Ustawa o sygnalistach, a ubezpieczenie OC władz spółek

Do dnia 17 grudnia 2021 Polska ma czas na wprowadzenie ustawy implementującej Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (dalej jako Dyrektywa o Sygnalistach lub Dyrektywa).

Zakres przedmiotowy zastosowania Dyrektywy określony został w jej art. 2 i obejmuje ochronę osób zgłaszających naruszenia prawa Unii (Sygnalistów) w zakresie poniższych dziedzin:

  1. Zamówienia publiczne;
  2. Usługi, produkty, rynki finansowe oraz zapobieganie praniu pieniędzy i finansowaniu terroryzmu;
  3. Bezpieczeństwo produktów i ich zgodność z wymogami;
  4. Bezpieczeństwo transportu;
  5. Ochrona środowiska;
  6. Ochrona radiologiczna i bezpieczeństwo jądrowe;
  7. Bezpieczeństwo żywności i pasz, zdrowie i dobrostan zwierząt;
  8. Zdrowie publiczne;
  9. Ochrona konsumentów;
  10. Ochrona prywatności i danych osobowych oraz bezpieczeństwo w sieci i systemów informatycznych;
  11. Naruszenia mające wpływ na interesy finansowe Unii o których mowa w art. 325 Traktatu o Funkcjonowaniu Unii Europejskiej (dalej TFUE) – dotyczące zwalczania nadużyć finansowych i działań nielegalnych uderzających w interesy finansowe UE i państw członkowskich;
  12. Naruszenia rynku wewnętrznego o którym mowa a art. 26 ust 2 TFUE (czyli rynku bez granic wewnętrznych w których funkcjonuje swobodny przepływ towarów, usług, osób i kapitału) oraz naruszenia rynku wewnętrznego poprzez działania naruszające przepisy o podatku dochodowym od osób prawnych lub poprzez stosowanie działań i mechanizmów zmierzających do osiągnięcia korzyści podatkowej sprzecznych z celem i przedmiotem wskazanym w przepisach o podatku dochodowym od osób prawnym (agresywna optymalizacja podatkowa) .

Państwa członkowskie implementujące przepisy Dyrektywy o Sygnalistach uprawnione są do wprowadzenia przepisów rozszerzających zakres przedmiotowy stosowania Dyrektywy o inne przypadki naruszeń prawa np. pracy.

Dyrektywa nie wprowadza definicji Sygnalisty, ale określa w art. 4 minimalny zakres podmiotowy jej stosowania, zapewniający ochronę osób zgłaszających nieprawidłowości w sektorze prywatnym czy publicznym, które uzyskały informację w związku z pracą tj. między innymi:

  1. Pracowników, ale w rozumieniu art. 45 ust 1 TSUE, czyli znacznie szerzej zdefiniowanych niż pracownik według polskiego prawa pracy (Kodeks Pracy). Zgodnie bowiem z przepisami UE i orzeczeniami Europejskiego Trybunału Sprawiedliwości (dalej ETS) pracownikiem jest każda osoba, która wykonuje rzeczywistą i efektywną pracę za wynagrodzeniem, pod kierownictwem innej osoby (osoby zatrudnione na podstawie cywilnoprawnej, umowy o dzieło etc. tak długo jak wykonują zadania zlecone przez firmę i pod jej nadzorem); Dyrektywa zapewnia ochronę także, tak rozumianym, byłym i przyszłym pracownikom;
  2. Osoby prowadzące działalność gospodarczą na własny rachunek współpracujące z przedsiębiorcą;
  3. Akcjonariuszy, wspólników, zarządzających lub nadzorujących przedsiębiorstwo, wolontariuszy, praktykantów/stażystów nawet nieotrzymujących wynagrodzenia;
  4. Kontrahentów, podwykonawców, wykonawców i osób pracujących pod ich kierownictwem.

Dyrektywa przewiduje również zakaz działań odwetowych w stosunku do osób zgłaszających oraz nakazuje wprowadzenie w przedsiębiorstwach procedury zgłoszeń wewnętrznych. Ustanawia również zasady funkcjonowania zgłoszeń do organów władzy publicznej (w tym organów centralnych) oraz ujawnień publicznych, rozumianych jako „podanie do wiadomości publicznej informacji” o nieprawidłowości np. w środkach masowego przekazu czy mediach społecznościowych.

