowodów wdzięczności” jest powszechne. On sam nie chce w tym uczestniczyć. Po pewnych czasie odkrywa, że korupcja ma charakter systemowy. Niebiorący łapówek policjanci stanowią mniejszość. Próbuje zainteresować problemem kierownictwo policji. Przez swoich mentorów przekazuje informacje wyżej, jednak nic się nie zmienia.

Usiłuje dotrzeć z sygnałami do burmistrza. Opisuje problem jednemu z jego współpracowników. I w tym przypadku rezultatów brak lub są niewielkie. Ostatecznie, wraz z uczciwymi kolegami, przekazuje informacje do prasy. To wywołuje szum. W jego wyniku burmistrz powołuje komisję śledczą, która ma wyjaśnić zarzuty, o których mówi policjant. Wkrótce po tym Frank Serpico zostaje ciężko ranny. Podczas próby aresztowania handlarza narkotyków, zostaje postrzelony w twarz, przy biernej postawie swoich kolegów. Po wyjściu ze szpitala Serpico zeznaje przed komisją i odchodzi z policji.

Już wtedy w Stanach Zjednoczonych narodziło się pytanie: jak nazywać osoby takie jak Frank Serpico?

Donosiciel? To brzmi bardzo negatywnie. Donosiciel to intrygant, który chce komuś zaszkodzić. Informator? Brzmi już trochę lepiej. Jednak motywacje informatorów też mogą być różne. Przykładowo policyjny informator to często osoba, której nie ściga się za mniejsze grzeszki, pod warunkiem informowania o poważnych przestępstwach.

Jak więc nazwać osobę, która alarmuje o nieprawidłowościach, działając ze szlachetnych pobudek?

Wybrano termin whistleblower. Pochodzi on od słów: whistle – gwizdek oraz blower – osoba dmuchająca. Ich zestawienie może oznaczać głośno gwiżdżącego policjanta, który zauważył naruszenie prawa. Termin ten wszedł wkrótce do obiegu międzynarodowego. Na język polski został przetłumaczony jako sygnalista.

W historii Franka Serpico znajdujemy wszystkie cechy klasycznego sygnalisty. Są to:

dobra wiara – Serpico przekazuje prawdziwe informacje;

pozytywna motywacja – celem jego działania jest ochrona interesu publicznego lub interesu pracodawcy (lub jedno i drugie);

kontekst związany z pracą – informacje dotyczą nieprawidłowości w miejscu pracy lub służby;

sposoby przekazywania informacji – Serpico stosuje wszystkie trzy metody, które znajdujemy w ustawie o ochronie sygnalistów:

● zgłoszenie wewnętrzne – próba zaalarmowania kierownictwa policji przez starszych mentorów,

● zgłoszenie zewnętrzne – zasygnalizowanie problemu do biura burmistrza, który nadzorował policję i powoływał jej komendanta,

● ujawnienie publiczne – przekazanie informacji do prasy.

Przeprowadzona w polskim parlamencie debata na temat ustawy o ochronie sygnalistów pokazała, że nawet wśród elit naszego państwa sygnalista jest często kojarzony z donosicielem. Przyczyn należy szukać w historii Polski. 123 lata zaborów, sześć lat okupacji, 44 lata rządów totalitarnych. Przez wszystkie te lata przekazywanie zgłoszeń o nieprawidłowościach godzących w interes państwa nie było czynem patriotycznym. Bo państwo było obce. Nawet w okresie PRL występował podział na „nas” i „nich”. Państwo – to byli „oni”. W tych czasach polscy patrioci starali się wzmacniać naród i społeczeństwo, a jednocześnie osłabiać represyjność państwa. Donosicielami byli ludzie, którzy donosili na polskich patriotów obcym, nie „naszym” władzom.

Podobne zjawiska i skojarzenia występują również w innych społeczeństwach, które przez dziesięciolecia, a czasami stulecia, nie posiadały własnego, niepodległego, demokratycznego państwa. Od ponad 30 lat żyjemy w wolnej i suwerennej ojczyźnie. Jej władze wybieramy w demokratyczny sposób. Nie są narzucane nam przez obcych. Państwo jest „nasze”, nawet jeżeli nie wszystko nam się w nim podoba. Interes publiczny to nasz interes wspólny. Dlatego działania prowadzone na rzecz dobra wspólnego lub dobra pracodawcy nie mogą być traktowane jak donosicielstwo.

Tabela. Różnice między sygnalistą a donosicielem

Osoby, które sygnalizują nadużycia, działając w interesie publicznym, funkcjonują także w Polsce.

Miano pierwszego sygnalisty III Rzeczypospolitej, zdaniem autora, należałoby przyznać Michałowi Falzmannowi. Jako inspektor warszawskiej Izby Skarbowej, a następnie inspektor Najwyższej Izby Kontroli wykrył w latach 1990–1991 aferę związaną z Funduszem Obsługi Zadłużenia Zagranicznego (FOZZ). Przy powołanym w latach 80. XX w. funduszu prowadzona była tajna operacja PRL-owskich służb specjalnych. Otrzymały one środki przekraczające miliard dolarów przeznaczone na wykup polskiego długu na rynku wtórnym za część jego wartości (oficjalnie żadne państwo nie może tego robić).

Falzmann wykrył, że jedynie część tych środków użyto zgodnie z celem. Reszta została zdefraudowana lub przeznaczona na zakładanie prywatnych spółek. Oczywiście samo wykrycie afery w ramach obowiązków służbowych nie oznacza jeszcze sygnalizo­wania. Falzmann był jednak zaniepokojony, że za raportami pokontrolnymi nie idą dalsze działania. Sygnalizował ten problem osobiście wysokim urzędnikom państwowym i „czynnikom” politycznym. Przekazywał informacje do prasy. Zmarł nagłe na zawał serca w 1991 r., po odsunięciu go od czynności służbowych.

Międzynarodowa organizacja Association of Certified Fraud Examiners publikuje co dwa lata raporty na temat nadużyć wewnętrznych w sektorze prywatnym i publicznym. Nadużycia wewnętrzne to takie, które są popełniane przez pracowników na szkodę swojego pracodawcy. Należą do nich różne formy korupcji, przywłaszczania majątku i oszustw księgowych. Jedno z pytań, w oparciu o które sporządzono ten raport brzmiało: w jaki sposób organizacja wstępnie dowiedziała się o nadużyciu lub o podejrzeniu jego popełnienia?

Przyjrzyjmy się wynikom ostatniego raportu dla regionu obejmującego Polskę (wschodnia część Europy i kraje b. ZSRR).

Wykres. Wstępne źródła informacji o nadużyciach

Z przedstawionych na wykresie danych wynika, że sygnaliści są najlepszym źródłem informacji o nadużyciach wewnętrznych. Reguła ta potwierdza się we wszystkich regionach.

Sygnalistami są przede wszystkim pracownicy danego podmiotu (w około połowie przypadków). Wśród pozostałych sygnalistów występują przede wszystkim: pracownicy klientów i dostawców oraz zgłoszenia anonimowe. Zdarzają się także zgłoszenia przekazywane przez udziałowców i akcjonariuszy spółki, a nawet przez jej konkurentów.

Wiodąca rola sygnalistów w zgłaszaniu nadużyć wewnętrznych oznacza, że pełnią oni kluczową funkcję w wykrywaniu i przerywaniu tych nadużyć, a więc także w zapobieganiu dalszym stratom.

Warto zwrócić uwagę, że w sektorze publicznym sygnalista nie tylko zapobiega nadużyciom na niekorzyść pracodawcy, ale także nadużyciom popełnianym na niekorzyść całego społeczeństwa.

Sygnalizowanie o nadużyciach i nieprawidłowościach często narusza czyjeś interesy. Kto popełnia nadużycia, ten osiąga dzięki nim nienależne korzyści. Ktoś, kto toleruje nieprawidłowości, także może obawiać się odpowiedzialności.

Czasami włącza się dodatkowo syndrom watahy: bronimy przed zarzutami naszych kolegów i nasze koleżanki, ponieważ są naszymi kumplami i kumpelkami. „Kolegów się nie zostawia”.

Obrona zazwyczaj polega na ataku na sygnalistę. Podejmowane są wobec niego różne działania odwetowe. Może zostać przesunięty na gorsze stanowisko lub zwolniony pod byle pretekstem. Czasami wytacza się przeciw niemu tzw. „uciążliwe postępowania”. Zakłada sprawy karne lub cywilne, np. o zniesławienie lub o ujawnienie informacji. Chodzi o upokorzenie sygnalisty wieloletnimi sprawami, koniecznością tłumaczenia się, a przy okazji kosztami pomocy prawnej.

Celem może być nakłonienie sygnalisty do wycofania zgłoszenia, zwykła zemsta, ale także zastraszenie innych potencjalnych sygnalistów i świadków w danej sprawie. Zatem z jednej strony sygnalista pełni rolę społecznie pożyteczną, a z drugiej – naraża się na działania odwetowe.

Nasuwa się więc logiczny wniosek, że sygnalistom należy zapewnić ochronę. Leży to w interesie publicznym. W wielu krajach demokratycznych mechanizmy ochrony sygnalistów zostały wprowadzone jeszcze przed uchwaleniem unijnej dyrektywy dotyczącej tej ochrony właśnie.

Historycznie liderem są tu Stany Zjednoczone. Pierwszy akt ochrony sygnalistów pochodzi jeszcze z czasów amerykańskiej wojny o niepodległość. Kongres przyznał wówczas prawną ochronę marynarzom jednego z okrętów, którzy poskarżyli się na nieludzkie traktowanie przez kapitana. Amerykańska ustawa o ochronie sygnalistów pochodzi jeszcze z 1989 r.

USA są też jednym z krajów, w którym przepisy przewidują możliwość wypłacania sygnalistom nagród. Ich wysokość zależy od skali wykrytego nadużycia. Kwoty mogą wynosić tysiące, a nawet miliony dolarów. Ciekawostką jest, że beneficjentami mogą być także obywatele innych krajów – zdarzają się także obywatele polscy.

Rekordowe nagrody to:

l 279 mln dolarów (2023 r.) dla nieujawnionego sygnalisty z rynku finansowego,

l 200 mln dolarów (2021 r.) dla pracownika Deutche Banku, który ujawnił manipulacje wskaźnikami LIBOR na londyńskiej giełdzie towarowej.

Sprawa dotycząca manipulacji wskaźnikami LIBOR miała wymiar globalny. Negatywnie wpłynęła m.in. na polskie rodziny, które zaciągnęły kredyty we frankach szwajcarskich. Oprocentowanie takiego kredytu zazwyczaj było wyliczane na podstawie stawki LIBOR CHF plus marża banku. Zawyżanie wskaźnika przez banki powodowało straty dla ich klientów.

Czy warto wprowadzić system nagród dla sygnalistów w Polsce?

Na tak postawione pytanie należy odpowiedzieć, że są argumenty za i przeciw.

Z jednej strony sygnalista zawsze ryzykuje, wysyłając zgłoszenie o zauważonych nieprawidłowościach. Zasługuje na nagrodę, bo pozwala ograniczyć straty, a często odzys­kać zdefraudowane środki. Z drugiej strony może to podważać dobre intencje sygnalistów. Robić z nich łowców nagród, którzy niewiele się różną od donosicieli.

Kwestie te należy rozważyć indywidualnie w każdej jednostce.

Obecnie, przed wejściem w życie ustawy o ochronie sygnalistów funkcjonowanie kanałów zgłoszeniowych oraz ochrona sygnalistów w Polsce jest fragmentaryczna.

Na poziomie ustawowym obowiązek taki został ustanowiony wyłącznie w wybranych sektorach, jeśli wymagało tego od nas prawo unijne. Dotyczy to obszarów przeciwdziałania praniu pieniędzy i finansowania terroryzmu, wybranych obszarów rynku usług finansowych, bezpieczeństwa transportu lotniczego i morskiego oraz wydobycia ropy i gazu na morzu.

Nie wdrożono ochrony sygnalistów zgłaszających podejrzenia korupcji, choć zobowiązaliśmy się do tego 21 lat temu, ratyfikując cywilnoprawną konwencję o korupcji Rady Europy (Rada Europy nie jest instytucją unijną).

Jednocześnie wiele instytucji publicznych oraz większych spółek ustanowiło procedury zgłoszeniowe na zasadzie dobrowolności. Przykładem może być Ministerstwo Funduszy i Polityki Regionalnej, które od lat utrzymuje takie kanały w celu przyjmowania zgłoszeń dotyczących nadużyć w programie POIZ, a obecnie FEnIKS.

Olbrzymia zmiana w tym zakresie dokona się 25 września 2024 r., gdy wejdą w życie przepisy ustawy o ochronie sygnalistów.

Ustawa ta:

l wprowadza mechanizmy ochrony sygnalistów,

l ustanawia obowiązki w zakresie przyjmowania i rozpatrywania zgłoszeń wewnętrznych i zewnętrznych w wybranych podmiotach.

W tym poradniku zajmujemy się obowiązkami nałożonymi na podmioty publiczne.

1. Zakres prawny ustawy

Działanie ustawy o ochronie sygnalistów obejmuje wybrane dziedziny prawne. Zostały one określone w art. 3 tej ustawy, a wyjątki od reguły w art. 5 ustawy.

W toku konsultacji rząd i ustawodawca odrzucili propozycje strony społecznej, aby objąć ustawą wszystkie przepisy.

Takie podejście rodzi niestety komplikacje. Z jednej strony dla sygnalisty, z drugiej dla podmiotu przyjmującego zgłoszenia. Obie strony muszą oceniać, czy zgłoszenie mieści się w obowiązujących ramach prawnych oraz co z nim robić, jeżeli się nie mieści.

1.1. Czym jest naruszenie prawa i jego zgłoszenie

Zacznijmy rozłożenia na czynniki pierwsze i wyjaśnienia dwóch pojęć.

Naruszeniem prawa, zgodnie z art. 3 ust. 1 ustawy, jest: działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa.

Jest to definicja dość kompleksowa. Zwłaszcza, że obejmuje również obejście prawa.

Jak pisała Aleksandra Tarka „obejście prawa polega na takim ukształtowaniu treści czynności prawnej, że z formalnego punktu widzenia nie sprzeciwia się ona przepisom prawa, ale w rzeczywistości zmierza do osiągnięcia celów zakazanych przez prawo. Inaczej mówiąc, strony tak kształtują stosunek prawny, aby osiągnąć cel, który przez prawo jest zabroniony.”¹⁾

Przykładem może być podział zamówienia publicznego na mniejsze, aby uniknąć stosowania procedur przetargowych.

Zauważmy także, że zgodnie z art. 7 Konstytucji RP organy władzy publicznej działają na podstawie i w granicach prawa. Oznacza to, że w przypadku jednostek realizujących zadania organów władzy publicznej działaniem niezgodnym z prawem będzie działanie bez podstawy prawnej lub przekraczające granice określone przepisami prawa. Na przykład wykorzystywanie środków z funduszy celowych do finansowania kampanii wyborczej.

Również przytoczona tu definicja jest szeroka, ponieważ obejmuje nie tylko naruszenie prawa, do którego już doszło, ale także podejrzane działania, które mogą prowadzić do naruszenia prawa.

1.2. Obowiązkowe dziedziny prawne

Przejdźmy do obowiązkowego zakresu stosowania art. 3 ust. 1 ustawy. W tym zakresie podmioty przyjmujące zgłoszenia wewnętrzne i zewnętrzne są zobowiązane nadawać im bieg, a sygnalista, po spełnieniu innych warunków, podlega ochronie. Do tego zakresu należą dziedziny:

l korupcji

W uzasadnienie do projektu ustawy wskazano, że chodzi tu o korupcję w rozumieniu art. 1 ust. 3a ustawy o Centralnym Biurze Antykorupcyjnym. W przypadku jednostek sektora publicznego definicja ta obejmuje mające zastosowanie przepisy karne;

l zamówień publicznych

Warto zauważyć, że zamówieniem publicznym jest każde zamówienie udzielane przez zamawiającego, zarówno w trybie ustawy – Prawo zamówień publicznych, jak wyłączone ze stosowania ustawy. Jednocześnie pewne zamówienia w dziedzinie obrony i bezpieczeństwa zostały wyłączone ze stosowania ustawy;

l usług, produktów i rynków finansowych;

l przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;

l bezpieczeństwa produktów i ich zgodności z wymogami

Chodzi m.in. o wymogi dotyczące etykietowania produktów, homologacji pojazdów oraz wprowadzania do obrotu i stosowania produktów wrażliwych i niebezpiecznych, które są określone w unijnych aktach prawnych w części I pkt c załącznika do dyrektywy 2019/1937. Jednak zgodność produktów z wymogami dotyczy także wszelkich przepisów polskich;.

l bezpieczeństwa transportu;

l ochrony środowiska;

l ochrony radiologicznej i bezpieczeństwa jądrowego;

l bezpieczeństwa żywności i pasz;

l zdrowia i dobrostanu zwierząt;

l zdrowia publicznego;

l ochrony konsumentów;

l ochrony prywatności i danych osobowych;

l bezpieczeństwa sieci i systemów teleinformatycznych;

l interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej;

l interesów finansowych jednostki samorządu terytorialnego;

l interesów finansowych Unii Europejskiej (na przykład w zakresie wydatkowania funduszy europejskich);

l rynku wewnętrznego Unii Europejskiej, w tym publicznoprawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych;

l konstytucyjnych wolności i praw człowieka i obywatela – występujące w stosunkach jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi wcześniej.

Nasuwają się tu dwie uwagi.

1. Choć obowiązkowy zakres stosowania ustawy jest szeroki, to wiele dziedzin nie jest nim objętych. Są to przykładowo prawo pracy, kradzież w firmie prywatnej, konflikt interesów przy wydawaniu decyzji administracyjnych lub podatkowych.

2. Większość wskazanych dziedzin prawnych opiera się na zestawieniu wynikającym z dyrektywy. Jednak zakres stosowania ustawy dotyczy wszelkich naruszeń prawa polskiego w tych dziedzinach. Przykładowo dotyczy wszystkich zamówień publicznych, a nie jedynie zamówień powyżej progów unijnych.

1.3. Dobrowolne rozszerzenie katalogu naruszeń

Ustawa pozostawia podmiotom przyjmującym zgłoszenia – ale tylko wewnętrzne – dobrowolną opcję zwiększenia zakresu zgłaszanych naruszeń (art. 3 ust. 2 ustawy).

Jednostki mogą rozszerzyć zakres przyjmowanych zgłoszeń (a więc i ustawowej ochrony sygnalisty) o:

l naruszenia dotyczące regulacji wewnętrznych obowiązujących w tym podmiocie prawnym,

l standardy etyczne, które zostały ustanowione przez podmiot prawny na podstawie przepisów prawa powszechnie obowiązującego i pozostają z nimi zgodne.

Do regulacji i standardów ustanowionych na podstawie przepisów prawa możemy zaliczyć na pewno te, które są w takich przepisach wprost wymienione. Przykładowo:

l regulamin pracy (rozdział IV Kodeksu pracy²⁾),

l regulamin wynagradzania (art. 772 Kodeksu pracy³⁾),

l polityka rachunkowości (art. 10 ustawy o rachunkowości⁴⁾),

l zarządzenie nr 70 Prezesa Rady Ministrów z 6 października 2011 r. w sprawie wytycznych w zakresie przestrzegania zasad służby cywilnej oraz w sprawie zasad etyki korpusu służby cywilnej (art. 15 ust. 10 ustawy o służbie cywilnej⁵⁾).

A co z takimi regulacjami, jak:

l kodeks etyki w podmiocie,

l regulamin udzielania zamówień podprogowych?

Tu sytuacja jest mniej klarowna. Warto jednak pamiętać o przepisach dotyczących kontroli zarządczej w jednostkach sektora finansów publicznych.

Jednym z obowiązków kierownika jednostki jest zapewnienie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej (art. 69 ust. 1 pkt 3 ustawy o finansach publicznych⁶⁾). Do celów kontroli zarządczej należy m.in. zapewnienie zgodności działalności jednostki z przepisami prawa oraz zapewnienie przestrzegania i promowania zasad etycznego postępowania (art. 68 ust. 2 pkt. pkt. 1 i 5 ustawy o finansach publicznych⁷⁾).

Jeżeli w podstawie prawnej takich regulacji powołamy się także na przepisy dotyczące kontroli zarządczej, to uzyskujemy dla nich niezbędną podstawę ustawową, aby objąć je omawianą tutaj opcją.

W przypadku własnego kodeksu etyki mamy też jeszcze prostsze rozwiązanie: możemy go po prostu włączyć do regulaminu pracy jako załącznik.

Kolejną kwestią do przeanalizowania są ustawowe zasady etyki, obowiązujące różne grupy pracowników sektora publicznego. Znajdujemy je przykładowo w ustawie o służbie cywilnej, ustawie o pracownikach samorządowych i w wielu ustawach „dziedzinowych” (o finansach publicznych, o dostępie do informacji publicznej, w Kodeksie postępowania administracyjnego). W przywołanych ustawach pojawiają się na przykład zasady bezstronności, bezinteresowności, gospodarności i przejrzystości.

Takie standardy etyczne stosuje się wprost i nie potrzebują one „potwierdzenia” w regulacji wewnętrznej. Wydaje się więc, że skorzystanie z omawianej tu opcji i włączyć w zakres zgłoszeniowy także standardy etyczne zapisane bezpośrednio w ustawach. Możemy je też zamieścić w regulaminie pracy jako jeden z obowiązków pracownika.

Na zakończenie podkreślmy, że opisana opcja dotyczy wyłącznie zgłoszeń wewnętrznych. Oznacza to, że dokonanie zgłoszenia zewnętrznego lub ujawnienia publicznego w tym zakresie nie obejmuje sygnalisty ustawową ochroną. Podmioty przyjmujące zgłoszenia zewnętrzne nie mają uprawnień do badania takich zgłoszeń w trybie ustawy.

1.4. Wyłączenia – ochrona informacji

Pewne obszary prawne są wyłączone ze stosowania ustawy.

Zacznijmy od wyłączeń ze względu na ochronę informacji. Artykuł 5 ust. 1 ustawy stanowi, że ustawy nie stosuje się do informacji objętych:

l przepisami o ochronie informacji niejawnych

Chodzi tu o informacje posiadające klauzule nadane w trybie ustawy o ochronie informacji niejawnych, tj. zastrzeżone, poufne, tajne lub ściśle tajne oraz analogiczne klauzule nadane np. przez NATO lub UE;

l innych informacji, które nie podlegają ujawnieniu z mocy przepisów prawa powszechnie obowiązującego ze względów bezpieczeństwa publicznego

Może tu chodzić przykładowo o dokumentację infrastruktury krytycznej, która często nie ma nadanej klauzuli, ale nie podlega ujawnieniu;.

l tajemnicą związaną z wykonywaniem zawodów medycznych oraz prawniczych

Przykładowo chodzi tu o tajemnice zawodowe: lekarską, pielęgniarską, aptekarską, adwokacką, radcowską czy notarialną. Jednak określenie „tajemnica związana z wykonywaniem zawodów...” jest szersze niż „tajemnica zawodowa”;

l tajemnicą narady sędziowskiej;

l postępowaniem karnym – w zakresie tajemnicy postępowania przygotowawczego oraz tajemnicy rozprawy sądowej prowadzonej z wyłączeniem jawności.

Porównanie przepisów ustawy z przepisami dyrektywy wskazuje, że doszło tu do nieprawidłowej implementacji.

Dyrektywa w art. 3 ust. 3 stanowi: „Niniejsza dyrektywa nie wpływa na stosowanie prawa Unii ani prawa krajowego w odniesieniu do ochrony informacji niejawnych” (i innych typów informacji chronionych opisanych wcześniej). Natomiast ustawa używa sformułowania: „ustawy nie stosuje się do informacji objętych...”.

Jaka jest różnica? Przedstawmy ją na przykładzie informacji niejawnych.

W rozumieniu dyrektywy sygnalista może przedstawić w zgłoszeniu informacje niejawne – pod warunkiem że zrobi to zgodnie z przepisami dotyczącymi ochrony informacji niejawnych. Przykładowo poprosi o spotkanie osobiste z osobą przyjmującą zgłoszenia. Zgłoszenie zostanie odebrane w pomieszczeniu, w którym można przetwarzać informacje niejawne, a protokół będzie sporządzony na komputerze certyfikowanym do przetwarzania informacji niejawnych.

W rozumieniu ustawy sygnalista nie może w trybie ustawowym przekazać w zgłoszeniu informacji niejawnych. Jeżeli takie informacje by przekazał, to do zgłoszenia nie stosują się przepisy ustawy, a więc sygnalista nie nabywa prawnej ochrony, a podmiot przyjmujący zgłoszenie nie jest obowiązany, aby nadać mu bieg.

Przepisy ustawy zawężają zatem zakres ochrony sygnalisty przewidziany dyrektywą. Jednocześnie mamy ustaloną od dziesiątek lat linię orzeczniczą Trybunału Sprawiedliwości Unii Europejskiej, która wskazuje, że jeżeli unijna dyrektywa zostanie niewłaściwie zaimplementowana do prawa krajowego, to jej przepisy bezwarunkowe i wystarczająco precyzyjne można stosować bezpośrednio. Zwłaszcza, jeżeli nieprawidłowa implementacja będzie ograniczać prawa osób fizycznych lub prawnych.

Oznacza to w szczególności, że w przypadku zawarcia w zgłoszeniach od sygnalistów informacji wyłączonych nieprawidłowo ustawą, będą mogli oni powoływać się bezpośrednio na przepisy dyrektywy, żądając przyznania im ochrony (na przykład w postępowaniach sądowych).

1.5. Wyłączenia – zamówienia obronne

Drugą wyłączoną kategorią są informacje dotyczące zakupów w zakresie obronności. Artykuł 5 ust. 2 ustawy stanowi, że ustawy nie stosuje się do naruszeń prawa w zakresie:

l zamówień w dziedzinach obronności i bezpieczeństwa, które zostały wyłączone ze stosowania Prawa zamówień publicznych

Ustawę o ochronie sygnalistów stosuje się do tego typu zamówień, jeżeli są udzielane w trybie Prawa zamówień;

l umów offsetowych

To umowy zawierane z producentami importowanego uzbrojenia i sprzętu wojskowego, które mogą dotyczyć przeniesienia części produkcji lub remontów do Polski;

l innych środków podejmowanych w celu ochrony podstawowych lub istotnych interesów bezpieczeństwa państwa na podstawie art. 346 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).

W tym wypadku praktycznie chodzi o art. 346 ust. 1 lit. b TFUE⁸⁾, który stanowi, że: „każde Państwo Członkowskie może podejmować środki, jakie uważa za konieczne w celu ochrony podstawowych interesów jego bezpieczeństwa, a które odnoszą się do produkcji lub handlu bronią, amunicją lub materiałami wojennymi”.

Wyłączenie to dotyczy naruszeń związanych z produkcją lub handlem uzbrojeniem i sprzętem wojskowym. Nie dotyczy innych środków „podejmowanych w celu ochrony podstawowych lub istotnych interesów bezpieczeństwa państwa”.

Te wyłączenia są zgodne z dyrektywą.

Ograniczenia, które dotyczą jedynie pewnych trybów zgłaszania naruszeń, omówimy w rozdziałach dotyczących zgłoszeń wewnętrznych oraz ujawnienia publicznego.

1.6. Rozszerzenie zakresu zgłoszeń wewnętrznych na wszystkie przepisy

Kanały zgłoszeniowe są skutecznym środkiem wykrywania nadużyć i ograniczania strat.

Jednak sygnaliści mogą obawiać się zgłaszać naruszenia w dziedzinach prawnych, które nie są objęte ustawą, ponieważ nie uzyskają wtedy ustawowej ochrony. Mogą obawiać się również zgłaszania naruszeń, gdy nie są pewni ich statusu prawnego. Sygnalista nie musi być i zazwyczaj nie jest prawnikiem. Każda taka niepewność lub niejasność może być czynnikiem zniechęcającym do zgłoszeń.

Z punktu widzenia interesów prawnych podmiotów przyjmujących zgłoszenia i sygnalistów byłoby lepiej, gdyby zakresem zgłoszeń i ustawowej ochrony objęto wszystkie przepisy prawa powszechnie obowiązującego. A przy okazji także wszelakich regulacji wewnętrznych i standardów etycznych, nie tylko tych mających podstawy ustawowe.

Regulamin pracy jest regulacją wewnętrzną mającą podstawę prawną w Kodeksie pracy. W ten sposób, stosując pewien wytrych, rozszerzymy ustawowe działanie kanałów zgłoszeniowych i ustawową ochronę sygnalistów na zgłaszanie wszelkich naruszeń prawa, z wyjątkiem tych, które zostały wyłączone w art. 5 ustawy.

2. Warunki ochrony sygnalistów

Nie każda osoba dokonująca zgłoszenia naruszenia prawa staje się sygnalistą podlegającym ochronie na podstawie przepisów ustawy. Aby nią zostać, osoba taka musi spełnić cztery warunki. Jeżeli tak się stanie, to będzie mogła skorzystać z czterech form ustawowej ochrony. Na niektóre warunki ochrony sygnalisty możemy również spojrzeć z punktu widzenia podmiotu przyjmującego zgłoszenia, czyli czy taki podmiot jest zobowiązany nadać dalszy bieg zgłoszeniu, czy też nie?

2.1. Warunek 1 – określone dziedziny prawne

Zgłoszenie lub ujawnienie publiczne dokonane przez sygnalistę musi dotyczyć naruszenia prawa w dziedzinach objętych ustawą.

Dziedziny objęte ustawą omówione zostały w rozdziale 1. Należy zwrócić uwagę na specyficzne wyłączenia dotyczące zgłoszeń zewnętrznych lub ujawnienia publicznego, które przestawiamy w dalszej części opracowania.

Zakres stosowania ustawy nie zawsze jest precyzyjny. Sygnalista nie musi być prawnikiem. Co w sytuacji, w której dokona zgłoszenia, uważając, że jest ono objęte zakresem prawnym ustawy, a okaże się, że tak nie jest?

