Jakie informacje o zgłoszeniach zewnętrznych sygnalista znajdzie na stronie Biuletynu Informacji Publicznej urzędu

Ustalenie procedury zgłoszeń zewnętrznych oraz kanałów komunikacji (a więc sposobów za pośrednictwem których sygnaliści będą mogli dokonywać zgłoszeń – ustnych lub pisemnych), o których pisaliśmy w poprzednich numerach dodatku Samorząd i Administracja, to niejedyne obowiązki organów publicznych. Obowiązkowo muszą one również zamieścić szereg informacji dotyczących przyjmowania tych zgłoszeń w BIP. Przy czym ustawa wskazuje, że musi to być oddzielna, łatwa do zidentyfikowania i dostępna sekcja. W praktyce może to być po prostu osobna zakładka na stronie internetowej danego organu, np. o nazwie „Sygnaliści”.

1. dane kontaktowe

Zgodnie z art. 48 ust. 1 pkt 1 ustawy o ochronie sygnalistów (dalej: u.o.s.) organ publiczny umieszcza na swojej stronie BIP „w szczególności informacje o: (…) danych kontaktowych umożliwiających dokonanie zgłoszenia zewnętrznego, w szczególności adres do korespondencji, adres poczty elektronicznej, adres do doręczeń elektronicznych, odrębny adres elektronicznej skrzynki podawczej, adres strony internetowej, na której znajduje się formularz elektroniczny w rozumieniu art. 3 pkt 25 ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. z 2024 r. poz. 307), lub numer telefonu wraz ze wskazaniem, czy rozmowy są nagrywane”. Inaczej mówiąc: organ musi poinformować, jakie kanały komunikacji przyjął do dokonywania zgłoszeń zewnętrznych (a więc np., czy przewidział możliwość wyłącznie zgłoszenia ustnego albo pisemnego, czy też zdecydował się na obie te formy). Jeśli organ wybierze ustną formę i np. zamieści na stronie BIP numer telefonu pracownika upoważnionego do przyjmowania zgłoszeń zewnętrznych, to musi dodatkowo poinformować, czy rozmowy będą nagrywane, czy nie.

Co ciekawe, przed wyliczanką wymaganych danych kontaktowych ustawodawca ponownie użył sformułowania „w szczególności”. Z tego wniosek, że organ publiczny oprócz np. numeru telefonu i adresu strony z formularzem elektronicznym musi podać inne dane kontaktowe. Jednak niestety przepisy nie określają jakie. Można się domyślać, że chodzi o dokładne dane danego organu publicznego oraz osoby, która została wyznaczona do przyjmowania zgłoszeń zewnętrznych w danym organie.

Podsumowując: w tej części informacji BIP trzeba zamieścić wszystkie kluczowe informacje i dane, z których w jasny sposób wynika, jak prawidłowo i skutecznie dokonać zgłoszenia zewnętrznego.

Dodajmy dla wyjaśnienia, że użyte w tym przepisie określenie „formularz elektroniczny” to w myśl definicji zawartej w art. 3 pkt 25 o informatyzacji działalności podmiotów realizujących zadania publiczne „oprogramowanie służące do przygotowania i wygenerowania dokumentu elektronicznego zgodnego z odpowiadającym mu wzorem dokumentu elektronicznego, mogące stanowić część usługi udostępnionej na ePUAP lub w innym systemie teleinformatycznym”.

2. warunki objęcia sygnalisty ochroną

Sygnalista musi wiedzieć, od kiedy przysługuje mu ochrona przewidziana w u.o.s. i jakie warunki musi spełnić, aby z niej skorzystać. Warunki te określa m.in. art. 6 u.o.s. Zgodnie z nimi sygnalista będzie objęty ochroną od momentu dokonania zgłoszenia zewnętrznego, pod warunkiem że:

• miał uzasadnione podstawy, by sądzić, że informacja o naruszenia prawa jest prawdziwa – inaczej mówiąc: chodzi o sytuacje, w których sygnalista działa w dobrej wierze;
• dotyczy ono informacji o naruszeniu prawa. Przypomnijmy, że przez „informację o naruszeniu prawa” – w myśl definicji zawartej w art. 2 pkt 3 u.o.s. ‒ należy rozumieć „informację, w tym uzasadnione podejrzenie dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w podmiocie prawnym, w którym sygnalista uczestniczył w procesie rekrutacji lub innych negocjacji poprzedzających zawarcie umowy, pracuje lub pracował, lub w innym podmiocie prawnym, z którym sygnalista utrzymuje lub utrzymywał kontakt w kontekście związanym z pracą, lub informację dotyczącą próby ukrycia takiego naruszenia prawa”.

