25 września 2024 r. wchodzi w życie ustawa o ochronie sygnalistów, która nakłada na instytucje obowiązane wymóg przyjęcia procedur zgłoszeń wewnętrznych. W konsekwencji oznacza to, że w zakresie anonimowego zgłaszania naruszeń, instytucje obowiązane muszą być zgodne zarówno z ustawą AML, jak i ustawą o ochronie sygnalistów. Może to rodzić problemy praktyczne w organizacji spójnych procedur zgłaszania naruszeń.
Zgodnie z art. 23 ust. 3 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (dalej u. o. s.), są podmioty, które mają obowiązek wdrożyć procedurę zgłaszania naruszeń prawa na podstawie odrębnych przepisów, niezależnie od liczby zatrudnianych osób (zob. E. Rutkowska [w:] D. Tokarczyk, E. Rutkowska, Ustawa o ochronie sygnalistów. Komentarz, LEX/el. 2024, art. 23.). Będą to podmioty prawne wykonujące działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska. W ten zakres wpisują się instytucje obowiązane w rozumieniu art. 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej: ustawa AML). Instytucje te posiadają już procedury zgłoszeń wewnętrznych na podstawie ustawy AML. W związku z tym pojawiają się pytania czy konieczne jest wdrożenie kolejnej, osobnej procedury na podstawie nowej ustawy oraz które z przepisów mają pierwszeństwo. Zanim jednak zostanie to wyjaśnione, ważne jest uwypuklenie podobieństw i różnic między tymi dwoma regulacjami.
Ustawa o ochronie sygnalistów a ustawa AML
Ustawę o ochronie sygnalistów oraz przepisy na temat zgłoszeń wewnętrznych z ustawy AML łączy wspólny cel w postaci skutecznego wykrywania naruszeń przy jednoczesnym zapewnieniu bezpieczeństwa zgłaszającemu. Dzięki temu organizacje mają szanse na szybkie rozpoznanie nieprawidłowości. A co najważniejsze, przepisy chroniące zgłaszających pozwalają im na uniknięcie negatywnych konsekwencji zgłoszenia. Regulacje te jednak różnią się od siebie. Ustawa o ochronie sygnalistów posiada o wiele szerszy zakres przedmiotowy zgłoszeń, wskazuje na większą liczbę podmiotów, które mogą być sygnalistami oraz posiada otwarty katalog działań, które można uznać za działania o charakterze odwetowym.
Aspekt porównawczy [w zakresie zgłoszeń wewnętrznych] |
Ustawa AML |
Ustawa o ochronie sygnalistów |
Zakres przedmiotowy naruszenia prawa |
Tylko naruszenie prawa w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu >> patrz art. 53 ust. 1 ustawy AML |
Szeroki zakres, np. korupcja, usługi, produkty i rynki finansowe, bezpieczeństwo produktu, zamówienia publiczne >> patrz art. 3 ust. 1 u.o.s. |
Zakres podmiotowy zgłoszenia naruszenia prawa |
Pracownik lub inne osoby wykonujące czynności na rzecz instytucji obowiązanej >> patrz art. 53 ust. 1 ustawy AML |
Szeroki zakres, np. akcjonariusz, prokurent, wspólnik, stażysta >> patrz art. 4 ust. 1 u.o.s. |
Działania odwetowe względem zgłaszającego |
Działania o charakterze represyjnym lub wpływającym na pogorszenie sytuacji prawnej lub faktycznej, lub polegające na kierowaniu gróźb, w szczególności działań negatywnie wpływających na warunki pracy lub zatrudnienia >> patrz art. 53a ust. 2 ustawy AML |
Otwarty katalog działań, np. odmowa nawiązania stosunku pracy >> patrz art. 12 ust. 1 u.o.s. |
Tabela opracowana na podstawie W. Kapica, A. Szpojankowski, Ochrona sygnalistów banku zgodnie z ustawą o ochronie sygnalistów oraz ustawą AML, LEX/el. 2024.
Różnice te nie oznaczają, że instytucje obowiązane mogą wybrać z którego reżimu chcą korzystać. Mają obowiązek być zgodne zarówno z ustawą AML, jak i ustawą o ochronie sygnalistów.
Zgodnie z art. 10 u.o.s., ustawę o ochronie sygnalistów stosuje się w zakresie nieuregulowanym w przepisach aktów normatywnych ustanowionych przez instytucje Unii Europejskiej. Zatem w pierwszej kolejności stosuje się akt sektorowy, ustawę AML, a dopiero uzupełniająco ustawę o ochronie sygnalistów. Dopuszcza się możliwość posiadania wspólnych kanałów zgłoszeń w instytucjach obowiązanych.
