Ustawa o ochronie sygnalistów

Zakres przedmiotowy

Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów („ustawa o ochronie sygnalistów”) ma na celu implementację dyrektywy 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Ustawa reguluje m.in. warunki objęcia ochroną i środki ochrony sygnalistów oraz zasady ustalania wewnętrznej procedury zgłaszania informacji o naruszeniach prawa i podejmowania działań następczych.

Ustawę stosuje się w zakresie nieuregulowanym w przepisach aktów normatywnych ustanowionych przez instytucje Unii Europejskiej, wymienionych w części II załącznika do dyrektywy 2019/1937 oraz w przepisach implementujących albo wykonujących te akty.

Zgodnie z ustawą, naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu jego obejście, dotyczące m.in.:

  • korupcji,
  • usług, produktów i rynków finansowych,
  • przeciwdziałania praniu pieniędzy, finansowaniu terroryzmu,
  • ochrony konsumentów,
  • ochrony prywatności i danych osobowych,
  • bezpieczeństwa sieci i systemów teleinformatycznych.

W katalogu naruszeń prawa nie uwzględniono jednak obszaru prawa pracy, który w toku prac legislacyjnych, w ramach naniesionych przez Senat poprawek, został wykreślony z tego katalogu.

Sygnalista

Sygnalistą jest osobą fizyczną, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą. Może nim być m.in. pracownik (również tymczasowy), przedsiębiorca, akcjonariusz lub wspólnik, ale też stażysta, wolontariusz czy praktykant.

Sygnalista podlega ustawowej ochronie od chwili dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem, że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa.

Nie podlegają ujawnieniu nieupoważnionym osobom dane osobowe, które pozwalają na ustalenie tożsamości sygnalisty, chyba że za jego wyraźną zgodą. Ustawa przewiduje w tym zakresie wyjątek, zgodnie z którym reguła ta nie znajdzie zastosowania, gdy ujawnienie danych sygnalisty jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.

Wyłączenia

Ustawa zawiera szereg wyłączeń, w tym przewiduje, że nie stosuje się jej do wybranych rodzajów informacji, objętymi:

  • przepisami o ochronie informacji niejawnych oraz innych informacji, które nie podlegają ujawnieniu z mocy przepisów przez wzgląd na bezpieczeństwo publiczne,
  • tajemnicą zawodową zawodów medycznych oraz prawniczych,
  • tajemnicą narady sędziowskiej,
  • postępowaniem karnym – w zakresie tajemnicy postępowania przygotowawczego oraz tajemnicy rozprawy sądowej prowadzonej z wyłączeniem jawności.

Zakaz działań odwetowych

Wobec sygnalisty nie mogą być podejmowane działania odwetowe ani próby lub groźby podjęcia takich działań. Ustawa poprzez działanie odwetowe rozumie zarówno bezpośrednie jak i pośrednie działanie lub zaniechanie związane z pracą, które jest spowodowane zgłoszeniem lub odpowiednio ujawnieniem publicznym i które narusza lub może naruszyć prawa sygnalisty lub wyrządza lub może wyrządzić nieuzasadnioną szkodę sygnaliście, w tym bezpodstawne inicjowanie postępowań przeciwko sygnaliście.

Jeżeli praca była, jest lub ma być świadczona na podstawie stosunku pracy, wobec sygnalisty nie mogą być podejmowane działania odwetowe, polegające w szczególności na: przeniesieniu go na niższe stanowisko pracy, mobbing, obniżenie wysokości wynagrodzenia za pracę czy też nieuzasadnione skierowanie na badania lekarskie, w tym badania psychiatryczne. Za działania odwetowe z powodu dokonania zgłoszenia lub ujawnienia publicznego uważa się także próbę lub groźbę zastosowania tych środków. To na pracodawcy spoczywa ciężar udowodnienia, że podjęte działanie, nie jest działaniem odwetowym. Podobne zasady znajdują zastosowanie również wówczas, gdy praca lub usługi były, są lub mają być świadczone na podstawie innego niż stosunek pracy stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji, lub pełnienia służby.

Środki ochrony

Sygnalista, wobec którego dopuszczono się działań odwetowych, będzie mógł się domagać odszkodowania w wysokości nie niższej niż przeciętne miesięczne wynagrodzenie lub prawo do zadośćuczynienia. W tym zakresie, w toku prac legislacyjnych również zaszła wyraźna zmiana. W pierwotnej wersji projektu odszkodowanie miało być nie niższe niż dwunastokrotność miesięcznego wynagrodzenia.

Ustawa wyraźnie zastrzega, że dokonanie zgłoszenia lub ujawnienia publicznego nie może stanowić podstawy odpowiedzialności, w tym odpowiedzialności dyscyplinarnej lub odpowiedzialności za szkodę z tytułu naruszenia praw innych osób lub obowiązków prawnie określonych. Warunkiem jest posiadanie przez sygnalistę uzasadnionych podstaw, aby sądzić, że zgłoszenie lub ujawnienie publiczne jest niezbędne do ujawnienia naruszenia prawa. W przypadku jednak wszczęcia postępowania dotyczącego odpowiedzialności, sygnalista może wystąpić o jego umorzenie. Co więcej, ustawa wyraźnie zastrzega, że nie można zrzec się praw określonych ustawowo ani przyjąć na siebie odpowiedzialności za szkodę powstałą z powodu dokonania zgłoszenia lub ujawnienia publicznego.