Z pomocą w ocenie takiego przypadku przychodzą nam dyrektywa i ustawa.

Dyrektywa stanowi, że sygnalista podlega ochronie, jeżeli „miał uzasadnione podstawy sądzić, że będące przedmiotem zgłoszenia informacje (...) są objęte zakresem stosowania niniejszej dyrektywy” (art. 6 ust. 1 pkt a dyrektywy).

Podobnie ustawa (art. 6 ustawy) stanowi, iż „sygnalista podlega ochronie, pod warunkiem że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia (...) stanowi informację o naruszeniu prawa”, a więc że jest objęta stosowaniem ustawy.

Oznacza to, że wszelkie wątpliwości w tym zakresie („miał podstawy sądzić”) należy interpretować na korzyść sygnalisty. Sygnalista w takich przypadkach podlega ochronie, nawet jeżeli analiza prawna wskaże, że jednak zgłoszenie nie dotyczyło dziedzin objętych ustawą.

2.2. Warunek 2 – dobra wiara

Sygnalista podlega ochronie, pod warunkiem że (art. 6 ustawy):

l miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego, i że

l stanowi informację o naruszeniu prawa.

Ochrony zgłaszającemu nie zapewnia podanie informacji, które nie są informacjami o naruszeniu prawa). Przykładowo informacja, że dana osoba zdradza swojego męża lub żonę nie jest taką informacją. Jeżeli w zgłoszeniu są jedynie informacje tego typu, to zgłaszający nie podlega ochronie. Ochrony zgłaszającemu nie zapewnia także świadome podanie informacji nieprawdziwych.

Co więcej, takiemu udawanemu sygnaliście może grozić także odpowiedzialność:

l cywilna – „osoba, która poniosła szkodę z powodu świadomego zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji przez sygnalistę, ma prawo do odszkodowania lub zadośćuczynienia za naruszenie dóbr osobistych od sygnalisty, który dokonał takiego zgłoszenia lub ujawnienia publicznego” (art. 15 ustawy);

l karna – „kto dokonuje zgłoszenia lub ujawnienia publicznego, wiedząc, że do naruszenia prawa nie doszło – podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” (art. 57 ustawy).

Sformułowanie dotyczące odpowiedzialności nie jest zbyt fortunne. Wspomniane zostało, że informacja o naruszeniu prawa może dotyczyć działania lub zaniechania, do którego „prawdopodobnie dojdzie w podmiocie prawnym” – a więc, do którego jeszcze nie doszło!

Zanim skierujemy przeciwko zgłaszającemu zawiadomienie do prokuratury powinniśmy najpierw sprawdzić warunek, czy zgłaszający „miał uzasadnione podstawy sądzić, że informacja jest prawdziwa”. Dopiero jeżeli mamy podstawy uważać, że doszło do świadomego zgłoszenia informacji nieprawdziwych, oceniamy, czy w konkretnej sytuacji ma zastosowanie przepis karny.

2.3. Warunek 3 – kontekst związany z pracą

Kolejny warunek ochrony sygnalisty polega na tym, że zgłaszana lub ujawniana informacja o naruszeniu prawa została uzyskana „w kontekście związanym z pracą” (art. 4 ust. 1 ustawy).

Czym jest tajemniczy „kontekst związany z pracą”?

Ustawa definiuje go w art. 2 pkt 5 jako przeszłe, obecne lub przyszłe działania związane z wykonywaniem pracy na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w podmiocie prawnym, lub na rzecz tego podmiotu, lub pełnienia służby w podmiocie prawnym, w ramach których uzyskano informację o naruszeniu prawa oraz istnieje możliwość doświadczenia działań odwetowych.

Następnie ustawa daje nam pewne podpowiedzi, podając przykładowe kategorie zawodowe, których „kontekst związany z pracą” dotyczy (art. 4 ust. 1 i 2 ustawy). Są to:

l pracownik i pracownik tymczasowy;

l osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej;

l przedsiębiorca (współpracujący z danym podmiotem);

l prokurent;

l akcjonariusz lub wspólnik;

l członek organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej (np. członek zarządu, rady nadzorczej, komisji rewizyjnej);

l osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy (np. pracownik, zleceniobiorca);

l stażysta;

l wolontariusz;

l praktykant;

l funkcjonariusz Policji, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Straży Granicznej, Straży Marszałkowskiej, Służby Ochrony Państwa, Państwowej Straży Pożarnej, Służby Celno-Skarbowej i Służby Więziennej;

l żołnierz w służbie czynnej;

l kandydat do pracy, służby lub pełnienia funkcji w danym podmiocie (w praktyce – w zakresie procesu rekrutacji);

l przedsiębiorca, zleceniobiorca przed zawarciem umowy (w praktyce – w zakresie procesu zawierania umowy, udziału w przetargu itp.);

l były pracownik, funkcjonariusz, żołnierz, zleceniobiorca lub usługodawca.

Zatem „kontekst związany z pracą” nie ogranicza się jedynie do stosunku pracy lub służby, ale oznacza szersze relacje o charakterze zawodowym lub profesjonalnym.

Zakres tych kategorii jest szeroki, ale wiele grup nie zostało tu wymienionych. Przykładowo ustawa nie wymienia indywidualnych klientów i pracowników klientów korporacyjnych, pracowników konkurentów, pracowników i wolontariuszy beneficjentów środków unijnych, mieszkańców, odbiorców usług publicznych, studentów, uczniów i rodziców niepełnoletnich uczniów.

Jeżeli wpłynie zgłoszenie od przedstawiciela innej grupy zawodowej, trzeba za każdym razem przeanalizować, czy informacje o naruszeniach prawa zostały uzyskane w szeroko rozumianym „kontekście związanym z pracą”.

Na kontekst związany z pracą możemy spojrzeć także z innego punktu widzenia. A mianowicie, że informacja dotyczy naruszeń, które są związane lub mają wpływ na funkcjonowanie podmiotu. Nie dotyczy natomiast informacji o sprawach prywatnych, niezwiązanych zawodowo z podmiotem.

2.4. Warunek 4 – właściwy tryb zgłoszenia

Ostatnim warunkiem ochrony sygnalisty jest zastosowanie właściwego trybu zgłoszenia. Ustawa określa trzy takie tryby, a mianowicie:

l zgłoszenie wewnętrzne (u pracodawcy, odbiorcy usługi itp.);

l zgłoszenie zewnętrzne (Rzecznik Praw Obywatelskich; dalej jako RPO, organ publiczny lub instytucja UE);

l ujawnienie publiczne.

Kolejność postępowania. W pierwszej kolejności sygnalista ma wybór – może dokonać zgłoszenia wewnętrznego lub zewnętrznego. Niezależnie od wybranego trybu podlega on dokładnie takiej samej ochronie. Jeżeli sygnalista dokonał zgłoszenia wewnętrznego, ale nie dostał informacji zwrotnej lub nie jest zadowolony ze sposobu rozpoznania sprawy, może dokonać zgłoszenia zewnętrznego.

W przypadku ujawnienia publicznego mamy dwie ścieżki: standardową i szybką.

Standardowo ujawnienia publicznego można dokonać dopiero po dokonaniu zgłoszenia zewnętrznego, jeżeli organ publiczny w terminie „nie podejmie żadnych odpowiednich działań następczych ani nie przekaże sygnaliście informacji zwrotnej”, chyba że sygnalista nie podał adresu do kontaktu (art. 51 ust. 1 pkt 2 ustawy).

Organy publiczne mają na przekazanie informacji zwrotnej trzy miesiące, a w „uzasadnionych przypadkach” mogą ten termin wydłużyć do sześciu miesięcy, informując o tym sygnalistę (art. 41 ustawy).

Oceniając, czy działanie następcze jest odpowiednie, uwzględnia się w szczególności czynności podjęte w celu zweryfikowania informacji o naruszeniu, prawidłowość oceny informacji o naruszeniu oraz adekwatność środków podjętych w następstwie stwierdzenia naruszenia, w tym – w odpowiednim przypadku – w celu zapobiegnięcia dalszym naruszeniom, z uwzględnieniem wagi naruszenia (art. 52 ustawy).

Szybką ścieżkę ujawnienia publicznego, bez wcześniejszego dokonania zgłoszenia zewnętrznego, zgodnie z zapisami art. 51 ust. 2 ustawy, można zastosować w przypadku, gdy sygnalista ma uzasadnione postawy sądzić, że:

l naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie interesu publicznego, w szczególności, gdy istnieje ryzyko nieodwracalnej szkody

Może tu chodzić o przypadki, które wymagają natychmiastowego działania, kiedy nie można czekać trzech lub sześciu miesięcy na rozpatrzenie zgłoszenia zewnętrznego. Przykładowo, jeżeli instytucja publiczna ma podpisać w najbliższych dniach niekorzystną umowę o dużej wartości albo wypłacić komuś nienależne środki, a standardowa droga służbowa nie przynosi efektu, to trzeba działać natychmiast, zanim dojdzie do szkody;

l dokonanie zgłoszenia zewnętrznego narazi sygnalistę na działania odwetowe;

l w przypadku dokonania zgłoszenia zewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania naruszeniu prawa z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów, istnienie zmowy między organem publicznym a sprawcą naruszenia lub udziału organu publicznego w naruszeniu.

Kto będzie decydował o tym, czy sygnalista był uprawniony do skorzystania z „szybkiej ścieżki”?

Ostatecznie – sąd. Jeżeli dojdzie do sporu, czy sygnalista podlega ochronie czy też nie, to sąd oceni, czy zachodzą przesłanki zastosowania wyjątków zawartych w ustawie.

2.5. Ograniczenia w zakresie zgłoszenia zewnętrznego i ujawnienia publicznego

Ustawa wprowadza kilka dodatkowych ograniczeń dotyczących tych dwóch trybów sygnalizowania (dodatkowych w stosunku do ogólnych wyjątków opisanych w art. 5 ust. 1 i 2 ustawy).

2.5.1. Zgłoszenie zewnętrzne

Przepisów nie stosuje się do naruszenia regulacji wewnętrznych lub standardów etycznych (opcja wynikająca z art. 3 ust. 2 ustawy). Takie zgłoszenie nie daje ochrony potencjalnemu sygnaliście.

Organem publicznym właściwym do przyjęcia zgłoszenia zewnętrznego dotyczącego naruszenia prawa przez służby specjalne – Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego, Centralne Biuro Antykorupcyjne – jest Prezes Rady Ministrów albo Minister Koordynator Służb Specjalnych, w przypadku jego powołania (art. 5 ust. 4 ustawy). W tym przypadku błędne zaadresowanie zgłoszenia zewnętrznego nie pozbawia ochrony sygnalisty, ponieważ organ otrzymujący takie zgłoszenie powinien przekazać je właściwemu adresatowi.

2.5.2. Ujawnienie publiczne

Ochrony sygnalisty nie stosuje się, gdy ten informuje o naruszeniu regulacji wewnętrznych lub standardów etycznych (opcja wynikająca z art. 3 ust. 2 ustawy). Takie zgłoszenie nie daje prawa do ochrony. Przepisów ustawy nie stosuje się do naruszeń prawa bezpośrednio związanych z realizacją przez służby specjalne ustawowych zadań mających na celu zapewnienie bezpieczeństwa narodowego (art. 5 ust. 3 ustawy). Zauważmy, że z tym wyjątkiem mamy do czynienia, gdy spełnione są trzy warunki:

l wykonywanie zadań ustawowych przez służby specjalne,

l istnienie bezpośredniego związku tych działań,

l zapewnienie bezpieczeństwa narodowego.

Dodajmy, że zazwyczaj takie informacje mają charakter informacji niejawnych, które i tak są wyłączone ze stosowania ustawy (choć niezgodnie z dyrektywą).

Ponadto przepisów dotyczących ujawnienia publicznego nie stosuje się, jeżeli przekazanie informacji o naruszeniu prawa następuje bezpośrednio do prasy i stosuje się ustawę – Prawo prasowe⁹⁾ (art. 53 ustawy).

To jest dość spory wyjątek w zakresie stosowania ujawnienia publicznego, jednak zgodny z dyrektywą.

Zgodnie z art. 7 ust. 2 pkt 1 Prawa prasowego prasa to publikacje periodyczne, które nie tworzą zamkniętej, jednorodnej całości, ukazujące się nie rzadziej niż raz w roku, opatrzone stałym tytułem albo nazwą, numerem bieżącym i datą, a w szczególności:

l dzienniki i czasopisma;

l serwisy agencyjne;

l stałe przekazy teleksowe;

l biuletyny;

l programy radiowe i telewizyjne;

l kroniki filmowe.

Prasą są także wszelkie istniejące i powstające w wyniku postępu technicznego środki masowego przekazywania, w tym także:

l rozgłośnie oraz tele- i radiowęzły zakładowe;

l upowszechniające publikacje periodyczne za pomocą druku, wizji, fonii lub innej techniki rozpowszechniania.

Prasa obejmuje również zespoły ludzi i poszczególne osoby zajmujące się działalnością dziennikarską.

Ustawowa definicja może wywoływać wiele wątpliwości, zwłaszcza w świecie nowych mediów internetowych. Kiedy blog, podcast lub kanał w serwisie filmowym będą prasą, a kiedy nie?

Dla celów stosowania ustawy o ochronie sygnalistów możemy przyjąć proste rozwiązanie. Otóż prasa podlega obowiązkowej rejestracji lub obowiązkowi posiadania koncesji radiowo-telewizyjnej. Wyjątkiem jest Polska Agencja Prasowa (art. 20 i 24 Prawa prasowego).

Dodajmy, że Prawo prasowe przewiduje:

l ochronę źródeł dziennikarskich;

l kary za działanie na szkodę innej osoby z powodu krytyki prasowej, ale tylko jeżeli działający „nadużył swojego stanowiska lub funkcji”.

W praktyce ochrona sygnalisty na podstawie Prawa prasowego jest znacznie słabsza niż w trybie ustawy o ochronie sygnalistów i sprowadza się do ochrony tożsamości.

3. Formy ochrony sygnalistów i innych osób

Zgłaszający, który spełni opisane w rozdziale 2 cztery warunki określone ustawą, uzys­kuje ochronę ustawową. Ochrona taka ma cztery formy. Z takiej samej ochrony korzystają jeszcze osoby pomagające sygnaliście dokonać zgłoszenia oraz z nim powiązane. Z pewnych form ochrony korzysta także osoba, której dotyczy zgłoszenie (dalej jako OKDZ).

3.1. Ochrona tożsamości

Pierwszą formą ochrony jest ochrona tożsamości sygnalisty (art. 8 ust. 1 ustawy). Słownik Języka Polskiego PWN definiuje tożsamość jako: fakty, cechy, dane personalne pozwalające zidentyfikować jakąś osobę.

Ochrona tożsamości sygnalisty polega na tym, że jego dane osobowe nie podlegają ujawnieniu nieupoważnionym osobom. Stąd rodzi się praktyczny wniosek, że podmioty przyjmujące zgłoszenia wewnętrzne lub zewnętrzne powinny jasno określić krąg osób upoważnionych do dostępu do takich danych.

Ochrona dotyczy także informacji, na podstawie których można pośrednio zidentyfikować tożsamość sygnalisty (art. 27 ustawy). Mogą to być te fakty lub cechy, o których mówi definicja słownikowa, dzięki którym można domyśleć się, kim jest sygnalista. Może to być istotne w trakcie prowadzenia działań następczych.

Od tej ogólnej reguły przewidziano kilka wyjątków. Mianowicie:

1) sygnalista wyraził wyraźną zgodę na ujawnienie jego danych (art. 8 ust. 1 ustawy). Ponieważ zgoda musi być wyraźna, najlepiej, jeśli będzie miała formę pisemną. Możemy uznać, że taka zgoda została wyrażona, jeżeli sygnalista sam, publicznie oznajmił o dokonaniu zgłoszenia;

2) ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z:

l postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne, czyli organy wyjaśniające zgłoszenia zewnętrzne,

l postępowaniami przygotowawczymi, czyli prowadzonymi przez prokuraturę lub inny uprawniony organ w trybie Kodeksu postępowania karnego,

l postępowaniami sądowymi prowadzonymi przez sądy (art. 8 ust. 2 ustawy).

Zauważmy, że udostępnienie danych sygnalisty w takich przypadkach musi wynikać z przepisów prawa. Obowiązek prawny musi być konieczny i proporcjonalny. To oznacza, że każde żądanie przekazania danych sygnalisty należy ocenić pod tym kątem. Nie każdy wniosek musi zostać uwzględniony.

Jeżeli planujemy przekazać dalej dane sygnalisty w tym trybie, to powinniśmy go o tym poinformować, przesyłając w postaci papierowej lub elektronicznej wyjaśnienie powodów ujawnienia jego danych osobowych (art. 8 ust. 3 ustawy).

Z takiego powiadomienia należy zrezygnować, jeżeli zagrozi ono postępowaniu wyjaśniającemu lub postępowaniu przygotowawczemu, lub sądowemu. Może to dotyczyć przykładowo sytuacji, w której sygnalista sam był zamieszany w łamanie prawa, a zawiadomienie do prokuratury obejmuje także jego jako podejrzanego o popełnienie przestępstwa.

3.2. Zakaz działań odwetowych

Druga forma ochrony to zakaz działań odwetowych.

Chodzi więc o działanie odwetowe za zgłoszenie lub ujawnienie.

Ostatni fragment definicji dotyczy tzw. uciążliwych postępowań przeciwko sygnaliście. Chodzi o wszczynane pod różnymi pretekstami postępowań cywilnego, karnego, dyscyplinarnego itp., których prawdziwym celem nie jest dochodzenie sprawiedliwości, ale pognębienie sygnalisty oraz wydrenowanie go z oszczędności na pomoc prawną.

Ustawa zakazuje (art. 11 ustawy):

l podejmowania działań odwetowych;

l prób takich działań;

l gróźb zastosowania takich działań wobec sygnalisty.

W ustawie znajdujemy przykłady działań odwetowych. Mogą one polegać w szczególności na (art. 12 ust. 1 i art. 13 ust. 1 ustawy):

l odmowie nawiązania stosunku pracy, służby, zlecenia;

l wypowiedzeniu lub rozwiązaniu bez wypowiedzenia stosunku pracy, służby, zle­cenia;

l niezawarciu umowy o pracę na czas określony lub umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na okres próbny, niezawarciu kolejnej umowy o pracę na czas określony lub niezawarciu umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na czas określony – w przypadku, gdy sygnalista miał uzasadnione oczekiwanie, że zostanie z nim zawarta taka umowa;

l obniżeniu wysokości wynagrodzenia za pracę lub uposażenia;

l wstrzymaniu awansu albo pominięciu przy awansowaniu;

l pominięciu przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą lub służbą lub obniżeniu wysokości tych świadczeń;

l przeniesieniu na niższe stanowisko;

l zawieszeniu w wykonywaniu obowiązków pracowniczych lub służbowych;

l przekazaniu innemu pracownikowi/funkcjonariuszowi/żołnierzowi dotychczasowych obowiązków sygnalisty;

l niekorzystnej zmianie miejsca wykonywania pracy/służby lub rozkładu czasu pracy/służby;

l negatywnej ocenie wyników pracy/służby lub negatywnej opinii o pracy/służbie;

l nałożeniu lub zastosowaniu środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze;

l przymusie, zastraszaniu lub wykluczeniu;

l mobbingu (zauważmy, że wiele innych form działań odwetowych ma charakter mobbingu);

l dyskryminacji;

l niekorzystnym lub niesprawiedliwym traktowaniu;

l wstrzymaniu udziału lub pominięciu przy typowaniu do udziału w szkoleniach podnoszących kwalifikacje zawodowe (to nie zawsze oczywista forma odwetu), nieuzasadnionym skierowaniu na badania lekarskie, w tym badania psychiatryczne, chyba że przepisy odrębne przewidują możliwość skierowania pracownika na takie badania (w wojsku i służbach mundurowych to forma pozbycia się niewygodnej osoby w białych rękawiczkach – uznanie za niezdolnego do służby przez lekarza orzecznika);

l działaniu zmierzającym do utrudnienia znalezienia w przyszłości pracy w danym sektorze lub w danej branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego („czarne listy”);

l spowodowaniu straty finansowej, w tym gospodarczej lub utraty dochodu;

l wyrządzeniu innej szkody niematerialnej, w tym naruszeniu dóbr osobistych, w szczególności dobrego imienia sygnalisty (to dość często stosowana forma obrony przez atak).

Dodatkowo wobec sygnalistów, którzy są przedsiębiorcami, ustawa wskazuje następujące przykłady działań odwetowych (art. 13 ust. 2 ustawy):

l wypowiedzenie umowy, której stroną jest sygnalista, w szczególności dotyczącej sprzedaży lub dostawy towarów lub świadczenia usług;

l odstąpienie od takiej umowy lub

l rozwiązanie jej bez wypowiedzenia;

l nałożenie obowiązku lub odmowa przyznania, ograniczenie lub odebranie uprawnienia, w szczególności koncesji, zezwolenia lub ulgi.

Ponieważ ustawa podaje jedynie przykłady, oznacza to, że działania odwetowe mogą mieć także inne formy. Zakaz działań odwetowych wywołuje wiele nieporozumień. Wyjaśnijmy więc pewne zagadnienia.

Czy sygnalista korzysta z immunitetu?

Czy wobec sygnalisty nie wolno podejmować żadnych działań wymienionych wcześ­niej (poza oczywiście różnymi formami mobbingu i dyskryminacji, które są zawsze zakazane)?

Oznacza to, że wobec sygnalisty możemy podejmować działania wynikające z Kodeksu pracy, umowy o pracę, innych pragmatyk służbowych i umów – jeżeli nie są działaniami odwetowymi za zgłoszenie, a mają charakter działań obiektywnie uzasadnionych.

Jeżeli sygnalista będzie uważał określone działanie pracodawcy za działanie odwetowe, to zapewne spotkają się w sądzie pracy. W takiej sytuacji to na pracodawcy będzie spoczywał ciężar dowodu, że dane działanie nie było działaniem odwetowym. Będzie musiał niejako udowodnić swoją niewinność. Jest to jedną z form ochrony sygnalisty, którą omawiamy dalej.

3.3. Wsparcie Rzecznika Praw Obywatelskich

Trzecia forma ochrony polega na wsparciu udzielanym przez Rzecznika Praw Obywatelskich (dalej również jako RPO). Wsparcie to obejmuje następujące formy (art. 31 ust. 1 pkt. 4–6 ustawy):

l wsparcie informacyjne – zapewnienie powszechnego dostępu do informacji na temat praw i środków ochrony prawnej przed działaniami odwetowymi dla sygnalistów oraz innych uprawnionych osób, a także na temat praw osób, których dotyczy zgłoszenie zewnętrzne;

l wsparcie poradnicze – udzielanie porad (najprawdopodobniej prawnych) w powyższym zakresie;

l wsparcie kierujące – udzielanie informacji o organach, które mogą podjąć działania służące ochronie sygnalistów przed działaniami odwetowymi oraz, ewentualnie, wspieranie sygnalistów i innych uprawnionych osób w kontaktach z takimi organami, w szczególności przez informowanie tych organów o dostrzeżonej konieczności objęcia sygnalisty ochroną.

RPO i jego biuro nie będą zatem samodzielnie udzielać takiej ochrony, ale kierować do innych, właściwych organów.

3.4. Ochrona w postępowaniach prawnych

Czwartą formą ochrony sygnalisty, a właściwie pakietem takich form, jest ochrona w postępowaniach prawnych.

Zacznijmy od pytania, czym jest postępowanie prawne?

Postępowanie prawne to (art. 2 pkt 13 ustawy):

l postępowanie toczące się na podstawie przepisów prawa powszechnie obowiązującego, w szczególności postępowanie karne, cywilne, administracyjne, dyscyplinarne lub o naruszenie dyscypliny finansów publicznych albo

l postępowanie toczące się na podstawie regulacji wewnętrznych wydanych w celu wykonania przepisów prawa powszechnie obowiązującego, w szczególności antymobbingowych.

Przyjrzyjmy się poszczególnym formom ochrony.

3.4.1. Odwrócony ciężar dowodu

Przytaczaliśmy już art. 12 ust. 3 ustawy, który stanowi, że to na pracodawcy spoczywa ciężar dowodu, że działanie podjęte wobec sygnalisty nie jest działaniem odwetowym.

Oznacza to, że w przypadku spotkania się z sygnalistą, np. w sądzie pracy, gdy sygnalista oskarży pracodawcę – np. że jego zwolnienie albo przeniesienie na inne stanowisko było odwetem za zgłoszenie – to pracodawca będzie musiał udowodnić swoją niewinność. Będzie musiał przekonać sąd, że istniały obiektywne powody określonego zachowania wobec sygnalisty, które nie miały związku z jego zgłoszeniem lub ujawnieniem publicznym. Taka zasada wzmocni pozycję sygnalisty w sądzie.

Narzuca się tu być może niektórym z Czytelników pytanie, czy taka zasada w ogóle jest zgodna z zasadami państwa prawa? Standardowo trzeba przecież udowodnić czyjąś winę, a nie niewinność. Taki wyjątek wydaje się zgodny z zasadami praworządności ze względu na szczególną nierówność stron postępowania. Mamy już zresztą precedens: podobna zasada odwróconego ciężaru dowodu jest stosowana w sporach o dyskryminację w pracy. Nie jest natomiast stosowana w sporach o mobbing: tutaj to pracownik musi nadal udowodnić stosowanie albo tolerowanie mobbingu swojemu pracodawcy.

Praktyczny wniosek, jaki wynika z tego przepisu dla komórek kadrowych, wskazuje na konieczność lepszej dokumentacji relacji pracodawca – pracownik, zwłaszcza w sprawach dotyczących niewłaściwego przestrzegania obowiązków pracownika. Może także skłaniać do szukania bardziej obiektywnych metod oceny pracy pracownika. Nawet gdy nie chodzi o sygnalistę, każdy pracownik powinien być oceniany obiektywnie, a działania pracodawcy wobec niego powinny być podejmowane na uzasadnionych podstawach.

3.4.2. Ochrona przed uciążliwymi postępowaniami

Wspominaliśmy wcześniej (zob. podrozdział 3.2), czym są uciążliwe (bezpodstawne) postępowania wobec sygnalisty i że jest to jedna z często stosowanych form działań odwetowych. W art. 16 ust. 1 ustawa stanowi, że dokonanie zgłoszenia lub ujawnienia publicznego nie może stanowić podstawy odpowiedzialności, w tym odpowiedzialności dyscyplinarnej lub odpowiedzialności za szkodę z tytułu naruszenia praw innych osób lub obowiązków określonych w przepisach prawa, w szczególności:

l w przedmiocie zniesławienia,

l naruszenia dóbr osobistych,

l praw autorskich,

l ochrony danych osobowych oraz

l obowiązku zachowania tajemnicy, w tym tajemnicy przedsiębiorstwa,

l z uwzględnieniem art. 5 ustawy (czyli wyłączeń dotyczących informacji niejawnych i innych informacji prawie chronionych),

pod warunkiem, że sygnalista miał uzasadnione podstawy sądzić, że zgłoszenie lub ujawnienie publiczne jest niezbędne do ujawnienia naruszenia prawa zgodnie z ustawą.

Jak rozumieć warunek przytoczony w tym przepisie? Ma on chyba wyłączać sytuacje tego typu, w których naruszenie prawa zostało już ujawnione i toczą się w podmiocie określone działania, sygnalista o tym wie, a mimo tego dokonuje zgłoszenia zewnętrznego lub ujawnienia publicznego. Osoba wymieniona w ujawnieniu publicznym może wtedy wystąpić z pozwem o zniesławienie i nie musi to mieć charakteru działania odwetowego.

Przepis ten ma na celu wyłączenie podstawy prawnej, a więc i podstaw odpowiedzialności sygnalisty, stosowanej w wielu uciążliwych postępowaniach.

Zauważmy, że czasami formalna przyczyna uciążliwego postępowania może być inna. Formalnie może nie dotyczyć zgłoszenia. Pozostaje jednak formą działania odwetowego.

Co w sytuacji, w której wobec sygnalisty zostanie wszczęte takie uciążliwe postępowanie?

Ustawa stanowi, że sygnalista może wystąpić o jego umorzenie (art. 16 ust. 2 ustawy). Cel przepisu jest jasny. Skoro w uciążliwych postępowaniach formą działania odwetowego jest to, że są one uciążliwe (konieczność stawiania się przed organami, koszty pomocy prawnej, stres, dezorganizacja życia), a w warunkach polskich dodatkowo długotrwałe, to najlepszą formą ochrony sygnalisty będzie umorzenie takiego postępowania na jego początku.

Ustawa nie implementuje tu jednak dyrektywy w pełni dokładnie. Dyrektywa stanowi bowiem (art. 21 ust. 7 dyrektywy), że sygnalista ma prawo wystąpić o umorzenie uciążliwego postępowania.

Czy „może” i „ma prawo” oznaczają dokładnie to samo? Ustawodawca nie widzi tu problemu. Jednak sformułowanie z dyrektywy bardziej podkreśla prawo sygnalisty do ochrony przed uciążliwymi postępowaniami. Należy również dodać, że ostateczną decyzję o umorzeniu postępowania podejmuje sąd lub inny właściwy organ. To on będzie w szczególności badać, czy sygnalista spełnia warunki ochrony. Nawet dyrektywa nie wprowadzała tu automatyzmu.

3.4.3. Uzyskanie dostępu i ujawnienie informacji

Niezależnie od ochrony przed uciążliwymi postępowaniami ustawa wyłącza odpowiedzialność sygnalisty (art. 16 ust. 3 ustawy) za:

l uzyskanie informacji będących przedmiotem zgłoszenia lub ujawnienia publicznego;

l dostęp do takich informacji,

pod warunkiem, że takie uzyskanie lub taki dostęp nie stanowią czynu zabronionego.

Jak należy rozumieć ten przepis?

Sygnalista może przekazywać informacje różnego typu, czyli takie, które:

l uzyskał w ramach swoich czynności służbowych;

l nie były związane z jego czynnościami służbowymi, ale miał do nich dostęp, na przykład w sieci wewnętrznej lub na dysku wspólnym;

l uzyskał przypadkiem – na przykład przeczytał pismo leżące na biurku kolegi;

l uzyskał od innej osoby, na przykład od innego pracownika.