3. tryb postępowania ze zgłoszeniami

Kolejny element, o którym organ przyjmujący zgłoszenia zewnętrzne musi poinformować w BIP, to „tryb postępowania mający zastosowanie w przypadku zgłoszenia zewnętrznego, w tym wymagany sposób wyjaśnienia informacji będących przedmiotem zgłoszenia lub przedstawienia dodatkowych informacji”. Inaczej mówiąc: organ publiczny musi zakomunikować w sposób zrozumiały, jak będzie postępował ze zgłoszeniami pochodzącymi od sygnalistów, czyli:

• jakie będzie podejmował konkretne czynności, aby ustalić, czy informacja o naruszeniu prawa jest prawdziwa,
• w jaki sposób może przedstawiać dodatkowe informacje dotyczące zgłoszenia itp.

W u.o.s. nie ma żadnych wytycznych co do trybu postępowania ze zgłoszeniami, co może być dla organów publicznych problematyczne. Ten tryb to nic innego jak opisanie krok po kroku, co będzie się działo ze zgłoszeniem. Może być np. następujący: po dokonaniu zgłoszenia przez sygnalistę za pośrednictwem specjalnego adresu e-mail osoba upoważniona do przyjmowania zgłoszeń zewnętrznych dokona wstępnej weryfikacji zgłoszenia oraz w terminie siedmiu dni od daty przyjęcia zgłoszenia potwierdzi sygnaliście jego przyjęcie. Następnie po sprawdzeniu zgłoszenia pod kątem tego, czy jest ono informacją dotyczącą naruszenia prawa oraz jaki organ będzie właściwy do rozpoznania zgłoszenia (badanie właściwości), organ podejmie dalsze działania. I tak: jeśli okaże się, że zgłoszenie nie jest informacją o naruszeniu prawa (np. nie dotyczy jednej z dziedzin wymienionych w art. 3 ust. 1 u.o.s. lub też jest jedynie prywatną skargą sygnalisty albo nieuzasadnioną plotką), organ pozostawi je bez rozpoznania, a sygnalista otrzyma stosowną wiadomość na podany przez siebie adres do kontaktu. Gdy przekazane przez sygnalistę zgłoszenie okaże się informacją o naruszeniu prawa (czyli dotyczyć będzie np. naruszenia przepisów prawa zamówień publicznych) – wówczas osoba przyjmująca zgłoszenie przekaże je do wyznaczonej osoby (lub osób tworzących np. komisję), która zajmie się nim i podejmie działania następcze lub też przekaże sprawę do innego, właściwego organu (jeżeli okaże się, że inny organ publiczny powinien zająć się podjęciem działań następczych).

4. termin przekazania informacji zwrotnej

W art. 48 ust. 1 pkt 4 u.o.s. ustawodawca wymaga, by organ publiczny podał informację na stronie BIP o „terminie przekazania informacji zwrotnej oraz rodzaju i zawartości takiej informacji”. Organ powinien zatem przekazać, że informację zwrotną (a więc informację na temat planowanych lub podjętych działań następczych i powodów takich działań ‒ patrz art. 2 pkt 4 u.o.s.) sygnalista otrzyma w ciągu trzech miesięcy od dnia przyjęcia zgłoszenia zewnętrznego. W uzasadnionych przypadkach termin na przekazanie informacji zwrotnej może się wydłużyć do sześciu miesięcy od dnia przyjęcia zgłoszenia zewnętrznego (co wynika z art. 41 ust. 1 i 2 u.o.s.). Te wszystkie informacje organ musi przekazać na wskazany przez sygnalistę adres do kontaktu – o ile sygnalista taki adres podał w zgłoszeniu. Zauważmy, że art. 35 ust. 1 u.o.s. mówi, że sygnalista podaje adres do kontaktu po to, aby organ mógł skutecznie podjąć działania następcze oraz przekazać sygnaliście informację zwrotną. Jeśli sygnalista pominie adres do kontaktu w zgłoszeniu, musi liczyć się z tym, że organ publiczny nie potwierdzi przyjęcia zgłoszenia lub też nie wyda zaświadczenia o objęciu go ochroną (art. 35 ust. 2 pkt 2 u.o.s.).

Co ustawodawca miał na myśli, wprowadzając obowiązek przedstawienia „informacji o rodzaju i zawartości informacji zwrotnej”? W przypadku rodzaju informacji zwrotnej chodzi o to, czy organ będzie informował o pozytywnej weryfikacji skargi jako poprawnego zgłoszenia naruszenia, czy o negatywnej weryfikacji (tj. o braku naruszenia prawa).

Natomiast w przypadku obowiązku wskazania zawartości informacji zwrotnej chodzi o podanie, czego może się spodziewać sygnalista w wiadomości skierowanej do niego, czyli np., czy będzie to informacja na temat tego, jakie działania następcze do tej pory zostały podjęte lub jakie działania organ planuje podjąć w związku ze zgłoszeniem oraz o powodach takich działań.