Postanowienia umów o pracę oraz innych aktów, na podstawie których powstaje stosunek pracy lub które kształtują prawa i obowiązki stron stosunku pracy, w zakresie, w jakim bezpośrednio lub pośrednio wyłączają lub ograniczają prawo do dokonania zgłoszenia lub ujawnienia publicznego lub przewidują stosowanie środków odwetowych, są nieważne. Również postanowienia innych umów oraz innych aktów, na podstawie których jest świadczona praca lub usługi, są dostarczane towary lub jest dokonywana sprzedaż, w zakresie, w jakim bezpośrednio lub pośrednio wyłączają lub ograniczają prawo do dokonania zgłoszenia lub ujawnienia publicznego lub przewidują stosowanie środków odwetowych, są nieważne.

Ustawa objęła ochroną także osobę, która poniosła szkodę z powodu świadomego zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji przez sygnalistę. Przysługuje jej z tego tytułu prawo do odszkodowania lub zadośćuczynienia za naruszenie dóbr osobistych.

Zgłoszenia wewnętrzne

Podmioty prawne na rzecz których wykonuje pracę zarobkową co najmniej 50 osób, są zobowiązane do ustalenia wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych („Procedura zgłoszeń wewnętrznych”). Poprzez podmiot prawny, ustawa rozumie zarówno podmiot prywatny jak i publiczny. Zgodnie z ustawą, pod uwagę bierze się stan na dzień 1 stycznia lub 1 lipca danego roku.

Próg zatrudniania co najmniej 50 osób nie znajduje zastosowania do podmiotów prawnych wykonujących działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania określonych aktów prawnych Unii Europejskiej zawartych w załączniku do dyrektywy ws. ochrony osób zgłaszających naruszenia prawa Unii. W związku z tym, przykładowo podmioty takie jak Małe Instytucje Płatnicze oraz Krajowe Instytucje Płatnicze będą zobowiązane do wdrożenia wewnętrznej procedury zgłoszeń bez względu na liczbę zatrudnianych osób.

Ponadto ustawa stanowi, że podmiot, na rzecz którego pracę zarobkową wykonuje mniej niż 50 osób, a także jednostki organizacyjne gminy lub powiatu liczące mniej niż 10 000 mieszkańców, do których przepisy rozdziału o zgłoszeniach wewnętrznych nie znajdują zastosowania, dysponują możliwością ustalenia takiej procedury zgłoszeń.

Procedura powinna uprzednio zostać poddana konsultacjom z zakładową organizacją związkową albo zakładowymi organizacjami związkowymi, jeżeli w podmiocie prawnym działa więcej niż jedna zakładowa organizacja związkowa, albo wyłonionymi przedstawicielami osób świadczących pracę na rzecz podmiotu prawnego, wyłonionymi w trybie przyjętym w podmiocie prawnym, jeżeli nie działa w nim zakładowa organizacja związkowa. Konsultacje powinny trwać nie krócej niż 5 dni i nie dłużej niż 10 dni od dnia przedstawienia przez podmiot prawny projektu procedury zgłoszeń wewnętrznych. Procedura zgłoszeń wewnętrznych wchodzi w życie po upływie 7 dni od dnia podania jej do wiadomości osób wykonujących pracę w sposób przyjęty w podmiocie prawnym. Tak ustanowiona procedura powinna być przedstawiona osobie ubiegającej się o pracę wraz z rozpoczęciem rekrutacji lub negocjacji poprzedzających zawarcie umowy.

Ustawa określa zarówno obligatoryjne jak i fakultatywne elementy zawartości procedury wewnętrznej. Obligatoryjnie procedura zgłoszeń wewnętrznych powinna określać:

  • wewnętrzną jednostkę organizacyjną lub osobę upoważnioną do przyjmowania zgłoszeń wewnętrznych,
  • sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę (które powinny obejmować co najmniej możliwość dokonywania zgłoszeń ustnie lub pisemnie),
  • bezstronną wewnętrzną jednostkę organizacyjną lub osobę upoważnioną do podejmowania działań następczych,
  • tryb postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo,
  • obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania,
  • obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych,
  • maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nieprzekraczający 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego,
  • zrozumiałe i łatwo dostępne informacje na temat dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich albo organów publicznych oraz w stosownych przypadkach do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.

Podmiot prawny powinien zagwarantować, aby procedura zgłoszeń wewnętrznych oraz związane z tym przetwarzanie danych osobowych uniemożliwiały nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniały ochronę poufności tożsamości sygnalisty oraz osób wskazanych w zgłoszeniu. Ochrona poufności powinna dotyczyć informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób.

Zgłoszenia zewnętrzne

Sygnalista dysponuje również możliwością dokonania zgłoszenia zewnętrznego, bez uprzedniego dokonania zgłoszenia wewnętrznego. Do przyjmowania takiego zgłoszenia uprawniony jest Rzecznik Praw Obywatelskich albo organ publiczny.

