Zgłoszenie sygnalisty w firmie – jak przeprowadzić postępowanie wyjaśniające po zgłoszeniu sygnalisty i działania następcze

Postępowanie wyjaśniające po zgłoszeniu sygnalisty jest jednym z najważniejszych etapów realizacji obowiązków wynikających z ustawy o ochronie sygnalistów. Samo wdrożenie procedury zgłoszeń wewnętrznych nie wystarcza, jeżeli pracodawca nie potrafi prawidłowo przyjąć zgłoszenia, zweryfikować informacji, przeprowadzić działań następczych i udokumentować całego procesu zgodnie z przepisami oraz zasadami ochrony danych osobowych. W tym artykule wyjaśniamy, jak powinno wyglądać postępowanie wyjaśniające po zgłoszeniu sygnalisty, jakie obowiązki ma pracodawca, jak prowadzić działania następcze oraz jak ograniczyć ryzyko naruszenia przepisów przepisów o ochronie sygnalistów i RODO.

Co dzieje się po otrzymaniu zgłoszenia sygnalisty?

Obowiązek ustalenia procedury zgłoszeń wewnętrznych dotyczy przede wszystkim podmiotów, na rzecz których według stanu na 1 stycznia albo 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Ustawa przewiduje jednak wyjątki, w których próg ten nie ma zastosowania, a mniejsze podmioty mogą wdrożyć procedurę zgłoszeń wewnętrznych dobrowolnie.

Po otrzymaniu zgłoszenia wewnętrznego pracodawca powinien przede wszystkim zweryfikować, czy zgłoszenie mieści się w zakresie procedury zgłoszeń wewnętrznych oraz czy zawiera informacje pozwalające na podjęcie dalszych działań.

Na tym etapie szczególne znaczenie ma szybkie zabezpieczenie poufności zgłoszenia i ograniczenie dostępu do danych wyłącznie do osób upoważnionych. Już sama informacja o wpłynięciu zgłoszenia może mieć charakter wrażliwy organizacyjnie i wymagać odpowiednich zabezpieczeń.

Po otrzymaniu zgłoszenia organizacja powinna działać według uporządkowanego schematu, który pozwala zachować poufność, dochować terminów ustawowych i prawidłowo udokumentować przebieg sprawy.

Pracodawca powinien również ocenić, czy zgłoszenie wymaga pilnych działań zabezpieczających, np. ograniczenia dostępu do systemów, zabezpieczenia dokumentacji albo czasowego odsunięcia określonych osób od wybranych procesów.

Potwierdzenie przyjęcia zgłoszenia i informacja zwrotna

Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów przewiduje obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego. Co do zasady powinno to nastąpić w terminie 7 dni od dnia otrzymania zgłoszenia, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie. Sposób komunikacji z sygnalistą powinien być dobrany tak, aby nie naruszać poufności jego tożsamości oraz bezpieczeństwa prowadzonego postępowania.

Potwierdzenie przyjęcia zgłoszenia nie powinno zawierać szczegółowych ocen merytorycznych. Na tym etapie pracodawca zwykle ogranicza się do poinformowania o przyjęciu zgłoszenia, dalszym trybie procedowania oraz zasadach kontaktu.

Kolejnym obowiązkiem jest przekazanie sygnaliście informacji zwrotnej dotyczącej podjętych albo planowanych działań następczych. Informacja zwrotna powinna zostać przekazana co do zasady w terminie nieprzekraczającym 3 miesięcy od potwierdzenia przyjęcia zgłoszenia. Jeżeli potwierdzenie nie zostało przekazane, termin należy liczyć od upływu 7 dni od dnia dokonania zgłoszenia.

Informacja zwrotna nie oznacza obowiązku przekazania pełnego raportu z postępowania ani ujawnienia wszystkich ustaleń. Pracodawca powinien jednak przekazać sygnaliście informacje pozwalające ocenić, że zgłoszenie zostało realnie przeanalizowane.

Na czym polega postępowanie wyjaśniające po zgłoszeniu sygnalisty?

Postępowanie wyjaśniające ma na celu ustalenie, czy zgłoszone naruszenie rzeczywiście mogło wystąpić oraz czy konieczne jest podjęcie działań następczych.

