Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz.U.UE.L.2019.305.17, dyrektywa o sygnalistach, dalej jako dyrektywa) obejmuje zarówno sektor publiczny, jak i prywatny i zapewnia ochronę szerokiemu gronu potencjalnych sygnalistów, a także pomagającym im osobom fizycznym oraz innym osobom fizycznym i prawnym z nimi związanym.

Dyrektywa przewiduje stworzenie trzech kanałów dokonywania zgłoszeń: wewnętrzny w ramach danego podmiotu, zewnętrzny do właściwego organu publicznego i ujawnienie publiczne, czyli zgłoszenie nieprawidłowości do mediów.

Dyrektywa określa zakres dziedziny, w których ustanawia się minimalne normy ochrony osób zgłaszających naruszenia prawa UE m.in. w następujących dziedzinach:

1. Zamówienia publiczne
2. Usługi, produkty i rynki finansowe oraz zapobieganie praniu pieniędzy
   i finansowaniu terroryzmu
3. Bezpieczeństwo produktów i ich zgodność z wymogami
4. Bezpieczeństwo transportu
5. Ochrona środowiska
6. Ochrona radiologiczna i bezpieczeństwo jądrowe
7. Bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt
8. Zdrowie publiczne
9. Ochrona konsumentów
10. Ochrona prywatności i danych osobowych oraz bezpieczeństwo sieci i systemów informatycznych

Biorąc pod uwagę katalog dziedzin i obszarów (art. 2 ust. 1 dyrektywy) zgłaszanie naruszeń od strony przedmiotowej dotyczy obszaru działania podmiotów sektora publicznego. Naruszenia prawa mogą wystąpić w związku z funkcjonowaniem podmiotów sektora publicznego w każdej z wymienionych sfer. Tytułem przykładu, w sektorze publicznym w zakresie jakim może dojść do naruszenia jest np.: ochrona środowiska czy zdrowie publiczne. Te dziedziny należą do zadań własnych gminy, powiatu czy województwa zgodnie z ustawą o samorządzie gminnym, powiatowym czy województwa, dlatego też podmioty publiczne zobowiązane są do wdrożenia kanału zewnętrznego.

Naruszenie prawa to działanie lub zaniechanie skutkujące naruszeniem prawa, do którego dane państwo jest zobowiązane na mocy przepisów UE. W zakresie zamówień publicznych nowe przepisy mogą nie mieć zastosowania do zgłoszeń o naruszeniach prawa zamówień publicznych w zakresie obronności lub bezpieczeństwa oraz bezpieczeństwa narodowego, gdyż zazwyczaj są one regulowane przez prawo krajowe.

Wszystkie podmioty publiczne, w tym wszelkie podmioty będące własnością lub kontrolowane przez podmiot publiczny, powinny wdrożyć kanały zgłoszeń dla sygnalistów.

Zgodnie z obowiązującymi przepisami wyjaśniamy, kto jest podmiotem publicznym. Zgodnie z art. 2 ustawy z 19 grudnia 2008 r. o partnerstwie publiczno-prywatnym (t.j. Dz.U.2020.711) pod pojęciem podmiotu publicznego rozumie się:

a) jednostkę sektora finansów publicznych w rozumieniu przepisów o finansach publicznych,
b) inną, niż określona w lit. a, osobę prawną utworzoną w szczególnym celu zaspokajania potrzeb o charakterze powszechnym niemających charakteru przemysłowego ani handlowego, jeżeli podmioty, o których mowa w tym przepisie oraz w lit. a, pojedynczo lub wspólnie, bezpośrednio lub pośrednio przez inny podmiot:
– finansują ją w ponad 50% lub
– posiadają ponad połowę udziałów albo akcji, lub
– sprawują nadzór nad organem zarządzającym, lub
– mają prawo do powoływania ponad połowy składu organu nadzorczego lub zarządzającego,
c) związki podmiotów, o których mowa powyżej.

Ustawa z 27 sierpnia 2009 r. o finansach publicznych (t.j. Dz.U.2021.305), w art. 9 stanowi, że ustawa z dnia tworzą:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;

2) jednostki samorządu terytorialnego oraz ich związki;

2a) związki metropolitalne;

3) jednostki budżetowe;

4) samorządowe zakłady budżetowe;

5) agencje wykonawcze;

6) instytucje gospodarki budżetowej;

7) państwowe fundusze celowe;

8) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;

9) Narodowy Fundusz Zdrowia;

10) samodzielne publiczne zakłady opieki zdrowotnej;

11) uczelnie publiczne;

12) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;

13) państwowe i samorządowe instytucje kultury;

14) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, instytutów działających w ramach Sieci Badawczej Łukasiewicz, banków oraz spółek prawa handlowego.

