Czwarty projekt krajowej ustawy chroniącej sygnalistów przed działaniami odwetowymi został zaprezentowany w połowie sierpnia. W rezultacie wygląda na to, że jest tylko kwestią czasu, gdy ustawa będzie procedowana. Pomimo braku obowiązku część organizacji już wdrożyła rozwiązania opisane w dyrektywie UE i projekcie ustawy lub aktualnie prowadzi działania w tym kierunku. Jednak eksperci braf.tech, firmy specjalizującej się w tworzeniu rozwiązań IT wspierających procesy compliance i audytu, wskazują, że nie zawsze organizacje podchodzą do tego w prawidłowy sposób. Oto lista najczęstszych błędów.
Mało efektywny kanał zbierania zgłoszeń
Jednym z najważniejszych elementów systemu whistleblowingowego są kanały komunikacji do zgłaszania nadużyć. Raport ARC Rynek i Opinia pokazał, że wśród badanych organizacji, które miały wdrożony jakikolwiek proces zbierania informacji o nieprawidłowościach, blisko 90 proc. stosowało dotychczas głównie rozwiązania takie jak infolinia, zgłoszenia ustne, pisemne w formie listów tradycyjnych lub e-mail. Są one jednak mało efektywne lub nie spełniają wymogów określonych w przepisach. Problemem jest niski poziom ochrony danych czy ochrony prywatności osoby zgłaszającej, ale też kwestie takie jak umożliwienie dwustronnej komunikacja między sygnalistą a osobami odpowiedzialnymi za proces w firmie. Kłopotliwe jest również zarządzanie tego rodzaju zgłoszeniami i przetwarzanie danych w ramach działań następczych bez narzędzi dostosowanych do wrażliwości, istotności a także ryzyk związanych z tym procesem.
– Zapewnienie prywatności osobie zgłaszającej i ochrona danych zawartych w zgłoszeniu powinny być kluczowymi cechami kanału komunikacji, które decydują o jego efektywności. Sygnalista musi mieć przekonanie, że informacje o podjętych przez niego krokach nie trafią w niepożądane ręce, a on sam nie stanie się ofiarą działań odwetowych. Budując system whistleblowingowy, warto iść z duchem cyfrowej transformacji i wybrać rozwiązanie informatyczne, które pozwoli zautomatyzować i zdigitalizować cały proces, co usprawni działanie firmy i pozwoli efektywniej zarządzać ryzykiem – tłumaczy Rafał Barański, CEO braf.tech i współtwórca aplikacji whiblo.
Zgłoszenia nie są przetwarzane zgodnie z RODO
Dane osobowe są nierozerwalnie związane z procesem sygnalizowania naruszeń. Wynika to z tego, że zgłoszenia dokonuje konkretna osoba, która opisuje w nim działania lub zaniechania danego pracownika, sama przy tym się ujawniając. W procesie mamy także do czynienia ze świadkami czy osobami wspierającymi zgłaszającego. Na etapie przyjęcia i przetwarzania zgłoszenia osoba odpowiedzialna za ten proces musi dochować szczególnej staranności, by wszelkie informacje w nim zawarte pozostały poufne, a dane muszą być procesowane zgodnie z RODO.
– Dyrektywa UE i projekt polskiej ustawy obligują organizacje, by przetwarzanie danych zawartych w zgłoszeniach było zgodne z RODO, bowiem ich obsługa będzie nowym procesem wymagającym ujęcia w procedurach ochrony danych osobowych. Warto też pamiętać, że na etapie przetwarzania zgłoszeń i prowadzenia działań następczych kluczowa jest ochrona danych osobowych. Aby proces był prowadzony zgodnie z przepisami ustawy, konieczne jest dochowanie poufności przez osoby zaangażowane w proces whistleblowingowy w firmie i niedopuszczenie do ujawnienia jakichkolwiek danych osobowych ze zgłoszenia – wyjaśnia Ewa Żak-Lisewska, dyrektor ds. rozwoju braf.tech, ekspert w obszarze compliance.
Brak jasnych i zrozumiałych procedur oraz edukacji w firmie na temat roli sygnalistów i wdrożonych rozwiązań
Jednym z częstych problemów w kontekście zgłaszania nieprawidłowości jest brak zrozumienia roli sygnalisty, zarówno przez osoby zarządzające firmą czy instytucją, jak i samych pracowników. Procedury i kanał komunikacji są wdrażane po cichu, bez prowadzenia komunikacji wewnętrznej. Część podmiotów traktuje bowiem whistleblowing jako potencjalne źródło problemów albo przynajmniej kolejny obowiązek prawny, który należy spełnić. Aby procedury były stosowane i skuteczne powinny być napisane prostym i zrozumiałym dla pracowników językiem a także regularnie komunikowane załodze, np. w formie obowiązkowych cyklicznych szkoleń wewnętrznych.