Przepisy nie narzucają jednego modelu postępowania wyjaśniającego. Procedura powinna być dostosowana do wielkości organizacji, rodzaju zgłoszenia, poziomu ryzyka oraz charakteru działalności przedsiębiorcy.

Najważniejsze znaczenie mają jednak zasady:

• bezstronności;
• poufności;
• proporcjonalności;
• dokumentowania działań;
• ograniczenia dostępu do informacji;
• ochrony sygnalisty przed działaniami odwetowymi.

Postępowanie wyjaśniające może obejmować analizę dokumentów, zabezpieczenie korespondencji, analizę danych systemowych, rozmowy wyjaśniające, audyty wewnętrzne albo weryfikację zgodności określonych procesów z przepisami.

W bardziej skomplikowanych sprawach pracodawcy często angażują również kancelarie prawne, działy compliance, audyt wewnętrzny albo zewnętrznych specjalistów z zakresu cyberbezpieczeństwa, HR lub finansów.

Kto powinien prowadzić postępowanie wyjaśniające po zgłoszeniu sygnalisty?

Jednym z najczęstszych problemów praktycznych jest brak bezstronności osób prowadzących sprawę.

Postępowania nie powinny prowadzić osoby, których zgłoszenie dotyczy albo które pozostają w konflikcie interesów. Szczególnie ryzykowne jest prowadzenie postępowania wyłącznie przez bezpośrednich przełożonych osoby wskazanej w zgłoszeniu.

W wielu organizacjach funkcję prowadzącego pełni:

• dział compliance;
• wyznaczony członek działu prawnego;
• zespół ds. zgłoszeń wewnętrznych;
• inspektor compliance;
• zewnętrzna kancelaria albo podmiot wyspecjalizowany.

Istotne jest również odpowiednie upoważnienie osób prowadzących postępowanie oraz zapewnienie im dostępu wyłącznie do danych niezbędnych do realizacji obowiązków.

Działania następcze po zgłoszeniu sygnalisty

Działania następcze po zgłoszeniu sygnalisty to czynności podejmowane po analizie zgłoszenia w celu przeciwdziałania naruszeniu prawa albo ograniczenia skutków nieprawidłowości.

Działania następcze mogą obejmować zarówno czynności organizacyjne, jak i działania prawne, dyscyplinarne albo naprawcze.

Najczęściej działania następcze obejmują:

• przeprowadzenie postępowania wyjaśniającego;
• wdrożenie działań naprawczych;
• zmianę procedur wewnętrznych;
• przeprowadzenie dodatkowych kontroli;
• zgłoszenie sprawy organom publicznym;
• działania dyscyplinarne;
• szkolenia;
• ograniczenie ryzyk compliance;
• działania zapobiegające podobnym naruszeniom w przyszłości.

Istotne znaczenie ma nie tylko samo zakończenie sprawy, ale również możliwość wykazania, że organizacja realnie zareagowała na zgłoszenie.

Rejestr zgłoszeń sygnalistów

Pracodawca objęty obowiązkiem przyjmowania zgłoszeń wewnętrznych powinien prowadzić rejestr zgłoszeń sygnalistów.

Rejestr powinien umożliwiać dokumentowanie przebiegu sprawy, terminów, działań następczych oraz sposobu zakończenia postępowania. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych przechowuje się przez 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze albo postępowania zainicjowane tymi działaniami.

Rejestr zgłoszeń wewnętrznych powinien zawierać elementy wymagane ustawą, w szczególności:

• numer zgłoszenia;
• przedmiot naruszenia prawa;
• dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do ich identyfikacji;
• adres do kontaktu sygnalisty;
• datę dokonania zgłoszenia;
• informację o podjętych działaniach następczych;
• datę zakończenia sprawy.

Dodatkowo, dla celów dowodowych i organizacyjnych, pracodawca może dokumentować także datę przekazania sygnaliście informacji zwrotnej.

Postępowanie wyjaśniające po zgłoszeniu sygnalisty a RODO

Jednym z najważniejszych obszarów ryzyka jest przetwarzanie danych osobowych w związku ze zgłoszeniem sygnalisty.

Pracodawca powinien pamiętać, że procedura zgłoszeń wewnętrznych nie wyłącza obowiązku stosowania przepisów RODO. Dotyczy to zarówno danych sygnalisty, jak i danych osób wskazanych w zgłoszeniu oraz świadków. Dane pozwalające na ustalenie tożsamości sygnalisty powinny być ujawniane wyłącznie osobom upoważnionym, chyba że sygnalista wyraził wyraźną zgodę na ich ujawnienie.

