Prowadzenie rejestru zgłoszeń wewnętrznych i rejestru zgłoszeń zewnętrznych to nie jedyne obowiązki organu publicznego. Trzeba też pamiętać o konieczności sporządzania sprawozdań i publikacji określonych informacji w BIP.

1. Prowadzenie rejestru zgłoszeń wewnętrznych

Każdy podmiot prawny, który jest objęty obowiązkiem wdrożenia procedury zgłoszeń wewnętrznych, ma również obowiązek prowadzenia rejestru zgłoszeń wewnętrznych oraz obowiązki wynikające z funkcji administratora zgromadzonych w tym rejestrze danych osobowych.

Ustawodawca określił w art. 29 ust. 4 ustawy o ochronie sygnalistów (dalej u.o.s.) zakres informacji objętych rejestrem zgłoszeń wewnętrznych. W pierwszej kolejności należy poświęcić uwagę elementowi rejestru, określonemu w pkt 2 tego przepisu, tj. przedmiotowi naruszenia prawa. Naruszenie prawa, w kontekście zgłoszenia, należy rozumieć po myśli art. 3 ust. 1 u.o.s. W sytuacji gdy przedmiotem naruszeń i zakresem dopuszczonego ustawą i procedurą zgłoszenia wewnętrznego mogą być również standardy etyczne oraz inne przepisy wewnętrzne przyjęte przez podmiot prawny, zapis ten jest ograniczający i nieracjonalny.

Zgodnie z art. 18 ust. 1 dyrektywy 2019/1937 państwa członkowskie zapewniają, aby podmioty prawne w sektorze prywatnym i publicznym oraz właściwe organy prowadziły rejestr wszystkich przyjętych zgłoszeń, zgodnie z wymogami w zakresie poufności przewidzianymi w art. 16. Zgłoszenia przechowuje się nie dłużej, niż jest to konieczne i proporcjonalne, aby zapewnić zgodność z wymogami ustanowionymi w niniejszej dyrektywie lub innymi wymogami ustanowionymi w prawie unijnym lub krajowym.

Jeżeli podmiot prawny przyjął zgłoszenie, to jego obowiązkiem jest jego rejestracja, a nie ocena, czy część zgłoszeń, które zawierają informacje o naruszeniu prawa, podlega rejestracji, a część, która dotyczy naruszenia przepisów wewnętrznych i standardów etycznych, już nie.

Treść art. 29 ust 4 pkt 2 u.o.s. wymaga więc pilnej zmiany. Zgodnie z wykładnią celowością przepis ten powinien być stosowany do wszystkich przyjętych zgłoszeń i obejmować każdy przedmiot naruszenia, a nie tylko naruszenie prawa.

Kolejna kwestia jest równie poważna, a może jeszcze poważniejsza. Ustawodawca w art. 29 ust. 4 pkt 3 i 4 u.o.s. posługuje się pojęciem sygnalisty, a nie zgłaszającego. To według mnie zasadnicza różnica, biorąc pod uwagę, że ustawodawca nie określił momentu dokonania poszczególnych wpisów w rejestrze. Obowiązek prowadzenia rejestru zgłoszeń, oznaczonego co do treści – w układzie statycznym, nie przekłada się na automatyzm dokonywania poszczególnych wpisów – w układzie dynamicznym.

Ustawodawca prawotwórczo pozostał na ogólnym stwierdzeniu, że wpisu do rejestru zgłoszeń wewnętrznych dokonuje się na podstawie zgłoszenia dokonanego w ramach procedury zgłoszeń wewnętrznych. Zdanie to może być logicznie prawdziwe w zakresie pięciu pierwszych elementów rejestru. W przypadku informacji o podjętych działaniach następczych i dacie zakończenia sprawy podstawą wpisu są inne czynności i zdarzenia.

W poruszanej sprawie problem nie sprowadza się tylko do momentu, w którym urzeczywistnia się obowiązek dokonania każdego z wpisów – można go ustalić wewnętrznie w procedurze, na przykład niezwłocznie po zaistnieniu czynności lub zdarzenia. Istota kwestii sprowadza się do tego, czy pięć pierwszych elementów ma w układzie dynamicznym dotyczyć osoby zgłaszającego czy też sygnalisty. Nie każdy bowiem zgłaszający to sygnalista w rozumieniu ustawy. Sygnalista to zgłaszający, który zgodnie z ustawa o ochronie sygnalistów podlega ochronie prawnej. Natomiast ochronie prawnej nie będzie podlegał zgłaszający, który dokonał zgłoszenia, a odstąpiono od jego rozpatrzenia.

Ze względu na poufność i bezpieczeństwo zgłaszającego i jego danych osobowych zalecam, aby zgłoszenia o naruszeniach nie były ewidencjonowane przez podmiot prawny w żadnych innych rejestrach, na przykład ewidencji korespondencji przychodzącej, w tym wynikających z instrukcji kancelaryjnej. Z tego względu rejestr zgłoszeń wewnętrznych powinien zawierać informacje objęte zgłoszeniem, według stanu na czas przyjęcia zgłoszenia, a nie dokonania wstępnej weryfikacji, której efektem może być odstąpienie od rozpatrzenia zgłoszenia i brak ochrony dla zgłaszającego, przewidzianej dla sygnalistów w ustawie.

