Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Wbrew pozorom pytanie to nie jest pozbawione sensu. Zarówno sama dyrektywa, jak i Uopz przewidują pewne wyjątki od obowiązku wdrożenia systemu whistleblowingowego (związane przede wszystkim z wielkością organizacji przedsiębiorcy). Oba akty prawne zachęcają też do stosowania wykorzystywanych przez przedsiębiorcę środków w sposób adekwatny do jego potrzeb i proporcjonalnie do zidentyfikowanych ryzyk.
Przed podjęciem decyzji o wdrożeniu systemu whistleblowingowego organizacja powinna więc przeanalizować wynikające z tego konsekwencje organizacyjne i prawne oraz przeprowadzić wewnętrzne konsultacje (w szczególności z przedstawicielami działów HR oraz Inspektorem Ochrony Danych lub inną osobą odpowiedzialną za obszar ochrony danych osobowych w Spółce).
Taka analiza nie powinna zostać pominięta nawet w przypadku, gdy konieczność uruchomienia projektu wdrożeniowego wynika z odgórnych decyzji korporacyjnych właściciela spółki.
Tradycyjnie whistleblowing kojarzony jest z raportowaniem nieprawidłowości wewnątrz organizacji.
Dyrektywa whistleblowingowa przewiduje natomiast, że o ile dla określonych rodzajów przedsiębiorców system whistleblowing będzie obowiązkowy, o tyle domyślnie obejmie on tylko osoby zatrudnione (employees) w ramach danej organizacji. Przedsiębiorca może jednak rozszerzyć zasięg stosowanego rozwiązania i uwzględnić w nim także innych uczestników obrotu – takich jak np. udziałowców, członków organów spółki, wolontariuszy i praktykantów czy wreszcie członków teamelu partnerów biznesowych (wykonawców, dostawców itp.).
Powyższa decyzja będzie determinować wybór zarówno rozwiązania (zwłaszcza w aspekcie technicznym), jak i sposób komunikacji dotyczącej wdrożonego systemu.
Dyrektywa nakłada na przedsiębiorcę obowiązek zapewnienia poufności komunikacji i ochrony tożsamości sygnalisty. Dodatkowo niektóre akty prawa unijnego lub państw członkowskich mogą stawiać dalej idące wymogi, w szczególności w zakresie zapewnienia anonimowości (już nie poufności!) osoby zgłaszającej nieprawidłowość – takie rozwiązanie przewidują chociażby regulacje w obszarze AML.
Decyzja o wprowadzanych kanałach komunikacji z sygnalistą będzie zatem uzależniona od szeregu czynników, w tym:
Compliance Officer czy zewnętrzna kancelaria? A może wystarczy zlecić takie zadanie szefowi czy szefowej HR-ów?
Także na te pytania nie ma jednej dobrej odpowiedzi – różne rozwiązania będą w różny sposób adresować potrzeby organizacji. W przypadku organizacji niewielkiej wielkości, w której spodziewana liczba zgłoszeń nie jest wysoka, tworzenie odrębnych struktur lub zaangażowanie wieloosobowego zespołu zewnętrznych prawników mogą nie mieć sensu.
Z drugiej strony sam fakt, że dotychczas w firmie nie odnotowano nieprawidłowości, nie oznacza, że ich nie ma – ani tym bardziej że nie ujawnią się one w przyszłości. Standard należytej staranności wymaga, by w takim przypadku firma nie była zmuszona gorączkowo szukać osób kompetentnych, zdolnych do poprowadzenia postępowania wyjaśniającego, ani prawników gotowych ich w tym wesprzeć.
Kolejne trudne pytanie, na które każda firma musi sobie odpowiedzieć, dotyczy stopnia oparcia wdrażanego systemu na rozwiązaniach IT. Produktów wspierających organizacje w obsłudze zgłoszeń nieprawidłowości nie jest na rynku europejskim mało, a należy spodziewać się, że im bliżej daty implementacji dyrektywy whistleblowingowej, tym więcej będzie się ich pojawiać.
W zależności od przyjętych założeń i środków, jakie pozostają do dyspozycji, firmy mogą wybierać wśród całego spektrum produktów – m.in. :
Organizacje o mniejszych potrzebach (lub budżetach) mogą zastanowić się nad ograniczeniem do poczciwej analogowej skrzynki na zgłoszenia w postaci papierowej czy wskazaniem potencjalnym sygnalistom adresu pocztowego. Warto przy tym pamiętać, że także ten wariant wymaga analizy zapewnianego stopnia zgodności z założeniami europejskiego ustawodawcy.
Wątpliwości, które trzeba rozstrzygnąć na etapie uruchamiania projektu wdrożenia systemu whistleblowingowego, jest oczywiście więcej. Można przewrotnie zapytać, czy w ogóle warto się nimi zajmować? To jednak, mam nadzieję, właśnie to zapowiadane w tytule „łatwe pytanie”. Dla każdego podmiotu przymierzającego się do wdrożenia rozwiązań whistleblowingowych sprawa powinna być jasna – przemyślana i udokumentowana analiza jest warunkiem racjonalnej decyzji i może stać się dowodem dołożenia przez kierownictwo spółki należytej staranności w ramach tego procesu.
Z kolei pełny tekst dyrektywy whistleblowingowej (tekst zaakceptowany przez PE) dostępny jest tutaj.