We wszystkich tych przypadkach odpowiedzialność sygnalisty jest wyłączona, ponieważ nie uzyskał tych informacji w wyniku czynu zabronionego, czyli przestępstwa.

Sygnalista będzie natomiast odpowiadał na zasadach ogólnych za uzyskanie informacji w wyniku przestępstwa, na przykład za włamanie się do sytemu teleinformatycznego czy do cudzego biurka.

3.4.4. Odszkodowanie i zadośćuczynienie

Artykuł 14 ustawy stanowi, że sygnalista, wobec którego dopuszczono się działań odwetowych, ma prawo do:

l odszkodowania w wysokości nie niższej niż przeciętne miesięczne wynagrodzenie w gospodarce narodowej w poprzednim roku¹⁰⁾ lub

l zadośćuczynienia.

Warto zauważyć, że dyrektywa mówi o prawie do pełnego odszkodowania za szkodę (art. 21 ust. 8 dyrektywy). Ustawa określa jedynie minimalne odszkodowanie, nie określając jego górnej granicy i pozostawiając tę decyzję do uznania sądu.

Ustawa rozszerza natomiast ochronę sygnalisty, przyznając mu prawo do zadośćuczynienia. Przypomnijmy, że odszkodowanie dotyczy przede wszystkim szkód materialnych, które poniósł sygnalista, np. w związku z utratą pracy, wpisaniem na czarną listę, przeniesieniem na gorzej płatne stanowisko, rozwiązaniem umowy cywilnoprawnej. Zadośćuczynienie dotyczy natomiast doznanej krzywdy, np. moralnej, zdrowotnej czy naruszenia dobrego imienia sygnalisty.

Warto tu także przytoczyć fragment z uzasadnienia do ustawy (str. 38 tego uzasadnienia), w którym zwrócono uwagę, że odpowiedzialność określona w art. 14 ustawy nie wyłącza innej odpowiedzialności: „Należy też podkreślić, że jeżeli działania odwetowe wobec sygnalisty przyjmą formę, za którą w prawie pracy lub w prawie cywilnym jest przewidziana osobna sankcja (np. za działania mobbingowe, dyskryminację, bezprawne rozwiązanie stosunku pracy czy też naruszenie dóbr osobistych), to naruszający działaniami odwetowymi także inne przepisy prawa, niezależnie od sankcji przewidzianej za podjęcie działań odwetowych, będzie ponosić odpowiedzialność także z tytułu tych innych naruszeń”.

3.5. Kto jeszcze korzysta z ochrony

Zgodnie z art. 21 ustawy z ochrony przed działaniami odwetowymi, uciążliwymi postępowaniami i odpowiedzialnością za ujawnienie informacji, „odpowiednio”, na takich zasadach jak sygnalista, korzystają jeszcze pewne inne kategorie osób i podmiotów:

l osoby fizyczne, prawne i jednostki organizacyjne pomagające sygnaliście w dokonaniu zgłoszenia

Może tu chodzić o pomoc merytoryczną, przekazanie informacji, pomoc w zredagowaniu pisma, a także o pomoc techniczną w skorzystaniu z określonej metody przekazania zgłoszenia. Obowiązuje także zasada ochrony tożsamości osoby fizycznej (art. 56 ustawy) stosowana "odpowiednio" do osoby prawnej i jednostki organizacyjnej;

l osoby fizyczne powiązane z sygnalistą

Przykładowo krewni lub przyjaciele sygnalisty w miejscu pracy. Chodzi o to, aby wykluczyć „zastępcze” działania odwetowe wobec nich. Obowiązuje także zasada ochrony tożsamości takich osób (art. 56 ustawy);

l osoby prawne i inne jednostki organizacyjne powiązane z sygnalistą, w szczególności stanowiące własność sygnalisty lub go zatrudniającej.

Warto przytoczyć jeszcze ustawowe definicje.

W przytoczonej ustawowej definicji osoby pomagającej w dokonaniu zgłoszenia widzimy pewną niekonsekwencję ustawodawcy, ponieważ ochrona wynikająca z art. 21 ustawy jest rozciągnięta także na osoby prawne i jednostki organizacyjne.

Jak wynika z art. 2 pkt 9 ustawy, osoba powiązana z sygnalistą, to: osoba fizyczna, która może doświadczyć działań odwetowych, czyli np.:

l współpracownik lub

l osoba najbliższa sygnalisty w rozumieniu art. 115 § 11 ustawy z 6 czerwca 1997 r. – Kodeks karny (j.t. Dz.U. z 2024 r. poz. 17 ze zm.).

Zgodnie z przywołanym przepisem osobą najbliższą jest małżonek, wstępny, zstępny, rodzeństwo, powinowaty w tej samej linii lub stopniu, osoba pozostająca w stosunku przysposobienia oraz jej małżonek, a także osoba pozostająca we wspólnym pożyciu.

Zakres „wspólnego pożycia” ewoluuje w doktrynie na przestrzeni lat, ale może się odnosić do związków nieformalnych oraz innych domowników sygnalisty.

3.6. Ochrona osoby, której dotyczy zgłoszenie

Rozłóżmy ustawową definicję takiej osoby na czynniki pierwsze. Artykuł 2 pkt 7 ustawy stanowi, że: należy przez to rozumieć:

l osobę fizyczną,

l osobę prawną lub

l jednostkę organizacyjną nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną,

wskazaną w zgłoszeniu lub ujawnieniu publicznym jako osoba:

l która dopuściła się naruszenia prawa lub

l z którą osoba dopuszczająca się naruszenia prawa jest powiązana.

Ostatni fragment definicji może dotyczyć przykładowo zgłoszenia, mówiącego że X „ustawia” zamówienia publiczne, a jego przełożony Y zupełnie na to nie reaguje.

Osoby, których dotyczy zgłoszenie, korzystają z ochrony tożsamości (art. 27 ust. 1, art. 43 ust. 1 ustawy). Ochrona ta, zgodnie z art. 27 ust. 1 ustawy:

l polega na ochronie jej danych osobowych przed dostępem osób nieupoważnionych;

l dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takiej osoby.

W praktyce na etapie przyjmowania zgłoszeń i postępowania wyjaśniającego dostęp do jej danych mają jednie osoby upoważnione imiennie na podstawie procedury zgłoszeń wewnętrznych lub zewnętrznych. Działania następcze należy prowadzić tak, aby pośrednio nie ujawnić tożsamości sygnalisty osobom nieupoważnionym. Po zakończeniu postępowania wyjaśniającego, jeżeli zarzuty się nie potwierdziły – ta tożsamość jest nadal chroniona, a jeśli się potwierdziły – dane takiej osoby mogą być przekazane kolejnym osobom w celu podjęcia dalszych działań następczych (obowiązują tu nadal ogólne reguły ochrony danych osobowych).

Drugą formą ochrony, o której nie mówi wprost ustawa, jest prawo do obrony.

O tym prawie wspomina dyrektywa w motywie 100. Należy zapewnić sygnaliście prawo do obrony oraz bycia wysłuchanym i prawo do skutecznego środka ochrony prawnej w odniesieniu do orzeczenia dotyczącego tej osoby.

Prawo do obrony, w tym przedstawienia własnych racji, wynika również z zasady należytej staranności w prowadzeniu działań następczych (art. 25 ust. 1 pkt 6, art. 34 ust. 1 pkt 5 ustawy). Wynika ono także z ogólnych zasad państwa prawnego, jakim jest Rzeczpospolita Polska oraz z Karty Praw Podstawowych.

3.7. Ochrona ujawnionego sygnalisty anonimowego

Procedury zgłoszeń wewnętrznych i zewnętrznych mogą przewidywać przyjmowanie zgłoszeń anonimowych. W sposób anonimowy można także dokonać ujawnienia publicznego.

Jeżeli tożsamość anonimowego sygnalisty zostanie następnie ujawniona i doświadczy on działań odwetowych, podlega ochronie na takich samych zasadach jak sygnalista zgłaszający naruszenie pod imieniem i nazwiskiem, jeśli spełnia warunki objęcia go ochroną (art. 7 ust. 2 ustawy).

4. Sankcje

Aby przepisy były traktowane poważnie, muszą istnieć sankcje za ich łamanie. W ustawie przewidziano sankcje karne, które zostały określone w art. 54–59 ustawy oraz cywilnoprawne (art. 14 i 15 ustawy).

4.1. Utrudnianie zgłoszeń

Artykuł 54 ustawy stanowi:

1) kto chcąc, aby inna osoba nie dokonała zgłoszenia, uniemożliwia jej to lub istotnie utrudnia, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku;

2) jeżeli sprawca czynu określonego w ust. 1 stosuje wobec innej osoby przemoc, groźbę bezprawną lub podstęp, podlega karze pozbawienia wolności do lat 3.

4.2. Działania odwetowe

Artykuł 55 ustawy stanowi:

1) kto podejmuje działania odwetowe wobec sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2;

2) jeżeli sprawca czynu określonego w ust. 1 działa w sposób uporczywy, podlega karze pozbawienia wolności do lat 3.

Dyrektywa w art. 24 ust. 1 pkt c wskazuje także na konieczność określenia sankcji za wszczynanie uciążliwych postępowań. To wymaganie jest zrealizowane, ponieważ definicja działań odwetowych, zawarta w art. 2 pkt 2 ustawy obejmuje także „bezpodstawne inicjowanie postępowań przeciwko sygnaliście”.

4.3. Ujawnienie tożsamości

Artykuł 56 ustawy stanowi, że kto wbrew przepisom ustawy ujawnia tożsamość sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

„Wbrew przepisom” oznacza:

l ujawnienie tożsamości osobom nieupoważnionym (art. 8 ust. 1 ustawy);

l przekazanie danych innym organom bez podstawy prawnej lub gdy nie jest to „koniecznym i proporcjonalnym obowiązkiem” wynikającym z przepisów prawa.

Przywołany przepis karny nie obejmuje ujawnienia wbrew przepisom tożsamości osoby, której dotyczy zgłoszenie. Ochrona jest tu więc słabsza, ale sankcje za takie ujawnienie mogą być zastosowane na podstawie innych przepisów, np. RODO lub dotyczących ochrony dóbr osobistych.

4.4. Zła wiara

W myśl art. 57 ustawy, kto dokonuje zgłoszenia lub ujawnienia publicznego, wiedząc, że do naruszenia prawa nie doszło, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Zgodnie z art. 15 ustawy osoba, która poniosła szkodę z powodu świadomego zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji przez sygnalistę, ma prawo do odszkodowania lub zadośćuczynienia za naruszenie dóbr osobistych od sygnalisty, który dokonał takiego zgłoszenia lub ujawnienia publicznego.

Warto podkreślić, że zakres odpowiedzialności cywilnej jest szerszy niż karnej. Prawo do odszkodowania lub zadośćuczynienia może wynikać ze świadomego podania w zgłoszeniu/ujawnieniu publicznym dowolnych nieprawdziwych informacji, jeżeli wywołają one szkodę materialną lub moralną osobie, której dotyczy zgłoszenie.

Przepis karny nie jest zbyt fortunnie sformułowany. Należy go rozpatrywać w świetle ustawowej definicji informacji o naruszeniu prawa.

Zgodnie z ustawą (art. 2 pkt 3 ustawy) jest to informacja, w tym uzasadnione podejrzenie dotyczące:

l zaistniałego lub potencjalnego naruszenia prawa;

l do którego doszło lub prawdopodobnie dojdzie w podmiocie prawnym lub

l próby ukrycia takiego naruszenia prawa.

Ta definicja dopuszcza, że sygnalista może przekazać informacje o naruszeniu prawa, do którego (jeszcze) nie doszło i być może nie dojdzie, właśnie dzięki zgłoszeniu od sygnalisty.

Ponadto, jeżeli sygnalista przekazuje informacje „co do których miał uzasadnione podstawy sądzić”, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego, to podlega ochronie.

Rozpatrując kwestię złożenia zawiadomienia o popełnieniu przestępstwa z tego przepisu, należy sprawdzić zawsze dwie przesłanki:

a) czy sygnalista świadomie podał w zgłoszeniu informacje nieprawdziwe?

b) czy te informacje wskazywały na naruszenie prawa, do którego nie doszło?

Przekazanie prawdziwych informacji dotyczących potencjalnego naruszeniu prawa, do którego jeszcze nie doszło, nie wywołuje odpowiedzialności karnej!

4.5. Brak procedury wewnętrznej albo jej wadliwość

Kto będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny (art. 58 ustawy).

W ustawie wskazano, że postępowanie w tym zakresie odbywa się w trybie przepisów ustawy – Kodeks postępowania w sprawach o wykroczenia¹¹⁾.

Zatem odpowiedzialność jest związana nie tylko z brakiem, ale także z istnieniem istotnych wad procedury zgłoszeń wewnętrznych. W przypadku braku lub istotnych wad procedury zgłoszeń zewnętrznych będzie miał zastosowanie art. 54 ust. 1 ustawy.

5. Zgłoszenia wewnętrzne w podmiotach publicznych

5.1. Podmiot prawny i podmiot publiczny

Zanim sprawdzimy, kto jest zobowiązany ustanowić procedury zgłoszeń wewnętrznych, musimy omówić trzy terminy, które zostały zdefiniowane w art. 2 ustawy, w punktach 10–12. Są to:

l podmiot prawny (art. 2 pkt 10) – czyli:

– podmiot prywatny lub

– podmiot publiczny.

Warto tu od razu zauważyć, że podmiot prawny w rozumieniu ustawy nie jest tożsamy z osobą prawną (ten termin zapożyczono z dyrektywy);

l podmiot prywatny – to:

– osoba fizyczna prowadzącą działalność gospodarczą,

– osoba prawna,

– jednostka organizacyjna nieposiadająca osobowości prawnej, której ustawa przyznaje zdolność prawną,

– pracodawca,

– jeżeli nie są podmiotami publicznymi.

Podmiot prawny nie musi zatem posiadać osobowości prawnej. Ponadto może (i zazwyczaj jest) pracodawcą w rozumieniu Kodeksu pracy, ale tak być nie musi. Obowiązki mogą dotyczyć również podmiotów, które nikogo nie zatrudniają na podstawie umowy o pracę.

Nasz poradnik jest poświęcony sektorowi publicznemu, przyjrzyjmy się więc, które podmioty prawne do niego należą.

Podmiot publiczny – należy przez to rozumieć podmiot wskazany w art. 3 ustawy z 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego¹²⁾. Ustawodawca odsyła nas do tej ustawy, ponieważ w tym akcie prawnym skodyfikowano pojęcie podmiotu prawa publicznego na gruncie prawa UE, którym posługuje się dyrektywa.

Podmiotami takimi są:

1) jednostki sektora finansów publicznych w rozumieniu przepisów ustawy z 27 sierpnia 2009 r. o finansach publicznych;

2) inne niż określone w pkt 1 państwowe jednostki organizacyjne nieposiadające osobowości prawnej;

3) inne niż określone w pkt 1 osoby prawne, utworzone w szczególnym celu zaspokajania potrzeb o charakterze powszechnym, niemających charakteru przemysłowego ani handlowego, jeżeli podmioty, o których mowa w tym przepisie, oraz podmioty, o których mowa w pkt 1 i 2, pojedynczo lub wspólnie, bezpośrednio albo pośrednio przez inny podmiot:

l finansują je w ponad 50 lub

l posiadają ponad połowę udziałów albo akcji, lub

l sprawują nadzór nad organem zarządzającym, lub

l mają prawo do powoływania ponad połowy składu organu nadzorczego lub zarządzającego;

4) związki podmiotów, o których mowa wyżej,

5) inne niż określone wyżej podmioty, które:

l wykonują jeden z rodzajów działalności sektorowej, o której mowa w art. 5 ust. 4 ustawy z 11 września 2019 r. – Prawo zamówień publicznych¹³⁾, lub

l działają w charakterze podmiotów świadczących usługi publiczne w rozumieniu art. 2 lit. d rozporządzenia (WE) nr 1370/2007 Parlamentu Europejskiego i Rady z 23 października 2007 r. dotyczącego usług publicznych w zakresie kolejowego i drogowego transportu pasażerskiego oraz uchylającego rozporządzenia Rady (EWG) nr 1191/69 i (EWG) nr 1107/70, lub

l działają w charakterze przewoźników lotniczych w rozumieniu art. 2 pkt 10 rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1008/2008 z 24 wrześ­nia 2008 r. w sprawie wspólnych zasad wykonywania przewozów lotniczych na terenie Wspólnoty (Wersja przekształcona), wykonujących obowiązki użyteczności publicznej zgodnie z art. 16 tego rozporządzenia, lub

l działają w charakterze armatorów Wspólnoty w rozumieniu art. 2 pkt 2 rozporządzenia Rady (EWG) nr 3577/92 z 7 grudnia 1992 r. dotyczącego stosowania zasady swobody świadczenia usług w transporcie morskim w obrębie Państw Członkowskich (kabotaż morski), wykonujących zobowiązania z tytułu świadczenia usług publicznych zgodnie z art. 4 tego rozporządzenia

– na które podmioty, wymienione w pkt 1–4, pojedynczo lub wspólnie, bezpośrednio lub pośrednio przez inny podmiot, wywierają dominujący wpływ, w szczególności posiadają ponad połowę udziałów albo akcji lub posiadają ponad połowę głosów wynikających z udziałów albo akcji lub mają prawo do powoływania ponad połowy składu organu nadzorczego lub zarządzającego.

Dodajmy jeszcze, że ustawowe obowiązki podmiotów prywatnych i publicznych, dotyczące zgłoszeń wewnętrznych, są w ustawie bardzo zbliżone. Różnice dotyczą głównie wyłączeń oraz możliwości tworzenia wspólnych procedur zgłoszeniowych.

Pojęcia „podmiotu publicznego” nie należy mylić z pojęciem „organu publicznego”. Organy publiczne w rozumieniu ustawy to pojęcie węższe, które szczegółowo omówimy w rozdziale dotyczącym zgłoszeń zewnętrznych.

5.2. Obowiązek ustanowienia procedury wewnętrznej

Dyrektywa wskazuje na obowiązek ustanowienia przez określone podmioty prawne kanałów i procedur na potrzeby dokonywania zgłoszeń wewnętrznych i podejmowania działań następczych” (art. 8 ust. 1 dyrektywy).

Ustawa natomiast wprowadza obowiązek ustalenia wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych, zwanych „procedurą zgłoszeń wewnętrznych” (art. 24 ust. 1 ustawy). W ramach tej procedury należy określić m.in. sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę (art. 25 ust. 1 pkt 2 ustawy).

Termin „kanały zgłoszeń wewnętrznych” lub „kanały zgłoszeń zewnętrznych” nie pojawia się w ustawie!¹⁴⁾ Termin ten używany jest zarówno potocznie, jak i przez specjalistów, ponieważ o „kanałach” mówi dyrektywa. Patrząc jednak ściśle od strony prawnej, na podstawie ustawy ustalamy procedury zgłoszeń wewnętrznych, a nie kanały zgłoszeń wewnętrznych.

5.3. Podmiot ustanawiający procedurę

Obowiązek ustalenia procedury zgłoszeń wewnętrznych spoczywa w sektorze publicznym – co do zasady – na podmiocie, na rzecz którego według stanu na dzień 1 stycznia lub 1 lipca danego roku pracę zarobkową wykonuje co najmniej 50 osób (art. 23 ust. 1 ustawy).

W art. 23 ust. 2 ustawy określono, jak liczyć ten próg.

Do liczby 50 osób wykonujących pracę zarobkową na rzecz podmiotu prawnego wlicza się:

1) pracowników w przeliczeniu na pełne etaty oraz

2) osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy:

l jeżeli nie zatrudniają do tego rodzaju pracy innych osób,

l niezależnie od podstawy zatrudnienia.

W przypadku etatów sprawa jest prosta. Przykładowo dwóch pracowników, każdy zatrudniony na 1 etatu, liczymy jak jedną osobę „wykonującą pracę zarobkową”.

A jak rozumieć drugą grupę?

Mogą to być osoby świadczące pracę na podstawie umowy zlecenia, umowy o dzieło, kontraktu menedżerskiego, umowy B2B, czyli zawartej przez osobę prowadzącą działalność gospodarczą, ale pod warunkiem że osoby te „nie zatrudniają do tego rodzaju pracy innych osób”. Chodzi więc o osoby wykonujące pracę osobiście.

Tutaj każda taka osoba liczy się jako jedna. Nie ma formalnie etatów, więc i nie można przeliczać wykonywanej pracy na pełne etaty.

Osoba prowadzącą indywidualną działalność gospodarczą, która podpisała umowę z podmiotem prawnym na świadczenie usług, np. informatycznych, ale umowa ta jest wykonywana przez jej pracowników lub podwykonawców, nie będzie zaliczać się do limitu.

Od przedstawionej zasady wstępują wyjątki zawężające i rozszerzające.

Procedury zgłoszeń wewnętrznych nie muszą ustalać jednostki organizacyjne gminy lub powiatu liczące mniej niż 10 000 mieszkańców (art. 23 ust. 5 ustawy).

Jednak nie zawsze to liczba osób wykonujących pracę zarobkową wywołuje obowiązek stworzenia i wdrożenia procedury. Pewne podmioty prawne, w tym publiczne, są zobowiązane do ustalenia procedury zgłoszeń wewnętrznych bez względu na liczbę tych osób (art. 23 ust. 3 ustawy). Jakich podmiotów to dotyczy? Ogólnie chodzi o podmioty wykonujące działalność w zakresie:

l usług, produktów i rynków finansowych,

l bezpieczeństwa transportu (lotniczy, morski),

l ochrony środowiska (wydobycie ropy i gazu na morzu),

l przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;

które są objęte zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy.

W załączniku tym znajdziemy unijne rozporządzenia (akty stosowane bezpośrednio) oraz dyrektywy (które wymagają implementacji przez polskie prawo). Jeżeli nasz podmiot publiczny znajduje się „pod kreską” 50 osób – trzeba sprawdzić, czy nie podlegamy przepisom zawartym w załączniku do dyrektywy.

W szczególności warto zajrzeć do art. 2 ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu¹⁵⁾ (dalej jako ustawa AML) – zwłaszcza, jeżeli podmiot publiczny nie jest jednostką sektora finansów publicznych. Przepis ten definiuje „instytucje obowiązane”, którymi mogą być potencjalnie także podmioty publiczne. Przykładowo:

l banki krajowe, oddziały instytucji kredytowych, instytucje finansowe mające siedzibę na terytorium Rzeczypospolitej Polskiej;

l krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego, małe instytucje płatnicze, biura usług płatniczych oraz agenci rozliczeniowi, w rozumieniu ustawy z 19 sierpnia 2011 r. o usługach płatniczych¹⁶⁾;

l firmy inwestycyjne, banki powiernicze;

l spółki handlowe, o których mowa w art. 50a tej ustawy z 26 października 2000 r. o giełdach towarowych¹⁷⁾;

l spółki prowadzące rynek regulowany – w zakresie, w jakim prowadzą platformę aukcyjną;

l fundusze inwestycyjne, alternatywne spółki inwestycyjne, towarzystwa funduszy inwestycyjnych, zarządzający ASI, oddziały spółek zarządzających;

l zakłady ubezpieczeń (w pewnym zakresie);

l pośrednicy ubezpieczeniowi (w pewnym zakresie);

l Krajowy Depozyt Papierów Wartościowych S.A. oraz spółka, której Krajowy Depozyt Papierów Wartościowych S.A. przekazał wykonywanie czynności z zakresu, o którym mowa w art. 48 ust. 1 pkt 1 ustawy z 29 lipca 2005 r. o obrocie instrumentami finansowymi¹⁸⁾, w zakresie, w jakim prowadzą rachunki papierów wartościowych lub rachunki zbiorcze;

l przedsiębiorcy prowadzący działalność kantorową, świadczący usługę wymiany walut lub usługę pośrednictwa w wymianie walut;

l podmioty prowadzące działalność gospodarczą polegającą na świadczeniu usług w zakresie:

– wymiany pomiędzy walutami wirtualnymi i środkami płatniczymi,

– wymiany pomiędzy walutami wirtualnymi,

– pośrednictwa w wymianie, o której mowa wyżej,

– prowadzenia rachunków, o których mowa w ust. 2 pkt 17 lit. e;

l przedsiębiorcy, których podstawową działalnością gospodarczą jest świadczenie usług polegających na sporządzaniu deklaracji, prowadzeniu ksiąg podatkowych, udzielaniu porad, opinii lub wyjaśnień z zakresu przepisów prawa podatkowego lub celnego, niebędący innymi instytucjami obowiązanymi;

l operatorzy pocztowi;

l podmioty prowadzące działalność w zakresie gier losowych, zakładów wzajemnych, gier w karty i gier na automatach;

l fundacje, w zakresie, w jakim przyjmują lub dokonują płatności w gotówce o wartości równej lub przekraczającej równowartość 10 000 euro, bez względu na to, czy płatność jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane;

l stowarzyszenia posiadające osobowość prawną, w zakresie, w jakim przyjmują lub dokonują płatności w gotówce o wartości równej lub przekraczającej równowartość 10 000 euro, bez względu na to, czy płatność jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane;

l przedsiębiorcy, w jakim przyjmują lub dokonują płatności za towary w gotówce o wartości równej lub przekraczającej równowartość 10 000 euro, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane;

l przedsiębiorcy, w zakresie, w jakim prowadzą działalność polegającą na udostępnianiu skrytek sejfowych;

l przedsiębiorcy prowadzący działalność polegającą na obrocie lub pośrednictwie w obrocie dziełami sztuki, przedmiotami kolekcjonerskimi oraz antykami, przechowywaniu dzieł sztuki – w zakresie transakcji o wartości równej lub przekraczającej równowartość 10 000 euro, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane,

l instytucje pożyczkowe w rozumieniu ustawy z 12 maja 2011 r. o kredycie konsumenckim¹⁹⁾.

5.4. Integracja dotychczasowych procedur z ustawowymi

Niektóre podmioty prawne (w tym publiczne) są już obecnie zobowiązane do ustanowienia procedur zgłoszeniowych, zazwyczaj na podstawie przepisów unijnych i implementujących je przepisów polskich.

Należą do nich podmioty wykonujące działalność w zakresie:

l usług, produktów i rynków finansowych,

l bezpieczeństwa transportu (lotniczy, morski),

l ochrony środowiska (wydobycie ropy i gazu na morzu),

l przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu,

które są objęte zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części II załącznika do dyrektywy.

Zauważmy, że obowiązek, o którym mówiliśmy w poprzednim punkcie, był szerszy, ponieważ dotyczył także części I.B załącznika.

Jeżeli podmiot publiczny jest już obecnie zobowiązany do wdrożenia procedury zgłoszeniowej i ochrony sygnalistów na podstawie innych przepisów, to (zgodnie z art. 10 ustawy):

l przepisy dotychczasowe pozostają w mocy;

l w zakresie nieuregulowanym dotychczasowymi przepisami – stosuje się przepisy ustawy ochronie sygnalistów.

Ustawa uzupełnia więc przepisy dotychczasowe.

5.5. Wspólne procedury dla jednostek samorządu terytorialnego

Ustanowienie procedury zgłoszeń wewnętrznych i prowadzenie działań następczych może być wyzwaniem, zwłaszcza dla mniejszych podmiotów publicznych.

Ustawa przewiduje tu pewne ułatwienia na poziomie jednostek samorządu terytorialnego.

Artykuł 28 ust. 5 ustawy stanowi, że jednostki samorządu terytorialnego mogą ustalić wspólną procedurę zgłoszeń wewnętrznych w ramach wspólnej obsługi, o której mowa w stosownych przepisach, pod warunkiem zapewnienia jej odrębności i niezależności od procedury przyjmowania zgłoszeń zewnętrznych i podejmowania działań następczych.

Zauważmy, że pojawia się tu warunek odrębności tej wspólnej procedury od procedur zgłoszeń zewnętrznych.

5.5.1. Uregulowania dotyczące obsługi wspólnej

Artykuł 10a ustawy z 8 marca 1990 r. o samorządzie gminnym²⁰⁾ stanowi, że gmina może zapewnić wspólną obsługę, w szczególności administracyjną, finansową i organizacyjną:

l jednostkom organizacyjnym gminy zaliczanym do sektora finansów publicznych;

l gminnym instytucjom kultury;

l innym zaliczanym do sektora finansów publicznych gminnym osobom prawnym utworzonym na podstawie odrębnych ustaw w celu wykonywania zadań publicznych

– z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Tę wspólną obsługę mogą prowadzić ( art.10b ust.1 ustawy o samorządzie gminnym):

l urząd gminy,

l inna jednostka organizacyjna gminy,

l jednostka organizacyjna związku międzygminnego albo

l jednostka organizacyjna związku powiatowo-gminnego,

zwane dalej „jednostkami obsługującymi”.

Jednostki obsługujące, jak i jednostki obsługiwane określa rada gminy. Ona wyznacza również zakres obowiązków powierzonych jednostkom obsługującym w ramach wspólnej obsługi (np. w zakresie wspólnych procedur zgłoszeń wewnętrznych).

Uchwała rady gminy określa ramy prawne współpracy między jednostkami, a przystąpienie do wspólnej obsługi wymaga dodatkowo każdorazowo zawarcia porozumienia między jednostką obsługiwaną i obsługującą, po uprzednim powiadomieniu wójta (art. 10b ust. 3 ustawy o samorządzie gminnym).

Wspólna obsługa jednostek pozwala na obsługę zgłoszeń wewnętrznych, ponieważ:

l jednostka obsługująca ma prawo żądania od jednostki obsługiwanej informacji oraz wglądu w dokumentację w zakresie niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki;

l jednostka obsługiwana ma prawo żądania od jednostki obsługującej informacji oraz wglądu w dokumentację w zakresie zadań wykonywanych przez jednostkę obsługującą.

