12 kwietnia br. został opublikowany projekt polskiej ustawy wprowadzającej przepisy Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii do krajowego porządku prawnego. Jej zapisy wskazują, że zgłoszenia anonimowe od sygnalistów nie będą podlegały rygorom ustawy i mogą nie być rozpatrywane przez organizacje czy Rzecznika Praw Obywatelskich. Projekt ustawy oczywiście tego nie zabrania, więc firmy i instytucję mogą podjąć decyzję czy przyjmować także zgłoszenia anonimowe czy tylko te jawne.
Wspomniana Dyrektywa UE dopuszcza możliwość przyjmowania i rozpatrywania zgłoszeń anonimowych przez podmioty publiczne i prywatne, ale nie jest to warunek obligatoryjny dla krajowych ustawodawców. Jednakże, twórcy polskiej ustawy w najnowszym jej projekcie opublikowanym 12 kwietnia br. zrezygnowali de facto z uwzględnienia anonimowych zgłoszeń w zapisach ustawy, co wzbudziło niemałe kontrowersje w środowisku ekspertów zajmujących się kwestiami compliance czy organizacji prawniczych i pozarządowych. Jest to o tyle dziwne, iż pierwotna wersja ustawy zaprezentowana w październiku 2021 r. dawała możliwość samodzielnego decydowania przez każdą organizację w kwestii dopuszczenia anonimowego raportowania. Nowy zapis oznacza, że de facto ani organizacje, ani Rzecznik Praw Obywatelskich nie muszą brać pod uwagę informacji anonimowych, ale jeśli zdecydują się na dopuszczenie tej formy to powinna one zostać opisane stosowną procedurą.
W wyjaśnieniu do projektu ustawy polski ustawodawca motywuje to przede wszystkim obawą przed napływem dużej liczby zgłoszeń przypadkowych, o niskiej wartości z perspektywy rzeczywistego przeciwdziałania naruszeniom czy trudności w uzyskaniu informacji uzupełniających od anonimowego sygnalisty. Innym argumentem jest też niemożność udowodnienia na etapie późniejszych postępowań, że osoba będąca ofiarą działań odwetowych jest rzeczywiście anonimowym informatorem objętym ochroną prawną.
Jak już wcześniej informowaliśmy przy okazji badania ARC Rynek i Opinia, zleconego przez braf.tech, 69 proc. pracowników firm objętych przepisami dyrektywy, obawia się konsekwencji służbowych wynikającymi ze zgłoszenia i aż 55 proc. poniosło konsekwencje (np. zwolnienie, pominięcie przy podwyżce lub awansie, pogorszenia warunków pracy) lub słyszało o takim przypadku w swoim otoczeniu. W efekcie, aż 70 proc. badanych uważa, że kluczową cechą kanału komunikacji dla sygnalistów, która zachęci pracowników do dokonywania zgłoszeń, jest właśnie anonimowość. Można więc założyć, że niespełnienie tego oczekiwania spowoduje mniejszą efektywność systemu whistleblowingowego w firmie czy instytucji, w której został wdrożony, bo pracownicy powstrzymają się od działania lub zdecydują się na skorzystanie z kanałów zewnętrznych – poinformują media lub RBO, albo inne organy państwowe. Będzie to możliwe, bo nowy projekt ustawy dopuszcza stosowanie zgłoszeń zewnętrznych niezależnie od tego, czy ścieżka wewnętrzna była już wcześniej wykorzystana Konsekwencje dla takiej organizacji mogą być więc naprawdę duże.
Warto też wziąć pod uwagę, że sygnalistą może być prawie każdy – już wcześniej katalog osób objętych ochroną był obszerny i zawierał pracowników, współpracowników, podwykonawców, dostawców. Projekt z 12 kwietnia br. uzupełnił listę również o praktykantów, pracowników tymczasowych, ale też funkcjonariuszy służb porządku prawnego (m.in. Policja, ABW, SOW, SGA czy CBA) oraz żołnierzy zawodowych.
Ciekawym aspektem z punktu widzenia zgłoszeń anonimowych są również kanały komunikacji dla sygnalistów dopuszczone w ramach ustawy. Zgłoszenia o nieprawidłowościach mogą mieć formę ustną, pisemną lub elektroniczną, jednak każde zgłoszenie musi być precyzyjnie udokumentowane. W przypadku spotkań osobistych lub rozmów za pośrednictwem infolinii oznacza to konieczność rejestrowania jej przebiegu w formie nagrania lub sporządzenia tekstowego protokołu rozmowy. Jednak spośród tradycyjnie stosowanych kanałów komunikacji, takich jak infolinie, skrzynki na listy, rozmowy osobiste czy specjalne skrzynki e-mail, żaden nie jest w stanie zagwarantować pełnej anonimowości.
Jedyną, w pełni bezpieczną formę stanowią specjalne aplikacje komputerowe, które minimalizują możliwość wyśledzenia i rozpoznania osoby sygnalisty, przy jednoczesnym zapewnieniu wymogu dwustronnej komunikacji w celu przekazania informacji zwrotnej, statusu sprawy czy odbioru dodatkowych dokumentów dowodowych. Oczywiście taka aplikacja, by zapewniała anonimowość, musi być odpowiednio zaprojektowana w zgodzie ze standardami, dobrymi praktykami czy aspektami prawnymi, czyli m.in. kasować metadane załączników, nie wymagać tworzenia konta na rzecz automatycznie generowanych identyfikatorów, czy nie posiadać jakichkolwiek mechanizmów śledzących.
Jak więc powinna postąpić organizacja? Na podstawie naszego doświadczenia w projektowaniu rozwiązań wspierających procesy compliance, ale i biorąc pod uwagę dobre praktyki największych korporacji, sugerujemy, aby dopuścić możliwość składania zarówno zgłoszeń jawnych, jak i anonimowych. W interesie każdej organizacji działającej w dobrej wierze jest przecież, by zgłoszenia były dokonywane wewnętrznie a także na wczesnym etapie, kiedy ryzyka dla organizacji i osób w niej pracujących są małe. System whistleblowingowy to w istocie narzędzie wspierające budowanie zaufania wobec firmy, ale i ograniczanie ryzyka utraty reputacji czy kar finansowych.