• 17 marca, 2022
  • admin
  • 0

Niedługo wejdzie w życie obowiązek wdrożenia procedur zgłaszania naruszeń w firmach i organizacjach na terenie całej unii europejskiej. Analogicznie jak w przypadku RODO Polska będzie musiała uchwalić odpowiednie przepis na poziomie krajowym. Narzuca to detektywa parlamentu europejskiego 2019/1937. Zanim przepisy wejdą w życie mnie jeszcze trochę czasu, konieczne będzie podjęcie szerokich prac przez ustawodawcę.

Prace nad ustawą 

Już 1 grudnia 2020 roku ruszono z pierwszymi pracami –  został wskazany minister odpowiedzialny z projekt ustawy. Rolę ta miało pełnić Ministerstwo Rozwoju, Pracy i Technologii jednak po jego likwidacji odpowiedzialność przejęło ministerstwo Rodziny i Polityki społecznej. Już w listopadzie udostępniono wstępny projekt ustawy. Wprowadza ona szereg nowych pojęć do polskiego prawodawstwa: 

Naruszenie prawa 

Samo naruszenie w kontekście omawianej ustawny określono jako „działanie lub zaniechanie mające na celu obejście prawa”. Co istotne wspomniane obejście prawa ma dotyczyć wyłącznie wymienionych w ustawie obszarów: 

  • zamówień publicznych;  
  • usług, produktów i rynków finansowych; 
  • zapobiegania praniu pieniędzy i finansowaniu terroryzmu; 
  • bezpieczeństwa produktów i ich zgodności z wymogami; 
  • bezpieczeństwa transportu; 
  • ochrony środowiska; 
  • ochrony radiologicznej i bezpieczeństwa jądrowego; 
  • bezpieczeństwa żywności i pasz; 
  • zdrowia i dobrostanu zwierząt; 
  • zdrowia publicznego; 
  • ochrony konsumentów; 
  • ochrony prywatności i danych osobowych; 
  • bezpieczeństwa sieci i systemów teleinformatycznych; 
  • interesów finansowych Unii Europejskiej; 
  • rynku wewnętrznego Unii Europejskiej, w tym zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych. 

Działanie następcze 

Jest to działanie podjęte w skutek zgłoszenia. Mające na celu wyeliminowanie nieprawidłowości oraz podjęcie przewidzianych prawem kroków. Oznacza to więc że będzie istniała konieczność podjęcia konkretnych działań przez organ przyjmujący zgłoszenie. Wyklucza to sytuacje w której zgłoszenia trafiają do niszczarki.  

Działanie odwetowe 

Działanie bezpośrednie lub pośrednie oraz zaniechanie w skutek zgłoszenia które narusza lub może naruszać prawa zgłaszającego. Dodatkowo ustawa zawiera listę szczególnie istotnych działań które mogą zostać uznane za odwetowe: 

  • odmowę nawiązania stosunku pracy,  
  • wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy, 
  • nie zawarcie umowy o pracę na czas określony po rozwiązaniu umowy o pracę na okres próbny, nie zawarcie kolejnej umowy o pracę na czas określony lub nie zawarcie umowy o pracę na czas nieokreślony, po rozwiązaniu umowy o pracę na czas określony – w sytuacji gdy pracownik miał uzasadnione oczekiwanie, że zostanie z nim zawarta taka umowa, 
  • obniżenie wynagrodzenia za pracę,
  • wstrzymanie awansu albo pominięcie przy awansowaniu, 
  • pominięcie przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą, 
  • przeniesienie pracownika na niższe stanowisko pracy, 
  • zawieszenie w wykonywaniu obowiązków pracowniczych lub służbowych,  
  • przekazanie innemu pracownikowi dotychczasowych obowiązków pracowniczych, 
  • niekorzystną zmianę miejsca wykonywania pracy lub rozkładu czasu pracy, 
  • negatywną ocenę wyników pracy lub negatywną opinię o pracy, 
  • nałożenie lub zastosowanie środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze, 
  • wstrzymanie udziału lub pominięcie przy typowaniu do udziału w szkoleniach podnoszących kwalifikacje zawodowe, 
  • nieuzasadnione skierowanie na badanie lekarskie, w tym badania psychiatryczne, o ile przepisy odrębne przewidują możliwość skierowania pracownika na takie badanie, 
  • działanie zmierzające do utrudnienia znalezienia w przyszłości zatrudnienia w danym sektorze lub branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego 

Dlaczego temat ten jest ważny z punktu widzenia bezpieczeństwa IT? 