Analogiczne rozwiązania na poziomie:

l powiatu wprowadzają artykuły 6a–6d ustawy z 5 czerwca 1998 r. o samorządzie powiatowym²¹⁾;

l województwa wprowadzają artykuły 8c–8f ustawy z 5 czerwca 1998 r. o samorządzie województwa²²⁾.

Uzasadnienie projektu ustawy wskazuje, że taka współpraca może objąć m.in. kupno systemu teleinformatycznego.

5.5.2. Ustalenie wspólnej procedury zgłoszeń wewnętrznych w ramach wspólnej obsługi

Zakres wspólnej obsługi zależy od uchwały podjętej przez radę gminy, powiatu lub sejmiku województwa oraz zawartych porozumień.

W wariancie maksymalnym procedura wspólna może polegać na tym, że podmiot obsługujący – gdy istnieje taka potrzeba we współpracy z podmiotem obsługiwanym – realizuje wszystkie zadania przewidziane procedurą. W szczególności:

1) określa i ustanawia od strony technicznej sposoby dokonywania zgłoszeń (na przykład kupując wspólny system informatyczny);

2) przyjmuje zgłoszenia wewnętrzne w imieniu podmiotu publicznego;

3) realizuje obowiązki informacyjne wobec sygnalisty;

4) zapewnia informacje na temat zgłoszeń zewnętrznych;

5) prowadzi działania następcze, w tym postępowania wyjaśniające.

Ponadto wspólna procedura powinna ustanawiać konieczność przekazywania kierownikowi podmiotu obsługiwanego wyników postępowania wyjaśniającego w celu podjęcia dalszych działań następczych.

Forma przekazania wyników także powinna być określona w porozumieniu.

W praktyce mogą sią tu pojawić przynajmniej dwa problemy.

Po pierwsze, art. 24 ust. 3 ustawy wymaga, aby podmiot prawny ustalił procedurę zgłoszeń wewnętrznych po konsultacjach ze związkami zawodowymi lub przedstawicielami pracowników.

Jak ten przepis stosuje się do procedury wspólnej? Kto prowadzi konsultacje? Czy nie będą one co do istoty fikcyjne, bo nawet słuszne uwagi z jednego podmiotu obsługiwanego nie zostaną uwzględnione w procedurze, która została już zatwierdzona przez inne podmioty obsługiwane. Warto śledzić opinie Ministerstwa Rodziny, Pracy i Polityki Społecznej w tym zakresie.

Po drugie pojawia się problem znacznie poważniejszy dotyczący rejestru zgłoszeń wewnętrznych.

Wymagania ustawowe odnoszące się do procedury zgłoszeń wewnętrznych (art. 25 ustawy) nie obejmują kwestii tworzenia rejestru zgłoszeń.

Zasady tworzenia rejestru zostały określone w art. 29 ustawy. Przepis ten stanowi, że rejestr prowadzi podmiot prawny. Podmiot taki może do prowadzenia rejestru upoważnić wewnętrzną jednostkę organizacyjną lub wyznaczyć osobę upoważnioną do przyjmowania zgłoszeń lub prowadzenia działań następczych.

W ustawie nie ma przepisu, który wprost dawałby podstawę prawną do upoważnienia innego podmiotu, na przykład podmiotu obsługującego, do prowadzenia rejestru zgłoszeń. Byłoby to najbardziej logiczne.

Jednak czy dla takiego upoważnienia potrzebna jest wyrażona wprost podstawa prawna? Zdania prawników są podzielone.

Także w tym przypadku zachęcamy do śledzenia opinii Ministerstwa Rodziny, Pracy i Polityki Społecznej.

6. Procedury zgłoszeń wewnętrznych – elementy obowiązkowe

6.1. Wewnętrzne powierzenie zadań

Jeżeli podmiot publiczny nie będzie korzystał ze wspólnej obsługi, o której mowa w poprzednim rozdziale, musi określić, kto będzie:

1) przyjmował zgłoszenia wewnętrzne (art. 25 ust. 1 pkt 1 ustawy);

2) prowadził działania następcze, włączając w to weryfikację zgłoszenia wewnętrznego i dalszą komunikację z sygnalistą (art. 25 ust. 1 pkt 3 ustawy);

3) prowadził rejestr zgłoszeń wewnętrznych (art. 29 ust. 1 i 2 ustawy).

Zadanie wymienione w pkt 1 możemy powierzyć podmiotowi zewnętrznemu (o czym dalej), drugiego nie możemy, co do trzeciego obecnie istnieją wątpliwości prawne.

Jeżeli zdecydujemy, że całość zadań będziemy wykonywać samodzielnie, to ustawa przewiduje tu dwie możliwości powierzenia zadań.

6.1.1. Wewnętrzna jednostka organizacyjna

W praktyce podmiotów publicznych wewnętrzną jednostką organizacyjną będzie najczęściej funkcjonująca u nas komórka organizacyjna, której powierzymy te zadania. Powierzenie musi być wskazane w procedurze zgłoszeń wewnętrznych. Dodatkowo możemy je zawrzeć także w takich dokumentach jak regulamin organizacyjny.

Nie wszyscy pracownicy danej komórki muszą wykonywać te zadania, dlatego istotne będzie tu udzielanie imiennych upoważnień. Z mocy procedury upoważnienie może otrzymać dyrektor komórki, który będzie udzielał dalszych upoważnień.

6.1.2. Osoba w ramach struktury organizacyjnej podmiotu

Mając na myśli osobę w ramach struktury organizacyjnej podmiotu, chodzi o wskazanie istniejącego stanowiska lub funkcji w ramach struktury etatowej podmiotu lub utworzenie nowego stanowiska, specjalnie do tych spraw. Osoba zajmująca takie stanowisko lub pełniąca taką funkcję może zostać upoważniona do działania w procedurze, a następnie udzielać dalszych upoważnień.

Ustawa dopuszcza, że wszystkie trzy wymienione wcześniej zadania zostaną powierzone tej samej komórce lub osobie. Zazwyczaj jest to także najbardziej racjonalne rozwiązanie. Rozproszenie kompetencji może utrudnić zarówno efektywność działania, jak i ochronę sygnalisty. Jednak każdy podmiot publiczny będzie o tym decydował samodzielnie.

6.1.3. Komu powierzyć zadania wewnętrznie

Stanowisko lub komórka wyznaczone do prowadzenia działań następczych powinny być „bezstronne” (art. 25 ust. 1 pkt 3 ustawy), a działania następcze powinny być prowadzone z zachowaniem „należytej staranności” (art. 25 ust. 1 pkt 6 ustawy).

W praktyce oznacza to, że powinniśmy szukać stanowiska lub komórki, na których działania przewidujemy mało zgłoszeń. Wskazane byłoby też jakieś doświadczenie w badaniu naruszeń prawa. Ponadto procedura powinna zawierać „tryb awaryjny”. Należy w nim przewidzieć, komu powierzamy zadania, gdy zgłoszenie dotyczy osób, które takie zgłoszenia standardowo przyjmują i wyjaśniają.

W pierwszej kolejności powinniśmy rozpatrzyć komórki lub stanowiska najbardziej predystynowane, a mianowicie do spraw:

l zgodności (compliance),

l antykorupcji,

l kontroli wewnętrznej.

Jeżeli nie mamy takich w naszym podmiocie, to szukamy innych, które naszym zdaniem mogą zapewnić odpowiedni poziom bezstronności i kompetencji. W mniejszych podmiotach często nie mamy komfortu szerokiego wyboru. Spotyka się powierzanie takich zadań stanowiskom/komórkom do spraw:

l bezpieczeństwa,

l obsługi kierownictwa podmiotu (biuro/sekretariat wójta, prezesa, generalnego dyrektora),

l HR,

l organizacyjnych.

Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych zadania takie – pod pewnymi warunkami – możemy powierzyć Inspektorowi Ochrony Danych²³⁾.

Jeżeli chodzi o audytorów wewnętrznych, to podczas webinariów organizowanych przez Ministerstwo Finansów jego przedstawiciele wypowiadali się jednoznacznie negatywnie w sprawie powierzenia takich zadań audytorom.

6.2. Powierzenie zadań i współpraca z podmiotem zewnętrznym

6.2.1. Przyjmowanie zgłoszeń

Ustawa dopuszcza, aby do przyjmowana zgłoszeń upoważnić na podstawie umowy podmiot zewnętrzny (art. 25 ust. 1 pkt 1 ustawy).

Ustawa daje tu pełną swobodę, o jaki podmiot i jaki rodzaj umowy chodzi. Może więc to być zarówno inny podmiot publiczny, jak i podmiot komercyjny. Umowa może mieć charakter odpłatny i nieodpłatny. Warunki takiego upoważnienia określono w art. 28 ust. 1 i 2 ustawy. Wynika z nich, że można zawrzeć taką umowę w celu:

l powierzenia obsługi przyjmowania zgłoszeń wewnętrznych,

l potwierdzania przyjęcia zgłoszenia,

l przekazywania informacji zwrotnej dla sygnalisty,

l dostarczania informacji na temat procedury zgłoszeń wewnętrznych

z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą.

Ponadto taka umowa musi określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych w imieniu administratora (czyli podmiotu publicznego), o których mowa w przepisach, a w szczególności w art. 28 ust. 3 RODO²⁴⁾.

6.2.2. Prowadzenie rejestru zgłoszeń wewnętrznych

Czy powierzenie zadań związanych z przyjmowaniem zgłoszeń oraz z realizacją obowiązków informacyjnych wobec sygnalisty wiąże się także z powierzeniem prowadzenia rejestru zgłoszeń? Byłoby to najbardziej logiczne.

Jednak pojawiają się tu problemy interpretacyjne, opisane już w jednym z wcześniejszych rozdziałów tego poradnika.

Artykuł 28 ust. 1 ustawy nie wskazuje wprost prowadzenia rejestru zgłoszeń jako czynności, do której może zostać upoważniony podmiot zewnętrzny.

Zasady tworzenia i prowadzenia rejestru zostały określone w art. 29 ustawy. Przepis ten stanowi, że rejestr prowadzi podmiot prawny. Podmiot taki może do prowadzenia rejestru upoważnić wewnętrzną jednostkę organizacyjną lub osobę do przyjmowania zgłoszeń lub prowadzenia działań następczych.

Czy „może” oznacza w tym przypadku:

1) „nie ma przeszkód”, aby także to zadanie powierzyć osobie lub komórce, która została wyznaczona do przyjmowania zgłoszeń lub prowadzenia działań następczych, ale można to zadanie powierzyć także komu innemu (analogicznie do art. 25 ust. 1 pkt 3 ustawy, który stanowi, że prowadzenie działań następczych „można” powierzyć osobom lub komórkom, które przyjmują zgłoszenia, jeżeli zapewniają bezstronność, czyli można powierzyć także innym osobom);

2) czy też „można wyłącznie”, a więc nie można komu innemu, ani wewnętrznie, ani zewnętrznie?

Logika wskazywałaby na pierwszy przypadek, jednak zdania prawników są podzielone.

Także w tym przypadku zachęcamy do śledzenia opinii Ministerstwa Rodziny, Pracy i Polityki Społecznej, a po wdrożeniu ustawy do śledzenia orzecznictwa sądowego.

6.2.3. Działania następcze

Ustawa nie przewiduje (nie daje podstawy prawnej) do powierzenia prowadzenia działań następczych podmiotowi zewnętrznemu. Brak takiej możliwości jest zresztą zgodny z dyrektywą.

Jednocześnie nie ma przeszkód, aby w trakcie działań następczych podmiot publiczny korzystał z pomocy innych podmiotów lub osób z zewnątrz. Takie osoby i podmioty mogą być zaangażowane w określone działania następcze na podstawie umowy lub porozumienia – nie mogą ich jednak prowadzić zamiast podmiotu publicznego.

Choć może być to utrudnieniem, zauważmy, że dzięki takiemu rozwiązaniu to kierownictwo podmiotu publicznego panuje nad całym procesem. To ono decyduje ostatecznie o wnioskach z postępowania wyjaśniającego i dalszych działaniach następczych, zgodnie ze swoimi kompetencjami. Dzięki temu postępowanie wyjaśniające nie może przekształcić się w jakąś formę kontroli zewnętrznej prowadzonej przez inny podmiot.

Pomoc zewnętrzna może być czasami niezbędna podczas prowadzenia działań następczych. Eksperci zewnętrzni mogą być włączeni w skład zespołu wyjaśniającego albo wspomagać jego pracę w konkretnych czynnościach lub ekspertyzach. Należy wtedy pamiętać o wydaniu odpowiednich upoważnień, zawarciu umowy o poufności oraz kwestiach związanych RODO.

6.2.4. Odpowiedzialność

Zawarcie umowy z podmiotem zewnętrznym nie uchyla odpowiedzialności podmiotu publicznego za dochowanie obowiązków związanych ze zgłoszeniami wewnętrznymi, w szczególności dotyczących zachowania poufności, udzielenia informacji zwrotnej oraz podjęcia działań następczych (art. 28 ust. 4 ustawy).

6.3. Sposoby dokonywania zgłoszeń

Kolejną kwestią jest ustalenie sposobów dokonywania zgłoszeń wewnętrznych, zwanych popularnie „kanałami zgłoszeniowymi” (art. 25 ust. 1 pkt 2 ustawy).

Ustawa określa tu pewne minimum. Z jej art. 26 wynika, że minimum to obejmuje:

l zgłoszenie ustne: telefonicznie lub za pośrednictwem środków głosowej komunikacji elektronicznej;

l zgłoszenie ustne dokonane w trakcie bezpośredniego spotkania z upoważnionym pracownikiem (należy to umożliwić sygnaliście w terminie 14 dni od przedstawienia takiego życzenia);

l zgłoszenie pisemne: papierowe lub elektroniczne (przynajmniej w jednej z tych form).

Podmiot może ustanowić więcej sposobów przyjmowania zgłoszeń. Wymagania, zalety i wady poszczególnych sposobów dokonywania zgłoszeń omawiamy w rozdziale 9 poradnika.

6.4. Działania następcze

Ustawa definiuje działania następcze w art. 2 pkt 1 jako działania podjęte przez podmiot prawny lub organ publiczny w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem zgłoszenia, w szczególności przez:

l postępowanie wyjaśniające,

l wszczęcie kontroli lub postępowania administracyjnego,

l wniesienie oskarżenia,

l działanie podjęte w celu odzyskania środków finansowych lub

l zamknięcie realizowanej procedury.

Działania następcze, czyli realizowane po przyjęciu zgłoszenia do rozpatrzenia, mają więc dwie fazy:

1) oceny prawdziwości informacji zawartych w zgłoszeniu – przez postępowanie wyjaśniające;

2) przeciwdziałania skutkom i przyczynom naruszeniu prawa – jeżeli zarzuty się potwierdziły.

Jeżeli zarzuty się nie potwierdziły, następuje zamknięcie procedury po fazie pierwszej.

Artykuł 25 ust. 1 pkt 6 ustawy stanowi, że podmiot publiczny jest zobowiązany zawrzeć w procedurze zgłoszeń wewnętrznych obowiązek podjęcia działań następczych, z zachowaniem należytej staranności, przez wyznaczoną wewnętrzną osobę lub komórkę (o których była mowa wcześniej).

Co wynika z tego przepisu?

Każde zgłoszenie, zakwalifikowane jako podlegające rozpatrzeniu, musi zostać wyjaśnione. Nie ma zgłoszeń „oczywiście bezzasadnych”.

Historia zna wiele przypadków nadużyć, które wydawały się nieprawdopodobne, a jednak się wydarzyły. Weźmy chociaż sprawę kasjerki CBA, która w ciągu dwóch lat wyniosła w reklamówkach z kasy służby specjalnej ponad 9 milionów złotych.

Zasada należytej staranności nie jest zdefiniowana na potrzeby omawianej ustawy. Może ona polegać na przestrzeganiu następujących zasad:

l kompleksowości i dokładności – należy zbadać wszystkie istotne aspekty sprawy, a więc zebrać i przeanalizować wszystkie dostępne dowody, w tym dokumenty, zeznania świadków, nagrania, tak aby żadna istotna informacja nie została pominięta;

l prawa do obrony – osobie, której dotyczy zgłoszenie, przysługuje domniemanie niewinności i prawo do obrony przez przedstawienie własnych wyjaśnień i innych dowodów;

l bezstronności i obiektywizmu – osoby prowadzące postępowanie nie mogą być w sytuacji konfliktu interesów (np. powiązań z OKDZ lub sygnalistą), nie mogą prowadzić postępowania pod z góry przyjętą tezę, powinny opierać się na faktach i dowodach, nie mogą ulegać zewnętrznym naciskom;

l legalności – a więc działania na podstawie i w granicach prawa, zgodnie z ustawą i procedurą zgłoszeń wewnętrznych, z wykorzystaniem jedynie przyznanych wyraźnie uprawnień przez osoby upoważnione;

l dokumentowania i przejrzystości – wszystkie kroki powinny być odpowiednio udokumentowane, aby zapewnić możliwość ich późniejszej weryfikacji oraz ułatwić kontrolę zgodności z zasadami należytej staranności;

l szybkości i efektywności – działania powinny być podejmowane sprawnie i w rozsądnym czasie, co pozwala na szybkie rozwiązanie sprawy i minimalizację potencjalnych szkód;

l poufności i ochrony danych – zgodnie z zasadami określonymi w ustawie, z zapewnieniem, że dostęp do chronionych informacji posiadają jedynie osoby uprawnione, a sposób prowadzenia czynności, nawet pośrednio, nie narazi na ujawnienie tożsamości sygnalisty, OKDZ i innych osób podlegających ochronie osobom nieuprawnionym.

6.5. Adres do kontaktu

Artykuł 25 ust. 1 pkt 2 ustawy stanowi, że procedura określa sposoby przekazywania zgłoszeń przez sygnalistę wraz z jego:

l adresem korespondencyjnym lub

l adresem poczty elektronicznej,

zwanymi dalej „adresem do kontaktu”.

Oznacza to, że ustanawiając procedurę, powinniśmy umożliwić podanie takiego adresu sygnaliście. W praktyce poinformować i zachęcić sygnalistę do podania takiego adresu, jeżeli chce otrzymywać od nas informacje, w tym wymagane ustawą.

Jeżeli sygnalista nie podał adresu do kontaktu, to:

l nie zwalnia to nas od podjęcia działań następczych – podejmujemy je na ogólnych zasadach (art. 25 ust. 1 pkt 3 ustawy), jednak

l nie musimy realizować obowiązków informacyjnych wobec sygnalisty (art. 25 ust. 1 pkt 5 i 7 ustawy).

6.6. Obowiązki informacyjne wobec sygnalisty

6.6.1. Zasady

Podmiot publiczny przyjmujący zgłoszenie wewnętrzne ma dwa obowiązki informacyjne wobec sygnalisty:

l potwierdzenie przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania (art. 25 ust. 1 pkt 5 ustawy) oraz

l przekazanie sygnaliście informacji zwrotnej w maksymalnym terminie wskazanym w procedurze, nie dłuższym niż 3 miesiące (art. 25 ust. 1 pkt 7 ustawy).

Termin na przekazanie informacji zwrotnej liczy się od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego lub – w przypadku nieprzekazania takiego potwierdzenia – od upływu 7 dni od dnia dokonania zgłoszenia wewnętrznego.

6.6.2. Zawartość informacji zwrotnej

Ustawa definiuje informację zwrotną w art. 2 pkt 4 jako przekazaną sygnaliście informację na temat planowanych lub podjętych działań następczych i powodach takich działań.

Informacja taka powinna zawierać informację na temat:

l wyników postępowania wyjaśniającego;

l dalszych działań następczych (druga faza), które już zostały podjęte lub które mają zostać podjęte, oraz ich powodów.

Jeżeli w terminie określonym procedurą nie udało się jeszcze zakończyć postępowania wyjaśniającego, to należy poinformować, na jakim etapie jest sprawa, a kolejną informację przekazać po jego zakończeniu.

Pamiętajmy, że satysfakcja sygnalisty z kontaktu z nami, zadowolenie z naszych działań oraz jakość uzyskanych informacji obniża chęć i potrzebę dokonania przez niego zgłoszenia zewnętrznego lub ujawnienia publicznego. W naszym interesie leży, aby ta informacja była kompleksowa.

Zgodnie z ustawą adresem do kontaktu jest jedynie adres korespondencyjny lub adres poczty elektronicznej podany w zgłoszeniu. Tymczasem możemy posiadać te adresy sygnalisty z innego źródła, zwłaszcza jeżeli chodzi o pracownika.

W przypadku zgłoszeń zewnętrznych ustawa mówi o tym wprost: dopuszcza ustalenie tego adresu na podstawie posiadanych danych – art. 35 ust. 2 ustawy.

Możemy też mieć do dyspozycji inne metody pisemnego kontaktu z sygnalistą, takie jak: komunikacja w ramach bezpiecznej platformy zgłoszeniowej, fax lub możliwość przekazania sygnaliście pisma osobiście za pokwitowaniem.

W takiej sytuacji, kierując się celem ustawy, lepiej zrealizować obowiązki informacyjne w inny sposób pisemny niż je pominąć. Stosowny zapis warto zawrzeć w procedurze.

Pamiętajmy, że sygnalista, którego nie poinformujemy o przyjęciu zgłoszenia lub o naszych działaniach, może dokonać zgłoszenia zewnętrznego lub ujawnienia publicznego. W interesie podmiotu publicznego leży więc, aby sygnalista czuł się właściwie potraktowany.

Obowiązków informacyjnych nie należy jednak realizować ustnie, ponieważ może to wywoływać problemy związane z jednoznacznością i weryfikacją przekazywanych informacji.

6.6.3. Informacje chronione

Często pojawiają się wątpliwości, czy w informacji zwrotnej możemy przekazywać informacje chronione.

Tajemnica postępowania przygotowawczego. Przekazanie sygnaliście informacji, że podjętym lub planowanym działaniem następczym będzie złożenie zawiadomienia do prokuratury o podejrzeniu popełnienia przestępstwa, nie narusza tajemnicy postępowania przygotowawczego.

Ta tajemnica dotyczy czynności podejmowanych w ramach postępowania przygotowawczego, po jego wszczęciu przez prokuratora. Dodajmy, że po otrzymaniu zawiadomienia prokurator może także odmówić wszczęcia postępowania przygotowawczego.

Informacje niejawne. Ustawa (inaczej niż dyrektywa) wyłączyła informacje niejawne z zakresu informacji przekazywanych w zgłoszeniu. Jednak takie informacje mogą pojawić się na etapie działań następczych prowadzonych przez podmiot publiczny.

Jeżeli sygnalista posiada dopuszczenie do informacji niejawnych o określonej klauzuli, to informacje takie można mu przekazań w informacji zwrotnej. Zasada wiedzy niezbędnej jest spełniona, ponieważ sygnalista jest uprawniony do otrzymania informacji zwrotnej. Oczywiście o szczegółowości informacji decyduje podmiot je przekazujący, a sposób ich przekazania powinien być zgodny z przepisami ustawy o ochronie informacji niejawnych.

Inne informacje prawnie chronione. Można je przekazać, jeżeli sygnalista jest uprawniony do dostępu do tajemnic określonego typu. Jeżeli nie jest uprawniony – to informacje prawnie chronione należy pominąć.

6.7. Zgłoszenia anonimowe

Kolejnym obowiązkowym elementem procedury jest określenie trybu postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo (art. 25 ust. 1 pkt 4 ustawy).

Jeżeli podmiot publiczny jest już zobowiązany do przyjmowania zgłoszeń anonimowych na podstawie innych przepisów, to w tym przypadku nie ma wyboru, stosuje wówczas te inne przepisy.

Na jakie aspekty praktyczne zgłoszeń anonimowych warto zwrócić uwagę?

1. Anonimowość sygnalisty najlepiej zabezpiecza jego tożsamość przed bezpośrednim ujawnieniem.

2. Anonimowość może ograniczać możliwość kontaktu z sygnalistą, jeżeli nie pozostawi on żadnych danych do kontaktu. Jednak nie musi. Bezpieczne systemy zgłoszeniowe umożliwiają korespondencję z anonimowym sygnalistą przez pocztę wewnętrzną. Sygnalista może też użyć e-maila z darmowej domeny założonego na fikcyjne dane (pseudonim).

3. Anonimowość może obniżać jakość zgłoszeń. Wiele podmiotów obawia się, że zostanie zasypanych donosami pisanymi w złej wierze. Doświadczenia podmiotów już stosujących anonimowe kanały zgłoszeniowe wskazują, że nie musi to być regułą. Biorąc pod uwagę, że możliwość dokonania zgłoszenia anonimowego może zachęcać sygnalistów do dokonywania wartościowych zgłoszeń – bilans zazwyczaj wychodzi na plus.

4. Jeżeli nasza procedura nie będzie przewidywać przyjmowania zgłoszeń anonimowych – to nie oznacza, że nie będą wpływać. O naszej procedurze i sposobach przyjmowania zgłoszeń będziemy musieli powiadomić świat zewnętrzny, aby umożliwić dokonywanie zgłoszeń sygnalistom, którzy nie są naszymi pracownikami.

Nawet jeżeli napiszemy wielkimi literami, że nie rozpatrujemy zgłoszeń anonimowych, to takie pisemne zgłoszenia i tak będą wpływać. I wtedy pojawi się problem, co z nimi zrobić?

5. Oprócz oczywistych anonimów będą wpływać także zgłoszenia podpisane pseudonimem. Na przykład listowne (bez adresu zwrotnego) lub e-mailowe, z darmowych kont pocztowych, podpisane pewnym nieprawdziwym imieniem i nazwiskiem.

Ustawa nie daje podmiotom prawnym uprawnień do weryfikacji tożsamości takich osób (do „legitymowania” sygnalisty). Brak adresu do kontaktu nie wstrzymuje nadania biegu zgłoszeniu. Oznacza to, że zgłoszenia podpisane pseudonimami będą podlegać rozpatrzeniu, tak jak podpisane zweryfikowanym imieniem i nazwiskiem osoby, którą znamy.

Podsumowując, mamy więcej argumentów ZA niż PRZECIW, aby przyjmować zgłoszenia anonimowe. Decyzja leży jednak w rękach podmiotu publicznego.

6.8. Informacje o zgłoszeniach zewnętrznych

Informacje dotyczące zgłoszeń zewnętrznych zawieranych w procedurze zgłoszeń wewnętrznych ustawa dzieli na dwie części: obowiązkową i dobrowolną.

Obowiązkowo (art. 25 ust. 1 pkt 8 ustawy) należy w procedurze zawrzeć „zrozumiałe i łatwo dostępne informacje na temat dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich albo organów publicznych oraz – w stosownych przypadkach – do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej”.

Dobrowolnie (art. 25 ust. 1 pkt 8 ustawy) można w procedurze wskazać, że „informacja o naruszeniu prawa może być w każdym przypadku zgłoszona również do Rzecznika Praw Obywatelskich albo organu publicznego z pominięciem procedury zgłoszeń wewnętrznych”.

Ustawa dopuszcza więc, że poinformujemy pracowników i innych potencjalnych sygnalistów, kto przyjmuje zgłoszenia zewnętrzne, ale nie poinformujemy ich o tym, że korzystają dokładnie z takiej samej ochrony, jeżeli dokonają od razu zgłoszenia zewnętrznego.

O tym, jakie organy publiczne będą przyjmować zgłoszenia zewnętrzne, szerzej w rozdziale 12 poświęconym zgłoszeniom zewnętrznym.

Jeżeli informacja ma być „zrozumiała”, to powinna zawierać następujące elementy:

l sygnalista jest uprawniony do dokonania zgłoszenia zewnętrznego;

l zgłoszenie zewnętrzne może dotyczyć naruszenia prawa jedynie w dziedzinach określonych w art. 3 ust. 1 ustawy;

l zgłoszenie kieruje się do organu publicznego, który ma kompetencje kontrolne lub nadzorcze do wyjaśnienia zgłoszenia;

l należy podać przykłady takich organów właściwych dla naszego podmiotu publicznego, np.:

– dla jednostki gminnej – urząd gminy,

– dla jednostki w dziale administracji rządowej – ministerstwo,

– w sprawach ochrony środowiska – właściwa inspekcja itp.;

l jeżeli sygnalista nie jest pewny, który organ publiczny jest właściwy dla zbadania zgłoszenia zewnętrznego, to może skierować je do RPO, który prześle je dalej do właściwego organu;

l sygnalista ma prawo dokonać zgłoszenia zewnętrznego bez wcześniejszego dokonania zgłoszenia wewnętrznego (element dobrowolny).

Warunek „łatwej dostępności” takiej informacji w praktyce będzie oznaczał, że potencjalni sygnaliści powinni mieć łatwy dostęp albo do całej procedury, albo do kompleksowej informacji (wyciągu) na temat zgłoszeń wewnętrznych z punktem dotyczącym zgłoszeń zewnętrznych.

Ponieważ sama procedura nie musi być „łatwo zrozumiała”, oznacza to, że praktyczniejsze będzie przygotowanie kompleksowej informacji o procedurze zgłoszeń wewnętrznych, którą będzie można rozpowszechniać wewnętrznie, zewnętrznie, np. na stronie internetowej, lub przekazywać osobom ubiegającym się o pracę (por. art. 24 ust. 6 ustawy).

7. Procedury zgłoszeń wewnętrznych – elementy dobrowolne

7.1. Opcja rozszerzająca zakres prawny

Zgodnie art. 3 ust. 2 ustawy podmiot prawny może rozszerzyć obowiązkowy zakres stosowania procedury zgłoszeń wewnętrznych o możliwość zgłaszania informacji o naruszeniach dotyczących obowiązujących w tym podmiocie prawnym regulacji wewnętrznych lub standardów etycznych, które zostały ustanowione przez podmiot prawny na podstawie przepisów prawa powszechnie obowiązującego i pozostają z nimi zgodne.

Jeżeli chcemy skorzystać z tej opcji, musimy to wskazać w procedurze. Temat ten szczegółowo omówiony został w podrozdziale 1.3 poradnika.

