Komentarz do projektu ustawy o ochronie osób zgłaszających naruszenia prawa

 

 

Wreszcie nadszedł ten dzień – 19 października 2021 roku, nieco mniej niż dwa miesiące przed terminem na wdrożenie przepisu implementującego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Wydaje się, że pozostały czas jest wystarczający do zakończenia procesu legislacyjnego, jednakże można oczekiwać, że organizacje i instytucje zaproszone do zgłaszania uwag wniosą ich sporo i to nie tylko o charakterze technicznym czy redakcyjnym.

Gdzie jest sygnalista?

Zaczynając od początku – gdzie są sygnaliści? Otóż nie ma – w ustawie nie użyto tego sformułowania (które pojawiło się w samym tłumaczeniu dyrektywy, jak również jest przyjęte przez praktyków tego zagadnienia). Dosyć interesujący jest także brak definicji osoby zgłaszającej naruszenia prawa w art. 2 (Art. 2. Ilekroć w ustawie jest mowa o) gdzie definiuje się na przykład kim jest „osoba pomagająca w dokonaniu zgłoszenia”. Definicja samego sygnalisty może mieć znaczenie z punktu widzenia ewentualnych motywów jakie mają kierować tym człowiekiem – czy oczekuje się działania w dobrej wierze „obywatela zaniepokojonego naruszeniem dobra publicznego” czy też jego intencje są całkowicie bez znaczenia. Dyrektywa wskazuje iż „osoba dokonująca zgłoszenia” oznacza osobę fizyczną, która zgłasza lub ujawnia publicznie informacje na temat naruszeń uzyskane w kontekście związanym z wykonywaną przez nią pracą.

 

Zakres

Co do zakresu stosowania Ustawy nie ma zaskoczeń, mamy to powielenie niemal dosłowne treści dyrektywy, w porównaniu do opublikowanych wcześniej założeń wyodrębniono do osobnego punktu obszar naruszeń  „bezpieczeństwa sieci i systemów teleinformatycznych”, co może mieć duże znaczenie w kontekście Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa oraz Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych – może zapisy KRI dotyczące Systemu Zarządzania Bezpieczeństwem Informacji wreszcie  staną się w pełni wymagalne?

Projekt zakłada możliwość poszerzenia zakresu „Pracodawca może dodatkowo ustanowić zgłaszanie w zakładzie pracy innych naruszeń niż naruszenia, o których mowa w ust. 1, w tym dotyczących obowiązujących u tego pracodawcy regulacji wewnętrznych lub standardów etycznych” jednakże nie wskazuje jednoznacznie czy zgłoszenie dotyczące np. naruszenia zasad etyki będą objęte ochroną przewidzianą dla zgłoszeń obszarów wskazanych wprost. Może to rodzić konkretne, negatywne konsekwencje zarówno dla pracodawcy jak i zgłaszającego.

 

Skargi

W trakcie jednego ze spotkań z samorządowcami które prowadziłem padło pytanie o podobieństwo do skarg – projekt odnosi się do tej kwestii (Art. 5.2 Przepisów ustawy nie stosuje się, jeżeli informacja o naruszeniu prawa została zgłoszona na postawie przepisów odrębnych, w szczególności jako skarga lub zawiadomienie o możliwości popełnienia przestępstwa). Rodzi się tu uzasadnione pytanie jak rozróżnić czy otrzymana informacja jest zgłoszeniem w trybie ustawy czy skargą – ich forma i treść są przecież zbliżone, a konsekwencje ewentualnych uchybień (patrz część o odpowiedzialności karnej) jest znaczna. Niewłaściwe zakwalifikowanie zgłoszenia jako skargi spowoduje nie „przepracowanie” informacji w trybie ustawy co może być fatalne w skutkach. Pewną podpowiedzią miał być zapewne zapis Art. 5.3 „Przepisów ustawy nie stosuje się, jeżeli naruszenie prawa godzi wyłącznie w prawa zgłaszającego lub zgłoszenie naruszenia prawa następuje wyłącznie w indywidualnym interesie zgłaszającego” ale konia z rzędem temu kto w zetknięciu z naruszeniem prawa ma świadomość czy dotyczy to tylko jego czy także innych, sam rozpatrujący zgłoszenie też przecież, na początku postępowania nie będzie miał wiedzy o skali ewentualnych nieprawidłowości. A wskazanie, iż sygnalista nie może działać w swoim jedynie interesie może oznaczać, że ma działać dla dobra publicznego, jednakże może zdarzyć się sytuacja kiedy dobro publiczne lub prawa fundamentalne są łamane „jedynie” jednostkowo – na przykład w skutek osobistych animozji urzędnika do usługodawcy czy w przypadku tortur lub nadużycia władzy przez organy odpowiedzialne za porządek publiczny.

