Unia Europejska chce zwiększenia ochrony sygnalistów

AKTUALNOŚCI AML, compliance, dyrektyra, sdzlegal, sygnaliści

16 grudnia 2019 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii („Dyrektywa”). W świetle stopniowego zyskiwania na znaczeniu procedur whistleblowingu w sektorze prywatnym i publicznym oraz braku kompleksowych regulacji w tym zakresie, stanowi ona punkt zwrotny w kwestii ochrony sygnalistów.

Celem Dyrektywy jest poprawa egzekwowania prawa i polityk Unii Europejskiej w określonych dziedzinach poprzez ustanowienie wspólnych minimalnych norm zapewniających wysoki poziom ochrony osób zgłaszających naruszenia prawa Unii. Dziedziny, w stosunku do których Unia ustanawia wspólne minimalne normy ochrony osób zgłaszających naruszenia to m.in. zamówienia publiczne, usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwo produktów i ich zgodność z wymogami, bezpieczeństwo transportu, ochrona środowiska, ochrona konsumentów, ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informacyjnych. Dyrektywa swoim zakresem przedmiotowym obejmuje również ochronę zgłaszających naruszenia mające wpływ na interesy finansowe Unii oraz dotyczące rynku wewnętrznego, w tym w naruszenia przepisów o podatku od osób prawnych oraz naruszenia unijnych zasad konkurencji i pomocy państwa.

Dyrektywa nakłada na państwa członkowskie obowiązek wdrożenia regulacji zobowiązujących określone podmioty do zapewnienia ochrony sygnalistom co najmniej na zasadach w niej opisanych. Obowiązek ustanowienia wewnętrznych procedur dokonywania zgłoszeń naruszeń objętych Dyrektywą dotyczy wszystkich podmiotów prawnych z sektora publicznego. W zakresie prywatnych podmiotów prawnych (a więc w szczególności przedsiębiorców) obowiązki określone w Dyrektywie dotyczą wyłącznie podmiotów: (i) zatrudniających co najmniej 50 pracowników lub (ii) prowadzących działalność w zakresie usług finansowych lub związaną z ryzykiem prania pieniędzy lub finansowania terroryzmu.

Głównym obowiązkiem, którego nałożenie przewiduje Dyrektywa jest ustanowienie przez wyżej wskazane podmioty kanałów i procedur na potrzeby dokonywania zgłoszeń wewnętrznych w zakresie naruszeń i podejmowania działań następczych oraz wyznaczenie osób odpowiedzialnych za ich obsługę. Dyrektywa określa ponadto szczegółowo elementy, jakie procedury te powinny obejmować i są to:

  1. kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu – muszą one umożliwiać dokonywanie zgłoszeń na piśmie lub ustnie,
  2. potwierdzenie osobie dokonującej zgłoszenia przyjęcia zgłoszenia w terminie siedmiu dni od jego otrzymania,
  3. wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do podejmowania działań następczych w związku ze zgłoszeniami,
  4. podejmowanie z zachowaniem należytej staranności działań następczych przez wyznaczoną osobę lub wyznaczony wydział,
  5. podejmowanie z zachowaniem należytej staranności działań następczych, jeżeli prawo krajowe przewiduje takie działania, w odniesieniu do zgłoszeń anonimowych,
  6. rozsądny termin na przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia,
  7. zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur na potrzeby dokonywania zgłoszeń zewnętrznych do właściwych organów zgodnie z art. 10 oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii.

Stopień szczegółowości wprowadzanych przez regulacje unijne obowiązków w zakresie procedur whistleblowingu jest więc znaczny. Oznacza to, że po implementacji Dyrektywy do przepisów krajowych przedsiębiorcy objęci zakresem przedmiotowych regulacji zobowiązani będą do wdrożenia lub zweryfikowania obowiązujących u nich procedur compliance pod kątem zgodności z nowymi zasadami i ich ewentualnego uzupełnienia lub modyfikacji.