 

Dyrektywa zobowiązuje państwa członkowskie do wprowadzenia:

  1. Środków wsparcia dla osób dokonujących zgłoszeń (art. 20) w zakresie swobodnego i otwartego dostępu do informacji nt. przysługujących praw, ochrony prawnej itp. działań wspierających osoby zgłaszające;
  2. Środków ochrony Sygnalistów przed działaniami odwetowymi, ale także właściwej ochrony osób których dotyczy zgłoszenie o nieprawidłowościach (art. 21 i 22);
  3. Sankcji wobec osób fizycznych czy prawnych które:
    1. Już usiłują utrudnić lub utrudniają dokonanie zgłoszeń,
    2. Podejmują działania odwetowe (stanowiące już teraz w świetle przepisów prawa unijnego czy np. polskiego naruszenie praw pracowniczych),
    3. Wszczynają wobec Sygnalistów uciążliwe postępowania,
    4. Ujawniają dane osobowe Sygnalistów lub w inny sposób naruszają poufność ich tożsamości.

Rodzaje i sposoby ochrony ww. osób, zostają pozostawione państwom członkowskim do wprowadzenia właściwymi przepisami krajowymi.

 

Do 17 grudnia 2021 państwa członkowskie mają obowiązek wprowadzenia w życie przepisów krajowych, implementujących przepisy unijne. Dyrektywa przewidziała odstępstwo od powyższej daty w zakresie przedsiębiorstw zatrudniających od 50 do 249 pracowników, ale nie w zakresie całej Dyrektywy (w tym w szczególności ochrony Sygnalistów przed działaniami odwetowymi), ale jedynie w zakresie wprowadzenia przepisów krajowych regulujących obowiązek ustanowienia wewnętrznych kanałów zgłaszania nieprawidłowości. Dla tych podmiotów i we wspomnianym ograniczonym zakresie, przedsiębiorstwa mają czas do 17 grudnia 2023 r.

Podkreślenia wymaga jednak fakt, iż dyrektywa mówi o pracownikach w rozumieniu prawa Unii Europejskiej oraz w rozumieniu orzeczeń ETS (o czym mowa było wyżej).

 

Co oznacza brak ustawy do 17.12.2021 dla przedsiębiorstw ?

Brak Ustawy o Sygnalistach z dniem 17 grudnia bieżącego roku nie oznacza, że przedsiębiorcy powinni bezczynnie oczekiwać na wprowadzenie właściwych przepisów prawa.

ETS podkreślał wielokrotnie w swoich orzeczeniach, iż Dyrektywa może wywierać bezpośredni skutek, jeżeli jest „wystarczająco precyzyjna i bezwarunkowa”, a kraj członkowski nie dokonał jej implementacji w terminie lub dokonał jej wadliwie. W takim przypadku obywatel EU ma prawo korzystać z ochrony przepisów dyrektywy, mimo braku przepisów krajowych, przez sądami i organami administracji.

Mając to na uwadze uważam, że przepisy Dyrektywy o Sygnalistach będzie można stosować bezpośrednio w krajowym porządku prawnym, w zakresie praw Sygnalistów, a więc zwłaszcza możliwości dokonywania zgłoszeń zewnętrznych, ujawnień publicznych i ochrony osób dokonujących takie zgłoszenia.

Brak przepisów krajowych spowoduje jednak brak powstania obowiązków po stronie przedsiębiorców oraz brak ochrony i wsparcia centralnych organów administracji publicznej.

Do czasu wprowadzenia polskiej Ustawy, brak jest także jasnych uregulowań przewidujących sankcje. Nic nie stoi jednak na przeszkodzie aby osoby, którym w jakikolwiek sposób utrudniano dokonanie zgłoszenia lub ujawnienia publicznego lub wobec, których zastosowano działania odwetowe (lub ich groźbę lub próby takich działań), zdefiniowane w Dyrektywie, korzystały z powszechnie obowiązujących przepisów prawa karnego czy cywilnego w zakresie odpowiedzialności karnej za naruszenie praw pracowniczych (art. 218 kodeksu Karnego) czy odszkodowawczej określonej przepisami prawa cywilnego czy prawa pracy (np. art. 415 Kodeksu Cywilnego czy art. 183d  Kodeksu Pracy).