 

Wyłączenie skruszonych

W projekcie zapisano zaniechanie stosowanie ustawy „do sprawcy naruszenia prawa jeżeli na podstawie przepisów prawa osoba ta korzysta ze zwolnienia z odpowiedzialności lub złagodzenia kary w związku ze swoim zachowaniem po popełnieniu naruszenia prawa, w szczególności dobrowolnym ujawnieniem naruszenia prawa lub współpracą z organami ścigania lub innymi właściwymi organami”. Oznacza to, iż jeżeli sprawca naruszenia był sygnalistą a jednocześnie w ramach następującego po ujawnieniu naruszeń postępowania np. karnego poprzez współpracę z organami ścigania uzyskał złagodzenie kary przepisu nie stosuje się. Z drugiej strony ten sam sprawca, który nie ma zapewnionego zwolnienia z odpowiedzialności lub złagodzenia kary podlega ochronie. Ustawodawca miał być może inne intencje, widać, że analizowano sytuacje kiedy sam sprawca dokona zgłoszenia.

 

Ochrona tylko w przypadku naruszeń prawa?

Zapis Art. 6. Zgłaszający podlega ochronie określonej w przepisach  rozdziału 2, pod warunkiem że miał uzasadnione podstawy sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja o naruszeniu prawa jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa  - wskazanie „informacji o naruszeniu prawa” wyklucza ochronę dotyczącą opisanych wcześniej naruszeń „Pracodawca może dodatkowo ustanowić zgłaszanie w zakładzie pracy innych naruszeń niż naruszenia, o których mowa w ust. 1, w tym dotyczących obowiązujących u tego pracodawcy regulacji wewnętrznych lub standardów etycznych” nie dotyczących prawa powszechnego.

 

Anonimy

Bardzo wiele emocji towarzyszyło domniemaniom w zakresie uznania lub nie obowiązku rozpatrywania zgłoszeń anonimowych – tu wskazano jasno (Art. 7.1):

Przepisy ustawy stosuje się do zgłoszenia informacji o naruszeniu prawa anonimowo, wyłącznie w przypadkach gdy możliwość zgłoszenia informacji o naruszeniu prawa anonimowo przewiduje:

1)           regulamin zgłoszeń wewnętrznych, stosowany przez pracodawcę, określający wewnętrzną procedurę zgłaszania naruszeń prawa lub

2)           procedura zgłaszania naruszeń prawa organowi publicznemu.

Czyli pozostawiono w tym zakresie wolną rękę pracodawcom, ale także – co ciekawe organowi publicznemu – który przecież rozpatrywać będzie informacje dotyczące innych podmiotów. Jest to dosyć dziwne i ciężko wyobrazić sobie sytuację, że Prezes Urzędu Zamówień Publicznych będzie rozpatrywał „anonimy” a Prezes Urzędu Ochrony Danych Osobowych już nie – bo to będą najpewniej organy publiczne odpowiedziane za zgłoszenia zewnętrzne odpowiednio w zakresie zamówień publicznych oraz ochrony danych osobowych. Co do ochrony danych osobowych – to zgodnie z wykładnią unijnego regulatora w tym zakresie „Pracodawca, organ publiczny lub organ centralny, po otrzymaniu zgłoszenia, może w celu weryfikacji zgłoszenia oraz podjęcia działań następczych zbierać i przetwarzać dane osobowe osoby, której dotyczy zgłoszenie, nawet bez jej zgody” – co jest oczywiste i logiczne. Tak czy inaczej jednakże osoba ta powinna taką informację pozyskać (na przykład po zebraniu najistotniejszych informacji), poza danymi samego sygnalisty rzecz jasna.

