Whistleblowing w firmie - 5 najczęstszych błędów
Pomimo braku prawnego obowiązku wynikającego z dyrektywy UE oraz projektu ustawy o ochronie osób zgłaszających naruszenia prawa, część organizacji już wdrożyła rozwiązania opisane w przepisach lub aktualnie prowadzi działania w tym kierunku. To uzasadniony krok, bowiem wytyczne unijne są znane od dłuższego czasu, a ostatnia wersja krajowej ustawy nie wprowadziła żadnych istotnych zmian i jest kwestią czasu, kiedy będzie procedowana. Jednak eksperci braf.tech, firmy specjalizującej się w tworzeniu rozwiązań IT wspierających procesy compliance i audytu, wskazują, że nie zawsze organizacje podchodzą do tego w prawidłowy sposób. Oto lista najczęstszych błędów.
Nieefektywne kanały zgłoszeń
Kanał komunikacji do zgłaszania nadużyć to jeden z najistotniejszych elementów systemu whistleblowingowego w organizacji. Badanie przeprowadzone przez ARC Rynek i Opinia[1] na zlecenie braf.tech pokazało, że wśród organizacji, które miały wdrożony jakikolwiek proces zbierania informacji o nieprawidłowościach, blisko 90 proc. stosowało głównie rozwiązania takie jak infolinia, zgłoszenia ustne, pisemne w formie listów tradycyjnych lub e-mail. Mają one jednak dwie wady – często nie spełniają wymogów określonych w przepisach i są mało efektywne. W tym pierwszym przypadku problemem jest niski poziom ochrony danych czy ochrony prywatności osoby zgłaszającej, ale też kwestie takie jak umożliwienie dwustronnej komunikacja między sygnalistą a osobami odpowiedzialnymi za proces w firmie. Druga problematyczna kwestia to zarządzanie zgłoszeniami i przetwarzanie danych w ramach działań następczych bez narzędzi dostosowanych do wrażliwości, istotności a także ryzyk związanych z tym procesem.
- Budując system whistleblowingowy, warto iść z duchem cyfrowej transformacji i wybrać rozwiązanie informatyczne, które pozwoli zautomatyzować i zdigitalizować cały proces, co usprawni działanie firmy i pozwoli efektywniej zarządzać ryzykiem. Kluczową cechą kanału komunikacji, która decyduje o jego efektywności jest również zapewnienie prywatności osobie zgłaszającej i ochrona danych zawartych w zgłoszeniu. Sygnalista musi mieć przekonanie, że informacje o podjętych przez niego krokach nie trafią w niepożądane ręce, a on sam nie stanie się ofiarą działań odwetowych – tłumaczy Rafał Barański, CEO braf.tech i współtwórca aplikacji whiblo.
Zgłoszenia nie są przetwarzane zgodnie z RODO
Dane osobowe są nierozerwalnie związane z procesem sygnalizowania naruszeń. Wynika to z tego, że zgłoszenia dokonuje konkretna osoba, która opisuje w nim działania lub zaniechania danego pracownika, sama przy tym się ujawniając. W procesie mamy także do czynienia ze świadkami czy osobami wspierającymi zgłaszającego. Na etapie przyjęcia i przetwarzania zgłoszenia osoba odpowiedzialna za ten proces musi dochować szczególnej staranności, by wszelkie informacje w nim zawarte pozostały poufne, a dane muszą być procesowane zgodnie z RODO.
- Dyrektywa UE i projekt polskiej ustawy obligują organizacje, by przetwarzanie danych zawartych w zgłoszeniach było zgodne z RODO, bowiem ich obsługa będzie nowym procesem wymagającym ujęcia w procedurach ochrony danych osobowych. Warto też pamiętać, że na etapie przetwarzania zgłoszeń i prowadzenia działań następczych kluczowa jest ochrona danych osobowych. Aby proces był prowadzony zgodnie z przepisami ustawy, konieczne jest dochowanie poufności przez osoby zaangażowane w proces whistleblowingowy w firmie i niedopuszczenie do ujawnienia jakichkolwiek danych osobowych ze zgłoszenia – wyjaśnia Ewa Żak-Lisewska, dyrektor ds. rozwoju braf.tech, ekspert w obszarze compliance.
Niejasne procedury i brak edukacji na temat roli sygnalisty
Zrozumienie roli sygnalisty przez pracowników i osoby zarządzające organizacją to częsty problem w kontekście zgłaszania nieprawidłowości. Procedury i kanał komunikacji są wdrażane po cichu, bez prowadzenia komunikacji wewnętrznej, bo część podmiotów traktuje whistleblowing jako potencjalne źródło problemów albo przynajmniej kolejny obowiązek prawny do spełnienia. Aby procedury były stosowane i skuteczne powinny być napisane prostym i zrozumiałym dla pracowników językiem a także regularnie komunikowane załodze, np. w formie obowiązkowych cyklicznych szkoleń wewnętrznych.