W projekcie polskiej ustawy o ochronie osób zgłaszających naruszenia prawa[1] czytamy, że przez organ publiczny – należy rozumieć́ organ administracji publicznej, który ustanowił procedurę̨ przyjmowania zgłoszeń́ zewnętrznych o naruszeniach prawa w dziedzinie należącej do zakresu działania tego organu. Jednakże nie można na tej podstawie przyjąć, że ustanowienie procedury przesądza o tym, że dany organ jest organem publicznym – decydują o tym bowiem powszechnie obowiązujące przepisy prawa, które taki organ jasno definiują oraz zakres zadań ustawowo nałożony na określona jednostkę. Oznacza to, że należy kierować się katalogiem przedmiotowym, w zakresie określonych zarówno w dyrektywie, jak i projekcie ustawy.

Organem administracji publicznej zgodnie z przepisami dotyczącymi postępowania administracyjnego są ministrowie, centralne organy administracji rządowej, wojewodowie, działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej), organy jednostek samorządu terytorialnego oraz organy i podmioty, które są powołane z mocy prawa lub na podstawie porozumień do rozstrzygania spraw indywidualnych w drodze decyzji administracyjnych.

W uzasadnieniu do projektu ustawy określa się, że obok instytucji centralnej, zadania przyjmowania zgłoszeń zewnętrznych będą realizować także inne organy publiczne, odnośnie do naruszeń w dziedzinach pozostających w zakresie ich działania. W takim przypadku organy te będą zobowiązane do wdrożenia przynajmniej określonego minimum rozwiązań proceduralnych i organizacyjnych odnośnie do przyjmowania i weryfikacji zgłoszeń oraz komunikacji ze zgłaszającymi, przewidzianych przez ustawę i odzwierciedlających wymogi dyrektywy.

Ponadto, wprost w projekcie ustawy w art. 35 określono: „Zgłaszający może dokonać́ zgłoszenia zewnętrznego bez uprzedniego dokonania zgłoszenia wewnętrznego.  W art. 36 wskazano: „Organem centralnym jest Rzecznik Praw Obywatelskich.  Organem publicznym przyjmującym zgłoszenia w zakresie zasad konkurencji i ochrony konsumentów jest Prezes Urzędu Ochrony Konkurencji i Konsumentów. Natomiast co jest istotne dla organów publicznych: Organami publicznymi są̨ także inne organy przyjmujące zgłoszenia zewnętrzne dotyczące naruszeń́ w dziedzinach należących do zakresu działania tych organów.

W ocenie autora zakres podmiotów zobowiązanych do wdrożenia stosownych rozwiązań należy sformułować w kontekście realizowanych obszarów i zadań ustawowo nałożonych na określone podmioty. 

Co do sposobu realizacji zgłoszeń zewnętrznych w projekcie ustawy wskazano, że zgłoszenia zewnętrzne są przyjmowane przez organ centralny albo organ publiczny. Nałożono na te podmioty obowiązek opracowania procedur przyjmowania zgłoszeń zewnętrznych.

Organ publiczny: 

1)  dokonuje wstępnej weryfikacji zgłoszenia zewnętrznego;

2)  przyjmuje zgłoszenie zewnętrzne – w przypadku, gdy zgłoszenie dotyczy naruszeń́ w dziedzinie należącej do zakresu działania tego organu;

3)  przekazuje zgłoszenie zewnętrzne do organu właściwego do podjęcia działań́ następczych – w przypadku, gdy zgłoszenie dotyczy naruszeń́ w dziedzinie nienależącej do zakresu działania tego organu;

4)  podejmuje działania następcze;

5)  przekazuje zgłaszającemu informację zwrotną.