Tutaj przypomnijmy tylko, że opcja ta pośrednio umożliwia rozszerzenie stosowania procedury na dodatkowe lub nawet wszystkie przepisy prawa. Wystarczy, jeżeli skorzystamy z tej opcji, a zobowiązanie do przestrzegania dodatkowych lub wszystkich przepisów prawa powszechnie obowiązującego zawrzemy w regulaminie pracy.

Czy takie rozszerzanie jest korzystne z punktu widzenia podmiotu publicznego? Są tutaj dwa istotne argumenty:

l rozszerzenie zakresu prawnego umożliwia skuteczniejsze przeciwdziałanie i wykrywanie nadużyć;

l eliminacja „luk prawnych” stosowania ustawy daje większą pewność i komfort działania osobom przyjmującym zgłoszenia.

Dlaczego? Jeżeli nasza procedura zgłoszeń wewnętrznych nie będzie obejmować wszystkich przepisów prawa i standardów etycznych, to zgłoszenia dotyczące naruszania przepisów nieobjętych procedurą („luk prawnych”) i tak będą się zdarzać.

Osoby odpowiedzialne za kwalifikację zgłoszeń będą wtedy stawać przed dylematem, co z takimi zgłoszeniami robić?

Zignorowanie zgłoszenia (np. przez odłożenie ad acta lub zwrot do sygnalisty) może wywoływać słuszne obawy dotyczące przyszłej odpowiedzialność z tytułu braku reakcji. Zwłaszcza, jeżeli zgłoszenie dotyczyło poważnych naruszeń. Jeżeli za pewien czas wybuchnie afera i okaże się, że podmiot publiczny zignorował wcześ­niejsze informacje o nieprawidłowościach, osoby odpowiedzialne mogą ponieść tego konsekwencje.

Zastosowanie innej procedury mnożyłoby biurokratyczne problemy oraz stawiało pod znakiem zapytania stopień ochrony sygnalisty w ramach innej procedury.

„Martwienie się później”, dopiero gdy takie zgłoszenie rzeczywiście wpłynie, powodowałoby niepotrzebne zamieszanie i dużo bezużytecznej korespondencji wewnętrznej, co z takim zgłoszeniem zrobić i kto ma za sprawę odpowiadać (przerzucanie „gorącego kartofla”).

Maksymalne rozszerzenie zakresu prawnego procedury eliminuje te dylematy i niepewność wyznaczonych pracowników.

Jeżeli decydujemy się na skorzystanie z tej opcji, to w procedurze lub materiałach informacyjnych można:

l wskazać przykłady standardów etycznych lub regulacji wewnętrznych objętych procedurą;

l przypomnieć, że chodzi o naruszenia przepisów i standardów etycznych „w kontekście związanym z pracą”, a więc że nie chodzi o naruszanie takich standardów w życiu czysto prywatnym.

7.1.1. Czynniki ryzyka

W procedurze można wskazać czynniki ryzyka odpowiadające profilowi działalności naszego podmiotu, sprzyjające możliwości wystąpienia określonych naruszeń prawa związanych w szczególności z naruszeniem obowiązków regulacyjnych lub innych obowiązków określonych w przepisach prawa lub z ryzykiem korupcji (art. 25 ust. 2 pkt 2 ustawy).

Tego typu informacja może być wskazówką, gdzie widzimy potencjalne problemy i jakiego rodzaju zgłoszeniami jesteśmy szczególnie zainteresowani.

Taka informacja będzie najpełniejsza, jeżeli nasz podmiot przeprowadził ocenę ryzyka naruszania przepisów, nadużyć i korupcji. Taką ocenę przeprowadza się, wdrażając w podmiocie systemy zapewnienia zgodności (compliance) lub antykorupcyjne. Można ją też przeprowadzić na podstawie przepisów o kontroli zarządczej, w ramach ogólnego procesu zarządzania ryzykiem.

7.1.2. Pominięcie zgłoszenia wewnętrznego

W procedurze nie trzeba, ale można wskazać, że „informacja o naruszeniu prawa może być w każdym przypadku zgłoszona również do Rzecznika Praw Obywatelskich albo organu publicznego z pominięciem procedury zgłoszeń wewnętrznych” (art. 25 ust. 2 pkt 3 ustawy).

Temat omówiliśmy w podrozdziale 6.8 poradnika.

7.1.3. System zachęt

Procedurę można rozszerzyć o „określenie systemu zachęt do korzystania z procedury zgłoszeń wewnętrznych, w przypadku gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych” (art. 25 ust. 2 pkt 4 ustawy).

W uzasadnieniu do ustawy słusznie wskazano, że system zachęt nie musi oznaczać zachęt finansowych. Legislator wskazał, że zachętami niefinansowymi mogą być szkolenia z procedury wewnętrznej i informacje o zgłoszeniach.

Do tego możemy dodać również takie zachęty, jak:

l możliwość zgłoszenia anonimowego,

l ustna pochwała kierownika jednostki,

l dyplom uznania.

Przy określaniu systemu zachęt indywidualnych (finansowych i niefinansowych) pamiętajmy jednak o zasadzie ochrony tożsamości sygnalisty. Przelanie nagrody lub wręczenie dyplomu nie powinno doprowadzić do jej ujawnienia.

7.2. Określenie uprawnień

W procedurze można także określić uprawnienia określonych osób, aby zapewnić przejrzystość ich działania oraz nie powielać tych zapisów ani ich nie opracowywać od nowa przy udzielaniu poszczególnych upoważnień.

7.2.1. Uprawnienia właściciela procesu

Procedura określa, komu powierzone zostają zadania w zakresie przyjmowania zgłoszeń, prowadzenia działań następczych i prowadzenia rejestru zgłoszeń.

Mogą to być różne osoby lub komórki, jednak doświadczenie wskazuje, że najlepiej sprawdza się zasada jednoosobowego zarządzania procesem.

Taki pracownik lub dyrektor wyznaczonej komórki organizacyjnej sam powinien otrzymać imienne upoważnienie od kierownika podmiotu publicznego. Procedura może przewidywać, że inne osoby będą upoważniane już bezpośrednio przez niego, bez angażowania kierownika jednostki.

7.2.2. Uprawnienia osób prowadzących postępowania wyjaśniające

Uprawnienia takich osób muszą być szczegółowo określone, aby chronić prawa osoby, której dotyczy zgłoszenie, nie narazić osób prowadzących na zarzut przekroczenia uprawnień lub działania bez podstawy prawnej oraz zapewnić prowadzenie działań następczych zgodnie z zasadami należytej staranności.

Takie uprawnienia mają charakter uprawnień kontrolnych, a czasami audytu śledczego. Mogą to być przykładowo:

l prawo samodzielnego dostępu do dokumentów i danych;

l prawo do uzyskania przetworzonych i nieprzetworzonych informacji na żądanie;

l prawo odbierania ustnych i pisemnych wyjaśnień;

l prawo dostępu do pomieszczeń i obiektów w celu dokonania wizji lokalnej lub przeszukania i zabezpieczenia dowodów;

l obowiązek udzielania pomocy przez inspektora ochrony danych;

l obowiązek udzielania pomocy przez kierowników poszczególnych komórek i jed­nos­tek organizacyjnych w trakcie prowadzonych czynności;

l prawo do konsultowania się z sygnalistą;

l prawo dostępu i przetwarzania danych z oficjalnego monitoringu wizyjnego.

W uzasadnionych przypadkach osoby takie, za dodatkową zgodą kierownika jednostki, powinny otrzymać uprawnienia dostępu do danych na służbowych komputerach i służbowych telefonach pracowników.

Jednocześnie warto przestrzec, że osobom prowadzącym postępowanie wyjaśniające nie mogą zostać przyznane uprawnienia do czynności operacyjno-rozpoznawczych, które są zarezerwowane do uprawnionych służb państwowych (chyba że postępowanie jest prowadzone w podmiocie dysponującym takimi uprawnieniami).

Przykładowo w trakcie postępowania wyjaśniającego nie wolno:

l zakładać podsłuchów;

l zakładać ukrytego monitoringu wizyjnego (choć TSUE dopuścił to w uzasadnionych wypadkach, na przykład podejrzenia kradzieży);

l uzyskiwać dostępu do prywatnego telefonu lub prywatnego e-maila OKDZ;

l przeprowadzać kontrolowanego wręczenia korzyści majątkowej (tzw. prowokacja).

7.3. Katalog dalszych działań następczych

Jak wskazaliśmy w podrozdziale 6.4 poradnika, działania następcze składają się z dwóch faz:

1) postępowania wyjaśniającego;

2) działań następczych polegających na przeciwdziałaniu skutkom i przyczynom naruszenia prawa – jeżeli zarzuty się potwierdziły.

Dobrą praktyką jest wprowadzenie przykładowej listy działań następczych do procedury. W zależności od skali i wagi stwierdzonego naruszenia prawa ułatwia to formułowanie wniosków do dalszego działania.

Listę takich działań możemy podzielić na działania osobowe i systemowe.

Działania osobowe (w zależności od rozmiaru i rodzaju potwierdzonych naruszeń, skali indywidualnej odpowiedzialności oraz podstaw prawnych świadczenia pracy lub pełnienia służby) mogą polegać na:

l rozmowie korygującej, zwróceniu uwagi;

l upomnieniu;

l pozbawieniu nagrody, premii, innych uznaniowych składników wynagrodzenia przez określony czas;

l przeniesieniu na inne stanowisko, zmianie warunków pracy, degradacji;

l wszczęciu postępowania dyscyplinarnego lub służbowego;

l zwolnieniu, w tym dyscyplinarnym;

l wystąpieniu o odszkodowanie za poniesione straty;

l zawiadomieniu UOKIK (w przypadku stwierdzenia zmowy przetargowej lub innych czynów nieuczciwej konkurencji);

l zawiadomieniu prokuratury o uzasadnionym podejrzeniu popełnienia przestępstwa (w przypadku zebrania wystarczających dowodów);

l poinformowaniu właściwych służb lub organów (w przypadku zebrania poszlak, uzasadniających dalsze prowadzenie czynności przez te służby lub organy).

W przypadku stwierdzenia, że w zgłoszeniu przedstawiono nieprawdziwe informacje oraz uzasadnionego podejrzenia, że zgłaszający miał świadomość, iż te informacje nie są prawdziwe, należy:

l uznać, że zgłaszający nie podlega ochronie prawnej przysługującej sygnalistom;

l dokonać oceny prawnej, czy nie zachodzi uzasadnione podejrzenie popełnienia przestępstwa z art. 57 ustawy, a jeśli tak – złożyć zawiadomienie do prokuratury (samo przedstawienie w zgłoszeniu nieprawdziwych informacji nie wywołuje jeszcze odpowiedzialności karnej);

l współpracować z osobą, której dotyczyło zgłoszenie, w zakresie wystąpienia przez nią z powództwem o odszkodowanie lub zadośćuczynienie od zgłaszającego, w trybie art. 15 ustawy.

Działania systemowe to:

l przeprowadzenie zmian organizacyjnych;

l wzmocnienie systemu kontroli wewnętrznej/kontroli zarządczej/compliance/anty­korupcyjnego;

l zmiany w procedurach, systemach i sposobach zarządzania;

l przeprowadzenie rotacji na stanowiskach (nie „za karę”, ale w celach profilaktycznych);

l zmiany zakresów odpowiedzialności/wymagań stanowiskowych/uprawnień/uprawnień dostępu na poszczególnych stanowiskach;

l przeprowadzenie dodatkowych szkoleń.

7.4. Wskazanie decydenta

W procedurze warto także wskazać, kto ostatecznie decyduje o podjęciu dalszych działań następczych. W mniejszych podmiotach publicznych może to być po prostu kierownik podmiotu, w większych jeden z zastępców lub inna osoba decyzyjna.

Nie jest wskazane, aby była to osoba kierująca postępowaniem wyjaśniającym. Osoba taka może przedstawić propozycje dalszych działań następczych na podstawie ustalonego stanu faktycznego, wraz z protokołem ustaleń.

Osoba decyzyjna powinna mieć uprawnienia do:

l oceny, czy postępowanie wyjaśniające wymaga uzupełnienia i zlecenia takiego uzupełnienia, ale nie może mieć prawa do samodzielnej zmiany ustaleń stanu faktycznego lub ingerowania w te ustalenia;

l zatwierdzenia, zmiany lub samodzielnego określenia dalszych działań następczych.

7.5. Rozszerzenie ochrony wewnętrznej

Ustawa o ochronie sygnalistów wprowadza mechanizmy prawne ochrony kilku kategorii osób:

l sygnalisty,

l osób, które pomogły mu w dokonaniu zgłoszenia,

l osób mu bliskich i współpracowników, a nawet

l osoby, której dotyczy zgłoszenie (w zakresie ochrony tożsamości).

Praktyka funkcjonowania zgłoszeń wewnętrznych i prowadzenia działań następczych wskazuje, że działań odwetowych mogą się obawiać także inne kategorie osób.

Możemy je objąć dodatkową ochroną wewnętrzną, na podstawie przepisów procedury.

Wewnętrzną ochroną przed działaniami odwetowymi warto objąć:

l pracowników przyjmujących zgłoszenia i prowadzących rejestr zgłoszeń,

l osoby prowadzące postępowania wyjaśniające,

l świadków.

Ochroną tożsamości oraz przed działaniami odwetowymi możemy objąć sygnalistów, którzy zgłaszają naruszenia w dobrej wierze, ale nie spełnią innych warunków ustawowych:

l kontekstu związanego z pracą, np. zgłaszających naruszenia prawa mieszkańców lub konsumentów;

l dokonają zgłoszenia naruszenia prawa w zakresie nieobjętym ustawą lub procedurą.

Takie podejście ułatwia budowanie systemu wczesnego ostrzegania o problemach, działającego na zasadzie, że każda informacja o naruszeniach jest cenna, byleby była prawdziwa.

Różnica między ochroną ustawową a wewnętrzną. Ochrona ustawowa obejmuje cztery formy. Ochrona wewnętrzna może objąć jedynie ochronę tożsamości i ochronę przed wewnętrznymi działaniami odwetowymi. W ramach ochrony ustawowej ujawnienie tożsamości sygnalisty i podejmowanie działań odwetowych jest zagrożone odpowiedzialnością karną. W ramach ochrony wewnętrznej grozi jedynie odpowiedzialność służbowa lub dyscyplinarna oraz z tytułu naruszenia ochrony danych osobowych.

8. Wejście w życie procedury wewnętrznej

8.1. Konsultacje

Gdy opracujemy projekt procedury, musimy go skonsultować (art. 24 ust. 3 ustawy).

Z kim? W ustawie mamy opcję podstawową i zapasową:

l z zakładową organizacją związkową albo zakładowymi organizacjami związkowymi, jeżeli w podmiocie prawnym działa więcej niż jedna zakładowa organizacja związkowa, albo

l z przedstawicielami osób świadczących pracę na rzecz podmiotu prawnego, wyłonionymi w trybie przyjętym w podmiocie prawnym, gdy w firmie nie działa zakładowa organizacja związkowa.

Jeżeli w naszym podmiocie działa organizacja związkowa (lub kilka), sprawa jest prosta.

Jeżeli nie mamy zakładowych organizacji związkowych, ale pracę świadczą na naszą rzecz tylko pracownicy i mamy wybranych przedstawicieli lub przedstawiciela pracowników, na przykład w trybie przepisów kodeksu pracy, sprawa jest także prosta.

Kwestia konsultacji się komplikuje, gdy nie mając zakładowych organizacji związkowych:

l nie mamy wyłonionych przedstawicieli;

l przedstawiciel/przedstawiciele reprezentują tylko pracowników, tymczasem pracę na rzecz naszego podmiotu świadczą także osoby o innym statusie.

W takiej sytuacji mamy dwie możliwości:

l wyłonić przedstawicieli „osób świadczących pracę” – co wymaga pewnego czasu, który należy uwzględnić w kalendarzu wdrożenia procedury;

l przeprowadzić konsultacje ze wszystkimi osobami świadczącymi pracę, np. w formie ankiety, co nie jest zgodne z literą ustawy, ale jest zgodne celem tego przepisu.

Konsultacje trwają nie krócej niż 5 dni i nie dłużej niż 10 dni (art. 24 ust. 4 ustawy) – od momentu przedstawienia projektu do konsultacji.

Ponieważ ustawa mówi o konsultacjach, a nie uzgodnieniach, to stanowisko czy uwagi związków/przedstawicieli/ankietowanych nie są dla nas wiążące.

Do konsultacji należy jednak podejść w pełni otwarcie, ponieważ uwagi zgłaszane przez osoby, do których kierowana jest procedura, mogą być niekiedy bardzo cenne. Konsultacje powinny nam pomóc wyłapać w procedurze zapisy niezrozumiałe i niejasne. Mogą nas skłonić do ponownej refleksji nad zakresem wdrożenia lub sposobami przyjmowania zgłoszeń.

Jednocześnie należy liczyć się z tym, że wiele uwag nie będzie miało specjalnej wartości. Tym bardziej warto wyłapać uwagi wartościowe.

8.2. Podanie do wiadomości

Po konsultacjach dokonujemy ewentualnych poprawek w projekcie procedury, zatwierdzamy ją i podajemy do wiadomości osób wykonujących pracę w sposób przyjęty w naszym podmiocie (art. 24 ust. 5 ustawy).

Procedura wchodzi w życie po upływie 7 dni.

Oznacza to, że minimalny czas na przeprowadzenie konsultacji i wejście procedury w życie wynosi 12 dni. Jeżeli chcemy, aby procedura obowiązywała w dniu wejścia ustawy w życie, tj. 25 września, konsultacje należy rozpocząć najpóźniej 13 wrześ­nia.

Ponadto informację o procedurze (niekoniecznie całą procedurę) jesteśmy zobowiązani przekazać każdej osobie:

l która ubiega się o pracę na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia:

– pracy,

– usług,

– pełnienia funkcji,

– pełnienia służby;

l wraz z rozpoczęciem rekrutacji lub negocjacji (art. 24 ust. 5 ustawy).

8.3. Informacja na zewnątrz

Do obowiązków ogłoszeniowych i informacyjnych, wskazanych wprost w ustawie, należy dodać jeszcze jeden: obowiązek wobec osób, które aktualnie nie świadczą dla nas pracy ani się o nią nie starają.

Sygnalistami mogą być przecież także byli pracownicy oraz pracownicy wykonawców i podwykonawców podmiotów publicznych. Mogą być nimi także indywidualni akcjonariusze lub udziałowcy podmiotów publicznych będących spółkami prawa handlowego (takie przypadki się zdarzają). Nie mają oni dostępu do informacji podawanych wewnętrznie w naszym podmiocie, a jednocześnie mają prawo do skorzystania z procedury.

Oznacza to, że informację o procedurze powinniśmy udostępnić także dla potencjalnych sygnalistów z zewnątrz. Na przykład publikując ją na naszej stronie internetowej.

Brak takiej informacji zewnętrznej może zostać potraktowany jako utrudnianie zgłoszeń, co jest zagrożone odpowiedzialnością karną (art. 54 ustawy).

Ponadto, jak wskazywaliśmy we wstępie, sygnaliści z zewnątrz mogą być istotnym źródłem informacji o nadużyciach.

9. Sposoby przyjmowania zgłoszeń wewnętrznych i zewnętrznych

Ustawa wprowadza jedynie minimalne obowiązki w zakresie ustanowienia sposobów przyjmowania zgłoszeń:

l dwa ustne i jeden pisemny (zgłoszenia wewnętrzne),

l dwa ustne i dwa pisemne (zgłoszenia zewnętrzne).

W praktyce można i warto ustanowić ich więcej. Zazwyczaj różnorodność sposobów pozwala potencjalnemu sygnaliście wybrać ten, który mu najbardziej odpowiada.

Wśród popularnych sposobów mamy wiele niskokosztowych: e-mail, zwykły formularz na stronie internetowej, pismo na adres korespondencyjny, skrzynka wrzutowa na pisma, linia telefoniczna, platforma komunikacyjna na odległość, spotkanie z wyznaczoną osobą.

Można także rozważyć zakup wyspecjalizowanej platformy zgłoszeniowej.

Ponadto należy pamiętać o kwestiach bezpieczeństwa.

Przetwarzanie danych osobowych związane z przyjmowaniem zgłoszeń wewnętrznych i zewnętrznych ma uniemożliwić nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewnić ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu (art. 27 ust. 1 oraz art. 43 ust. 1 ustawy).

Ponadto kanały komunikacji przyjęte na potrzeby przyjmowania zgłoszeń zewnętrznych powinny zapewnić kompletność, poufność i integralność danych, w tym ich zabezpieczenie przed dostępem osób nieupoważnionych (art. 42 ust. 1 pkt 2 ustawy).

Przyjrzyjmy się najczęściej stosowanym sposobom przyjmowania zgłoszeń/kanałom komunikacji.

9.1. Poczta elektroniczna

Zwykły, nieszyfrowany e-mail jest jednym z najbardziej popularnych sposobów przyjmowania zgłoszeń.

Jego zaletą jest niski koszt i możliwość błyskawicznego ustanowienia. E-maile są także powszechnie używane przez potencjalnych sygnalistów.

Ponadto treść zgłoszenia jest od razu utrwalona pisemnie, w wersji prostej do przetwarzania, co ułatwia dalsze czynności.

Gdzie mogą się pojawić problemy?

1. Dostęp do skrzynek e-mailowych posiadają administratorzy IT. Należy sprawdzić, ilu z nich ma taki dostęp. Jeżeli będą to np. dwie osoby, to nie ma problemu. Powinny one dostać upoważnienia dostępu do tych danych oraz zostać pouczone o obowiązku ich ochrony i konsekwencjach prawnych.

Jeżeli takich administratorów jest 50 (przypadek autentyczny z dużego urzędu, w którym każdy informatyk miał uprawnienia administratora) – to albo należy tę liczbę ograniczyć, albo zrezygnować z tego kanału komunikacji. W przypadku 50 osób mających potencjalny dostęp do wrażliwych informacji prawdopodobieństwo przecieku jest wysokie, a szanse na wykrycie sprawcy niskie.

2. Nagłówek e-maila zawiera dane IP komputera, z którego został wysłany. Może to posłużyć do zlokalizowania miejsca wysłania wiadomości. Adres IP może ujawniać informacje, takie jak miasto, a w niektórych przypadkach nawet bardziej precyzyjne dane o lokalizacji użytkownika lub wręcz jego tożsamość.

3. Skrzynka e-mailowa służąca do przyjmowania zgłoszeń może zostać zhakowana.

4. Standardowo e-maile od sygnalistów nie są szyfrowane i mogą zostać przechwycone lub odczytane na serwerze nadawcy oraz między tym serwerem a skrzynką odbiorczą. W zdecydowanej większości przypadków nie jest to istotnym problemem, ponieważ osoby, których dotyczy zgłoszenie, nie dysponują takimi możliwoś­ciami technicznymi.

Jednak podmioty i organy, które mogą spodziewać się szczególnie wrażliwych informacji w zgłoszeniach wewnętrznych i zewnętrznych, powinny zaopatrzyć się wzorem Europejskiego Urzędu ds. Zwalczania Nadużyć Finansowych (OLAF)²⁵⁾ także w bezpieczną platformę zgłoszeniową.

5. Załączone pliki mogą zawierać metadane, które pozwolą zidentyfikować sygna­lis­tę anonimowego lub osoby pomagające sygnaliście w dokonaniu zgłoszenia.

9.2. Formularz internetowy

To kolejne popularne rozwiązanie niskokosztowe.

Można je ustanowić stosunkowo szybko. Dostęp potencjalnych sygnalistów do internetu i naszej strony jest powszechny. Treść zgłoszenia jest od razu utrwalona pisemnie w wersji prostej do przetwarzania.

Jeżeli nasza strona jest zabezpieczona szyfrowaniem SSL/TLS (obecnie to standard), to komunikacja między sygnalistą a naszym serwerem jest zaszyfrowana.

Formularz może być używany do zgłoszeń imiennych i anonimowych.

Ponadto, korzystając z tego rozwiązania, możemy usystematyzować przekazywane informacje, dzieląc formularz na wiele pytań (kto, co, gdzie, kiedy...). Dzięki temu możemy otrzymywać wartościowsze zgłoszenia, choć niektórych sygnalistów konieczność odpowiadania na poszczególne pytania z formularza może zniechęcić.

Gdzie mogą pojawić się problemy?

1. Strona internetowa może być czasami niedostępna.

2. Formularze zbierają (zazwyczaj) adresy IP komputera, z którego wypełniono formularz. Może to pomóc zlokalizować anonimowego sygnalistę.

3. Miejsce, w którym są przechowywane dane z wypełnionych formularzy, może zostać zhakowane.

4. Należy określić, ilu administratorów ma dostąp do danych z formularzy. Dalsze czynności – jak przy kanale e-mailowym.

5. Załączone pliki mogą zawierać metadane, które pozwolą zidentyfikować sygna­lis­tę anonimowego lub osoby pomagające sygnaliście w dokonaniu zgłoszenia.

6. Jeżeli przewidujemy możliwość zgłaszania szczególnie wrażliwych informacji, warto zaopatrzyć się wzorem OLAF także w bezpieczną platformę zgłoszeniową.

9.3. Adres korespondencyjny

To kolejne rozwiązanie niskokosztowe, możliwe do natychmiastowego uruchomienia.

Należy wprowadzić zasadę, że pisma ze zgłoszeniami powinny być opatrzone na kopercie określonym dopiskiem (np. „zgłoszenie sygnalisty”).

Pracownicy kancelarii lub sekretariatu powinni zostać odpowiednio przeszkoleni. Ten sposób bardzo dobrze chroni tożsamość sygnalisty anonimowego. Można co najwyżej sprawdzić, z jakiej miejscowości pismo zostało nadane. Zgłoszenie ma formę pisemną.

Potencjalne wady i problemy takiego sposobu komunikacji

1. Coraz mniej osób pisze i wysyła zwykłe pisma. Dla niektórych jest to kłopotliwe, dlatego nie powinno to być jedyne rozwiązanie, ale stanowić uzupełnienie innych dopuszczalnych sposobów.

2. Pismo może zostać omyłkowo otwarte w kancelarii lub sekretariacie.

3. Jeżeli pismo jest odręczne, mogą być problemy z jego odczytaniem.

4. Jeżeli pismo zostało napisane na komputerze lub maszynie do pisania (ma formę wydruku), musimy nad nim popracować, aby móc je przetwarzać elektronicznie.

5. Nie mamy zwrotnego kontaktu z sygnalistą anonimowym.

9.4. Skrzynka zgłoszeniowa

To rozwiązanie generuje niskie koszty i jest proste do wdrożenia. Bardzo dobrze chroni tożsamość sygnalisty anonimowego. Zgłoszenie ma formę pisemną, choć nie elektroniczną.

O sukcesie tego kanału komunikacji w dużej mierze może zadecydować jego lokalizacja. Najlepszym rozwiązaniem jest umieszczenie skrzynki w toalecie, ponieważ:

l wszyscy z niej korzystają;

l nie ma tam monitoringu.

Umieszczenie skrzynki w innym miejscu może wywoływać obawy potencjalnych sygnalistów przed ujawnieniem swojej tożsamości: ktoś lub monitoring może zarejestrować skorzystanie z tego kanału.

Inne potencjalne problemy

1. Skrzynka może zostać zniszczona lub otwarta przez osoby niepowołane.

2. Pisanie pism może być oceniane jako kłopotliwe. Nie może to być jedyna forma komunikacji pisemnej. Choć odpada konieczność udania się na pocztę.

3. Jeżeli pismo jest odręczne, mogą być problemy z jego odczytaniem.

4. Jeżeli zostało napisane na komputerze lub maszynie do pisania (ma formę wydruku), musimy nad nim popracować, aby móc je przetwarzać elektronicznie.

5. Nie zapewnia zwrotnego kontaktu z sygnalistą anonimowym.

6. Sposób jest trudniej dostępny lub zupełnie niedostępny dla sygnalistów z zewnątrz.

9.5. Linia telefoniczna i zgłoszenia ustne

Jeden z obowiązkowych sposobów przyjmowania zgłoszeń ustnych (art. 26 ust. 2, art. 36 ust. 1 ustawy) to przyjmowanie zgłoszeń dokonane:

l telefonicznie lub

l za pośrednictwem środków komunikacji elektronicznej, czyli rozwiązań technicznych, w tym urządzeń teleinformatycznych i współpracujących z nimi narzędzi programowych, umożliwiających indywidualne porozumiewanie się na odległość, przy wykorzystaniu transmisji danych między systemami teleinformatycznymi.

Mówiąc inaczej, te środki komunikacji elektronicznej to systemy zdalnej komunikacji głosowej na odległość. Do takich rozwiązań należą przykładowo platformy do zdalnej komunikacji online, jak MS Teams czy Zoom lub różne komunikatory internetowe umożliwiające komunikację głosową.

Ustawa przewiduje kilka opcji i warunków stosowania takich rozwiązań (art. 26 ust. 3 do 5 ustawy).

Jeżeli zgłoszenie przyjmujemy za pomocą nagrywanej linii telefonicznej lub nagrywanego systemu głosowego, to przyjęcie zgłoszenia dokumentujemy, w uzgodnieniu z sygnalistą, w jednej z dwóch postaci:

l w formie nagrania rozmowy przechowywanego w sposób umożliwiający jego wyszukanie wśród innych plików z nagraniami (może to oznaczać dodanie do pliku unikalnych znaczników umożliwiających jego indeksowanie i przechowywanie nagrań w formie ustrukturyzowanej);

l w formie kompletnej i dokładnej transkrypcji rozmowy przygotowanej przez osobę lub komórkę przyjmującą zgłoszenie, którą to transkrypcję sygnalista może sprawdzić, poprawić i zatwierdzić przez jej podpisanie.

Jeżeli zgłoszenie przyjmujemy za pomocą nienagrywanej linii telefonicznej lub nienagrywanego systemu głosowego, to przyjęcie zgłoszenia dokumentujemy w formie protokołu rozmowy, odtwarzającego dokładny jej przebieg. Sygnalista może sprawdzić, poprawić i zatwierdzić protokół przez jego podpisanie.