Sygnaliści będą mogli również, moim zdaniem, swobodnie dokonywać zgłoszeń zewnętrznych lub ujawnień publicznych w zakresie i granicach określonych Dyrektywą.

 

Firmy zatrudniające poniżej 50 osób

Podkreślenia wymaga również fakt, wbrew częstym opiniom ekspertów publikujących komentarze dotyczące Ustawy czy Dyrektywy, że oba akty prawne nie ograniczają ich stosowania jedynie do przedsiębiorstw zatrudniających co najmniej 50 osób.

Projekt polskiej Ustawy, w obecnym kształcie w ślad za Dyrektywą o Sygnalistach   wskazuje jedynie, iż przedsiębiorstwa zatrudniające poniżej 50 osób (z wyłączeniem dużej grupy szczególnie potraktowanych firm np. instytucji finansowych, pośredników ubezpieczeniowych, firm księgowych etc.)  nie są zobowiązane do opracowania regulaminu zgłoszeń wewnętrznych, określającego wewnętrzną procedurę zgłaszania naruszeń prawa i podejmowania działań następczych (art. 27 w związku z art. 28 ust. 2 projektu Ustawy). 

Podmioty takie mogą jednak wprowadzić procedury zgłoszeń wewnętrznych i moim zdaniem, powinny je ustanowić w interesie ochrony przedsiębiorstw i ich właścicieli.

Bez względu na wprowadzenie regulaminów zgłoszeń wewnętrznych nadal obowiązywać jednak będą mniejsze firmy, pozostałe przepisy Ustawy (a w przypadku jej braku Dyrektywy) w zakresie:

  1. Możliwości dokonania zgłoszeń zewnętrznych lub ujawnień publicznych,
  2. Zakazu utrudniania dokonania zgłoszeń,
  3. Zakazu podejmowania działań odwetowych w rozumieniu Ustawy i Dyrektywy,
  4. Obowiązku zachowania poufności tożsamości osoby dokonującej zgłoszenia,
  5. Zakazu stosowania wymogu zrzeczenia się praw i środków ochrony prawnej wynikających z Ustawy (Dyrektywy) lub ich ograniczenia w formie jakiejkolwiek umowy czy regulaminu pracy czy innych przepisów wewnętrznych przedsiębiorcy czy zewnętrznych z kontrahentami.
  6. Zakazu przyjęcia przez Sygnalistę odpowiedzialności za szkodę powstałą z powodu dokonania zgłoszenia lub ujawnienia publicznego.

 

Brak lub niewłaściwe wdrożenie procedur wewnętrznych

Warto zwrócić uwagę, że brak lub niewłaściwe wdrożenie procedur wewnętrznych umożliwiających zgłoszenia wewnętrzne naraża przedsiębiorstwo na:

  1. Kontrolę organów centralnych lub publicznych (RPO, UOKiK, KNF i innych) w przypadku zgłoszenia zewnętrznego;
  2. Straty wizerunkowe przedsiębiorcy lub osób zarządzających w przypadku ujawnienia publicznego;
  3. Powstanie w obu powyższych przypadkach sytuacji kryzysowej, która w istotny sposób może przełożyć się na np.:
    1. Istotny spadek przychodów;
    2. Utratę kluczowych kontrahentów w tym utrudnienia w przetargach publicznych;
    3. Brak możliwości uzyskania dofinansowania;
    4. Spadek kursu akcji lub obligacji w przypadku papierów wartościowych notowanych na giełdzie (rynek główny, NewConnect, Catalyst)
    5. Niepowodzenie fuzji, przejęć lub pozyskania inwestora (zwłaszcza zagranicznego).
  4. Roszczenia pracowników, kontrahentów, wspólników czy Sygnalistów (w tym przypadku w sytuacji podjętych działań odwetowych czy utrudniających dokonanie zgłoszeń).