Ponadto, zgodnie z projektem ustawy (art. 40) Organ publiczny za każdy rok kalendarzowy sporządza sprawozdanie zawierające dane statystyczne dotyczące zgłoszeń́ zewnętrznych obejmujące:

1)  liczbę̨ przyjętych zgłoszeń́ zewnętrznych;

2)  liczbę̨ postepowań́ wyjaśniających i postepowań́ wszczętych w wyniku przyjętych zgłoszeń́ zewnętrznych oraz informacje na temat wyniku tych postepowań́;

3) szacunkową szkodę̨ majątkową̨, jeżeli została stwierdzona, oraz kwoty odzyskane w wyniku postępowań́ dotyczących naruszeń́ będących przedmiotem zgłoszenia zewnętrznego – o ile organ publiczny posiada te dane.

Sprawozdanie przekazuje się do organu centralnego w terminie do dnia 31 stycznia roku następującego po roku, za jaki jest sporządzane sprawozdanie.

Natomiast co ważne dla organu centralnego, to on na podstawie sprawozdań́ organów publicznych sporządza sprawozdanie za dany rok kalendarzowy i przekazuje go do Komisji Europejskiej.

Ponadto, ustawodawca wskazał, że zarówno organ centralny oraz organ publiczny umieszczają̨ na swoich stronach internetowych, w sposób zrozumiały dla zgłaszającego, informacje o:

1) danych kontaktowych umożliwiających dokonanie zgłoszenia zewnętrznego,
w szczególności adres pocztowy i elektroniczny oraz numer infolinii;

2)  warunkach kwalifikowania się̨ zgłaszającego do objęcia ochroną;

3) trybie postępowania mającym zastosowanie w przypadku zgłoszenia zewnętrznego;

4) zasadach poufności mających zastosowanie do zgłoszeń́ zewnętrznych, w tym informacje związane z przetwarzaniem danych osobowych;

5) charakterze działań́ następczych podejmowanych w związku ze zgłoszeniem zewnętrznym;

6) środkach ochrony prawnej i procedurach służących ochronie przed działaniami odwetowymi oraz dostępności poufnej porady dla osób rozważających dokonanie zgłoszenia zewnętrznego;

7) warunkach, na jakich zgłaszający jest chroniony przed ponoszeniem odpowiedzialności za naruszenie poufności.

Organ publiczny umieszcza na swojej stronie internetowej także informacje o danych kontaktowych organu centralnego.

Kanał wewnętrzny, zgodnie z art. 27 projektowanej ustawy zobowiązani są pracodawcy zatrudniający co najmniej 50 pracowników. Jednak należy podkreślić, iż próg ten nie ma zastosowania do pracodawców wykonujących działalność́ w zakresie usług, produktów i rynków finansowych oraz zapobiegania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części I.B i II załącznika do dyrektywy. Podmioty sektora finansowego będą objęte powyższym obowiązkiem niezależnie od poziomu zatrudnienia.

Tożsamość lub jakiekolwiek informacje dotyczące tożsamości sygnalisty nie mogą być ujawniane nikomu poza upoważnionym personelem bez jego wyraźnej zgody. Informacje te mogą być ujawniane tylko wtedy, gdy jest to konieczne i proporcjonalne w kontekście dochodzeń prowadzonych przez organy krajowe lub postępowania sądowego. Wszystkie dane osobowe sygnalisty muszą być przetwarzane zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO).

Dr Magdalena Kuszmider – posiada podwójny dyplom magistra: z administracji publicznej oraz z prawa. Tytuł doktora nauk prawnych obroniła w katedrze prawa administracyjnego. Rozprawę doktorską napisała nt. „Ograniczenia prawa do informacji w administracji publicznej w Polsce”. Specjalizuje się w prawie ochrony danych osobowych, dostępie do informacji publicznej, postępowaniu administracyjnym, prawie samorządowym. Od lat współpracuje z sektorem publicznym i prywatnym w zakresie obsługi i doradztwa prawnego. Przez kilka lat wprowadzała i tworzyła na rynku polskim holding polsko – holenderski. Autorka publikacji nt. międzynarodowego prawa ochrony środowiska oraz książki pt. Informacja publiczna w jednostkach sektora publicznego. Współwłaściciel Instytutu Szkoleniowo – Doradczego, współpracuje w zakresie obsługi prawnej z Kancelarią Radców Prawnych w Warszawie i w Rzeszowie. Obecnie obsługuje głównie jednostki publiczne w zakresie doradztwa prawnego, ochrony danych osobowych, czy też działalności szkoleniowej. Obecnie stworzyła aplikację w związku z wejściem do naszego obrotu prawnego przepisów w sprawie ochrony osób zgłaszających naruszenia prawa.

[1] https://www.legislacja.gov.pl/projekt/12352401