Gdy przepisy mówią o „odtworzeniu dokładnego przebiegu rozmowy”, powinniśmy się koncentrować na zawarciu w protokole wszystkich informacji o naruszeniu prawa przekazanych przez sygnalistę.

Z praktycznego punktu widzenia najbardziej użyteczne dla działań następczych będą protokoły przyjęcia zgłoszenia, sprawdzone i zatwierdzone przez sygnalistę.

Sporządzając protokół, możemy zawsze dopytać sygnalistę o istotne kwestie. Możemy kierować się wzorem formularza z istotnymi pytaniami (kto, co, gdzie, kiedy...). Możemy poprawić błędy. W momencie przyjmowania zgłoszenia, wymaga to od nas trochę więcej pracy. Jednak w rezultacie otrzymujemy dobrze opracowany dokument ułatwiający działania następcze.

Zaletami tego kanału komunikacji są:

l możliwość nagrywania zgłoszeń – linia telefoniczna może być dostępna 24 h na dobę;

l łatwość komunikacji, ponieważ każda osoba ma telefon;

l dostępność także dla sygnalistów zewnętrznych;

l w trakcie rozmowy na żywo możemy aktywnie pozyskiwać potrzebne informacje;

l jeżeli zgłoszenie nie podlega rozpatrzeniu – możemy od razu o tym poinformować sygnalistę.

Wady i potencjalne problemy

1. Ten sposób trudno zapewnia anonimowość, choć może być potencjalnie dostępny.

2. Informacjom trzeba dopiero nadać formę pisemną.

3. Wskazane jest wydzielenie odrębnego numeru telefonicznego dla przyjmowania zgłoszeń, co może generować koszty abonamentu.

4. Nagrywany system zgłoszeniowy może generować dodatkowe koszty.

9.6. Bezpośrednie spotkanie

To drugi obowiązkowy sposób przyjmowania ustnych zgłoszeń wewnętrznych i zewnętrznych (art. 26 ust. 6 i 7, art. 36 ust. 1 ustawy).

Zgłoszenie jest dokumentowane, za zgodą sygnalisty, w jednej z dwóch form:

l nagrania rozmowy, przechowywanego w sposób umożliwiający jego wyszukanie wśród innych plików;

l protokołu spotkania, odtwarzającego jego dokładny przebieg, który to protokół sygnalista może sprawdzić, poprawić i zatwierdzić przez podpisanie.

Gdy przepisy mówią o „odtworzeniu dokładnego przebiegu spotkania”, powinniśmy się koncentrować na zawarciu w protokole wszystkich informacji o naruszeniu prawa przekazanych przez sygnalistę.

I w tym przypadku, z praktycznego punktu widzenia, najbardziej użyteczne dla działań następczych będą protokoły przyjęcia zgłoszenia, sprawdzone i zatwierdzone przez sygnalistę.

Zalety tej formy komunikacji z sygnalistą przejawiają się tym, że w trakcie spotkania możemy aktywnie pozyskiwać potrzebne informacje. Niektórzy sygnaliści potrzebują bezpośredniej rozmowy, w trakcie której mogą dopytać się także o formy ochrony. Jeżeli zgłoszenie nie podlega rozpatrzeniu, możemy od razu o tym poinformować sygnalistę. Co istotne ten sposób jest dostępny także dla sygnalistów zewnętrznych.

Wady i potencjalne problemy

1. Ten sposób trudno zapewnia anonimowość, choć potencjalnie jest to możliwe.

2. Wymagane jest miejsce umożliwiające nieskrępowaną rozmowę bez świadków. Należy z góry zabezpieczyć takie miejsce w naszym podmiocie lub na zewnątrz. Niektórzy sygnaliści mogą nie czuć się komfortowo, dokonując zgłoszenia na terenie naszego podmiotu. Jeżeli rejestrujemy wejścia/wyjścia do/z naszych obiektów, to z sygnalistą, który nie ma stałego dostępu do naszych obiektów, należy umawiać się na zewnątrz, aby nie ujawnić jego tożsamości.

3. Informacjom trzeba dopiero nadać formę pisemną.

9.7. Bezpieczna platforma zgłoszeniowa

Postęp techniki sprawił, że dostępne są rozwiązana informatyczne umożliwiające dwustronną komunikację także z sygnalistą anonimowym.

OLAF, Europejski Urząd ds. Zwalczania Nadużyć Finansowych, udostępnia sygnalistom dwa kanały komunikacyjne: adres pocztowy oraz bezpieczną platformę zgłoszeniową²⁶⁾.

Platforma umożliwia imienne i anonimowe zgłaszanie nadużyć. W celu zapewnienia bezpieczeństwa sygnalisty:

l system nie zapisuje adresu IP komputera, z którego dokonano zgłoszenia;

l z przekazywanych dokumentów usuwane są metadane;

l połączenie i dane na serwerze OLAF są szyfrowane.

Dokonując zgłoszenia, sygnalista zakłada automatycznie konto w systemie. Logując się do systemu, może komunikować się z pracownikiem OLAF, także gdy jest sygnalistą anonimowym. Może również przekazywać dodatkowe informacje i dokumenty oraz odpowiadać na pytania.

Tego typu systemy zapewniają najwyższy poziom ochrony danych i ochrony tożsamości sygnalisty. Niektóre ułatwiają także prowadzenie postępowania wyjaśniającego i ochronę jego dokumentacji.

Są one oferowane także na polskim rynku. Dokonując wyboru, warto sprawdzić, jaki poziom bezpieczeństwa rzeczywiście oferują, czy mają wbudowany rejestr zgłoszeń oraz jaki sąd (polski czy zagraniczny) będzie właściwy dla rozstrzygania sporów.

Największym w tym względzie wyzwaniem jest cena systemu.

Dodatkowe zalety takich platform to:

l dostęp 24 godziny na dobę dla każdego, także dla sygnalistów zewnętrznych;

l treść zgłoszenia od razu jest utrwalona pisemnie w formie prostej do przetwarzania;

l możliwość usystematyzowania przekazywanych informacji przez podział formularza na wiele pytań (kto, co, gdzie, kiedy...).

Pozostałe wady i wyzwania:

l strona internetowa może być czasami niedostępna;

l system może zostać zhakowany, choć tu prawdopodobieństwo takiego zdarzenia jest zdecydowanie najniższe.

10. Rejestr i rejestrowanie zgłoszeń wewnętrznych

Rejestr zgłoszeń wewnętrznych prowadzi podmiot prawny (art. 29 ust. 1 pkt 1 ustawy). Jednak może do tego upoważnić wewnętrzną jednostkę organizacyjną lub osobę, której powierzył przyjmowanie zgłoszeń lub prowadzenie działań następczych (art. 29 ust. 2 ustawy).

Jak już wspominaliśmy, interpretacja terminu „może” w tym przepisie może być dwojaka:

1) „nie ma przeszkód”, aby także to zadanie powierzyć osobie lub komórce, która została wyznaczona do przyjmowania zgłoszeń lub prowadzenia działań następczych. To zadanie można powierzyć także komu innemu (analogicznie do art. 25 ust. 1 pkt 3 ustawy, który stanowi, że prowadzenie działań następczych „można” powierzyć osobom/komórkom, które przyjmują zgłoszenia, jeżeli zapewniają bezstronność – a więc można powierzyć także innym osobom);

2) „można wyłącznie”, a więc nie może powierzyć komuś innemu – ani wewnętrznie, ani zewnętrznie.

Problem ten jest istotny, jeżeli korzystamy ze wspólnej obsługi zgłoszeń (zob. podrozdział 5.5 poradnika) lub powierzamy przyjmowanie zgłoszeń wewnętrznych podmiotowi zewnętrznemu na podstawie umowy. W takich przypadkach warto śledzić opinie Ministerstwa Rodziny, Pracy i Polityki Społecznej, a po wdrożeniu ustawy – orzecznictwo.

Jeżeli zgłoszenia wewnętrzne zamierzamy przyjmować samodzielnie, to powyższy problem interpretacyjny nie ma specjalnego znaczenia.

10.1. Zawartość rejestru

Ustawodawca wprost wskazuje, że rejestr zgłoszeń wewnętrznych obejmuje (art. 29 ust. 4 ustawy):

l numer zgłoszenia;

l przedmiot naruszenia prawa;

l dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób (chyba że zgłoszenie będzie anonimowe);

l adres do kontaktu sygnalisty (brak podania takiego adresu nie wstrzymuje rozpoznania zgłoszenia);

l datę dokonania zgłoszenia;

l informację o podjętych działaniach następczych (które obejmują postępowanie wyjaśniające oraz ewentualne dalsze działania następcze);

l datę zakończenia sprawy.

Czym jest data dokonania zgłoszenia? Czy to data nadania zgłoszenia przez sygnalistę, czy data wpływu zgłoszenia do podmiotu? Jeżeli sygnalista korzysta z formularza internetowego lub przekazuje zgłoszenie podczas spotkania – te daty się pokrywają. Jeżeli natomiast wysyła list za pośrednictwem poczty – będą się różnić.

Zauważmy, że art. 6 ustawy przyznaje sygnaliście ochronę „od momentu dokonania zgłoszenia”.

Natomiast obowiązek potwierdzenia przyjęcia zgłoszenia biegnie w terminie 7 dni od „dnia jego otrzymania”.

Oznacza to, że ustawa odróżnia datę dokonania zgłoszenia od daty wpływu zgłoszenia do podmiotu. Wpisowi do rejestru w tym punkcie podlega data dokonania (np. nadania) zgłoszenia przez sygnalistę.

Jak należy rozumieć datę zakończenia sprawy?

Jeżeli postępowanie wyjaśniające nie potwierdziło naruszeń, będzie to data zatwierdzenia wniosku przez osobę decyzyjną w podmiocie.

Jeśli podjęto dalsze działania następcze – będzie to data zakończenia tych działań. Zauważmy, że w wyniku zawiadomienia naszego podmiotu działania następcze mogą podejmować także organy zewnętrzne: inspekcje, komisje dyscyplinarne, prokuratury czy sądy. Jednak patrząc na sformułowanie art. 29 ust. 5 ustawy, który odróżnia działania następcze od postępowań zainicjowanych tymi działaniami, wydaje się, że chodzi o datę zakończenia działań podejmowanych przez nasz podmiot.

Czy rejestr może zawierać inne pola?

Dodanie do rejestru innych takich pól, jak:

l data otrzymania zgłoszenia,

l data potwierdzenia przyjęcia zgłoszenia,

l data przekazania informacji zwrotnej,

l zawartość informacji zwrotnej,

l informacja o wynikach postępowań zewnętrznych zainicjowanych naszymi działaniami następczymi

mogłoby być bardzo wygodne i przydatne.

Choć ustawa nie daje na to wyraźnej podstawy prawnej, mamy tu do czynienia z działaniami o charakterze porządkowym, a nie władczym, więc dodanie do rejestru dodatkowych pól jest dopuszczalne.

10.2. Forma i bezpieczeństwo rejestru

Ustawa nie określa formy prowadzenia rejestru. W praktyce stosowane są formy elektroniczne, papierowe i mieszane.

W ustawie określono natomiast wymagania, które odnoszą się także do rejestru zgłoszeń. I tak:

l podmiot prawny gwarantuje, że związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu (art. 27 ust. 1 ustawy);

l do przyjmowania zgłoszeń wewnętrznych i przetwarzania danych osobowych osób, o których mowa wcześniej, a więc także do dokonywania wpisów do rejestru i dostępu do danych w rejestrze, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie (art. 27 ust. 2 ustawy);

l zasadę należytej staranności (art. 25 ust. 1 pkt 6 ustawy) można rozciągnąć także na prowadzenie rejestru zgłoszeń.

Oznacza to, że rejestr zgłoszeń powinien być zabezpieczony m.in. przed:

l dostępem osób nieuprawnionych,

l utratą danych,

l manipulacją zapisami oraz

spełniać inne, ogólne warunki RODO związane z przetwarzaniem danych osobowych w zbiorach danych.

Należy zwrócić uwagę, że zwykła tabela, edytowana w programie do edycji tekstów lub arkuszu kalkulacyjnym na komputerze lokalnym, nie spełnia wymagań bezpieczeństwa i należytej staranności. Rejestr może zostać utracony i nie jest chroniony przed manipulacją zapisami.

Jeżeli decydujemy sią na formę papierową, może polegać ona na prowadzeniu rejestru w zszytej księdze, z ponumerowanymi i ostemplowanymi stronami, przechowywanej w szafie pancernej chronionej hasłem.

Forma elektroniczna powinna zostać skonsultowana z informatykami, którzy podpowiedzą odpowiednie rozwiązania. W takim przypadku należy też określić, ilu adminis­tra­torów IT będzie miało dostęp do rejestru. Jeżeli taka liczba przekraczałaby dwie osoby, należy szukać innych rozwiązań.

10.3. Kwalifikacja i wpisanie zgłoszenia

Wpisu do rejestru zgłoszeń wewnętrznych dokonuje się na podstawie zgłoszenia wewnętrznego (art. 29 ust. 3 ustawy).

W praktyce, po wpłynięciu każdego zgłoszenia dowolnym sposobem, należy najpierw sprawdzić, czy podlega ono rozpatrzeniu na podstawie ustawy i przyjętego regulaminu zgłoszeń.

Należy ocenić, czy przekazana informacja:

l jest informacją o naruszeniu prawa (zob. podrozdział 1.1 poradnika);

l dotyczy dziedzin prawnych (ewentualnie regulacji wewnętrznych i standardów etycznych) objętych procedurą (zob. rozdział 1 poradnika);

l została uzyskana w kontekście związanym z pracą (zob. podrozdział 1.2 poradnika), a mianowicie:

– od kogo pochodzi,

– czy dotyczy naruszeń popełnionych w naszym podmiocie lub związanych z jego funkcjonowaniem, czy też spraw prywatnych lub dotyczących innych podmiotów.

Jeżeli przyjmujemy zgłoszenia anonimowe, a z kontekstu nie wynika, jaka jest relacja sygnalisty z naszym podmiotem, kierujemy się drugą przesłanką, czyli tą, czy dotyczy naruszeń w naszym podmiocie.

Do rejestru zgłoszeń wewnętrznych wpisujemy te zgłoszenia, które zostały zakwalifikowane jako podlegające rozpatrzeniu na podstawie ustawy i procedury.

Następnie realizujemy obowiązek informacyjny wobec sygnalisty, potwierdzając przyjęcie zgłoszenia w terminie 7 dni od jego otrzymania.

10.4. Postępowanie z pozostałymi zgłoszeniami

Nie wszystkie przekazane zgłoszenia zostaną zakwalifikowane do rozpatrzenia zgodnie z procedurą. Może to wynikać z tego, że:

l nie są w ogóle informacją o naruszeniu prawa (spam, reklama, sprawy osobiste);

l naruszenie prawa dotyczy takich dziedzin prawnych, które nie zostały objęte procedurą;

l zostały przekazane przez mieszkańca, którego w żaden sposób nie podciągniemy pod „kontekst związany z pracą”.

Postępowanie ze zgłoszeniami niezakwalifikowanymi do rozpatrzenia powinniśmy uregulować w procedurze lub w innym dokumencie, na przykład w wytycznych przyjmowania zgłoszeń i prowadzenia działań następczych. Mamy cztery możliwości.

1. Zwrot do zgłaszającego

Informujemy zgłaszającego, że złożone zgłoszenie nie podlega rozpatrzeniu na podstawie procedury. Przekazujemy informację o możliwościach dokonania zgłoszenia w innym trybie (np. skargowym, odwoławczym, zawiadomienia właściwej inspekcji, rzecznika lub organów ścigania).

Takie postępowanie wydaje się być pracochłonne, jednak chroni tożsamość osoby zgłaszającej oraz buduje zaufanie do naszego podmiotu i do systemu zgłoszeniowego. Postępujemy analogicznie do trybu przewidzianego w ustawie dla zgłoszeń zewnętrznych (art. 32 ust. 5–6 w zw. z art. 34 ust 2 ustawy).

2. Przekazanie według właściwości

Czasami sprawa będąca przedmiotem zgłoszenia podlega rozpatrzeniu w innym trybie przez nasz podmiot publiczny lub przez inny podmiot. Możemy przewidzieć w procedurze lub wytycznych, że zgłoszenia takie będziemy przekazywać „według właściwości”.

Pojawia się tu jednak problem ochrony tożsamości osoby zgłaszającej. Jeżeli zgłaszający błędnie oceni zakres prawny stosowania naszej procedury, to jego tożsamość nadal podlega ustawowej ochronie.

W innych przypadkach zgłaszający może liczyć na ochronę swojej tożsamości i nie życzyć sobie przekazywania sprawy do rozpatrzenia w innym trybie, w którym zasady ochrony tożsamości przewidziane ustawą o ochronie sygnalistów nie obowiązują.

Jeżeli chcemy stosować to rozwiązanie, powinniśmy w procedurze lub wytycznych przewidzieć wyraźnie, jakich spraw takie automatyczne przekazanie może dotyczyć. Tak aby zgłaszający byli o tym zawczasu powiadomieni.

Może to dotyczyć przykładowo sytuacji, w której wpływa zgłoszenie dotyczące podejrzenia popełnienia przestępstwa z listy określonej w art. 240 ustawy z 6 czerwca 1997 r – Kodeks karny²⁷⁾.

Przepis ten obejmuje kilkanaście przestępstw: od szpiegostwa, przez zabójstwo po przes­tępstwa o charakterze terrorystycznym, a także pedofilię. Kodeks karny przewiduje kary dla osób, które „mając wiarygodną wiadomość o karalnym przygotowaniu albo usiłowaniu lub dokonaniu czynu zabronionego”, nie zawiadomiły organów ścigania.

Może to dotyczyć także sytuacji, w której ze zgłoszenia wynika konieczność pilnego działania przez nas lub inny podmiot w celu ochrony czyjegoś życia, zdrowia lub ochrony przed niepowetowanymi stratami.

Warto też dodatkowo przewidzieć, że przekazując zgłoszenie według właściwości do rozpatrzenia w innym trybie, nie przekazujemy danych osoby zgłaszającej.

3. „Odpowiednie” zastosowanie procedury

W praktyce stanowienia prawa i działania administracji stosuje sią czasami zasadę „odpowiedniego” stosowania określonych przepisów w innych sprawach.

Nasze regulacje wewnętrzne (procedura lub wytyczne) mogą przewidywać, że procedurę zgłoszeń wewnętrznych możemy „odpowiednio” zastosować do badania zgłoszeń, które formalnie nie spełniają warunków określonych ustawą i procedurą.

Możemy przewidzieć, że decyzją określonej osoby (np. kierownika jednostki, osoby odpowiedzialnej za przyjmowanie zgłoszeń i podejmowanie działań następczych) procedurę można „odpowiednio” zastosować do takiego zgłoszenia.

Taki zgłaszający nie będzie podlegał ustawowej ochronie przewidzianej dla sygnalistów. Możemy jednak zadeklarować, że tacy zgłaszający będą podlegać ochronie wewnętrznej podmiotu, która obejmuje ochronę tożsamości i ochronę przed działaniami odwetowymi.

4. Nienadawanie dalszego biegu

Nie musimy oczywiście reagować na reklamę lub spam wpływający na nasze kanały komunikacyjne. Natomiast gdy zgłoszenie dotyczy naruszenia prawa brak reakcji może być ryzykowny dla osoby podejmującej taką decyzję oraz dla podmiotu. Preferowane są trzy poprzednie opcje.

10.5. Dodatkowe rejestry

Ocena kwalifikowalności zgłoszenia oraz dalsze działania ze zgłoszeniami niepodlegającymi rozpatrzeniu w ustawowym trybie powinny być dokumentowane.

Rejestr zgłoszeń, do których procedurę stosujemy „odpowiednio” może zawierać przykładowo następujące pola:

l numer porządkowy,

l przedmiot naruszenia prawa,

l dane osobowe zgłaszającego,

l dane osoby, której dotyczy zgłoszenie,

l adres do kontaktu zgłaszającego (jeśli został podany lub jest znany),

l datę dokonania zgłoszenia,

l datę otrzymania zgłoszenia,

l przyczynę, dla której zgłoszenie nie podlega zwykłemu rozpatrzeniu na podstawie procedury,

l informację o decyzji w sprawie odpowiedniego zastosowania procedury do wyjaśnienia zgłoszenia,

l datę poinformowania zgłaszającego o odpowiednim zastosowaniu procedury,

l informację o podjętych działaniach następczych,

l datę przekazania informacji zwrotnej,

l zawartość informacji zwrotnej,

l datę zakończenia sprawy w podmiocie,

l informację o wynikach postępowań zewnętrznych zainicjowanych naszymi działaniami następczymi.

Posługiwanie sią dwoma rejestrami pozwoli nam łatwiej określić, którzy sygnaliści podlegają ochronie ustawowej, a którzy jedynie ochronie wewnętrznej.

Rejestr pozostałych zgłoszeń, do których nie stosujemy procedury, może zawierać przykładowo następujące pola:

l numer porządkowy,

l przedmiot zgłoszenia,

l dane osobowe zgłaszającego,

l dane osoby, której dotyczy zgłoszenie,

l adres do kontaktu zgłaszającego (jeśli został podany lub jest znany),

l datę dokonania zgłoszenia,

l datę otrzymania zgłoszenia,

l przyczynę, dla której zgłoszenie nie podlega rozpatrzeniu,

l datę poinformowania zgłaszającego,

l informację przekazaną zgłaszającemu,

l datę przekazania zgłoszenia według właściwości,

l informację na temat przekazania zgłoszenia według właściwości,

l informację o przyczynie pozostawienia zgłoszenia bez dalszej reakcji.

Warto pamiętać, że wypełniamy tylko właściwe pola.

11. Ochrona danych osobowych – zgłoszenia wewnętrzne i zewnętrzne

Ustawa zawiera wiele przepisów dotyczących ochrony danych osobowych (RODO).

Poza kwestiami wskazanymi w ustawie inspektor powinien dokonać aktualizacji oceny ryzyka i dokumentacji związanej z wdrożeniem procedury zgłoszeń wewnętrznych lub zewnętrznych.

11.1. Wymagania

1. Podmiot prawny albo organ publiczny po otrzymaniu zgłoszenia wewnętrznego lub zewnętrznego przetwarza dane osobowe w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego (art. 8 ust. 4 ustawy).

2. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy (art. 8 ust. 4 ustawy). Przepis dotyczy zarówno zgłoszeń wewnętrznych, jaki zewnętrznych.

Sprawa jest stosunkowo prosta w przypadku rejestru zgłoszeń – dane takie należy usunąć z rejestru. Możemy je także bez problemu usunąć z innych dokumentów wytworzonych we własnym zakresie.

Problemem może być usunięcie takich danych z oryginalnego zgłoszenia sygnalisty. Przykładowo, zazwyczaj nie mamy technicznych możliwości edytowania e-maila, który znajduje się na naszym serwerze. Możemy natomiast zrobić jego kopię, z której usuniemy zbędne dane osobowe, i taką kopią posługiwać się w trakcie dalszych prac.

Wszelkie działania dotyczące usuwania takich danych powinny zostać udokumentowane.

Warto śledzić w tym zakresie wytyczne Prezesa UODO.

3. Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia zewnętrznego oraz dokumenty związane z tym zgłoszeniem są przechowywane przez Rzecznika Praw Obywatelskich przez okres 12 miesięcy po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właś­ciwego do podjęcia działań następczych (art. 8 ust. 7, art. 45 ust. 4 ustawy).

Po upływie okresu przechowywania Rzecznik Praw Obywatelskich usuwa dane osobowe oraz niszczy dokumenty związane ze zgłoszeniem. Nie stosuje się tutaj przepisów ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach²⁸⁾ (art. 8 ust. 9 ustawy). Nie dotyczy to przypadku, gdy dokumenty związane ze zgłoszeniem stanowią część akt postępowań przygotowawczych lub spraw sądowych lub sądowoadministracyjnych (art. 8 ust. 10 ustawy).

4. Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez okres 3 lat po zakończeniu roku kalendarzowego, w którym:

l przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub

l zakończono działania następcze, lub

l zakończono postępowania zainicjowane tymi działaniami (art. 8 ust. 8, art. 46 ust. 4 ustawy).

Po upływie okresu przechowywania podmiot prawny lub organ publiczny usuwa dane osobowe oraz niszczy dokumenty związane ze zgłoszeniem. Co ważne, nie stosuje się przepisów ustawy z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (art. 8 ust. 9). Nie dotyczy to przypadku, gdy dokumenty związane ze zgłoszeniem stanowią część akt postępowań przygotowawczych lub spraw sądowych lub sądowoadministracyjnych (art. 8 ust. 10).

5. Umowa zawarta z podmiotem zewnętrznym w zakresie przejmowania zgłoszeń wewnętrznych określa szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 rozporządzenia RODO (art. 28 ust. 2).

6. W przypadku ustalenia przez jednostki samorządu terytorialnego wspólnej obsługi zgłoszeń wewnętrznych dodatkowe przepisy dotyczące przetwarzania danych osobowych znajdują się w ustawach samorządowych (zob. podrozdział 5.5 poradnika).

Stanowią one, że jednostka obsługująca jest uprawniona do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki (art. 10d ustawy o samorządzie gminnym²⁹⁾, art. 6d o samorządzie powiatowym³⁰⁾, art. 8f ustawy o samorządzie województwa³¹⁾).

7. Sprawozdania statystyczne składane przez organy publiczne nie obejmują danych osobowych (art. 47 ust. 2 ustawy).

8. Organ publiczny i RPO, w publikowanych informacjach o zasadach dokonywania zgłoszeń zewnętrznych, uwzględniają informacje o zasadach przetwarzania danych osobowych (art. 48 ust. 1 pkt 6, art. 48 ust. 2 ustawy).

11.2. Ochrona tożsamości sygnalisty

Ustawa zawiera jeszcze dwa przepisy dotyczące ochrony danych osobowych. Mogą one wprowadzić w błąd pracowników odpowiedzialnych za przyjmowanie zgłoszeń, prowadzenie rejestrów, działań następczych i realizację obowiązków RODO.

Jak już wielokrotnie wskazywaliśmy, jednym z celów ustawy jest zapewnienie ochrony poufności tożsamości sygnalisty. Ochrona taka polega na tym, aby dane sygnalisty nie zostały ujawnione osobom nieuprawnionym. Dotyczy ona informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość sygnalisty (art. 8 ust. 1, art. 27 ust. 1, art. 43 ust. 1 i 2 ustawy).

Z drugiej strony mamy przepisy RODO.

Artykuł 14 ust. 1 i 2 RODO wprowadzają zasadę, że jeżeli przetwarzamy dane określonej osoby, których nie pozyskano od niej, to administrator ma obowiązek podać takiej osobie informacje m.in. o:

l celu i podstawie prawnej przetwarzania jej danych;

l prawie do żądania od administratora dostępu do danych osobowych dotyczących tej osoby, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

l źródle pochodzenia danych osobowych.

Obowiązek taki należy zrealizować w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca.

Z kolei art. 15 ust. 1 i 3 RODO wprowadzają zasadę, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz uzyskania m.in. do następujących informacji:

l celu przetwarzania,

l jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkich dostępnych informacji o ich źródle,

l kopii danych osobowych podlegających przetwarzaniu.

W przypadku wpłynięcia zgłoszenia dane osoby, której dotyczy zgłoszenie, są uzys­kane od sygnalisty.

Przywołane przepisy RODO mogłyby prowadzić do kilku negatywnych konsekwencji:

l ostrzeżenia osoby, której dotyczy zgłoszenie, że jest prowadzone wobec niej postępowanie wyjaśniające (ryzyko niszczenia dowodów i zastraszania świadków);

l ujawnienia tożsamości sygnalisty;

l przekazania OKDZ zgłoszenia sygnalisty i wszelkich innych materiałów z postępowania wyjaśniającego (co mogłoby utrudniać postępowanie wyjaśniające i odstręczać świadków);

l zaprzestanie przetwarzania danych osobowych OKDZ na jej żądanie, co prowadziłoby do paraliżu działań następczych i usunięcia zgłoszenia z rejestru zgłoszeń.

Ustawa o ochronie sygnalistów wyłącza w art. 8 ust. 5 i 6 jedynie obowiązek podania OKDZ:

l źródła pochodzenia danych osobowych (art. 14 ust. 2 lit. 2 RODO),

l wszelkich dostępnych informacji o źródle jej danych osobowych (art. 15 ust. 1 lit. g RODO).

Nie wyłącza natomiast wyraźnie stosowania innych przepisów art. 14 i 15 RODO, o przytoczonych wcześniej negatywnych konsekwencjach.

Należy jednak podkreślić, że te inne negatywne konsekwencje są wyłączone przez kolejne przepisy RODO.

Przytoczonych wyżej obowiązków informacyjnych nie stosuje się, jeżeli:

l może to uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania (art. 14 ust. 5 pkt b RODO),

l pozyskiwanie jest wyraźnie uregulowane prawem przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą (art. 14 ust. 5 pkt c RODO).

Wyłączenia te doskonale pasują do ustawy o ochronie sygnalistów.

Jeżeli chodzi o prawa osoby, której dane przetwarzamy, określone w art. 15 RODO, to ustęp 4 tego przepisu stanowi, że prawo do uzyskania kopii przetwarzanych danych osobowych nie może niekorzystnie wpływać na prawa i wolności innych. W naszym przypadku wpłynęłoby to niekorzystnie na prawa i wolności sygnalisty oraz osób z nim powiązanych.

