Anonimowe zgłoszenia od sygnalistów – czy warto?

Anonimowe zgłoszenia od sygnalistów – czy warto dopuścić ich przesyłanie w organizacji?

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii nie nakłada obowiązku przyjmowania tego typu zgłoszeń, oddając decyzyjność rządom poszczególnych państw. Z kolei zaprezentowany 12 kwietnia br. projekt polskiej ustawy wprowadzającej przepisy unijne do porządku prawnego wskazuje, iż zgłoszenia anonimowe nie będą podlegały rygorom ustawy. Oznacza to, że w myśl przepisów mogą one pozostać bez rozpoznania, także w przypadku zgłoszeń kierowanych do Rzecznika Praw Obywatelskich. Firmy i instytucje muszą więc zdecydować: czy przyjmować także zgłoszenia anonimowe czy tylko te jawne – która z tych form będzie dla nich korzystniejsza?

Zapewnienie anonimowości sygnaliście oznacza wprowadzenie takich rozwiązań systemowych, które umożliwią przyjmowanie zgłoszeń bez konieczności podawania danych osobowych przez osobę zgłaszającą nieprawidłowości, ale jednocześnie pozwolą na zachowanie ciągłości kontaktu z osobą obsługującą zgłoszenia po stronie organizacji w celu przekazania informacji zwrotnej czy uzyskaniu dodatkowych informacji bądź dokumentów stanowiących dowody w sprawie. Warto dodać też, że kwestia ta bywa przez wiele osób mylona z ochroną poufności tożsamości sygnalisty, a są to dwie zupełnie różne sytuacje. Ochrona poufności tożsamości oznacza, iż jedynie wyznaczeni pracownicy w organizacji lub osoby odpowiedzialne za przyjmowanie zgłoszeń w ramach zewnętrznego podmiotu współpracującego w tym zakresie będą posiadały dostęp do treści zgłoszenia oraz wszelkich dokumentów uzyskanych w procesie.

Zgłoszenia jawne czy anonimowe?

Dyrektywa Parlamentu Europejskiego i Rady UE 2019/1937, między innymi w punkcie 34, mówi, iż „Bez uszczerbku dla istniejących na mocy prawa Unii obowiązków w zakresie anonimowego zgłaszania naruszeń, państwa członkowskie powinny mieć możliwość zdecydowania o tym, czy podmioty prawne w sektorze prywatnym i publicznym oraz właściwe organy mają obowiązek przyjmowania anonimowych zgłoszeń naru­szeń objętych zakresem stosowania niniejszej dyrektywy i podejmowania w związku z nimi działań następ­czych. Jednakże osoby, które dokonały anonimowego zgłoszenia lub anonimowego ujawnienia publicznego wchodzącego w zakres stosowania niniejszej dyrektywy i które spełniają warunki niniejszej dyrektywy, powinny być objęte ochroną na mocy niniejszej dyrektywy, jeżeli po dokonaniu zgłoszenia lub ujawnienia publicznego zostaną zidentyfikowane i doświadczą działań odwetowych.”

Punkt ten dość jasno wskazuje, iż prawo decydowania o formie dokonywania zgłoszeń leży po stronie krajowego ustawodawcy i niezależnie od przyjętej formy sygnalista musi mieć zapewnioną ochronę przed działaniami odwetowymi. Z kolei twórcy polskiej ustawy w najnowszym jej projekcie opublikowanym 12 kwietnia br. zrezygnowali de facto z uwzględnienia anonimowych zgłoszeń w zapisach ustawy, mimo że wersja zaprezentowana w październiku 2021 r. jeszcze takie przewidywała. Oznacza to, że de facto ani organizacje, ani Rzecznik Praw Obywatelskich nie muszą brać pod uwagę zgłoszeń anonimowych, ale jeśli zdecydują się na dopuszczenie tej formy to powinna ona zostać opisana stosowną procedurą. Krajowy ustawodawca decydując się na taki krok motywuje to przede wszystkim obawą przed napływem dużej liczby zgłoszeń przypadkowych, o niskiej wartości z perspektywy rzeczywistego przeciwdziałania naruszeniom czy trudności w uzyskaniu informacji uzupełniających od anonimowego sygnalisty. Innym argumentem jest też niemożność udowodnienia na etapie późniejszych postępowań, że osoba będąca ofiarą działań odwetowych jest rzeczywiście anonimowym informatorem objętym ochroną prawną.

Warto w tym miejscu przytoczyć wyniki badania przeprowadzonego w kwietniu 2021 roku przez ARC Rynek i Opinia na zlecenie braf.tech wśród pracowników firm objętych przepisami o ochronie sygnalistów. Dla 69 proc. respondentów głównym powodem nieinformowania o nieprawidłowościach w miejscu pracy jest obawa przed konsekwencjami służbowymi wynikającymi ze zgłoszenia – 55 proc. poniosło konsekwencje (np. zwolnienie, pominięcie przy podwyżce lub awansie, pogorszenia warunków pracy) lub słyszało o takim przypadku w swoim otoczeniu. W efekcie, aż 70 proc. badanych uważa, że kluczową cechą kanału komunikacji dla sygnalistów, która zachęci pracowników do dokonywania zgłoszeń, jest właśnie anonimowość. Można więc założyć, że niespełnienie tego oczekiwania spowoduje mniejszą efektywność systemu whistleblowingowego w firmie czy instytucji, w której został wdrożony. Pracownicy albo powstrzymają się od działania, co tylko będzie skutkowało frustracją, spadkiem motywacji i piętrzeniem się wewnętrznych problemów, albo zdecydują się na wykorzystanie kanałów zewnętrznych, np. poinformują media lub zgłoszą sytuację w instytucji państwowej odpowiednej dla danego typu spraw. Nowy projekt ustawy dopuszcza bowiem stosowanie zgłoszeń zewnętrznych niezależnie od tego, czy ścieżka wewnętrzna była wykorzystana w przeszłości a działania następcze nie przyniosły efektu czy sygnalista z obawy przed działaniami odwetowymi zdecydował się na poinformowanie od razu RPO. Konsekwencje dla takiej organizacji mogą być więc naprawdę duże.

