W dniu 17 kwietnia 2024 roku Rada Ministrów skierowała do Sejmu rządowy projekt ustawy o ochronie sygnalistów, któremu nadano numer druku sejmowego 317. 24 kwietnia 2024 roku skierowano projekt ustawy do I czytania w Komisji Polityki Społecznej i Rodziny, a terminem przedstawienia sprawozdania w sprawie projektowanej ustawy jest 20 maja 2024 roku.

We wcześniejszych etapach prac projekt ustawy nosił tytuł „projekt ustawy o ochronie osób zgłaszających naruszenia prawa”. W toku konsultacji społecznych i w wyniku zgłoszeń organizacji pozarządowych uproszczono jednak tytuł, który aktualnie brzmi „projekt ustawy o ochronie sygnalistów”. Ustawa wdraża Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, z której implementacją Polska zwleka już od ponad dwóch lat. Terminem wdrożenia tej dyrektywy do polskiego porządku prawnego była bowiem data 17 grudnia 2021 r.

Ustawa reguluje warunki objęcia ochroną oraz środki ochrony osób zgłaszających lub publicznie ujawniających informacje o naruszeniach prawa (tytułowych sygnalistów), jak również zasady ustalania wewnętrznej procedury zgłaszania informacji o naruszeniach prawa i podejmowania działań następczych. Nowe regulacje obejmują także:

  • zasady zgłaszania informacji o naruszeniach prawa organowi publicznemu,
  • zasady publicznego ujawnienia informacji o naruszeniach prawa,
  • zadania Rzecznika Praw Obywatelskich związane ze zgłaszaniem informacji o naruszeniach prawa oraz
  • zadania organów publicznych związane ze zgłaszaniem informacji o naruszeniach prawa i z podejmowaniem działań następczych.

Ustawa stanowić będzie zatem istotny kierunkowskaz dla compliance przedsiębiorstw, który wywrze duży wpływ na kształt regulacji wewnętrznych w organizacjach podlegających omawianym przepisom. Ustawą zostaną objęte m.in. podmioty działające na rynku produktów i usług finansowych (w tym banki, dostawcy usług płatniczych, zakłady ubezpieczeń, firmy inwestycyjne) oraz te działające w obszarze przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (AML/CFT).

Zgodnie z ostatecznym brzmieniem projektu, przepisy Rozdziału 4 ustawy, który dotyczy zgłoszeń zewnętrznych (art. 30 – art. 50), mają obowiązywać po 6 miesiącach od dnia ogłoszenia ustawy w Dzienniku Ustaw, podczas gdy pozostałe przepisy mają wejść w życie już po 3 miesiącach od dnia ogłoszenia.

Zmiany w projekcie ustawy o ochronie sygnalistów – wersja przyjęta przez Radę Ministrów

Wersja projektu przyjęta ostatecznie przez Radę Ministrów wprowadziła zmiany względem poprzednich wersji procedowanego aktu prawnego. Do istotnych zmian należy zaliczyć:

  • zmianę katalogu naruszeń prawa podlegających ustawie – ostatecznie dokonano m.in. wykreślenia „handlu ludźmi”;
  • zmianę katalogu osób wchodzących w ustawową definicję „sygnalisty” – wedle brzmienia projektu ustawy, przyjętego przez Radę Ministrów, sygnalistą może być również prokurent;
  • kwestię odszkodowania w przypadku działań odwetowych – sygnalista w przypadku zastosowanych wobec niego działań odwetowych będzie mógł ubiegać się o odszkodowanie w wysokości nie niższej niż przeciętne miesięczne wynagrodzenie w gospodarce narodowej w poprzednim roku (wcześniejsza wersja projektu przewidywała odszkodowanie w wysokości nie niższej niż 12-krotność miesięcznego wynagrodzenia w gospodarce narodowej w poprzednim roku);
  • doprecyzowanie, zgodnie z którym osoba, która poniosła szkodę z powodu świadomego zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji przez sygnalistę, będzie miała prawo do odszkodowania lub zadośćuczynienia za naruszenie dóbr osobistych od sygnalisty, który dokonał takiego zgłoszenia lub ujawnienia publicznego;
  • przypadek, w którym zgłoszenie dotyczy naruszenia prawa w dziedzinie konstytucyjnych wolności i praw człowieka i obywatela występujących w stosunkach jednostki z organami władzy publicznej, niezwiązanych z pozostałymi naruszeniami prawa w rozumieniu ustawy o ochronie sygnalistów – Rzecznik Praw Obywatelskich ma być jedynym właściwym organem przyjmującym i rozpatrującym zgłoszenia zewnętrzne w tym zakresie;
  • rozstrzyganie sporu między organami publicznymi o właściwość w zakresie rozpatrzenia zgłoszenia zewnętrznego lub podjęcia działań następczych będzie następować zgodnie z przepisami Kodeksu postępowania administracyjnego (poprzednia wersja projektu przewidywała kompetencję Rzecznika Praw Obywatelskich w tym zakresie).