Powyższe zyskuje na znaczeniu szczególnie w zestawieniu z regulacjami Dyrektywy nakazującymi państwom członkowskim zapewnić regularne kontrole procedur przyjmowania zgłoszeń oraz podejmowania działań następczych przez obowiązane do tego podmioty. Organy państwowe mają przeprowadzać kontrole procedur co najmniej raz na trzy lata.

Dyrektywa przewiduje również wdrożenie środków prewencyjnych w stosunku do osób utrudniających lub próbujących utrudnić zgłaszanie naruszeń, podejmujących działania odwetowe wobec osób zgłaszających, wszczynających uciążliwe postępowania przeciwko osobom zgłaszającym lub dopuszczających się naruszeń obowiązku utrzymania w tajemnicy tożsamości osób zgłaszających oraz środki ochrony sygnalistów przed działaniami odwetowymi. W ten sposób Unia chce zapewnić odpowiedni stopień bezpieczeństwa sygnalistom oraz zagwarantować bezpieczne warunki dokonywania zgłoszeń. Jednocześnie działania fałszywych sygnalistów, tj. świadomie zgłaszających nieprawdziwe informacje, mają być sankcjonowane w sposób skuteczny, proporcjonalny i odstraszający.

Polska ma czas do końca 2021 roku na wdrożenie przepisów krajowych

Zgodnie z art. 26 ust. 1 Dyrektywy, państwa członkowskie zobowiązane są wprowadzić w życie większość przepisów niezbędnych do jej wykonania do dnia 17 grudnia 2021 r. Podkreślenia wymaga również fakt, że Dyrektywa zapewnia państwom członkowskim możliwość przyjęcia regulacji korzystniejszych dla praw sygnalistów w stosunku do tych zawartych w Dyrektywie.

Kto obecnie zobowiązany jest do posiadania procedur w zakresie whistleblowingu?

Obecnie katalog podmiotów zobowiązanych przez ustawodawcę do posiadania procedur compliance w zakresie zgłaszania naruszeń jest bardzo wąski, a obowiązki te zostały wprowadzone stosunkowo niedawno. Obowiązkiem posiadania procedur objęte są bowiem wyłącznie dwie grupy podmiotów:

  • instytucje obowiązane, na mocy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu („Ustawa AML”) – od dnia wejścia w życie tej ustawy, tj. od 1 marca 2018 r.,
  • emitenci, na mocy ustawy o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych („Ustawa o Ofercie”) – od dnia wejścia w życie nowelizacji tej ustawy, tj. 30 listopada 2019 r.

Instytucje obowiązane

Art. 53 Ustawy AML, przewiduje obowiązek wdrożenia przez instytucje obowiązane wewnętrznej procedury anonimowego zgłaszania przez pracowników lub inne osoby wykonujące czynności na rzecz instytucji obowiązanej rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Ustawa AML określa ponadto szczegółowe elementy, jakie procedura ta powinna obejmować.

Za brak wprowadzenia procedur określonych w art. 53 Ustawy AML grozi kara pieniężna w wysokości do 1 miliona złotych, a w niektórych przypadkach nawet do 5 milionów złotych. Dodatkowo zastosowane mogą zostać dodatkowe kary w postaci np. cofnięcia koncesji lub zezwolenia albo wykreślenia z rejestru działalności regulowanej, zakaz pełnienia obowiązków na stanowisku kierowniczym przez osobę odpowiedzialną za naruszenie przez instytucję obowiązaną przepisów ustawy, przez okres nie dłuższy niż rok czy publikacja informacji o instytucji obowiązanej oraz zakresie naruszenia w BIP.

Emitenci papierów wartościowych

Art. 97d Ustawy o Ofercie zobowiązuje emitentów papierów wartościowych do posiadania procedur anonimowego zgłaszania przez pracowników wskazanemu członkowi zarządu, a w szczególnych przypadkach – radzie nadzorczej, naruszeń prawa, w szczególności przepisów Ustawy o Ofercie, rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/1129 w sprawie prospektu, który ma być publikowany w związku z ofertą publiczną papierów wartościowych lub dopuszczeniem ich do obrotu na rynku regulowanym oraz uchylenia dyrektywy 2003/71/WE („Rozporządzenie 2017/1129”), oraz procedur i standardów etycznych.