- Sygnalista nadal często jest określany mianem donosiciela, albo osoby, która przekazuje informacje, aby osiągnąć własne korzyści i zaszkodzić innym, a tymczasem jego rola jest zupełnie inna. To osoba, która działa dla dobra firmy czy społeczności. Edukacja pracowników i zaangażowanie w ten proces najważniejszych osób w firmie są kluczowe, by zmienić postrzeganie sygnalisty, ale i pokazać, jak system działa i jak wyglądają procedury. Jednak najważniejsze – pracownicy muszą mieć pełne przekonanie, że whistleblowing został wprowadzony w słusznej sprawie, by rozwiązywać wewnętrzne problemy, eliminować nadużycia i w ten sposób dbać o stabilność i przyszłość firmy – mówi Rafał Barański.
Brak działań następczych
Jednym z obowiązków wynikających z dyrektywy oraz projektu ustawy o ochronie sygnalistów jest prowadzenie działań następczych, czyli postępowań wyjaśniających. Na to nakładają się uwarunkowania wewnętrzne, m.in. istnienie lub brak zasobów wewnętrznych do realizacji procesu whistleblowingowego czy też środowisko wewnętrznych, już obowiązujących w firmie czy instytucji regulacji. Te czynniki wpływają na przebieg procesu. Nie mniej istotne jest wyposażenie osób odpowiedzialnych za weryfikację i wyjaśnianie zgłoszeń w niezbędne kompetencje, nadanie im odpowiednich uprawnień i zapewnienie niezbędnych zasobów fizycznych, czasowych oraz finansowych. Częstym problemem jest jednak prowadzenie procesów wyjaśniających w sposób niedbały lub w ogóle zaniechanie działań. Warto tu ponownie odnieść się do badania ARC Rynek i Opinia – 33 proc. respondentów nie zgłasza nieprawidłowości swojemu pracodawcy, bo uważa, że te działania nie przyniosą żadnego efektu.
- Istotą działania whistleblowingu jest identyfikacja nadużyć i ich rozwiązywanie wewnątrz organizacji. Sygnalista podejmuje ryzyko, zgłaszając niepożądaną sytuację, bo nigdy nie wiadomo, czy nie spotkają go za to działania odwetowe. Przepisy mają to właśnie wyeliminować. Jednak, jeśli jego zgłoszenie pozostanie nierozwiązane, spadnie motywacja kolejnych osób w firmie do podobnego działania lub sygnalista zgłosi sprawę bezpośrednio do organu państwowego lub upubliczni ją w mediach. To oznacza znacznie większe konsekwencje wizerunkowe i finansowe dla danego podmiotu - przekonuje Ewa Żak-Lisewska.
Działania na ostatnią chwilę
Wspomniane zeszłoroczne badanie ARC Rynek i Opinia przeprowadzone na zlecenie braf.tech, ale też raport „Czas na ochronę sygnalistów” przygotowany przez EY[2], wskazują, że około połowa firm w Polsce, która jest zobowiązana do implementacji procedur whistleblowingowych w pierwszej kolejności, wstrzymała się z podjęciem działań w tym kierunku. EY podaje, że połowa podmiotów (51 proc.) udostępniła poufne kanały zgłoszeń pracownikom, a tylko co trzecia (33 proc.) procedury ochrony sygnalistów. Pełną gotowość na dyrektywę UE zadeklarowało wówczas 9 proc. polskich spółek. Potwierdza to Ewa Żak-Lisewska:
- Obserwacje nasze i naszych partnerów, m.in. kancelarii prawnych, pokazują, że duża grupa firm opóźnia implementację systemów whistleblowingowych do czasu wprowadzenia polskiej ustawy. Oczywiście są wyjątki np. firmy podlegające pod ustawę AML czy polskie oddziały międzynarodowych korporacji. Jest to duży błąd, bowiem wobec braku stosownych rozwiązań, potencjalne nadużycia pracownicy mogą zgłosić z wykorzystaniem kanałów zewnętrznych lub upublicznić. Podobnie rzecz ma się z firmami prywatnymi zatrudniającymi 50-249 osób, które według przepisów mają czas do grudnia 2023 r. na wdrożenie procedur whistleblowingowych. Jednak sygnalista z takiej firmy jak najbardziej może dokonać zgłoszenia już teraz z wykorzystaniem zewnętrznych kanałów i będzie ono podlegało takiej samej weryfikacji jak w przypadku dużych podmiotów. Ponadto analizy prawne wskazują, że podmioty będące pod kontrolą państwa są zobligowane do wdrożenia systemów whistleblowingowych na podstawie dyrektywy UE i nie powinny czekać na polską ustawę. Cała sytuacja jest analogiczna do implementacji RODO w Polsce, gdy większość firm dopiero w ostatniej chwili podjęła stosowne działania, co wiązało się ze znacznie wyższym zaangażowaniem własnych zasobów i środków finansowych.
[1] https://whiblo.pl/blog/instytucje-i-firmy-prywatne-w-polsce-potrzebuja-narzedzi/
[2] https://www.ey.com/pl_pl/news/2021/10/czas-na-ochrone-sygnalistow
braf.tech