– Sygnalista nadal często jest określany mianem donosiciela, albo osoby, która przekazuje informacje, aby osiągnąć własne korzyści i zaszkodzić innym, a tymczasem jego rola jest zupełnie inna. To osoba, która działa dla dobra firmy czy społeczności. Edukacja pracowników i zaangażowanie w ten proces najważniejszych osób w firmie są kluczowe, by zmienić postrzeganie sygnalisty, ale i pokazać, jak system działa i jak wyglądają procedury. Jednak najważniejsze – pracownicy muszą mieć pełne przekonanie, że whistleblowing został wprowadzony w słusznej sprawie, by rozwiązywać wewnętrzne problemy, eliminować nadużycia i w ten sposób dbać o stabilność i przyszłość firmy – mówi Rafał Barański.
Brak działań następczych
Jednym z obowiązków wynikających z dyrektywy oraz projektu ustawy o ochronie sygnalistów jest prowadzenie działań następczych, czyli postępowań wyjaśniających. Na to nakładają się uwarunkowania wewnętrzne, m.in. istnienie lub brak zasobów wewnętrznych do realizacji procesu whistleblowingowego czy też środowisko wewnętrznych, już obowiązujących w firmie czy instytucji regulacji. Te czynniki zdeterminują przebieg procesu. Nie mniej istotne jest wyposażenie osób odpowiedzialnych za weryfikację i wyjaśnianie zgłoszeń w niezbędne kompetencje, nadanie im odpowiednich uprawnień i zapewnienie niezbędnych zasobów: fizycznych, czasowych i finansowych. Częstym problemem jest jednak prowadzenie procesów wyjaśniających w sposób niedbały lub w ogóle zaniechanie działań. Warto tu ponownie odnieść się do badania ARC Rynek i Opinia – 33 proc. respondentów nie zgłasza nieprawidłowości swojemu pracodawcy, bo uważa, że te działania nie przyniosą żadnego efektu.
– Istotą działania whistleblowingu jest identyfikacja nadużyć i ich rozwiązywanie wewnątrz organizacji. Sygnalista podejmuje ryzyko, zgłaszając niepożądaną sytuację, bo nigdy nie wiadomo, czy nie spotkają go za to działania odwetowe, choć przepisy mają to wyeliminować. Jednak, jeśli jego zgłoszenie trafi w próżnię i organizacja nie zareaguje, spadnie motywacja kolejnych osób w firmie do podobnego działania lub sygnalista zgłosi sprawę bezpośrednio do organu państwowego lub upubliczni ją w mediach, co wiąże się ze znacznie większymi konsekwencjami wizerunkowymi i finansowymi dla danego podmiotu – przekonuje Ewa Żak-Lisewska.
Działania na ostatnią chwilę
Wspomniane zeszłoroczne badanie ARC Rynek i Opinia przeprowadzone na zlecenie braf.tech, ale też raport „Czas na ochronę sygnalistów” przygotowany przez EY, wskazują, że około połowa firm w Polsce, która jest zobowiązana do implementacji procedur whistleblowingowych w pierwszej kolejności, wstrzymała się z podjęciem działań w tym kierunku. EY podaje, że połowa podmiotów (51 proc.) udostępniła poufne kanały zgłoszeń pracownikom, a tylko co trzecia (33 proc.) procedury ochrony sygnalistów. Pełną gotowość na dyrektywę UE zadeklarowało wówczas 9 proc. polskich spółek. Potwierdza to Ewa Żak-Lisewska:
– Obserwacje nasze i naszych partnerów, m.in. kancelarii prawnych, pokazują, że duża grupa firm opóźnia implementację systemów whistleblowingowych do czasu wprowadzenia polskiej ustawy. Oczywiście są wyjątki np. firmy podlegające pod ustawę AML czy polskie oddziały międzynarodowych korporacji. Jest to duży błąd, bowiem wobec braku stosownych rozwiązań, potencjalne nadużycia pracownicy mogą zgłosić z wykorzystaniem kanałów zewnętrznych lub upublicznić. Podobnie rzecz ma się z firmami prywatnymi zatrudniającymi 50-249 osób, które według przepisów mają czas do grudnia 2023 r. na wdrożenie procedur whistleblowingowych. Jednak sygnalista z takiej firmy jak najbardziej może dokonać zgłoszenia już teraz z wykorzystaniem zewnętrznych kanałów i będzie ono podlegało takiej samej weryfikacji jak w przypadku dużych podmiotów. Ponadto analizy prawne wskazują, że podmioty będące pod kontrolą państwa są zobligowane do wdrożenia systemów whistleblowingowych na podstawie dyrektywy UE i nie powinny czekać na polską ustawę. Cała sytuacja jest analogiczna do implementacji RODO w Polsce, gdy większość firm dopiero w ostatniej chwili podjęła stosowne działania, co wiązało się ze znacznie wyższym zaangażowaniem własnych zasobów i środków finansowych.
Podjęcie działań przygotowawczych jeszcze przed wejściem w życie polskiej ustawy jest jak najbardziej wskazanym działaniem, bo praktycznie wszystkie założenia są znane i raczej nie należy się spodziewać się dużych zmian w projekcie. Warto jednak podejść do tego działania skrupulatnie, dostrzec korzyści wynikające z posiadania systemu whistleblowingowego i zadbać o to, by system działał efektywnie.