Zakres podmiotowy i obowiązki sektora finansowego

Co do zasady, przepisy dotyczące zgłoszeń wewnętrznych – a zatem również obowiązek wprowadzenia wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych – mają być egzekwowane wobec podmiotów spełniających przede wszystkim wymogi ilościowe w kwestii zatrudnienia. Nowa ustawą ma być objęty podmiot, na rzecz którego, według stanu na dzień 1 stycznia lub 1 lipca danego roku, pracę zarobkową wykonuje co najmniej 50 osób, do których należy wliczyć:

  • pracowników w przeliczeniu na pełne etaty lub
  • osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia.

Zgodnie z brzmieniem projektu ustawy o ochronie sygnalistów, próg 50 osób, o którym mowa powyżej, nie znajdzie jednak zastosowania do podmiotu wykonującego działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska. Reprezentanci tej grupy pomiotów – niezależnie od wielkości zatrudnienia – będą zatem zmuszeni do wdrożenia odpowiednich rozwiązań organizacyjnych, aby uczynić zadość wymogom stawianym przez projektowane przepisy.

Podmioty, które zostaną objęte zakresem regulacji, będą przede wszystkim zobowiązane do ustalenia wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych. Nie powinno to stanowić jednak całkowitego novum dla większości podmiotów z branży finansowej z uwagi na chociażby objęcie instytucji obowiązanych koniecznością posiadania wdrożonej procedury anonimowego zgłaszania naruszeń przepisów z zakresu AML/CFT. Trzeba będzie jednak dostosować wewnętrzne procedury do nowych wymogów zgodnie z przepisami ustawy o ochronie sygnalistów.

Wybrane wymogi związane z przetwarzaniem danych osobowych

Rozwiązania wprowadzane ustawą o ochronie sygnalistów nie pozostaną bez wpływu na kwestię przetwarzania danych osobowych. Podmioty podlegające ustawie o ochronie sygnalistów będą musiały bowiem zagwarantować, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych będą uniemożliwiać nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem, a także zapewnią ochronę poufności tożsamości: sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczyć będzie informacji, na podstawie których będzie można bezpośrednio lub pośrednio zidentyfikować tożsamość wskazanej kategorii osób.

Warto wskazać również, że procedura dokonywania zgłoszeń naruszeń prawa ma określać podmiot zewnętrzny, który został upoważniony do przyjmowania zgłoszeń wewnętrznych przez podmiot zobowiązany do posiadania takiej procedury. Powyższe dotyczy oczywiście sytuacji, w której taki podmiot w ogóle wyznaczono. Upoważnienie takiego podmiotu zewnętrznego wymaga przy tym zawarcia umowy w celu powierzenia obsługi: przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania informacji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań technicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą.

Taka umowa ma również określać szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z przetwarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 RODO[1]. Ustanawia on wymogi prawidłowego powierzenia przetwarzania danych osobowych, w tym obowiązek dochowania odpowiedniej formy powierzenia przetwarzania danych osobowych, czyli umowy.

Podmioty objęte zakresem omawianych regulacji będą ponadto zobowiązane do prowadzenia rejestru zgłoszeń wewnętrznych. Administratorem danych osobowych zgromadzonych w takim rejestrze zostanie podmiot prowadzący rejestr (w zakresie zgłoszeń zewnętrznych administratorami danych osobowych będą zaś Rzecznik Praw Obywatelskich oraz organ publiczny, do którego skierowano zgłoszenie).

W kwestii retencji danych należy wskazać, że zgodnie z aktualnym brzmienie projektu dane osobowe (ale i również pozostałe informacje) znajdujące się w prowadzonych przez podmioty obowiązane rejestrach zgłoszeń wewnętrznych i zgłoszeń zewnętrznych mogą być przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)