RPO oraz organ publiczny ustalają w tym celu odpowiednie procedury przyjmowania zgłoszeń zewnętrznych (a organ publiczny również podejmowania działań następczych), uwzględniając w szczególności tryb postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo.

Na żądanie sygnalisty organ publiczny właściwy do podjęcia działań następczych wydaje zaświadczenie, stanowiące potwierdzenie, że sygnalista podlega określonej w ustawie ochronie.

Zarówno RPO jak i organ publiczny powinni umieścić na swojej stronie w Biuletynie Informacji Publicznej w oddzielnej, łatwej do odnalezienia sekcji, informacje zawierające m.in. dane kontaktowane umożliwiające dokonanie zgłoszenia zewnętrznego, warunki objęcia ochroną, tryb postępowania, a także zasady poufności.

Ujawnienie publiczne

Ochronie podlega także sygnalista dokonujący publicznego ujawnienia informacji o naruszeniu prawa, pod warunkiem spełnienia określonych przesłanek.

W ustawie zawarto jednak wyraźne zastrzeżenie, że nie stosuje się przepisów o ujawnieniu publicznym, jeżeli przekazanie informacji o naruszeniu prawa nastąpiło bezpośrednio do prasy i stosuje się ustawę z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz. U. z 2018 r. poz. 1914).

Przepisy karne

Na gruncie ustawy wprowadzono również nowe czyny zabronione, w tym m.in.:

  • uniemożliwianie lub istotne utrudnianie innej osobie dokonania zgłoszenia,
  • podejmowanie działań odwetowych wobec sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą,
  • ujawnianie tożsamości sygnalisty, osoby pomagającej w dokonaniu zgłoszenia lub osoby powiązanej z sygnalistą wbrew przepisom ustawy,
  • dokonanie zgłoszenia lub ujawnienia publicznego, wiedząc, że do naruszenia prawa nie doszło,
  • nieustanawianie lub ustanawianie z istotnym naruszeniem ustawowych wymogów procedury zgłoszeń wewnętrznych (orzekanie w tym zakresie następować będzie w trybie przepisów kodeksu postępowania w sprawach o wykroczenia).

Wejście w życie

Ustawa została ogłoszona w Dzienniku Ustaw w dniu 24 czerwca 2024 r. Oznacza, to że co do zasady nowe przepisy wchodzą w życie z dniem 25 września 2024 r. Wyjątek stanowią:

  • art. 5 ust. 4 ustawy dotyczący organu publicznego właściwego do przyjmowania zgłoszeń zewnętrznych dotyczących naruszenia prawa przez służby specjalne,
  • art. 25 ust. 1 pkt 8 ustawy dotyczący zawartości procedury zgłoszeń wewnętrznych w zakresie dokonywania zgłoszeń do RPO albo organów publicznych oraz w stosownych przypadkach do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej,
  • przepisy rozdziału 4 dotyczącego zgłoszeń zewnętrznych.

Wspomniane przepisy wchodzą w życie po upływie 6 miesięcy od dnia ogłoszenia ustawy, czyli 25 grudnia 2024 r.

Ustawa o sygnalistach – co dostarczamy?

  • przygotowanie wzorcowej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych („Procedura zgłoszeń wewnętrznych”),
  • operacjonalizacja procedury zgłoszeń wewnętrznych,
  • modyfikacja pozostałej dokumentacji, w tym w zakresie ochrony danych osobowych w celu zapewnienia zgodności z Ustawą.

Informacje DLK

Jeśli chcesz być na bieżąco ze sprawami regulacyjnymi, zarejestruj się i otrzymuj informacje o ważnych wydarzeniach regulacyjnych i branżowych, oraz aktywnościach DLK Legal: Rejestracja do powiadomień.

Bankowość & Finanse

Zobacz sektor

Bankowość & Finanse

Online & eCommerce

Zobacz sektor

Online & eCommerce

Retail

Zobacz sektor

Retail

Zobacz również

#Bankowość&Fintech #IT & Outsourcing

Projekt rozporządzenia w sprawie ram dostępu do danych finansowych (FiDAR)

Projekt Rozporządzenia Parlamentu Europejskiego...

Projekt rozporządzenia w sprawie ram dostępu do danych finansowych (FiDAR)

#Bankowość&Fintech

Rozporządzenie o europejskich ramach tożsamości cyfrowej, EDI Regulation, EDIR

Rozporządzenie Parlamentu Europejskiego i Rady ...

Rozporządzenie o europejskich ramach tożsamości cyfrowej, EDI Regulation, EDIR

#Bankowość&Fintech

Ustawa o zapobieganiu skutkom kradzieży tożsamości

Ustawa z dnia 7 lipca 2023 r. o zmianie niektór...

Ustawa o zapobieganiu skutkom kradzieży tożsamości

Skontaktuj się

Biuro Warszawa

Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa

mapa > +48 22 652 26 18

Biuro Kraków

ul. Jana Kilińskiego 2
30-308 Kraków

mapa > +48 12 31 51 841