Jeżeli chodzi o udzielanie innych informacji na podstawie art. 15 RODO, to zawsze należy mieć na względzie, że RODO nie wyłącza przepisów ustawy o ochronie sygnalistów. Tożsamość sygnalisty musi być chroniona przed ujawnieniem bezpośrednim i pośrednim. OKDZ nie jest osobą uprawnioną do tej informacji. Ujawnienie tożsamości sygnalisty wbrew przepisom ustawy podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

12. Zgłoszenia zewnętrzne w organach publicznych

12.1. Organy publiczne

Organy publiczne oraz Rzecznik Praw Obywatelskich są zobowiązane przyjmować zgłoszenia zewnętrzne. Rozłóżmy na czynniki pierwsze definicję organu publicznego (art. 2 pkt 6 ustawy). Są to:

l naczelne i centralne organy administracji rządowej

Do naczelnych organów administracji rządowej zaliczymy Prezesa Rady Ministrów, Radę Ministrów i poszczególnych ministrów. Do organów centralnych zaliczamy także takie organy, jak:

– Główny Inspektor Sanitarny/Farmaceutyczny/Ochrony Środowiska/Transportu Drogowego,

– prezesi UOKiK, URE,

– szefowie ABW, AW, SKW, SWW, CBA,

– komendanci główni Policji, Państwowej Straży Pożarnej, Straży Granicznej,

– prezesi NFZ, ZUS, KRUS,

– Główny Geodeta Kraju.

l terenowe organy administracji rządowej

Mogą obejmować administrację zespoloną i niezespoloną. Przykładowo mogą to być:

– wojewodowie,

– Dyrektor Izby Administracji Skarbowej,

– komendanci: wojewódzki, powiatowy (miejski) Policji/Państwowej Straży Pożarnej,

– komendant komisariatu Policji,

– komendanci oddziałów, placówek i dywizjonów Straży Granicznej,

– Państwowy Wojewódzki Inspektor Sanitarny/Ochrony Środowiska/Transportu Drogowego.

l organy jednostek samorządu terytorialnego

Należą do nich: organy wykonawcze: wójtowie, burmistrzowie, prezydenci miast, zarządy powiatów i województw, ale także organy stanowiące: rady gmin (miast), powiatów i sejmiki wojewódzkie.

l inne organy państwowe

Uzasadnienie do ustawy wskazuje tutaj na organy pozostające poza strukturą administracji publicznej, takie jak:

– Prezydent RP,

– Przewodniczący Krajowej Rady Radiofonii i Telewizji,

– Prezes Urzędu Ochrony Danych Osobowych,

– prezesi sądów okręgowych i apelacyjnych.

l inne podmioty wykonujące z mocy prawa zadania z zakresu administracji publicznej

Lista tych podmiotów jest bardzo szeroka i obejmuje przykładowo:

– prezesów agencji wykonawczych, takich jak Rządowa Agencja Rezerw Stra­te­gicznych czy Agencja Restrukturyzacji i Modernizacji Rolnictwa,

– Komisję Nadzoru Finansowego,

– Narodowy Bank Polski.

Pamiętajmy, że chodzi o organy właściwe do podejmowania działań następczych w dziedzinach wskazanych w art. 3 ust. 1 ustawy.

12.2. Kanały komunikacji

Dyrektywa mówi o obowiązku ustanowienia zewnętrznych kanałów dokonywania zgłoszeń oraz procedur przyjmowania tych zgłoszeń przez wyznaczone organy publiczne (art. 11 i 14 dyrektywy). Ustawa natomiast wprowadza obowiązek ustalenia procedury przyjmowania zgłoszeń zewnętrznych oraz podejmowania działań następczych, zwanej „procedurą zgłoszeń zewnętrznych” (art. 33 ustawy). Jednocześnie w art. 43 ustawa mówi o „kanałach komunikacji” przyjętych na potrzeby przyjmowania zgłoszeń zewnętrznych.

Patrząc ściśle od strony prawnej: na podstawie ustawy organy publiczne ustalają procedury zgłoszeń zewnętrznych, a w ich ramach także kanały komunikacji na potrzeby przyjmowania zgłoszeń. Procedury zgłoszeń zewnętrznych ustalają organy publiczne (art. 33 ustawy).

Muszą być więc spełnione dwa warunki:

l organ należy to jednego ze zbiorów określonych w definicji,

l organ jest właściwy do podejmowania działań następczych w obowiązkowych dziedzinach prawnych stosowania ustawy, wskazanych w art. 3 ust. 1 ustawy.

Przypomnijmy, że dziedziny te dotyczą naruszania prawa w zakresie:

l korupcji;

l zamówień publicznych;

l usług, produktów i rynków finansowych;

l przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;

l bezpieczeństwa produktów i ich zgodności z wymogami;

l bezpieczeństwa transportu;

l ochrony środowiska;

l ochrony radiologicznej i bezpieczeństwa jądrowego;

l bezpieczeństwa żywności i pasz;

l zdrowia i dobrostanu zwierząt;

l zdrowia publicznego;

l ochrony konsumentów;

l ochrony prywatności i danych osobowych;

l bezpieczeństwa sieci i systemów teleinformatycznych;

l interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej, jednostki samorządu terytorialnego oraz Unii Europejskiej;

l rynku wewnętrznego Unii Europejskiej, w tym publicznoprawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych;

l konstytucyjnych wolności i praw człowieka i obywatela – występujących w stosunkach jednostki z organami władzy publicznej i niezwiązanych z innymi, wymienionymi dziedzinami.

12.3. Integracja dotychczasowych procedur z procedurami dotyczącymi ochrony sygnalistów

Niektóre organy publiczne są już obecnie zobowiązane do ustanowienia procedur zgłoszeniowych, zazwyczaj na podstawie przepisów unijnych i implementujących je przepisów polskich.

Należą do nich podmioty wykonujące działalność w zakresie:

l usług, produktów i rynków finansowych,

l bezpieczeństwa transportu (lotniczego, morskiego),

l ochrony środowiska (wydobycie ropy i gazu na morzu),

l przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu,

które są objęte zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części II załącznika do dyrektywy.

Czasami taki obowiązek wynika jedynie z polskich przepisów.

Ustawa uzupełnia przepisy dotychczasowe.

Przywołana ustawa szczególna zawiera tylko jeden przepis o charakterze proceduralnym – określa, co powinno zawierać zgłoszenie. Ten przepis szczególny pozostaje w mocy. W pozostałym zakresie stosuje się ustawę o ochronie sygnalistów.

12.4. Ocena właściwości organu publicznego

Dochodzimy w tym momencie do jednego z najważniejszych problemów zgłoszeń zewnętrznych, czyli ustalenia właściwości organu publicznego.

Na początek warto zauważyć, że ustawa o ochronie sygnalistów nie przekazała żadnych dodatkowych kompetencji o charakterze kontrolnym lub śledczym organom, które zostały powołane do wyjaśniania zgłoszeń zewnętrznych. Organy te dysponują jedynie swoimi dotychczasowymi uprawnieniami.

Jednocześnie to zakres tych dotychczasowych uprawnień określa, czy dany organ publiczny jest właściwy dla prowadzenia działań następczych, czy też nie.

Przyjrzyjmy się dokładnie przepisom.

Zgodnie z art. 34 ust. 1 pkt 3 ustawy organ publiczny rozpatruje zgłoszenie zewnętrzne w przypadku gdy zgłoszenie dotyczy naruszeń prawa w dziedzinie należącej do zakresu działania tego organu.

O właściwości organu do rozpatrzenia określonego zgłoszenia zewnętrznego decydują jego kompetencje kontrolne, nadzorcze, śledcze lub podobne do zbadania konkretnego naruszenia prawa przedstawionego w zgłoszeniu.

Wojewódzki Inspektor Ochrony Środowiska dysponuje imponującymi uprawnieniami, polegającymi na:

l obserwowaniu i rejestrowaniu przy użyciu środków technicznych, w tym technik satelitarnych i bezzałogowych statków powietrznych, obrazu zdarzeń oraz dźwięku towarzyszącego tym zdarzeniom,

l gromadzeniu i zabezpieczaniu dowodów popełnienia przestępstwa lub wykroczenia,

l żądaniu pisemnych lub ustnych informacji oraz przesłuchiwaniu osób w zakresie niezbędnym dla ustalenia stanu faktycznego przy jednoczesnym pouczeniu ich o odpowiedzialności karnej za składanie fałszywych zeznań, o której mowa w Kodeksie karnym,

l ustalaniu tożsamości osób oraz żądaniu okazania dokumentów niezbędnych do wymierzenia grzywny w drodze mandatu karnego lub sporządzeniu wniosku o ukaranie,

l dokonywaniu oględzin pomieszczeń i innych miejsc,

l zatrzymywaniu lub przeszukiwaniu pojazdów przewożących towary oraz kontroli dokumentów związanych z przewozem towaru, jeżeli zachodzi podejrzenie przewożenia odpadów.

Natomiast gdy zgłoszenie dotyczy nie przestępstwa przeciwko środowisku, ale zagrożenia lub wystąpienia szkody w środowisku – to właściwym organem publicznym będzie regionalny dyrektor ochrony środowiska.

12.5. Przekazanie i zbieg właściwości

Ostatni przykład ilustruje możliwe problemy z ustaleniem właściwego organu publicznego przez sygnalistę. Zazwyczaj tylko specjaliści orientują się, czym różni się przes­tępstwo przeciwko środowisku od szkody w środowisku. Przeciętny sygnalista może skierować zgłoszenie zewnętrzne po prostu do jakiegoś organu, w którego nazwie występują słowa „ochrona środowiska”.

Może je jeszcze skierować do RPO, który samodzielnie ustali właściwy organ.

Jeżeli organ publiczny nie jest właściwy dla rozpatrzenia zgłoszenia, przekazuje je według właściwości.

Warto zauważyć, że w niektórych sprawach może wystąpić zbieg właściwości.

Gdy zgłoszenie dotyczy defraudacji środków unijnych przez beneficjenta, to działania następcze może podjąć instytucja przyznająca dofinansowanie, instytucja zarządzająca programem oraz kilka krajowych i unijnych instytucji kontrolujących wykorzystywanie funduszy europejskich.

Jeżeli zgłoszenie dotyczy nieprawidłowości przy udzielaniu zamówień publicznych przez terenową jednostkę administracji rządowej, to właściwym organem publicznym może być wojewoda, nadzorujący minister, Szef KPRM, Szef CBA (uprawnienia kontrolne), a czasami Prezes Urzędu Zamówień Publicznych.

Mogą zdarzać się także spory w zakresie właściwości organów publicznych. Ustawa stanowi w art. 34 ust. 4, że w przypadku gdy przepisy odrębne nie pozwalają ustalić organu właściwego do rozstrzygnięcia sporu o właściwość między organami publicznymi, w zakresie rozpatrzenia zgłoszenia zewnętrznego lub podjęcia działań następczych stosuje się odpowiednio przepisy art. 22 i art. 23 Kodeksu postępowania administracyjnego³³⁾.

Przepisy te określają szczegółowo organy właściwe dla rozstrzygania sporów. Wprowadzają one zasadę, że do czasu rozstrzygnięcia sporu o właściwość organ administracji publicznej, na którego obszarze wynikła sprawa, podejmuje tylko czynności niecierpiące zwłoki ze względu na interes społeczny lub słuszny interes obywateli i zawiadamia o tym organ właściwy do rozstrzygnięcia sporu.

12.6. Rola Rzecznika Praw Obywatelskich

Rzecznik Praw Obywatelskich pełni w krajowym systemie zgłoszeń zewnętrznych rolę punktu kontaktowego lub jednego okienka, z którego korzysta sygnalista.

Jeżeli sygnalista nie wie lub nie jest pewny, który organ publiczny jest właściwy dla rozpatrzenia zgłoszenia zewnętrznego, może skierować je do RPO. Zgodnie z art. 31 ust. 1 pkt 3 ustawy RPO samodzielnie rozpatruje zgłoszenia zewnętrzne tylko w przypadkach:

l gdy dotyczą naruszenia prawa w zakresie konstytucyjnych wolności i praw człowieka i obywatela;

l które nie są związane z innymi dziedzinami obowiązkowymi ustawy;

l gdy żaden inny organ publiczny nie jest właściwy do podjęcia działań następczych.

W pozostałych sytuacjach, co wynika z art. 31 ust. 1 pkt 2, art. 32 ust. 1 do 6 ustawy, rzecznik:

l dokonuje wstępnej weryfikacji zgłoszenia:

– czy zgłoszenie dotyczy informacji o naruszeniu prawa (zakres obowiązkowy),

– który organ publiczny jest właściwy do podjęcia działań następczych;

l przekazuje je właściwemu organowi publicznemu:

– niezwłocznie,

– nie później jednak niż w terminie 14 dni od dnia dokonania zgłoszenia;

l informuje sygnalistę o przekazaniu zgłoszenia zewnętrznego, wskazując przynajmniej:

– organ publiczny, do którego przekazano zgłoszenie,

– datę przekazania;

l odstępuje od przekazania zgłoszenia zewnętrznego, jeżeli zgłoszenie nie dotyczy informacji o naruszeniu prawa i:

– informuje o tym sygnalistę, podając ustalenia ze wstępnej weryfikacji zgłoszenia,

– może poinformować sygnalistę, że informacja objęta zgłoszeniem podlega rozpatrzeniu w trybie przewidzianym w przepisach odrębnych.

Obowiązki informacyjne wobec sygnalisty RPO realizuje, jeżeli sygnalista podał adres do kontaktu lub jest możliwe ustalenie tego adresu na podstawie posiadanych danych (art. 35 ust. 2 ustawy). Może ich nie realizować, jeżeli ma uzasadnione podstawy sądzić, że zagroziłoby to ochronie poufności tożsamości sygnalisty (odpowiednie stosowanie art. 37 ustawy).

13. Obowiązki organizacyjne w zakresie zgłoszeń zewnętrznych

Przepisy dotyczące zgłoszeń zewnętrznych wchodzą w życie 25 grudnia 2024 r. Oznacza to, że na ten dzień organy publiczne powinny posiadać:

l zatwierdzoną procedurę zgłoszeń zewnętrznych;

l opublikowaną informację w zakresie przyjmowania zgłoszeń zewnętrznych.

Procedury zgłoszeń zewnętrznych nie wymagają wcześniejszych obowiązkowych konsultacji.

13.1. Procedura

W odróżnieniu od zgłoszeń wewnętrznych, ustawa wprowadza w art. 31 jedynie dwa obowiązki dla organów publicznych w zakresie procedury zgłoszeń zewnętrznych, mianowicie:

l obowiązek jej ustanowienia;

l określenia w niej trybu postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo.

Ustawa wprowadza jednocześnie wiele innych obowiązków dla organów publicznych. Zostawia im jednak swobodę, czy zostaną one określone w procedurze czy w innym dokumencie.

Zacznijmy może od przypomnienia różnicy między organem publicznym, a jego pias­tunem i urzędem obsługującym taki organ.

Organ publiczny to stanowisko lub wieloosobowa struktura prawna, która posiada kompetencje do działania określone w przepisach prawa, na przykład: Minister Finansów, wójt, zarząd województwa, Główny Inspektor Sanitarny.

Piastun organu to osoba lub osoby fizyczne powołane w odpowiednim trybie do pełnienia funkcji organu publicznego. Na przykład Leszek Balcerowicz lub Zyta Gilowska, którzy zostali powołani na stanowisko Ministra Finansów.

Urząd obsługujący organ to jednostka organizacyjna, która zapewnia funkcjonowanie (obsługuje) organ publiczny. Przykładowo: Ministerstwo Finansów, urząd gminy, urząd marszałkowski, Główny Inspektorat Sanitarny.

Ustawa stanowi w art. 44 ust. 2 do 4, że organ publiczny upoważnia spośród pracowników urzędu obsługującego ten organ osoby uprawnione do:

l przyjmowania zgłoszeń zewnętrznych, dokonywania ich wstępnej weryfikacji, podejmowania działań następczych oraz związanego z tym przetwarzania danych osobowych,

l kontaktu z sygnalistą w celu przekazywania informacji zwrotnych i – w razie potrzeby – zwracania się o wyjaśnienia lub dodatkowe informacje w zakresie przekazanych informacji, jakie mogą być w jego posiadaniu,

l przekazywania zainteresowanym osobom informacji na temat procedury zgłoszeń zewnętrznych.

Wyznaczone osoby mają odpowiednie kwalifikacje zawodowe, w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych, umiejętności wypełniania powierzonych zadań oraz przechodzą szkolenia w tym zakresie.

Ponadto należy określić, którzy pracownicy będą odpowiedzialni za prowadzenie rejes­tru zgłoszeń zewnętrznych. Ustawa nie stawia tu żadnych warunków w stosunku do ich kompetencji, jednak kierownik jednostki powinien zwrócić uwagę na ich postawę moralną i dotychczasowe wywiązywanie się z obowiązków (art. 46 ustawy).

Pamiętajmy także o omówionej w podrozdziale 6.2 poradnika możliwości powierzenia przeprowadzenia postępowania wyjaśniającego innej jednostce (art. 39 ust. 2 i 3 ustawy).

Uwagi praktyczne

1. Do wykonywania powyższych zadań można wyznaczyć także komórkę organizacyjną, ale zawsze należy pamiętać o indywidualnych upoważnieniach dla konkretnych pracowników.

2. Najlepiej sprawdza się koncentracja kompetencji, czyli powierzenie tych zadań tym samym osobom lub osobom z jednej komórki organizacyjnej. Czasami może to być utrudnione, jeżeli do prowadzenia postępowań wyjaśniających uprawnionych jest kilka komórek organizacyjnych.

3. Bardzo dobrym rozwiązaniem będzie powierzenie zadań komórce, która już jest wyspecjalizowana w prowadzeniu kontroli lub inspekcji zewnętrznych albo w czynnościach nadzorczych.

4. Do wykonywania konkretnych zadań można angażować także pomoc z zewnątrz. Także takie osoby powinny uzyskać imienne upoważnienie.

13.2. Kwestie bezpieczeństwa

Organ publiczny ma powinność zagwarantowania (zapewnienia), że procedura zgłoszeń zewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych:

l uniemożliwiają uzyskanie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom,

l zapewniają ochronę poufności tożsamości sygnalisty oraz osoby, której dotyczy zgłoszenie (art. 43 ustawy).

Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość sygnalisty oraz osoby, której dotyczy zgłoszenie.

Z kolei art. 44 ust. 4 ustawy stanowi, że pracownicy organu publicznego są obowiązani do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskali w ramach przyjmowania i weryfikacji zgłoszeń zewnętrznych lub podejmowania działań następczych, także po ustaniu stosunku pracy (ochrona wieczysta).

Jeżeli zgłoszenie zewnętrze zostało przyjęte przez nieupoważnionego pracownika urzędu obsługującego organ publiczny, to pracownik ten jest obowiązany do:

l nieujawniania informacji mogących skutkować ustaleniem tożsamości sygnalisty lub osoby, której dotyczy zgłoszenie,

l niezwłocznego przekazania zgłoszenia upoważnionemu pracownikowi – bez wprowadzania zmian w tym zgłoszeniu.

Zasadę tę stosuje się odpowiednio w przypadku, gdy zgłoszenie zewnętrzne otrzymano za pośrednictwem innych środków komunikacji niż przyjęte zgodnie z procedurą zgłoszeń zewnętrznych.

13.3. Kanały komunikacji

Kolejną kwestią do decyzji są kanały komunikacji z sygnalistą. Ustawa określa tu pewien zakres obowiązkowy, nieco szerszy niż w przypadku zgłoszeń wewnętrznych. Z analizy art. 36 ustawy, który odsyła także do art. 26 ust. 2–8 ustawy, wynika, że minimum to obejmuje:

l zgłoszenie ustne: telefonicznie lub za pośrednictwem środków głosowej komunikacji elektronicznej;

l zgłoszenie ustne dokonane w trakcie bezpośredniego spotkania z upoważnionym pracownikiem (należy to umożliwić sygnaliście w terminie 14 dni od przedstawienia takiego wniosku);

l zgłoszenie pisemne w postaci papierowej: na adres do korespondencji wskazany przez organ publiczny;

l zgłoszenie pisemne w postaci elektronicznej, przynajmniej jednym ze sposobów:

– na adres poczty elektronicznej,

– na adres elektronicznej skrzynki podawczej,

– na adres do doręczeń elektronicznych,

– za pośrednictwem przeznaczonego do tego formularza internetowego,

– za pośrednictwem wskazanej aplikacji.

Należy przy tym pamiętać o dodatkowych warunkach wynikających z art. 42 ustawy. A mianowicie, kanały komunikacji przyjęte na potrzeby przyjmowania zgłoszeń zewnętrznych:

l są niezależne od kanałów komunikacji wykorzystywanych w ramach zwykłej działalności tych organów (musi więc to być np. odrębny adres e-mail),

l zapewniają kompletność, poufność i integralność danych, w tym ich zabezpieczenie przed dostępem osób nieupoważnionych,

l pozwalają na przechowywanie informacji w sposób trwały w celu umożliwienia prowadzenia dalszego postępowania wyjaśniającego.

Jednocześnie ustawa dopuszcza, że kanały komunikacji wykorzystywane przez organ publiczny do innych celów niż przyjmowanie zgłoszeń zewnętrznych mogą zostać wykorzystane także na potrzeby przyjmowania takich zgłoszeń, o ile spełniają warunki określone wcześniej.

Oznacza to przykładowo, że jeżeli organ publiczny posiada już wydzielony i bezpieczny kanał komunikacji do zgłaszania korupcji, nadużyć, szkód w środowisku itp. – to może go dodatkowo wykorzystać także do przyjmowania zgłoszeń zewnętrznych w trybie ustawy.

Wymagania ustawowe, zalety i wady wybranych kanałów komunikacji omawiamy w rozdziale 9 poradnika.

13.4. Zgłoszenie naruszeń w inny sposób

W praktyce działania systemów zgłoszeniowych może pojawiać się pytanie, czy skorzystanie z wyznaczonych kanałów komunikacji jest obowiązkiem prawnym.

Co należy robić, jeżeli zgłoszenie o naruszeniu prawa, w kontekście związanym z pracą, zostanie przekazane w inny sposób? Czy organ publiczny jest wtedy zobowiązany do zbadania zgłoszenia, a sygnalista podlega ochronie?

Ustawa wyjaśnia ten problem w odniesieniu do zgłoszeń zewnętrznych. Omawiany już art. 44 ust. 6 i 7 ustawy stanowią, że jeżeli zgłoszenie zewnętrze zostało przyjęte przez nieupoważnionego pracownika, to jest on zobowiązany do niezwłocznego przekazania zgłoszenia upoważnionemu pracownikowi – bez wprowadzania zmian w tym zgłoszeniu. Zasadę tę stosuje się odpowiednio w przypadku, gdy zgłoszenie zewnętrzne otrzymano za pośrednictwem innych środków komunikacji niż przyjęte zgodnie z procedurą zgłoszeń zewnętrznych.

13.5. Zgłoszenia anonimowe

Obowiązkowy element procedury zgłoszeń zewnętrznych polega na określeniu trybu postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo (art. 25 ust. 1 pkt 4 ustawy).

Organ publiczny ma tu wybór: może określić, że przyjmuje zgłoszenia anonimowe lub że ich nie przyjmuje. Może też określić jakieś dodatkowe warunki, na których przyjmuje takie zgłoszenia i nadaje im bieg (choć komplikowanie zasad zazwyczaj wywołuje dużo problemów).

Jeżeli organ publiczny jest już zobowiązany do przyjmowania zgłoszeń anonimowych na podstawie innych przepisów, to w tym przypadku nie ma wyboru, stosuje te inne przepisy. Dodatkowo, gdy organ publiczny otrzyma zgłoszenie anonimowe, dla rozpatrzenia którego właściwy jest inny organ, to powinien je przekazać do tego organu, nawet jeżeli sam nie rozpatruje zgłoszeń anonimowych.

Na jakie aspekty praktyczne zgłoszeń anonimowych warto zwrócić uwagę?

1. Anonimowość sygnalisty najlepiej zabezpiecza jego tożsamość przed bezpośrednim ujawnieniem.

2. Anonimowość może ograniczać możliwość kontaktu z sygnalistą, jeżeli nie pozos­tawi on żadnych danych do kontaktu. Jednak nie musi. Bezpieczne systemy zgłoszeniowe umożliwiają korespondencję z anonimowym sygnalistą poprzez pocztę wewnętrzną. Sygnalista może też użyć e-maila z darmowej domeny, założonego na fikcyjne dane (pseudonim).

3. Anonimowość może obniżać jakość zgłoszeń. Wiele organów publicznych obawia się, że zostanie zasypanych donosami pisanymi w złej wierze. Doświadczenia podmiotów już stosujących anonimowe kanały zgłoszeniowe wskazują, że nie jest to regułą. Nawet zgłoszenia anonimowe mogą owocować zgłoszeniami, które są wartościowe z punktu widzenia interesu danego podmiotu, czy interesu społecznego.

4. Jeżeli nasza procedura nie będzie przewidywać przyjmowania zgłoszeń anonimowych, to nie oznacza, że nie będą wpływać. Organ publiczny jest zobowiązany zamieścić informację o sposobach dokonywania zgłoszeń zewnętrznych w Biuletynie Informacji Publicznej (art. 48 ustawy).

Nawet jeżeli informacja będzie wyraźnie podawać, że zgłoszeń anonimowych nie rozpatrujemy, to takie pisemne zgłoszenia i tak będą wpływać. I wtedy pojawi się problem, co z nimi robić?

Zignorować, ponieważ nie rozpatrujemy? Ktoś może postawić zarzut pomocnictwa w przestępstwie przez zignorowanie lub ukrycie informacji o nadużyciach.

Rozpatrywać według innej procedury? Oznacza to mnożenie procedur i biurokracji.

Zajmować się problemem później, gdy wystąpi? Taka sprawa będzie wtedy przerzucana między różnymi komórkami organizacyjnymi jak gorący kartofel, niepotrzebnie angażując czas i energię pracowników.

5. Oprócz oczywistych anonimów będą wpływać także zgłoszenia podpisane pseudonimem. Na przykład listowne (bez adresu zwrotnego) lub e-mailowe, z darmowych kont pocztowych, podpisane pewnym imieniem i nazwiskiem.

Ustawa nie daje organom publicznym żadnych uprawnień do weryfikacji tożsamości takich osób (do „legitymowania” sygnalisty). Brak adresu do kontaktu nie wstrzymuje nadania biegu zgłoszeniu. Oznacza to, że zgłoszenia podpisane pseudonimami będą podlegać rozpatrzeniu, tak jak podpisane zweryfikowanym imieniem i nazwiskiem osoby, którą znamy.

Podsumowując, mamy więcej argumentów za niż przeciw, aby przyjmować zgłoszenia anonimowe.

Decyzja leży jednak w rękach organu publicznego.

Zauważmy, że w tym przypadku organ publiczny nie będzie posiadał adresu do kontaktu sygnalisty, aby zrealizować obowiązek informacyjny i umożliwić sygnaliście samodzielne dokonanie zgłoszenia w innym trybie.

14. Obowiązki w zakresie obsługi zgłoszeń zewnętrznych

Po wpłynięciu zgłoszenia, zgodnie z art. 34 ust. 1 pkt 2 ustawy, organ publiczny dokonuje wstępnej weryfikacji zgłoszenia zewnętrznego, polegającej na ustaleniu, czy zgłoszenie dotyczy informacji o naruszeniu prawa, oraz na ustaleniu, czy zgłoszenie dotyczy naruszeń prawa w dziedzinie należącej do zakresu działania tego organu, a jeżeli nie należy – na ustaleniu organu publicznego właściwego do podjęcia działań następczych.

W przypadku zgłoszeń zewnętrznych zgłoszenie musi dotyczyć naruszenia prawa w dziedzinach określonych w art. 3 ust. 1 ustawy. W innych przypadkach nie podlega rozpatrzeniu w trybie ustawy.

Możliwe są tu trzy wyniki takiej oceny:

1) zgłoszenie nie podlega rozpatrzeniu,

2) zgłoszenie podlega rozpatrzeniu przez inny organ,

3) zgłoszenie podlega rozpatrzeniu przez nasz organ.

14.1. Zgłoszenie niepodlegające rozpatrzeniu

Jeżeli wstępna weryfikacja wykaże, że zgłoszenie nie podlega rozpatrzeniu w trybie ustawy (art. 32 ust. 5–6 w zw. z art. 34 ust. 2 ustawy):

l należy poinformować o tym sygnalistę, podając ustalenia ze wstępnej weryfikacji zgłoszenia, w terminach wynikających z Kodeksu postępowania administracyjnego (art. 35 ustawy), czyli niezwłocznie, nie później niż w terminie miesiąca,

l można go dodatkowo poinformować, że informacja objęta zgłoszeniem podlega rozpatrzeniu w trybie przewidzianym w przepisach odrębnych, dodając pouczenie, że poinformowanie sygnalisty nie wpływa w szczególności na dopuszczalność wniesionego później środka prawnego, na bieg terminów ani na treść rozstrzygnięcia lub sposób zakończenia postępowania.

14.2. Przekazanie według właściwości

Jeżeli wstępna weryfikacja wykaże, że dla rozpatrzenia zgłoszenia właściwy jest inny organ publiczny, należy (art. 34 ust. 1 pkt 4 ustawy):

l przekazać zgłoszenie do organu właściwego niezwłocznie, nie później jednak niż w terminie 14 dni od dnia dokonania zgłoszenia, a w uzasadnionych przypadkach – nie później niż w terminie 30 dni;

l poinformować sygnalistę o przekazaniu zgłoszenia zewnętrznego do innego organu, w terminach wynikających z Kodeksu postępowania administracyjnego (art. 35 ustawy), czyli niezwłocznie, ale nie później niż w terminie miesiąca, wskazując przynajmniej:

– organ publiczny, do którego przekazano zgłoszenie,

– datę przekazania.

Uznanie własnej właściwości. Jeżeli wstępna weryfikacja zgłoszenia wykaże, że zgłoszenie podlega rozpatrzeniu przez organ publiczny, do którego zostało skierowane (art. 37 ustawy), organ ten musi przesłać sygnaliście potwierdzenie przyjęcia zgłoszenia. Należy tego dokonać w terminie 7 dni od dnia przyjęcia zgłoszenia, chyba że sygnalista wystąpił wyraźnie z odmiennym wnioskiem w tym zakresie lub organ publiczny ma uzasadnione podstawy sądzić, że potwierdzenie przyjęcia zgłoszenia zagroziłoby ochronie poufności tożsamości sygnalisty. Obowiązku informacyjnego nie realizujemy w przypadku braku adresu do kontaktu.