 

Spory z pracodawcą

Zgodnie z założeniami ujawnionymi wcześniej w ewentualnych sporach pomiędzy pracownikiem - sygnalistą a pracodawcą to na tym drugim spoczywać będzie ciężar dowodu w zakresie wykazania się zgodnością z wymogami ustawy tj. brakiem niekorzystnego traktowania z powodu dokonania zgłoszenia lub ujawnienia publicznego (Art. 11. Za niekorzystne traktowanie, o którym mowa w ust. 1, uważa się w szczególności (…) – chyba że pracodawca udowodni, że kierował się obiektywnymi powodami.). A sam katalog działań mogących być uznane za niekorzystne traktowanie określono jako:

1.      odmowę nawiązania stosunku pracy, 

2.      wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy,

3.      niezawarcie umowy o pracę na czas określony po rozwiązaniu umowy o pracę na okres próbny, niezawarcie kolejnej umowy o pracę na czas określony lub niezawarcie umowy o pracę na czas nieokreślony, po rozwiązaniu umowy o pracę na czas określony – w sytuacji gdy pracownik miał uzasadnione oczekiwanie, że zostanie z nim zawarta taka umowa,

4.      obniżenie wynagrodzenia za pracę,

5.      wstrzymanie awansu albo pominięcie przy awansowaniu,

6.      pominięcie przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą,

7.      przeniesienie pracownika na niższe stanowisko pracy,

8.      zawieszenie w wykonywaniu obowiązków pracowniczych lub służbowych,

9.      przekazanie innemu pracownikowi dotychczasowych obowiązków pracowniczych,

10.   niekorzystną zmianę miejsca wykonywania pracy lub rozkładu czasu pracy,

11.   negatywną ocenę wyników pracy lub negatywną opinię o pracy,

12.   nałożenie lub zastosowanie środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze,

13.   wstrzymanie udziału lub pominięcie przy typowaniu do udziału w szkoleniach podnoszących kwalifikacje zawodowe,

14.   nieuzasadnione skierowanie na badanie lekarskie, w tym badania psychiatryczne, o ile przepisy odrębne przewidują możliwość skierowania pracownika na takie badanie,

15.   działanie zmierzające do utrudnienia znalezienia w przyszłości zatrudnienia w danym sektorze lub branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego,

przy czym nie jest to katalog zamknięty.

 

Które firmy / jednostki

W Art. 27. 1.  Wskazano, iż obowiązki określone w przepisach niniejszego rozdziału stosuje się do pracodawcy zatrudniającego co najmniej 50 pracowników. Termin „pracodawca” dotyczy wobec tego zarówno podmioty sektora prywatnego jak i publicznego. To wyłączenie nie dotyczy pracodawców wykonujących działalność w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, którzy są zobowiązani bez względu na liczbę pracowników. Nie wyłączono samorządów ze względu na liczbę mieszkańców.

 

Wymogi bezpieczeństwa

Zarówno Dyrektywa, jak i Ustawa kładzie szczególny nacisk na kwestie poufności – ma to odzwierciedlenie w Art. 30. 1. Organizacja przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz związanego z tym przetwarzania danych osobowych uniemożliwia uzyskanie dostępu do informacji objętej zgłoszeniem nieupoważnionym osobom oraz zapewnia ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby, której dotyczy zgłoszenie. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób. Oby zapis ten spowodował zainteresowanie wzmocnieniem systemów bezpieczeństwa informacji i to zarówno w formie danych elektronicznych jak i informacji papierowych, trzeba bowiem być w gotowości do przyjmowania i rozpatrywania zgłoszeń w każdej postaci.

 

Usługodawcy zewnętrzni

Wiele podmiotów prywatnych przygotowuje się do usługowego (jako działalność biznesową) wsparcia firm i instytucji w obsłudze procesu przyjmowania i rozpatrywania informacji. Ustawodawca przewiduje taką możliwość dając temu upust w treści Art. 32. 1. - upoważnienie podmiotu, o którym mowa w art. 29 ust. 1 pkt 1 i 4, innego niż pracownik lub wewnętrzna jednostka organizacyjna pracodawcy wymaga zawarcia umowy, w której pracodawca powierza wykonywanie czynności wymienionych w niniejszym rozdziale z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą.