Szczególne znaczenie mają:

• zasada minimalizacji danych;
• ograniczenie dostępu do informacji;
• odpowiednie upoważnienia;
• zabezpieczenie dokumentacji;
• ograniczenie okresu przechowywania danych;
• właściwe spełnienie obowiązków informacyjnych;
• zapewnienie poufności tożsamości sygnalisty.

Pracodawca powinien również pamiętać, że obowiązki informacyjne wobec osoby, której dotyczy zgłoszenie, należy realizować z uwzględnieniem RODO, ale w sposób nienaruszający poufności tożsamości sygnalisty, bezpieczeństwa postępowania oraz ograniczeń wynikających z ustawy o ochronie sygnalistów.

Dokumentowanie postępowania wyjaśniającego

Prawidłowe dokumentowanie działań ma kluczowe znaczenie zarówno z perspektywy compliance, jak i ewentualnych sporów sądowych albo kontroli.

Dokumentacja powinna obejmować:

• treść zgłoszenia;
• potwierdzenie przyjęcia zgłoszenia;
• przebieg czynności wyjaśniających;
• ustalenia;
• decyzje dotyczące działań następczych;
• informację zwrotną dla sygnalisty;
• dokumentację dotyczącą ochrony danych osobowych.

W wielu organizacjach sporządzany jest również raport końcowy podsumowujący przebieg sprawy, ustalenia oraz rekomendacje dotyczące działań naprawczych.

Najczęstsze błędy pracodawców

Najczęstsze problemy pojawiają się wtedy, gdy organizacja traktuje procedurę sygnalistów wyłącznie formalnie i nie przygotowuje realnego procesu obsługi zgłoszeń.

Wiele naruszeń wynika nie z braku procedury, ale z jej nieprawidłowego stosowania.

Ryzykowne jest również automatyczne uznawanie zgłoszenia za bezzasadne bez przeprowadzenia realnej analizy.

Jak przygotować firmę do prowadzenia postępowań wyjaśniających?

Sama procedura zgłoszeń wewnętrznych zwykle nie wystarcza. Organizacja powinna przygotować również praktyczny model obsługi zgłoszeń.

Warto wcześniej ustalić:

• kto przyjmuje zgłoszenia;
• kto prowadzi postępowania;
• kto podejmuje decyzje o działaniach następczych;
• jak wygląda obieg informacji;
• jak dokumentowane są czynności;
• jak zabezpieczane są dane;
• kiedy angażowany jest dział prawny albo podmioty zewnętrzne.

Istotne znaczenie mają także szkolenia osób obsługujących zgłoszenia oraz regularna aktualizacja procedur.

Postępowanie wyjaśniające po zgłoszeniu sygnalisty – podsumowanie

Postępowanie wyjaśniające po zgłoszeniu sygnalisty nie powinno ograniczać się wyłącznie do formalnego przyjęcia zgłoszenia. Kluczowe znaczenie ma prawidłowa organizacja działań następczych, zapewnienie bezstronności, odpowiednie dokumentowanie czynności oraz ochrona danych osobowych.

Największe ryzyka pojawiają się wtedy, gdy organizacja nie ma przygotowanego rzeczywistego modelu prowadzenia postępowań wyjaśniających albo nie potrafi wykazać, że zgłoszenie zostało rzetelnie przeanalizowane.

Dobrze przygotowana procedura powinna obejmować nie tylko kanały zgłoszeń, ale również zasady prowadzenia postępowań, podział odpowiedzialności, ochronę danych oraz sposób dokumentowania działań następczych.

Twoja organizacja wdrożyła procedurę sygnalistów, ale nie masz pewności, jak prawidłowo prowadzić postępowanie wyjaśniające po zgłoszeniu sygnalisty?

Skontaktuj się z nami. Pomożemy przygotować procedury działań następczych, model prowadzenia postępowań wyjaśniających, zasady dokumentowania czynności oraz rozwiązania zgodne z ustawą o ochronie sygnalistów i RODO.

FAQ – najczęstsze pytania na temat: Postępowanie wyjaśniające po zgłoszeniu sygnalisty