14.3. Rejestr zgłoszeń zewnętrznych

Zgłoszenie, które zostało zakwalifikowane do rozpatrzenia, podlega wpisowi do rejestru zgłoszeń zewnętrznych. Jego prowadzenie reguluje art. 46 ustawy. Rejestr prowadzi organ publiczny.

Ustawa nie reguluje, komu zostanie to wewnętrznie powierzone. Dobrą praktyką jest powierzenie tego zadania osobom upoważnionym do przyjmowania zgłoszeń celem ich wstępnej weryfikacji.

Ustawa określa pola, które obejmuje rejestr. Są to:

l numer zgłoszenia,

l przedmiot naruszenia prawa,

l dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób,

l datę dokonania zgłoszenia przez sygnalistę,

l informację o podjętych działaniach następczych,

l informację o wydaniu zaświadczenia, w którym organ publiczny potwierdza, że sygnalista podlega ochronie (art. 38 ustawy),

l datę zakończenia sprawy,

l informacje o niepodejmowaniu dalszych działań w przypadku, o którym mowa w art. 40 ust. 2 ustawy (chodzi o sytuację, gdy w zgłoszeniu zewnętrznym dotyczącym sprawy będącej już przedmiotem wcześniejszego zgłoszenia przez tego samego lub innego sygnalistę nie zawarto istotnych nowych informacji na temat naruszeń prawa w porównaniu z wcześniejszym zgłoszeniem zewnętrznym),

l szacunkową szkodę majątkową, jeżeli została stwierdzona, oraz kwoty odzyskane w wyniku postępowań dotyczących naruszeń prawa będących przedmiotem zgłoszenia – o ile organ publiczny posiada te dane.

Data zakończenia sprawy. Jeżeli postępowanie wyjaśniające nie potwierdziło naruszeń, datą zakończenia sprawy będzie data zatwierdzenia wniosku przez osobę decyzyjną w organie, natomiast przy podjęciu działań następczych – będzie to data zakończenia tych działań.

Zauważmy, że w wyniku zawiadomienia naszego organu działania następcze mogą podejmować także inne organy: inspekcje, komisje dyscyplinarne, prokuratury czy sądy. Jednak patrząc na sformułowanie art. 46 ust. 4 ustawy, który odróżnia działania następcze od postępowań zainicjowanych tymi działaniami, wydaje się, że chodzi o datę zakończenia działań podejmowanych przez nasz organ.

Dodatkowe elementy rejestru. Takimi dodatkowymi elementami rejestru mogą być :

l data otrzymania zgłoszenia,

l data potwierdzenia przyjęcia zgłoszenia,

l data przekazania informacji zwrotnej,

l zawartość informacji zwrotnej,

l informacja o wynikach postępowań zewnętrznych zainicjowanych naszymi działaniami następczymi.

Choć ustawa nie daje na to wyraźnej podstawy prawnej, jednak mamy tu do czynienia z działaniami o charakterze porządkowym, a nie władczym, więc dodanie do rejestru dodatkowych pól jest dopuszczalne.

Forma i bezpieczeństwo rejestru. Do rejestru zgłoszeń zewnętrznych pełne zastosowanie mają uwagi zawarte w podrozdziale 10.2 poradnika.

Dodatkowe rejestry. Nie wszystkie zgłoszenia zewnętrzne będą podlegały rozpatrzeniu przez nasz organ publiczny. Niektóre zostaną przekazane według właściwości, a inne nie będą podlegać rozpatrzeniu. Ponieważ ustawa nie przewiduje umieszczania tego typu informacji w rejestrze zgłoszeń zewnętrznych warto, dla zachowania porządku i przejrzystości, założyć dwa dodatkowe rejestry:

1) rejestr zgłoszeń przekazanych,

2) rejestr zgłoszeń zwróconych.

Rejestry te mogą zawierać przykładowo następujące pola:

l numer porządkowy,

l dane osobowe zgłaszającego,

l adres do kontaktu zgłaszającego (jeśli został podany lub jest znany),

l datę dokonania zgłoszenia,

l datę otrzymania zgłoszenia,

l wyniki wstępnej weryfikacji (dlaczego nie podlega rozpatrzeniu/określenie podmiotu właściwego),

l datę poinformowania sygnalisty/przekazania zgłoszenia według właściwości,

l informację przekazaną sygnaliście/właściwemu organowi.

Adres do kontaktu. W art. 25 ust. 1 pkt 2 ustawy określono, że adres do kontaktu to podany przez sygnalistę w zgłoszeniu:

l adres korespondencyjny lub

l adres poczty elektronicznej sygnalisty.

Jednocześnie warto podkreślić, że podanie takiego adresu nie jest obowiązkiem sygnalisty, nawet jeżeli sygnalista przekazuje zgłoszenie podpisane. Ponadto organ publiczny może sam ustalić adres do kontaktu sygnalisty na podstawie posiadanych danych (art. 35 ust. 2 ustawy ).

Jeżeli sygnalista nie podał adresu do kontaktu ani nie jesteśmy go sami w stanie ustalić, to:

l nie realizujemy obowiązków informacyjnych wobec sygnalisty, ale

l realizujemy inne obowiązki wynikające z ustawy, takie jak:

– wstępna weryfikacja zgłoszenia,

– przekazanie go według właściwości lub

– podjęcie działań następczych.

Obowiązki informacyjne a ochrona tożsamości sygnalisty. Ustawodawca pozwala na odstąpienie od obowiązku informacyjnego, jeżeli sygnalista sobie tego wyraźnie nie życzy lub z obawy o ujawnienie tożsamości sygnalisty (art. 37 ustawy). Przepis ten wyraźnie dotyczy jedynie potwierdzenia przyjęcia zgłoszenia.

Należy rozważyć odpowiednie stosowanie tego wyłączenia także w pozostałych przypadkach realizacji obowiązków informacyjnych wobec sygnalisty (brak takich zapisów jest ewidentnym błędem ustawodawcy).

Będzie to zgodne z jednym z celów ustawy, jakim jest ochrona tożsamości sygnalisty, a ponadto będzie chronić przed odpowiedzialność karną za pośrednie ujawnienie tożsamości sygnalisty osobom nieupoważnionym.

14.4. Działania następcze

W przypadku uznania własnej właściwości organ publiczny realizuje działania następcze. Ustawa w art. 2 pkt 1 definiuje te działania jako podjęte przez podmiot prawny lub organ publiczny w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem zgłoszenia, w szczególności przez:

l postępowanie wyjaśniające,

l wszczęcie kontroli lub postępowania administracyjnego,

l wniesienie oskarżenia,

l działanie podjęte w celu odzyskania środków finansowych lub

l zamknięcie realizowanej procedury.

Możemy więc zauważyć, że działania następcze, czyli realizowane po przyjęciu zgłoszenia do rozpatrzenia, mają dwie fazy:

1) oceny prawdziwości informacji zawartych w zgłoszeniu – przez postępowanie wyjaśniające,

2) przeciwdziałania skutkom i przyczynom naruszeniu prawa – jeżeli zarzuty się potwierdziły.

Jeżeli zarzuty się nie potwierdziły, następuje zamknięcie procedury po fazie pierwszej.

Od zasady podejmowania działań następczych ustawa wprowadza w art. 40 ust. 2 pewien wyjątek dotyczący ponowienia zgłoszenia. A mianowicie, organ publiczny może nie podjąć działań następczych, w przypadku gdy w zgłoszeniu zewnętrznym dotyczącym sprawy będącej już przedmiotem wcześniejszego zgłoszenia przez tego samego lub innego sygnalistę nie zawarto istotnych nowych informacji na temat naruszeń prawa w porównaniu z wcześniejszym zgłoszeniem zewnętrznym. W takiej sytuacji organ publiczny informuje sygnalistę o niepodjęciu działań następczych, podając uzasadnienie, a w razie kolejnego zgłoszenia pozostawia je bez rozpoznania i nie informuje o tym sygnalisty. Przepis te wydaje się racjonalny, biorąc pod uwagę doświadczenia z przyjmowania skarg i wniosków. Zdarzają się skarżący uparcie ponawiający swoje skargi bez przedstawiania nowych informacji.

Zasada należytej staranności. Zasada ta nie jest zdefiniowana na potrzeby oma­wianej ustawy. W przypadku zgłoszeń zewnętrznych może ona polegać na przestrzeganiu następujących zasad:

l kompleksowości i dokładności – należy zbadać wszystkie istotne aspekty sprawy, a więc zebrać i przeanalizować wszystkie dostępne dowody, w tym dokumenty, zeznania świadków, nagrania, tak aby żadna istotna informacja nie została pominięta,

l prawa do obrony – osobie, której dotyczy zgłoszenie, przysługuje domniemanie niewinności i prawo do obrony przez przedstawienie własnych wyjaśnień i innych dowodów,

l bezstronności i obiektywizmu – osoby prowadzące postępowanie wyjaśniające nie mogą być w sytuacji konfliktu interesów (np. powiązań z OKDZ lub sygnalistą), nie mogą prowadzić postępowania pod z góry przyjętą tezę, powinny opierać się na faktach i dowodach, nie mogą ulegać zewnętrznym naciskom, nie można przekazywać sprawy do wyjaśnienia do podmiotu, którego dotyczy zgłoszenie,

l legalności – można podjąć działania na podstawie i granicach prawa, zgodnie z ustawą i procedurą zgłoszeń zewnętrznych, z wykorzystaniem jedynie posiadanych wyraźnie uprawnień, przez osoby upoważnione,

l dokumentowania i przejrzystości – wszystkie kroki powinny być odpowiednio udokumentowane, aby zapewnić możliwość ich późniejszej weryfikacji oraz by ułatwić kontrolę zgodności z zasadami należytej staranności,

l szybkości i efektywności – działania powinny być podejmowane sprawnie i w rozsądnym czasie, co pozwala na szybkie rozwiązanie sprawy i minimalizację potencjalnych szkód,

l poufności i ochrony danych – zgodnie z zasadami określonymi w ustawie, z zapewnieniem, że dostęp do chronionych informacji posiadają jedynie osoby uprawnione, a sposób prowadzenia czynności, nawet pośrednio, nie narazi na ujawnienie tożsamości sygnalisty, OKDZ i innych osób podlegających ochronie osobom nieuprawnionym.

14.5. Powierzenie postępowania wyjaśniającego

Przepisy dotyczące zgłoszeń zewnętrznych nie przewidują możliwości ustalania wspólnych procedur ani stałego powierzenia zadań innym podmiotom. Dopuszczają natomiast ograniczone powierzenie incydentalne (art. 39 ust. 2 i 3 ustawy). Organ publiczny może w uzasadnionych przypadkach (a więc nie w sposób stały, trzeba każdorazowo ocenić zasadność) przekazać zgłoszenie zewnętrzne:

l jednostkom organizacyjnym podległym lub nadzorowanym (na przykład Główny Inspektor Ochrony Środowiska przekazuje sprawę inspektorowi wojewódzkiemu),

l innej jednostce organizacyjnej, której powierzono zadania w drodze porozumienia (przykładowo, gdy organ administracji rządowej powierzył zadania w drodze porozumienia jednostce samorządu terytorialnego)

w celu przeprowadzenia postępowania wyjaśniającego.

Przekazanie zgłoszenia trzeba każdorazowo uzasadnić. Różne zgłoszenia mogą być przekazywane różnym jednostkom. Jednostka przeprowadza jedynie postępowanie wyjaśniające – natomiast dalsze działania następcze są po stronie organu publicznego. W wielu przypadkach zasadność takiego przekazania będzie oczywista. Na przykład gdy zgłoszenie wpłynie do organu naczelnego i zostanie przekazane do wyjaśnienia przez organ terenowy.

Skoro sygnalista dokonał wyboru dokonania zgłoszenia zewnętrznego, to znaczy, że oczekuje sprawdzenia zgłoszenia w sposób niezależny od podmiotu, w którym doszło do naruszenia prawa. Być może już wcześniej dokonał zgłoszenia wewnętrznego i nie był zadowolony z podjętych działań następczych. Być może boi się działań odwetowych lub uważa, że zgłoszenie wewnętrzne nie będzie bezstronnie wyjaśnione. Dodatkowo, przekazanie zgłoszenia do wyjaśnienia podmiotowi, w którym doszło do naruszenia prawa, stanowi dla sygnalisty argument do dokonania ujawnienia publicznego.

14.6. Działania organu związane ze zgłoszeniem

Zaświadczenie. Na żądanie sygnalisty organ publiczny właściwy do podjęcia działań następczych wydaje, nie później niż w terminie miesiąca od dnia otrzymania żądania, zaświadczenie, w którym potwierdza, że sygnalista podlega ustawowej ochronie (art. 38 ustawy).

Żądania nie realizuje się, jeżeli w zgłoszeniu zewnętrznym nie podano adresu do kontaktu ani nie jest możliwe ustalenie tego adresu na podstawie posiadanych danych (art. 35 ust. 2 pkt 2 ustawy).

Wyjaśnienia od sygnalisty. Organ publiczny może zwrócić się do sygnalisty, na podany przez niego adres do kontaktu, o wyjaśnienia lub dodatkowe informacje, jakie mogą być w jego posiadaniu.

Jeżeli sygnalista sprzeciwia się przesłaniu żądanych wyjaśnień lub dodatkowych informacji lub ich przesłanie może zagrozić ochronie poufności jego tożsamości, organ publiczny odstępuje od żądania wyjaśnień lub dodatkowych informacji (art. 39 ust. 1 ustawy).

Przekazanie informacji do organów UE. Artykuł 39 ust. 4 ustawy stanowi, że organ publiczny przekazuje bez zbędnej zwłoki właściwym instytucjom, organom lub jednostkom organizacyjnym Unii Europejskiej informacje zawarte w zgłoszeniu zewnętrznym w celu prowadzenia działań następczych w trybie stosowanym przez takie instytucje, organy lub jednostki, jeżeli przewidują to przepisy odrębne.

14.7. Informacja zwrotna

Ostatni obowiązek informacyjny jest związany z przekazaniem sygnaliście informacji zwrotnej.

Informacja zwrotna powinna być przekazana sygnaliście (art. 41 ustawy):

l standardowo – w terminie nieprzekraczającym 3 miesięcy od dnia przyjęcia zgłoszenia zewnętrznego,

l w uzasadnionych przypadkach – w terminie nieprzekraczającym 6 miesięcy od dnia przyjęcia zgłoszenia zewnętrznego,

po poinformowaniu o tym sygnalisty przed upływem terminu 3-miesięcznego.

Organ ma obowiązek poinformować o ostatecznym wyniku postępowań wyjaśniających wszczętych na skutek zgłoszenia zewnętrznego – po ich zakończeniu, w terminach wynikających z Kodeksu postępowania administracyjnego (art. 35 ustawy), czyli niezwłocznie, jednak nie później niż w terminie miesiąca. Informacja zwrotna powinna wskazać sygnaliście o planowanych lub podjętych działaniach następczych i powodach takich działań.

Informacja taka powinna więc zawierać informacje na temat:

l wyników postępowania wyjaśniającego,

l dalszych działań następczych (druga faza), które już zostały podjęte lub które mają zostać podjęte – oraz ich powodów.

Jeżeli w terminie określonym ustawą nie udało zakończyć postępowania wyjaśniającego, to należy przedstawić informację, na jakim etapie jest sprawa, a kolejną informację przekazać po jego zakończeniu.

Pamiętajmy, że satysfakcja sygnalisty z kontaktu z nami, zadowolenie z naszych działań oraz jakość uzyskanych informacji obniża chęć i potrzebę dokonania przez niego ujawnienia publicznego. W naszym interesie leży więc, aby ta informacja była kompleksowa.

Informacje chronione. Często pojawiają się wątpliwości, czy w informacji zwrotnej możemy przekazywać informacje chronione.

Przekazanie sygnaliście informacji, że podjętym lub planowanym działaniem następczym będzie złożenie zawiadomienia do prokuratury o podejrzeniu popełnienia przestępstwa, nie narusza tajemnicy postępowania przygotowawczego. Ta tajemnica dotyczy czynności podejmowanych w ramach postępowania przygotowawczego, po jego wszczęciu przez prokuratora. Dodajmy, że po otrzymaniu zawiadomienia prokurator może także odmówić wszczęcia postępowania przygotowawczego.

Ustawa (niezgodnie z dyrektywą) wyłączyła informacje niejawne z zakresu informacji przekazywanych w zgłoszeniu. Jednak takie informacje mogą pojawić się na etapie działań następczych prowadzonych przez organ publiczny.

Jeżeli sygnalista posiada dopuszczenie do informacji niejawnych o określonej klauzuli, to informacje takie można mu przekazań w informacji zwrotnej. Zasada wiedzy niezbędnej jest spełniona, ponieważ sygnalista jest uprawniony do otrzymania informacji zwrotnej. Oczywiście o szczegółowości informacji decyduje organ je przekazujący, a sposób ich przekazania powinien być zgodny z przepisami ustawy o ochronie informacji niejawnych.

Inne informacje prawnie chronione można przekazać, jeżeli sygnalista jest uprawniony do dostępu do tajemnic określonego typu. Jeżeli nie jest uprawniony – to informacje prawnie chronione należy pominąć.

14.8. Dodatkowe elementy procedury

Wskazanie decydenta. W procedurze warto wskazać, kto będzie zatwierdzał wnioski z postępowania wyjaśniającego. Ponieważ postępowanie takie jest prowadzone na podstawie już istniejących, odrębnych przepisów – musi to być spójne z tymi przepisami lub odpowiednimi wewnętrznymi procedurami, na przykład w zakresie zatwierdzania wystąpienia pokontrolnego lub podobnych dokumentów.

Opis procesu. Do procedury można dołączyć także szczegółowy opis procesu rejes­tracji zgłoszenia i prowadzenia działań następczych. Może to być także niezależny dokument.

Katalog dalszych działań następczych. W przypadku zgłoszeń zewnętrznych postępowania wyjaśniające i dalsze działania następcze prowadzone są na podstawie innych właściwych przepisów.

Działania następcze mogą mieć formę zaleceń dla podmiotu kontrolowanego oraz działań podejmowanych samodzielnie przez organ publiczny. Ich katalog określają zazwyczaj właściwe przepisy odrębne.

Rozszerzenie ochrony wewnętrznej. Wewnętrzną ochroną przed działaniami odwetowymi możemy dodatkowo objąć:

l pracowników przyjmujących zgłoszenia, prowadzących ich wstępną weryfikację i prowadzących rejestr zgłoszeń,

l osoby prowadzące postępowania wyjaśniające.

Nie jesteśmy w stanie zapewnić dodatkowej ochrony świadkom, którzy zazwyczaj są pracownikami podmiotu, którego dotyczy zgłoszenie.

15. Pozostałe obowiązki organów publicznych

15.1. Informacja publiczna o zgłoszeniach zewnętrznych

Ustawodawca w art. 48 ustawy wprowadza obowiązek przygotowania i umieszczenia na swojej stronie w Biuletynie Informacji Publicznej (BIP) informacji o zgłoszeniach zewnętrznych. Informacja taka powinna być:

l umieszczona w oddzielnej, łatwo identyfikowalnej i dostępnej sekcji BIP,

l przygotowana w sposób zrozumiały dla sygnalisty.

Taka informacja powinna zawierać co najmniej:

l dane kontaktowe umożliwiające dokonanie zgłoszenia zewnętrznego³⁴⁾, w szczególności:

– adres do korespondencji,

– adres poczty elektronicznej,

– adres do doręczeń elektronicznych,

– odrębny adres elektronicznej skrzynki podawczej,

– adres strony internetowej, na której znajduje się formularz elektroniczny,

– numer telefonu wraz ze wskazaniem, czy rozmowy są nagrywane;

l warunki objęcia sygnalisty ochroną;

l tryb postępowania mający zastosowanie w przypadku zgłoszenia zewnętrznego, w tym wymagany sposób wyjaśnienia informacji będących przedmiotem zgłoszenia lub przedstawienia dodatkowych informacji;

l termin przekazania informacji zwrotnej oraz rodzaju i zawartości takiej informacji;

l zasady poufności mające zastosowanie do zgłoszeń zewnętrznych;

l zasady przetwarzania danych osobowych;

l charakter działań następczych podejmowanych w związku ze zgłoszeniem zewnętrznym;

l środki ochrony prawnej i procedury służące ochronie przed działaniami odwetowymi oraz dostępność poufnej porady dla osób rozważających dokonanie zgłoszenia zewnętrznego;

l warunki, na jakich sygnalista jest chroniony przed ponoszeniem odpowiedzialności za naruszenie poufności;

l zachęcenie do korzystania z procedury zgłoszeń wewnętrznych podmiotu prawnego w przypadku, gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych;

l dane kontaktowe Rzecznika Praw Obywatelskich.

15.2. Sprawozdawczość

Organy publiczne mają także obowiązki sprawozdawcze (art. 47 ustawy). Organy te sporządzają sprawozdania za rok kalendarzowy, zawierające dane statystyczne dotyczące zgłoszeń zewnętrznych, obejmujące:

l liczbę przyjętych zgłoszeń zewnętrznych,

l liczbę postępowań wyjaśniających i postępowań wszczętych w wyniku przyjętych zgłoszeń zewnętrznych oraz informacje na temat wyniku tych postępowań,

l szacunkową szkodę majątkową, jeżeli została stwierdzona, oraz kwoty odzyskane w wyniku postępowań dotyczących naruszeń prawa będących przedmiotem zgłoszenia zewnętrznego – o ile organ publiczny posiada te dane.

Wymienione dane statystyczne nie obejmują danych osobowych ani informacji stanowiących tajemnicę przedsiębiorstwa.

Wzór sprawozdania określa rozporządzenie³⁵⁾.

Sprawozdanie za rok 2025 organ publiczny sporządza za okres od dnia rozpoczęcia przyjmowania zgłoszeń zewnętrznych (art. 62 ustawy).

15.3. Przeglądy procedur

Organy publiczne, co najmniej raz na 3 lata, dokonują przeglądu procedur zgłoszeń zewnętrznych. Ma to na celu udoskonalanie posiadanej i stosowanej procedury zgłoszeń zewnętrznych odpowiednio do wyników dokonanego przeglądu, doświadczenia własnego i innych organów publicznych.

16. Wzory procedur

Wzór procedury zgłoszeń wewnętrznych dla podmiotu publicznego³⁶⁾

Wzór procedury zgłoszeń zewnętrznych dla organu publicznego³⁷⁾

Wzór potwierdzenia przyjęcia zgłoszenia wewnętrznego lub przekazania sygnaliście innej informacji

Wzór potwierdzenia przyjęcia zgłoszenia zewnętrznego lub przekazania sygnaliście innej informacji

Wzór informacji zwrotnej do sygnalisty

(Zgłoszenie wewnętrzne)

Wzór informacji zwrotnej do sygnalisty

(Zgłoszenie zewnętrzne)

Maciej Wnuk

Ekspert i autor publikacji z zakresu ochrony sygnalistów, przeciwdziałania korupcji, compliance i etyki, m.in.: „Mała ochrona sygnalisty po 17 grudnia 2021”, „Procedury antykorupcyjne w jednostkach sektora publicznego i prywatnego”, „Świadomość ryzyka korupcji i zmowy przetargowej w zamówieniach publicznych”, „Konflikt interesów – czym jest i jak go unikać?”.

Pełnił funkcję pełnomocnika ds. antykorupcyjnych w MON i MSZ. W MSZ wdrażał systemy zgłoszeniowe i mechanizmy ochrony sygnalistów jako część systemu antykorupcyjnego opartego na normie SPZK (system przeciwdziałania zagrożeniom korupcyjnym). Problematyką antykorupcyjną zajmował się także jako radny i kontroler w warszawskim samorządzie oraz członek zarządu Transparency International Polska.

Od kilku lat szkoli i pomaga wdrażać procedury zgłoszeń wewnętrznych i zewnętrznych oraz systemy antykorupcyjne i compliance w sektorze publicznym i prywatnym.

Więcek informacji o autorze na https://maciejwnuk.pl/

oraz https://www.linkedin.com/in/maciej-wnuk/.

¹⁾ A. Tarka, „Obejście prawa”, Dziennik Gazeta Prawna, serwis internetowy, 6 lipca 2009 r., https://www.gazetaprawna.pl/encyklopedia/prawo/artykuly/334598,obejscie-prawa.html (dostęp: 17.07.2024).

²⁾ Ustawa z 26 czerwca 1974 r. – Kodeks pracy (j.t. Dz.U. z 2023 r. poz. 1465 ze zm.).

³⁾ Tamże.

⁴⁾ Ustawa z 29 września 1994 r. o rachunkowości (j.t. Dz.U. z 2023 r. poz. 120 ze zm.).

⁵⁾ Ustawa z 21 listopada 2008 r. o służbie cywilnej (j.t. Dz.U. z 2024 r. poz. 409).

⁶⁾ Ustawa z 29 sierpnia 2009 r. o finansach publicznych (j.t. Dz.U. z 2023 r. poz. 1270 ze zm.).

⁷⁾ Tamże.

⁸⁾ Traktat o funkcjonowaniu Unii Europejskiej (Dz.U. z 2004 r. Nr 90, poz. 864/2).

⁹⁾ Ustawa z 26 stycznia 1984 r. – Prawo prasowe (j.t. Dz.U. z 2018 r. poz. 1914).

¹⁰⁾ W 2023 r. przeciętne wynagrodzenie miesięczne w gospodarce narodowej wyniosło 6246,13 zł, a w drugim półroczu tegoż roku wyniosło 6445,71 zł.

¹¹⁾ Ustawa 24 sierpnia 2001 r. – Kodeks postępowania w sprawach o wykroczenia (j.t. Dz.U. z 2024 r. poz. 977)

¹²⁾ Ustawa z 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (j.t. Dz.U. z 2023 r. poz. 1524).

¹³⁾ Ustawa z 11 września 2019 r. – Prawo zamówień publicznych (j.t. Dz.U. z 2023 r. poz. 1605 ze zm.).

¹⁴⁾ W art. 42 ustawy, dotyczącym zgłoszeń zewnętrznych, pojawia się jedynie pojęcie „kanałów komunikacji” przyjętych na potrzeby przyjmowania zgłoszeń zewnętrznych.

¹⁵⁾ Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (j.t. Dz.U. z 2023 r. poz. 1124 ze zm.).

¹⁶⁾ Ustawa z 19 sierpnia 2011 r. o usługach płatniczych (j.t. Dz.U. z 2024 r. poz. 30 ze zm.).

¹⁷⁾ Ustawa z 26 października 2000 r. o giełdach towarowych (j.t. Dz.U. z 2024 r. poz. 910.).

¹⁸⁾ Ustawa z 29 lipca 2005 r. o obrocie instrumentami finansowymi (j.t. Dz.U. z 2024 r. poz. 722 ze zm.).

¹⁹⁾ Ustawa z 12 maja 2011 r. o kredycie konsumenckim (j.t. Dz.U. z 2023 r. poz. 1028).

²⁰⁾ Ustawa z 8 marca 1990 r. o samorządzie gminnym (j.t. Dz.U. z 2024 r. poz. 609 ze zm.).

²¹⁾ Ustawa z 5 czerwca 1998 r. o samorządzie powiatowym (j.t. Dz.U. z 2024 r. poz. 107).

²²⁾ Ustawa z 5 czerwca 1998 r. o samorządzie województwa (j.t. Dz.U. z 2024 r. poz. 566).

²³⁾ „Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów?”, opinia na stronie UODO, https://uodo.gov.pl/pl/349/2415 (dostęp: 17 lipca 2024 r.).

²⁴⁾ Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE. L 119 z 2016 r. nr 119 str. 1).

²⁵⁾ OLAF, czyli Europejski Urząd ds. Zwalczania Nadużyć Finansowych, prowadzi dochodzenia w sprawach nadużyć na szkodę budżetu UE, korupcji oraz poważnych uchybień wewnątrz instytucji europejskich i opracowuje politykę zwalczania nadużyć finansowych na potrzeby Komisji Europejskiej (zob. https://fns.olaf.europa.eu/main_pl.htm; dostęp: 22 lipca 2024 r.).

²⁶⁾Tamże.

²⁷⁾ Ustawa z 6 czerwca 1997 r. – Kodeks karny (j.t. Dz.U. z 2024 r. poz. 17 ze zm.).

²⁸⁾ Ustawa z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (j.t. Dz.U. z 2020 r. poz. 164 ze zm.).

29) Ustawa z 8 marca 1990 r. o samorządzie gminnym (j.t. Dz.U. z 2024 r. poz. 609 ze zm.).

³⁰⁾ Ustawa z 5 czerwca 1998 r. o samorządzie powiatowym (j.t. Dz.U. z 2024 r. poz. 107).

³¹⁾ Ustawa z 5 czerwca 1998 r. o samorządzie województwa (j.t. Dz.U. z 2024 r. poz. 566).

³²⁾ Ustawa z 13 kwietnia 2007 r. o zapobieganiu szkodom w środowisku i ich naprawie (j.t. Dz.U. z 2020 r. poz. 2187).

³³⁾ Ustawa z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (j.t. Dz.U. z 2024 r. poz. 572).

³⁴⁾ Nie wszystkie te dane muszą być podane i muszą stanowić kanały komunikacji, trzeba tutaj podać kanały komunikacji rzeczywiście stosowane do przyjmowania zgłoszeń.

³⁵⁾ Na dzień wydania niniejszej publikacji Rada Ministrów nie wydała przedmiotowego rozporządzenia i nie określiła wzoru sprawozdania.

³⁶⁾ Wzór składa się z zarządzenia oraz załącznika. Procedura (załącznik) powinna zostać skonsultowana na zasadach określonych w ustawie z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 r. poz. 928). Elementy do wyboru lub uzupełnienia zostały przedstawione kursywą.

³⁷⁾ Wzór składa się z zarządzenia oraz załącznika.

Elementy do wyboru lub uzupełnienia zostały przedstawione kursywą.

Jeżeli organ jest zobowiązany ustanowić zarówno procedury zgłoszeń wewnętrznych, jak i zewnętrznych, to dla każdego rodzaju zgłoszeń należy ustanowić odrębnych koordynatorów i odrębne sposoby/kanały przekazywania zgłoszeń.