Wewnętrzna procedura anonimowego zgłaszania naruszeń w instytucji obowiązanej
Ustawa o ochronie sygnalistów wymaga od procedur wewnętrznych znacznie szerszego zakresu informacji niż ustawa AML. Niemniej we wspomnianych regulacjach można znaleźć elementy wspólne. Podsumowując, procedura (na podstawie tych dwóch ustaw) powinna zawierać co najmniej:
- określanie osoby odpowiedzialnej za odbieranie zgłoszeń/ wewnętrzną jednostkę organizacyjną/ podmiot wewnętrzny,
- wskazanie sposobu przekazywania zgłoszeń przez sygnalistę (wraz z adresem do kontaktu) oraz sposobu odbioru zgłoszeń,
- wskazanie bezstronnej osoby/ wewnętrznej jednostki organizacyjnej upoważnionej do podejmowania działań następczych oraz określenie jaki rodzaj i charakter tych działań może mieć miejsce,
- określenie sposobu ochrony osoby dokonującej zgłoszenia przed represjami oraz ochrony jego/jej danych osobowych,
- wskazanie zasad zachowania poufności,
- termin usunięcia danych osobowych przez instytucję obowiązaną,
- tryb postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo,
- obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego,
- maksymalny termin na przekazanie sygnaliście informacji zwrotnej,
- zrozumiałe i łatwo dostępne informacje na temat dokonywania zgłoszeń zewnętrznych.
Artykuł 25 ust. 2 u.o.s. dopuszcza również umieszczenie w procedurze dodatkowych informacji, które organizacja może rozważyć. Warto zwrócić uwagę zwłaszcza na określenie systemu zachęt do korzystania z procedury zgłoszeń zewnętrznych. Umożliwi to wczesne wykrycie naruszenia, a sam system zachęt może upewnić sygnalistę, że w przypadku zgłoszenia nie wystąpią wobec niego żadne działania odwetowe.
Ochrona sygnalistów w kancelarii prawnej
Kancelarie prawne też mogą być zobowiązane do wdrożenia do wdrożenia procedur zgłoszeń wewnętrznych, jeżeli zatrudniają ponad 50 osób lub są instytucją obowiązaną w rozumieniu ustawy AML. Adwokaci, radcowie prawni, prawnicy zagraniczni, doradcy podatkowi w zakresie jakim świadczą na rzecz klienta pomoc prawną lub czynności doradztwa podatkowego dot.:
- kupna/sprzedaży nieruchomości, przedsiębiorstwa lub zorganizowanej części przedsiębiorstwa,
- zarządzania środkami pieniężnymi, instrumentami finansowymi lub innymi aktywami klienta,
- zawierania umowy o prowadzenie rachunku bankowego, rachunku papierów wartościowych lub wykonywania czynności związanych z prowadzeniem tych rachunków,
- wnoszenia wkładu do spółki kapitałowej lub podwyższenia kapitału zakładowego spółki kapitałowej,
- tworzenia, prowadzenia działalności, zarządzania spółkami kapitałowymi lub trustami stanowiącymi instytucje obowiązaną (art. 2 ust. 1 pkt 14 ustawy AML).
Poza ww. sytuacjami, kancelaria może stać się instytucją obowiązaną również wtedy, gdy np. będzie dokonywać płatności za towary w gotówce o wartości równej lub przekraczającej równowartość 10.000 euro (zgodnie z art. 2 ust. 1 pkt 23 ustawy AML) lub gdy podstawową działalnością gospodarczą kancelarii jest świadczenie usług polegających na sporządzaniu deklaracji, prowadzeniu ksiąg podatkowych, udzielaniu porad, opinii lub wyjaśnień z zakresu przepisów prawa podatkowego lub celnego (art. 2 ust. 1 pkt 15a ustawy AML) (zob. G. Wycichowski-Kuchta, Ochrona sygnalistów w kancelarii prawnej (kancelaria jako przedsiębiorstwo), LEX/el. 2024.).
Jeżeli kancelaria posiada wewnętrzne procedury na podstawie ustawy AML, konieczne będzie przeprowadzenie audytu, a następnie dostosowanie ich do ustawy o ochronie sygnalistów. Z perspektywy kancelarii ważny jest również art. 5 ust. 1 pkt 2 u.o.s., który mówi, że ustawy nie stosuje się do informacji objętych tajemnicą zawodową zawodów prawniczych.
Nowe regulacje nie są istotne tylko z punktu widzenia zarządzania, ale również nowego rodzaju klienta - sygnalisty, który może chcieć uzyskać poradę prawną od specjalisty.
Julia Magulska
Product Manager LEX Kancelaria Prawna
Dział Zarządzania Produktami