Stąd, kierując się również w tym przypadku wykładnią celowościową art. 29 ust. 4 u.o.s., opartą na przepisach dyrektywy 2019/1937, powinno się przyjąć, że rejestr zawiera i agreguje informacje dotyczące:

1) numeru zgłoszenia;

2) przedmiotu naruszenia;

3) danych osobowych zgłaszającego oraz osoby, której dotyczy zgłoszenie, niezbędnych do identyfikacji tych osób;

4) adresu do kontaktu zgłaszającego;

5) daty dokonania zgłoszenia wewnętrznego;

6) informacji o podjętych działaniach następczych;

7) daty zakończenia sprawy.

2. Prowadzenie rejestru zgłoszeń zewnętrznych

Organ publiczny prowadzi rejestr zgłoszeń zewnętrznych, będąc jednocześnie administratorem danych osobowych zgromadzonych w tym rejestrze. Organ publiczny jest odrębnym administratorem w zakresie danych osobowych podanych w zgłoszeniu zewnętrznym, które zostało przyjęte przez ten organ.

Obowiązki organu publicznego i zakres danych objętych rejestrem wynika z art. 46 u.o.s. W tym przypadku ustawodawca także posługuje się pojęciem sygnalisty, a nie zgłaszającego. Stąd dylemat przedstawiony w pkt 1 jest aktualny, jak również proponowane jego obecne rozwiązanie. W obu jednak przypadkach niezbędna jest refleksja ustawodawcy, która, mam nadzieję, zaowocuje stosowną zmianą tych przepisów.

Warto powtórzyć, że w poruszanej sprawie problem nie sprowadza się wyłącznie do momentu, w którym urzeczywistnia się obowiązek dokonania każdego z wpisów. Istota kwestii skupia się na tym, czy rejestr zgłoszeń zewnętrznych w odniesieniu do czterech pierwszych elementów (art. 46 ust. 3 pkt 1–4 u.o.s.) ma w układzie dynamicznym dotyczyć osoby zgłaszającego czy też sygnalisty. Nie każdy bowiem zgłaszający to sygnalista w rozumieniu ustawy o ochronie sygnalistów. Sygnalista to zgłaszający, który zgodnie z powołaną ustawą podlega ochronie prawnej. Natomiast ochronie prawnej nie będzie podlegał zgłaszający, który dokonał zgłoszenia, a odstąpiono od jego rozpatrzenia.

Ze względu na poufność i bezpieczeństwo zgłaszającego i jego danych osobowych zalecam, aby zgłoszenia o naruszeniach prawa nie były ewidencjonowane przez organ publiczny w żadnych innych rejestrach, na przykład ewidencji korespondencji przychodzącej, w tym wynikających z instrukcji kancelaryjnej. Z tego względu rejestr zgłoszeń zewnętrznych powinien zawierać informacje objęte zgłoszeniem, według stanu na czas przyjęcia zgłoszenia, a nie dokonania wstępnej weryfikacji, której efektem może być odstąpienie od rozpatrzenia zgłoszenia i brak ochrony dla zgłaszającego, przewidzianej dla sygnalistów w ustawie.

Osobną kwestią jest pominięcie w rejestrze zgłoszeń zewnętrznych, w przeciwieństwie do rejestru zgłoszeń wewnętrznych, obowiązku dokonywania wpisu w zakresie adresu do kontaktu ze zgłaszającym. To wyłącznie brak konsekwencji w logice prawotwórczej. W przypadku rejestru zgłoszeń zewnętrznych takie dane po prostu nie będą w nim gromadzone.

Ustawodawca rozszerzył natomiast rejestr zgłoszeń zewnętrznych o trzy elementy, tj.:

1) informacje o wydaniu zaświadczenia;

2) informacje o niepodejmowaniu dalszych działań w przypadku, o którym mowa w art. 40 ust. 2 u.o.s., czyli braku istotnych nowych informacji na temat naruszeń prawa w porównaniu z wcześniejszym zgłoszeniem zewnętrznym, dokonanym przez tego samego lub innego sygnalistę;

3) szacunkową szkodę majątkową, jeżeli została stwierdzona, oraz kwoty odzyskane w wyniku postępowań dotyczących naruszeń prawa będących przedmiotem zgłoszenia – o ile organ publiczny posiada te dane.