Ustawa ta jest istotna ze względu na dwie grupy naruszeń jakie można zgłaszać ochronę prywatności i danych osobowych oraz bezpieczeństwa sieci i systemów teleinformatycznych. Przepisy te w połączniu z RODO wymuszą rygorystyczne stosowanie zasad i polityk ochrony danych i bezpieczeństwa sieci. Od tej pory każdy pracownik będzie mógł zgłosić nieprawidłowości w tych obszarach. 

Kogo obejmie ustawa? 

Ustawa początkowo ma dotyczyć pracodawców zatrudniających od 250 pracowników. Jednak z początkiem roku 2023 dostosować będą się do niej musiały także podmioty zatrudniające już 50 pracowników. Co istotne za wspomniane przepisy stosuje się w stosunku do: 

  • pracownika, także w przypadku, gdy stosunek pracy już ustał, 
  • osoby ubiegającej się o zatrudnienie, która uzyskała informację o naruszeniu prawa w procesie rekrutacji lub negocjacji poprzedzających zawarcie umowy,  
  • osoby świadczącej pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, 
  • przedsiębiorcy, 
  • akcjonariusza lub wspólnika,
  • członka organu osoby prawnej,  
  • osoby świadczącej pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, w tym na podstawie umowy cywilnoprawnej, 
  • stażysty,  
  • wolontariusza  

Kanały zgłoszeń 

Aby sygnalista miał możliwość dokonania zgłoszenia podmioty powołane do ich przyjmowania muszą udostępnić odpowiednie kanały komunikacji. Udostępniony projekt ustawny przewiduje 3 główne kanały zgłaszania nieprawidłowości: 

Zgłoszenie wewnętrzne 

W pierwszej kolejności zgłoszenia należy dokonać wewnątrz organizacji w której pracuje sygnalista. Pracodawca będzie zobowiązany udostępnić kanał zgłaszania nieprawidłowości. W praktyce będzie to więc powiadomienie przełożonego np. ustnie, telefonicznie, mailem itp. Pracodawca jednak nie ma obowiązku przyjmowania zgłoszeń anonimowych. 

Zgłoszenie zewnętrzne 

Kolejnym etapem jest zgłoszenie zewnętrzne, czyli  powiadomienie odpowiednich organów, właściwych ze względu na charakter sprawy. Aby ułatwić proces zgłaszania naruszeń głównym organem do którego można się zwrócić będzie Rzecznik Praw Obywatelskich. Jego zadaniem będzie przekazanie naruszenia do odpowiedniej instytucji. 

Ujawnienie publiczne 

W sytuacji kiedy obydwa poprzednie kanały zawiodą będzie możliwość ujawnienia publicznego nieprawidłowości. Oznacza to więc usankcjonowanie prawne „przecieków” do mediów. Należy jednak mieć na względzie bezwzględną konieczność wykorzystania pozostałych kanałów komunikacji. 

Anonimowość zgłaszającego 

O ile ustawodawca nie wymaga dopuszczenia anonimowych zgłoszeń wewnętrznych to jednak wymaga aby pracodawca chronił tożsamość zgłaszającego. Wyklucza to więc możliwość w której cały zakład pracy pozna tożsamość zgłaszającego i przypnie mu łatkę „donosiciela”. Za ujawnienie tożsamości zgłaszającego będzie grozić do 3 lat pozbawienia wolności.  

Konsekwencje prawne 

Kluczowym aspektem są konsekwencje prawne za dokonywanie działań odwetowych. Z podejmowanie wspomnianych działań ma bowiem grozić do 3 lat pozbawienia wolności, jej organicznie lub grzywna. Takie same sankcje grożą też za nie ustanowienie wewnętrznej procedury zgłaszania naruszeń. 

Sceptycyzm 

Organizacje zrzeszające pracodawców zwracają uwagę na bardzo szeroki zakres działań jakie mogą zostać uznane za odwetowe. W przedstawionej w tym artykule liście znajdują się takie kontrowersyjne zapisy jak nie zawarcie umowy o prace po okresie próbnym, brak awansu czy szkoleń. Należy też pamiętać że wspomniana lista nie wyczerpuje katalogu działań odwetowych ponieważ wspominany zapis dopuszcza też indywidualną kwalifikacje działań odwetowych według przytoczonej definicji.  

Pole do nadużyć 

Tak szeroka kwalifikacja działań odwetowych stwarza duże pole do nadużyć. Nie trudno sobie wyobrazić sytuacje w której pracownik źle wywiązujący się ze swojej pracy może dokonać zgłoszenia w celu zapewnienia sobie ochrony jaką ma gwarantować ustawa. To bowiem po stronie pracodawcy będzie leżała konieczność udowodnienia że kierował się obiektywnymi kryteriami.