5. zasady poufności

Organ będzie musiał zamieścić na swoich stronach w BIP „zasady poufności mające zastosowanie do zgłoszeń zewnętrznych” – wynika to z art. 48 ust. 1 pkt 4 u.o.s. Na gruncie u.o.s. poufność tożsamości sygnalisty ma fundamentalne znaczenie. Organ publiczny musi gwarantować, że ustanowiona przez niego procedura zgłoszeń zewnętrznych oraz proces przetwarzania danych osobowych uniemożliwiają uzyskanie dostępu do informacji objętych zgłoszeniem nieupoważnionym osobom oraz zapewniają ochronę poufności tożsamości sygnalisty oraz osoby, której dotyczy zgłoszenie (art. 43 ust. 1 u.o.s.).

W praktyce oznacza to, że organ publiczny powinien wymienić, jakie zasady poufności mają zastosowanie do zgłoszeń zewnętrznych. Chodzi w szczególności o wskazanie, że do przyjmowania zgłoszeń oraz podejmowania działań następczych dopuszczone będą tylko osoby, które są do tego upoważnione oraz są zobowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń zewnętrznych lub podejmowania działań następczych (art. 44 ust. 2 i 4 u.o.s.).

6. zasady przetwarzania danych osobowych

Artykuł 48 ust. 1 pkt 6 u.o.s. odwołuje się w szczególności do zasad przetwarzania danych określonych w art. 8 u.o.s. Organy publiczne muszą opisać, na czym polega ochrona danych osobowych sygnalisty. Biorąc pod uwagę treść art. 8 u.o.s., muszą w informacji w BIP wskazać m.in. że:

• dane osobowe, które pozwalają na ustalenie jego tożsamości, nie będą ujawnione nieupoważnionym osobom – oznacza to, że do przetwarzania danych osobowych sygnalisty można dopuścić tylko osoby posiadające stosowne upoważnienie do przetwarzania danych osobowych, spełniające wymogi RODO (art. 29 oraz art. 32 ust. 4 RODO),
• organ publiczny będzie przetwarzać dane osobowe sygnalisty tylko w zakresie koniecznym do przyjęcia zgłoszenia lub podjęcia działania następczego,
• w przypadku, gdy sygnalista zdecyduje się na ujawnienie swojej tożsamości – wówczas w klauzuli informacyjnej skierowanej do osoby, której dane dotyczą (np. do osoby, której dotyczy zgłoszenie) organ wskaże źródło pochodzenia danych osobowych, a więc że pochodzą one od sygnalisty, a ponadto w przypadku realizacji przez taką osobę prawa dostępu, o którym mowa w art. 15 RODO (potwierdzenie przez administratora, czy przetwarza dane osobowe jej dotyczące), administrator poda źródło pochodzenia danych.

7. charakter działań następczych

W art. 48 ust. 1 pkt 7 u.o.s. ustawodawca wymaga, by organ przedstawił na stronie BIP informacje o charakterze działań następczych podejmowanych w związku ze zgłoszeniem zewnętrznym.

Inaczej mówiąc: organ publiczny musi powiadomić m.in. o tym:

• jakie ustanowił procedury podejmowania działań następczych oraz ewentualnie wskazać na właściwe przepisy prawa, jeżeli te regulują one działania następcze tego organu;
• jakie działania podejmie, żeby sprawdzić prawdziwość informacji zawartej w zgłoszeniu,
• jakie będą formy podejmowanych działań – np. czy będzie to postępowanie wyjaśniające, czy kontrolne itp.

8. środki ochrony prawnej

Kolejna informacja, która musi być przedstawiona to „środki ochrony prawnej i procedury służące ochronie przed działaniami odwetowymi oraz dostępność poufnej porady dla osób rozważających dokonanie zgłoszenia zewnętrznego” (art. 48 ust. 1 pkt 8 u.o.s.). Organy publiczne są m.in. zobligowane podać informację nie tylko o przysługującym sygnaliście prawie do żądania odszkodowania lub zadośćuczynienia w przypadku, gdy doświadczy on działań odwetowych, lecz także o tym, jakie obowiązują procedury ochronne przed działaniami odwetowymi, a więc m.in. odwołanie do właściwych przepisów prawa, które regulują, w jaki sposób sygnalista może dochodzić swoich praw i realizować przysługujące mu roszczenia.

Przepis mówi także o tym, aby powiadomić sygnalistę, gdzie i w jaki sposób może skorzystać z poufnej porady, jeżeli chciałby zgłosić naruszenie prawa. Czy to oznacza, że organy publiczne muszą zapewnić możliwość skorzystania z takiej porady? Nie ma na to jasnej odpowiedzi. Zapewne konieczne okaże się zorganizowanie w urzędach obsługujących organy publiczne np. punktów poufnej porady, rozszerzenie zakresu działań już istniejących punktów pomocy prawnej o ochronę sygnalistów. Ze względów celowościowych do sygnalistów powinny trafić informacje, gdzie i w jaki sposób mogą w bezpieczny sposób uzyskać informacje na temat przysługujących im środków ochrony prawnej, jak realizować swoje prawa. Trzeba też dostarczyć im wiedzy, w jaki sposób mogą zasygnalizować naruszenie prawa w ramach zgłoszenia zewnętrznego.