Art. 41 ust. 4 Rozporządzenia 2017/1129 stanowi natomiast o minimalnej treści wdrażanej procedury – zgodnie z tą regulacją procedura dotycząca zgłaszania rzeczywistych lub potencjalnych naruszeń przez pracowników ma odbywać się drogą wewnętrzną za pomocą specjalnego, niezależnego i odrębnego kanału.

Dodatkowo w tym kontekście wspomnieć należy, że w przypadku spółek notowanych na GPW w Warszawie już od października 2018 r. obowiązują „Standardy rekomendowane dla systemu zarządzania  zgodnością  w  zakresie przeciwdziałania  korupcji  oraz  systemu ochrony  sygnalistów  w  spółkach  notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie S.A.”. W Standardach tych GPW rekomenduje posiadanie i stosowanie przez spółki notowane kodeksu antykorupcyjnego oraz rozwój kultury wewnątrzorganizacyjnego sygnalizowania nieprawidłowości  przez  pracowników, w tym wdrożenie wewnętrznej procedury regulującej zasady zgłaszania informacji o propozycjach korupcyjnych i reakcji na zgłoszenia. Standardy te mają jednak charakter wyłącznie rekomendacyjny i nie wprowadzają obowiązku posiadania procedur na spółki notowane na GPW.

Projektowane zmiany

W pozostałym zakresie oraz w odniesieniu do podmiotów innych niż wymienione powyżej, nie obowiązują żadne przepisy zobowiązujące do posiadania procedur zgłaszania naruszeń. Aktualnie na etapie projektów są dwie ustawy przewidujące obowiązki w tym zakresie.

Pierwszą z nich jest ustawa o jawności życia publicznego, która w projektowanym kształcie nakładać ma na co najmniej średnich przedsiębiorców obowiązek wdrożenia i stosowania wewnętrznych  procedur  antykorupcyjnych. Brak ich stosowania lub ich ustanowienie w sposób pozorny bądź nieskuteczny ma być zagrożone karą pieniężną w wysokości od 10 000 do 10 000 000 zł.

Projekt nowej ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary wprowadza natomiast nowe przesłanki odpowiedzialności podmiotu zbiorowego za czyn zabroniony. Projekt znosi zasadę, że warunkiem odpowiedzialności podmiotu zbiorowego jest uprzednie skazanie osoby, która czyn ten popełniła. Art. 12 projektowanej ustawy stanowi natomiast m.in., że podmiot zbiorowy może zostać uznany za odpowiedzialny za czyn zabroniony i obciążony karą pieniężną do wysokości dwukrotnie zwiększonej, w przypadku gdy po otrzymaniu od pracownika tego podmiotu zgłoszenia informacji o naruszeniach mogących prowadzić do popełnienia czynu zabronionego nie zostało przeprowadzone postępowanie wyjaśniające lub naruszenia nie zostały usunięte. Jednocześnie ustawa ma nakładać na podmioty zbiorowe obowiązek zapewnienia sygnalistom ochrony co najmniej przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania. W przypadku natomiast naruszenia uprawnień pracowniczych wobec osoby zgłaszającej lub zakończenia z nią stosunku pracy, sąd na wniosek takiej osoby może orzec o przywróceniu jej do pracy lub zasądzić odszkodowanie.

Obie ustawy są obecnie na etapie projektów i wydaje się, że prace nad nimi aktualnie zostały zawieszone. Niemniej jednak, w związku z wejściem w życie Dyrektywy, w najbliższej przyszłości spodziewać się można nowych regulacji krajowych przewidujących nowe obowiązki dla przedsiębiorców w zakresie whistleblowingu. W oczekiwaniu na implementację Dyrektywy do przepisów krajowych warto podjąć wcześniejsze działania w celu weryfikacji procedur obowiązujących w przedsiębiorstwie w tym zakresie lub – w przypadku ich braku – dokonać ich wdrożenia zgodnie z wytycznymi UE.

Zespół Spółka i Prawo