 

Wspólne kanały zgłoszeń

Podobnie jak i w przypadku RODO dopuszcza się wspólną obsługę zgłoszeń – mogą to robić średni przedsiębiorcy  - Art. 33. 1. pracodawcy w sektorze prywatnym, którzy zatrudniają co najmniej 50, lecz nie więcej niż 249 pracowników, mogą na podstawie umowy dzielić się zasobami w zakresie przyjmowania i weryfikacji zgłoszeń oraz podejmowania działań następczych, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą, zaś w sektorze publicznym pracodawcy w sektorze publicznym, będący jednostkami organizacyjnymi gminy, mogą ustalić wspólne, wewnętrzne procedury zgłaszania naruszeń prawa i podejmowania działań następczych, pod warunkiem zapewnienia ich odrębności i niezależności od zewnętrznych procedur dokonywania zgłoszeń, z czego wynika, iż powiaty nie mogą wedle projektu współdzielić kanałów.

 

Organy odpowiedzialne za zgłoszenia zewnętrzne

Jak wiemy z treści Dyrektywy zgłoszenia dzielimy na wewnętrzne, zewnętrzne i publiczne. Zgłoszenia zewnętrzne obsługiwane mają być przez organ centralny oraz organy publiczne. Ustawa wskazuje -  Art. 36. 1. Organem centralnym jest Rzecznik Praw Obywatelskich.

2. Organem publicznym przyjmującym zgłoszenia w zakresie zasad konkurencji i ochrony konsumentów jest Prezes Urzędu Ochrony Konkurencji i Konsumentów.

3. Organami publicznymi są także inne organy przyjmujące zgłoszenia zewnętrzne dotyczące naruszeń w dziedzinach należących do zakresu działania tych organów.

Dziwi wskazanie jako organu publicznego jedynie Prezesa UOKiK, skoro lektura zakresu stosowania przedmiotowego ustawy sama nasuwa pozostałe – Prezes Urzędu Zamówień Publicznych w kresie zamówień czy Prezes Urzędu Ochrony Danych Osobowych w zakresie tychże.

 

Anonimowość zgłoszeń zewnętrznych

W zakresie anonimowości projekt jest niespójny - Art. 7. 1. Przepisy ustawy stosuje się do zgłoszenia informacji o naruszeniu prawa anonimowo, wyłącznie w przypadkach gdy możliwość zgłoszenia informacji o naruszeniu prawa anonimowo przewiduje (…) procedura zgłaszania naruszeń prawa organowi publicznemu czyli dowolność a Art. 42. 1. Zgłoszenia zewnętrzne mogą być anonimowe lub umożliwiające identyfikację zgłaszającego wskazuje, że zgłoszenia anonimowe trzeba rozpatrywać. Możliwość zgłaszania anonimowego do instytucji wyznaczonej (zgłoszenie zewnętrzne) będzie zapewne na tyle kusząca, że potencjalni sygnaliści nie będą mieli chęci ani interesu w korzystaniu z wewnętrznych kanałów zgłoszeniowych.

 

Powtórzenie zgłoszenia

Znana z KPA możliwość odstąpienia od rozpatrywania skargi jeżeli została ona już wcześniej rozpatrzona negatywnie (Art. 239. § 1. W przypadku gdy skarga, w wyniku jej rozpatrzenia, została uznana za bezzasadną i jej bezzasadność wykazano w odpowiedzi na skargę, a skarżący ponowił skargę bez wskazania nowych okoliczności – organ właściwy do jej rozpatrzenia może podtrzymać swoje poprzednie stanowisko z odpowiednią adnotacją w aktach sprawy – bez zawiadamiania skarżącego) znajduje odzwierciedlenie w zapisach ustawy, ale tylko w stosunku do zgłoszeń zewnętrznych - Art. 48. 1. Organ publiczny nie podejmuje działań następczych w przypadku, gdy w zgłoszeniu zewnętrznym dotyczącym sprawy będącej już przedmiotem wcześniejszego zgłoszenia nie zawarto istotnych nowych informacji na temat naruszeń w porównaniu z wcześniejszym zgłoszeniem zewnętrznym. Brak takiego trybu dla zgłoszeń wewnętrznych jest, miejmy nadzieję, jedynie przeoczeniem i zostanie to w samej ustawie właściwej uzupełnione.