9. ochrona przed odpowiedzialnością

Organ przyjmujący zgłoszenia zewnętrzne poda też na stronie BIP informacje o warunkach, na jakich sygnalista będzie chroniony przed ponoszeniem odpowiedzialności za naruszenie poufności zgodnie z art. 16 u.o.s. (wymóg ten wynika z art. 48 ust. 1 pkt 9 u.o.s.). W ramach powyższej informacji organy publiczne muszą opisać w sposób jasny i zrozumiały, że sygnalista nie będzie ponosił odpowiedzialności (np. odszkodowawczej), jeżeli w wyniku zgłoszenia zewnętrznego, którego dokonał, dojdzie do ujawnienia tajemnicy przedsiębiorstwa.

Jest jednak jeden istotny warunek, który trzeba spełnić, aby uwolnić się od takiej odpowiedzialności. Mianowicie sygnalista musi mieć uzasadnione podstawy, by sądzić, że takie zgłoszenie jest niezbędne do tego, żeby ujawnić naruszenie prawa (czyli po stronie sygnalisty musi istnieć dobra wiara). Ustawodawca zatem uznał, że wartością nadrzędną w stosunku do szkody, jaką może ponieść osoba trzecia na skutek np. ujawnienia tajemnicy przedsiębiorstwa, jest wykrycie naruszenia prawa lub zapobieżenie mu.

10. zachęty do składania zgłoszeń

Kolejny obowiązkowy element, jaki organ musi zamieścić w BIP, to „zachęta do korzystania z procedury zgłoszeń wewnętrznych podmiotu prawnego w przypadku, gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych”.

Przypomnijmy, że to sygnalista może zdecydować, czy naruszenie prawa zgłosi w ramach zgłoszenia wewnętrznego czy zewnętrznego. Przepisy u.o.s. nie wprowadzają obowiązku korzystania przez sygnalistę najpierw ze ścieżki wewnętrznej zgłoszenia, a dopiero potem z zewnętrznej. Jednak organy powinny zachęcać, aby sygnaliści korzystali z procedur zgłoszeń wewnętrznych ustanowionych przez podmioty prawne. Celem tego zapisu jest to, aby zgłoszenia trafiały – o ile to możliwe – do tych podmiotów prawnych, których zgłoszenie dotyczy, po to, żeby mogły one zająć się skutecznie takim zgłoszeniem w ramach przewidzianych przez siebie procedur. Ustawodawca niewątpliwie uznał, że dzięki temu podmioty prawne będą mogły zapobiec konkretnemu naruszeniu prawa, które ich dotyczy, czy też zaradzić skutkom takiego naruszenia.

Kolejnym argumentem za tym, że sygnaliści powinni stosować w pierwszej kolejności zgłoszenia wewnętrzne, jest konieczność zapobieżenia sytuacji, w której organy publiczne zostałyby zalane falą zgłoszeń, które można skutecznie i rzetelnie rozpatrzyć w ramach procedury zgłoszeń wewnętrznych.

Warto jednak zauważyć, że priorytetem jest ochrona sygnalisty przed działaniami odwetowymi. Sygnalista powinien mieć swobodę w podjęciu decyzji, w jaki sposób dokona zgłoszenia, szczególnie jeśli się obawia, że może doświadczyć działań odwetowych na skutek zgłoszenia wewnętrznego. Komunikat skierowany do sygnalisty przez organ publiczny nie może zatem wywierać u niego wrażenia, że powinien on najpierw dokonać zgłoszenia wewnętrznego, zanim zdecyduje się na zgłoszenie zewnętrzne. Sygnalista musi czuć się bezpiecznie, czyli wiedzieć, że jeśli w jego ocenie może doświadczyć działań odwetowych na skutek zgłoszenia wewnętrznego, to może swobodnie skorzystać ze ścieżki zewnętrznej.

11. dane kontaktowe rzecznika praw obywatelskich

Ostatnią z obligatoryjnych pozycji na stronie BIP jest zamieszczenie danych kontaktowych rzecznika praw obywatelskich. Przepisy u.o.s. nie określają jednak, czy chodzi tylko o dane kontaktowe RPO używane przy komunikacji w ramach zwykłej działalności organu, czy chodzi o szerszy zakres danych. Mając na uwadze wykładnię celowościową – chodzi zapewne także o te dane kontaktowe, które mają związek ze zgłoszeniami zewnętrznymi.