Kto może zostać sygnalistą?

Tworząc system whistleblowingowy, należy pamiętać, że zgłaszanie nieprawidłowości, bez względu na to, czy sygnalista chce pozostać anonimowy, czy chce się podpisać pod zgłoszeniem, powinno być umożliwione pracownikom oraz osobom spoza organizacji, w szczególności tym, które prowadzą działalność na własny rachunek, akcjonariuszom, wspólnikom, wolontariuszom, stażystom, osobom pracującym pod nadzorem i kierownictwem wykonawców, podwykonawców i dostawców, a także byłym pracownikom czy kandydatom do pracy. Ostatni projekt ustawy uzupełnił listę osób objętych jej działaniem o praktykantów, pracowników tymczasowych, a także funkcjonariuszy służb porządku prawnego, m.in. Policji, ABW, CBA, SG, SOP, oraz żołnierzy zawodowych. Ochroną objęte są również osoby pomagające sygnaliście w dokonaniu zgłoszenia, osoby z nią powiązane i nie ma też wyłączenia dotyczącego sygnalisty zgłaszającego nadużycia w swoim interesie. To oznacza, że w praktyce sygnalistą może zostać praktycznie każdy.

Jak zagwarantować anonimowość sygnaliście?

Projekt ustawy dopuszcza stosowanie różnych kanałów komunikacji służących do zgłaszania nieprawidłowości – mogą mieć one formę ustną, pisemną lub elektroniczną, jednak każde zgłoszenie musi być precyzyjnie udokumentowane. W przypadku spotkań osobistych lub rozmów za pośrednictwem infolinii oznacza to konieczność rejestrowania jej przebiegu w formie nagrania lub sporządzenia tekstowego protokołu rozmowy. Jednak spośród tradycyjnie stosowanych kanałów komunikacji, takich jak infolinie, skrzynki na listy, rozmowy osobiste czy specjalne skrzynki e-mail, żaden nie jest w stanie zagwarantować pełnej anonimowości. Ponadto, w przypadku poczty elektronicznej panuje mylne przekonanie, że to idealne rozwiązanie, ponieważ jest tanie, proste i łatwe we wdrożeniu, a potem w użyciu. To błąd, bowiem wiadomość pochodząca ze skrzynki e-mail zawiera metadane, które mogą wskazać nawet lokalizację osoby zgłaszającej. Innym rozwiązaniem stosowanym do tego celu są specjalnie zaprojektowane aplikacje informatyczne, które dają możliwość składania zgłoszeń, zarówno anonimowych, jak i jawnych, chociaż i one muszą spełnić kilka założeń. Przede wszystkim wykluczona jest konieczność podawania jakichkolwiek danych osobowych w zgłoszeniu. Druga kwestia to zapewnienie ciągłości komunikacji z sygnalistą w celu potwierdzenia przyjęcia zgłoszenia i przekazania informacji o statusie sprawy (co jest wymagane w ramach dyrektywy i projektu ustawy), albo przekazania dodatkowych dokumentów. Aby zapewnić te funkcjonalności przy zachowaniu anonimowości, należy wykluczyć zakładanie konta użytkownika (sygnalisty) na rzecz np. automatycznie generowanych indywidualnych identyfikatorów w aplikacji. Kolejną sprawą jest kwestia przesyłania załączników. Dobrze zaprojektowana aplikacja powinna automatycznie kasować wszelkie metadane zapisane w plikach tekstowych, pdf czy zdjęciowych albo graficznych, czyli dane autora, komputera i oprogramowania użytego do ich tworzenia lub obróbki.

Podsumowanie

Jak już wiadomo, polska ustawa nie obejmuje zgłoszeń anonimowych od sygnalistów, ale też nie zabrania ich stosowania w procedurach wewnętrznych. Biorąc pod uwagę nasze doświadczenie w projektowaniu rozwiązań wspierających procesy compliance, w tym systemów do whistlebowingu, ale i na podstawie dobrych praktyk największych korporacji, sugerujemy, aby dopuścić możliwość składania zarówno zgłoszeń jawnych, jak i anonimowych, a ostateczny wybór pozostawić sygnaliście. W ten sposób niwelujemy wewnętrzną barierę u osób chcących dokonać zgłoszenie i nasz system będzie miał szansę funkcjonować naprawdę efektywnie. W interesie każdej organizacji działającej w dobrej wierze jest przecież, by zgłoszenia były dokonywane wewnętrznie a także na wczesnym etapie, kiedy ryzyka dla organizacji i osób w niej pracujących są małe. System whistleblowingowy to w istocie narzędzie wspierające budowanie zaufania wobec firmy, ale i ograniczanie ryzyka utraty reputacji czy kar finansowych. Stworzenie idealnego systemu to jednak dopiero początek – najważniejsza kwestia to właśnie przekonanie jego późniejszych użytkowników, że warto mówić o problemach i… podejmować wszelkie działania, by je rozwiązywać.