3. Sprawozdanie dotyczące zgłoszeń zewnętrznych

Dodatkowo w art. 47 ust. 1 u.o.s. został nałożony na każdy organ publiczny obowiązek sporządzania sprawozdania za każdy rok kalendarzowy, zawierającego dane statystyczne dotyczące zgłoszeń zewnętrznych, obejmujące:

1) liczbę przyjętych zgłoszeń zewnętrznych;

2) liczbę postępowań wyjaśniających i postępowań wszczętych w wyniku przyjętych zgłoszeń zewnętrznych oraz informacje na temat wyniku tych postępowań;

3) szacunkową szkodę majątkową, jeżeli została stwierdzona, oraz kwoty odzyskane w wyniku postępowań dotyczących naruszeń będących przedmiotem zgłoszenia zewnętrznego – o ile organ publiczny posiada te dane.

Dane statystyczne nie mogą obejmować danych osobowych ani informacji stanowiących tajemnicę przedsiębiorstwa.

Sprawozdanie organ publiczny przekazuje do Rzecznika Praw Obywatelskich w terminie do 31 marca roku następującego po roku, za jaki jest sporządzane.

Ponadto Rada Ministrów uzyskała delegację do określenia, w drodze rozporządzenia, wzoru formularza sprawozdania, biorąc pod uwagę zakres wymaganych danych, konieczność zapewnienia zupełności i przejrzystości przedstawianych informacji oraz uproszczenia agregacji danych.

Bez istotnego znaczenia jest art. 62 u.o.s., zgodnie z którym sprawozdania za rok 2025 organ publiczny sporządza za okres od dnia rozpoczęcia przyjmowania zgłoszeń zewnętrznych, skoro ich obowiązek powinien zaistnieć od 25.12.2024 r.

4. Obowiązek publikacji w Biuletynie Informacji Publicznej zasad dotyczących zgłoszenia zewnętrznego

Zgodnie z art. 48 ust. 1 u.o.s. każdy organ publiczny umieszcza na swojej stronie w Biuletynie Informacji Publicznej w oddzielnej, łatwo identyfikowalnej i dostępnej sekcji oraz w sposób zrozumiały dla sygnalisty w szczególności informacje o:

1) danych kontaktowych umożliwiających dokonanie zgłoszenia zewnętrznego, w szczególności adres do korespondencji, adres poczty elektronicznej, adres do doręczeń elektronicznych, odrębny adres elektronicznej skrzynki podawczej, adres strony internetowej, na której znajduje się formularz elektroniczny w rozumieniu art. 3 pkt 25 ustawy z 17.02.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne[1], lub numer telefonu wraz ze wskazaniem, czy rozmowy są nagrywane;

2) warunkach objęcia sygnalisty ochroną;

3) trybie postępowania mającym zastosowanie w przypadku zgłoszenia zewnętrznego, w tym o wymaganym sposobie wyjaśnienia informacji będących przedmiotem zgłoszenia lub przedstawienia dodatkowych informacji;

4) terminie przekazania informacji zwrotnej oraz rodzaju i zawartości takiej informacji;

5) zasadach poufności mających zastosowanie do zgłoszeń zewnętrznych;

6) zasadach przetwarzania danych osobowych, o których mowa w art. 8 u.o.s., a także zasadach przetwarzania danych osobowych oraz informacji podawanych w przypadku zbierania danych od osoby, której dane dotyczą, uregulowanych odpowiednio w art. 5 i 13 RODO, art. 13 dyrektywy 2016/680 albo art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z 23.10.2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE[2];

7) charakterze działań następczych podejmowanych w związku ze zgłoszeniem zewnętrznym; 8) środkach ochrony prawnej i procedurach służących ochronie przed działaniami odwetowymi oraz dostępności poufnej porady dla osób rozważających dokonanie zgłoszenia zewnętrznego;

9) warunkach, na jakich sygnalista jest chroniony przed ponoszeniem odpowiedzialności za naruszenie poufności zgodnie z art. 16 u.o.s.;

10) zachęcie do korzystania z procedury zgłoszeń wewnętrznych podmiotu prawnego w przypadku, gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych;

11) danych kontaktowych Rzecznika Praw Obywatelskich.

Ważne

Obowiązek ten wpisuje się w niezbędny cykl działań informacyjnych przybliżających, w sposób generalny, sprawy sygnalistów, ich ochrony oraz zasad zgłaszania naruszeń. Mam nadzieję, że jest to jedno z wielu działań, które będą podejmowane, a nie jedyne.

Zauważenia i komentarza wymaga jednak kwestia informowania o zachęcie do korzystania z procedury zgłoszeń wewnętrznych podmiotu prawnego w przypadku, gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych (art. 48 ust. 1 pkt 10 u.o.s.). Organ zewnętrzny nie posiada bowiem z urzędu takich danych. Wskazany zakres informacyjny powinien być usunięty z przedmiotu powszechnej informacji o sygnalistach i ich ochronie.

Podstawa prawna

[1]Dz.U. z 2024 r. poz. 307 ze zm.

[2] Dz.Urz. UE L 295, s. 39.

Jakie informacje o zgłoszeniach zewnętrznych sygnalista znajdzie na stronie Biuletynu Informacji Publicznej urzędu
Jakie informacje o zgłoszeniach zewnętrznych sygnalista znajdzie na stronie Biuletynu Informacji Publicznej urzędu

Zobacz również