Ustawa z dnia 14 czerwca 2024 roku o ochronie sygnalistów zobowiązuje firmy do udostępnienia kanałów umożliwiających poufne zgłaszanie naruszeń, wdrożenie mechanizmów praktycznie chroniących sygnalistów przed odwetem oraz wypracowanie zasad rozpatrywania zgłoszeń w ściśle określonych terminach. Podmioty zobowiązane muszą wprowadzić dokumentację dot. sygnalistów do dnia 25 września 2024 r.
Przepisy Ustawy dotyczą praktycznie każdego przedsiębiorcy. Przepisy dotyczące sygnalistów mają zastosowanie do działalności m.in. jednoosobowych działalności gospodarczych, spółek i innych osób prawnych. Nie ma także znaczenia forma zatrudnienia członków zespołu firmy.
Sygnalistą jest osoba fizyczna, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa, uzyskaną w kontekście związanym z pracą. Ustawa przewiduje szeroki katalog osób, które mogą zgłaszać naruszenia jako sygnaliści. Wśród wymienionych są: m.in. pracownik, pracownik tymczasowy, osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, przedsiębiorca, prokurent, akcjonariusz lub wspólnik, członek organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej.
Sygnalista podlega ochronie od chwili dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem, że miał uzasadnione podstawy sądzić, że informacja, którą zgłasza lub publicznie ujawnia, jest prawdziwa w momencie zgłoszenia lub ujawnienia i jest informacją o naruszeniu prawa.
Wobec sygnalisty nie mogą być podejmowane działania odwetowe ani próby lub groźby zastosowania takich działań.
Za naruszenie ochrony sygnalista ma prawo do odszkodowania w wysokości nie niższej niż przeciętne miesięczne wynagrodzenie w gospodarce narodowej w poprzednim roku. Z kolei osoba podejmująca działania odwetowe podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (a nawet 3, jeśli działa w sposób uporczywy).
Zgłoszenia mają dotyczyć naruszeń prawa. Chodzi o działanie lub zaniechanie niezgodne z prawem lub mające na celu jego obejście, które dotyczą m.in.
- korupcji,
- zamówień publicznych,
- usług, produktów i rynków finansowych,
- bezpieczeństwa produktów i ich zgodności z wymogami,
- przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu,
- bezpieczeństwa transportu,
- ochrony środowiska,
- zdrowia publicznego,
- ochrony konsumentów,
- ochrony prywatności i danych osobowych,
- bezpieczeństwa sieci i systemów teleinformatycznych.
Obowiązkowo, wewnętrzne procedury, wprowadzić muszą Ci przedsiębiorcy, których zespół tworzy powyżej 50 osób (według stanu na dzień 1 stycznia lub 1 lipca danego roku). Do osób wchodzących w tą liczbę zalicza się:
- pracowników (w przeliczeniu na etaty),
- osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia.
Pozostałe podmioty mogą, a nie muszą wdrożyć dokumentacji, chyba że ustawa wprost stanowi inaczej (np. zawsze obowiązki takie mają podmioty wykonujące działalność w zakresie usług, produktów i rynków finansowych).
Każdy przedsiębiorca będzie musiał zaktualizować swoją dokumentację RODO, poprzez:
- dodanie postępowania dotyczącego sygnalistów do rejestru czynności przetwarzania (obowiązkowy rejestr z RODO),
- przygotowanie obowiązku informacyjnego dla sygnalistów.
Podmioty, które wdrożyły procedurę zgłoszeń wewnętrznych, dodatkowo muszą przygotować stosowne upoważnienia do przetwarzania danych osobowych.
Wewnętrzna procedura dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych (tzw. „procedura zgłoszeń wewnętrznych”) obejmować będzie m.in.:
- osobę lub jednostkę organizacyjną upoważnioną do przyjmowania zgłoszeń wewnętrznych;
- sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę;
- bezstronną osobę lub jednostkę organizacyjną upoważnioną do podejmowania działań następczych;
- tryb postępowania z informacjami o naruszeniach prawa, zgłoszonymi anonimowo;
- obowiązek podjęcia działań następczych.
Ponadto przedsiębiorca powinien prowadzić rejestr, w którym odnotowywać będzie wszystkie zgłoszenia wewnętrzne i działania podjęte w związku z realizacją zgłoszenia.