Ujawienie publiczne

Ustawa przewiduje przesłanki skorzystania z instytucji ujawnienia publicznego-  Art. 52. Zgłaszający dokonujący ujawnienia publicznego podlega ochronie, jeżeli:

1)           dokona zgłoszenia wewnętrznego, a następnie zgłoszenia zewnętrznego i w terminie na przekazanie informacji zwrotnej ustalonym w regulaminie zgłoszeń wewnętrznych, następnie zaś w terminie na przekazanie informacji zwrotnej ustalonym w procedurze zgłaszania naruszeń prawa organowi publicznemu pracodawca, a następnie organ publiczny nie podejmą odpowiednich działań następczych lub nie przekażą zgłaszającemu informacji zwrotnej, dodatkowo Art. 53. 1. Przy ocenie czy działanie następcze jest odpowiednie uwzględnia się w szczególności czynności podjęte w celu zweryfikowania informacji o naruszeniu. Trudno wyobrazić sobie, że sygnalista będzie miał wiedzę w zakresie tego czy pracodawca podjął właściwe czynności prowadząc postępowanie wyjaśniające. Takiego rozstrzygnięcia może oczywiście dokonać organ centralny lub publiczny, ale przecież zgłaszający nie ma możliwości wnioskowania o wszczęcie takiej procedury – może on po prostu przekazać zgłoszenie, w wyniku którego nie otrzyma takich rozstrzygnięć.

Projektowany przepis przewiduje przesłanki kiedy potencjalny sygnalista może skorzystać z instytucji ujawnienia publicznego z pominięciem zgłoszeń wewnętrznego lub zewnętrznego. Są to:

1.      naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, w szczególności istnieje ryzyko nieodwracalnej szkody, lub

2.      dokonanie zgłoszenia zewnętrznego narazi zgłaszającego na działania odwetowe, lub

3.      w przypadku dokonania zgłoszenia zewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania naruszeniu z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów lub możliwość istnienia zmowy między organem publicznym a sprawcą naruszenia lub udziału organu publicznego w naruszeniu.

 

Są to przesłanki trudne do oceny w sytuacji posiadania szczątkowych danych lub jedynie podejrzeń. W związku z tym sygnalista ponosi spore ryzyko dokonując od razu zgłoszenia publicznego.

Kary kary kary

Użycie tego groźnego słowa aż trzy razy nie było przypadkiem. Ustawa przewiduje dość radykalne sankcje za uchybienia w niej opisane. Taką samą karą (grzywna, karze ograniczenia wolności albo pozbawienia wolności do lat 3) sankcjonuje się:

- podejmowanie działań odwetowych wobec osoby, która dokonała zgłoszenia lub ujawnienia publicznego,

- naruszenie obowiązku zachowania poufności tożsamości osoby, która dokonała zgłoszenia,

- nie ustanowienie wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych albo ustanowiona przez niego procedura narusza art. 29 ust. 1

Ale uwaga – przewidziano także kary dla „drugiej strony” - kto dokonał zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Jak to się ma do zapisu: należy przez to rozumieć informację, w tym uzasadnione podejrzenie, dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie (…) oraz zapisu zgłaszający podlega ochronie określonej w przepisach  rozdziału 2, pod warunkiem że miał uzasadnione podstawy sądzić, że będąca przedmiotem zgłoszenia lub ujawnienia publicznego informacja o naruszeniu prawa jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że informacja taka stanowi informację o naruszeniu prawa. Uzasadnione podejrzenie może okazać się nieprawdziwą informacją, zgłaszający mógł mieć uzasadnione podstawy sądzić, że informacja była prawdziwa ale w rzeczywistości okaże się fałszywa.

Czeka nas ciekawy i pracowity grudzień.