 

Co zatem przedsiębiorca powinien zrobić:

Każdy przedsiębiorca, a zwłaszcza zatrudniający co najmniej 50 pracowników oraz z sektora wskazanego w Ustawie w art. 27 ust 2 (m.in. instytucje finansowe, firmy księgowe, prawnicze, pośrednicy ubezpieczeniowi ) powinien już teraz:

  1. Opracować wewnętrzną procedurę zgłaszania naruszeń i podejmowania działań następczych, najlepiej przewidującą możliwość anonimowych/poufnych zgłoszeń.
  2. Zastanowić się nad koniecznością rozszerzenia zakresu przedmiotowego zgłoszeń wewnętrznych ponad zakres określony Dyrektywą lub Ustawą w celu zapewnienia firmie dostępu do informacji o większej liczbie nieprawidłowości w firmie (np. BPH, prawa pracy, dyskryminacji ze względu na płeć, orientację seksualną, rasę etc.).
  3. Uzgodnić powyższą procedurę ze związkami zawodowymi lub przedstawicielami pracowników.
  4. Przeszkolić pracowników z ww. procedury i przetestować jej stosowanie.
  5. Przekazać procedurę do wiadomości pracowników w przyjętej w firmie formie i wprowadzić ją oficjalnie w życie.
  6. Powołać bezstronny i najlepiej niezależny organizacyjnie (wolny od nacisków członków władz) podmiot wewnętrzny lub zewnętrzny do przyjmowania zgłoszeń i do podejmowania działań następczych, weryfikowanie zgłoszeń i odpowiedzialnym za przekazywanie informacji zgłaszającemu (np. w ramach działu HR, Compliance Officera lub niezależny podmiot /dział uprawniony do ww. czynności raportujący np. do Rady Nadzorczej lub wskazanego członka zarządu).
  7. Stworzyć narzędzie do anonimowego/poufnego zgłaszania nieprawidłowości;
  8. Propagować w firmie kulturę wzajemnego zaufania.

 

Ubezpieczenie OC członków zarządu (D&O), a ochrona Sygnalistów

Rekomendujemy również dodatkową ochronę osób decyzyjnych w firmie. Ubezpieczenie D&O (odpowiedzialności członków władz) chroni członków wszystkich władz w Spółce, od Zarządu po Radę Nadzorczą, ale również menadżerów każdego szczebla, prokurentów, osoby odpowiedzialne w Spółce za ryzyko zgodności, pracowników zatrudnionych w zespołach odpowiedzialnych za przyjmowanie zgłoszeń i podejmowanie działań następczych.

Może się bowiem zdarzyć, że nawet najlepsze procedury spisane i opublikowane, zastosowane narzędzia IT do przyjmowania zgłoszeń, ale np. nie dość dokładnie wdrożone, przetestowane lub zabezpieczone, doprowadzą do uchybień w zakresie wdrożenia przepisów o ochronie Sygnalistów. Może to przyczynić się do powstania szkody po ich stronie, ujawnienia danych osoby dokonującej zgłoszenia w wyniku działania osoby nieupoważnione, utraty wizerunku firmy i osób ubezpieczonych, utraty kontraktów powodującą stratę w Spółce oraz kontrolę organów regulacyjnych w firmie.

 

Umowa ubezpieczenia D&O zapewnia:

  1. Osobom ubezpieczonym pokrycie kosztów obrony w przypadku wszczęcia przeciwko nim postępowania karnego, cywilnego, administracyjnego lub kosztów pomocy prawnej w przypadku wymagającym uczestnictwa tych osób w postępowaniu kontrolnym prowadzonym przez organy władzy publicznej związanych m.in. z naruszeniem przepisów Dyrektywy czy Ustawy;
  2. Koszty prawników, których zadaniem jest przygotowanie Spółki do różnego rodzaju niezapowiedzianych kontroli organów władzy w wyniku której niezbędne jest lub będzie okazanie, przekazanie, skopiowanie firmowej dokumentacji lub udzielenie stosownej odpowiedzi na zadane pytania lub koszty stawiennictwa osób ubezpieczonych w oficjalnym przesłuchaniu w sprawie ewentualnych naruszeń a także opracowania odpowiedzi na upublicznienie powyższej informacji w mediach w sprawach związanych ze zgłoszeniem zewnętrznym lub ujawnieniem postępowania organów władzy po dokonanym ujawnieniu publicznym,
  3. Pokrycie odszkodowania w przypadku udowodnionego osobom ubezpieczonym podejmowania lub usiłowania podejmowania działań odwetowych wobec Sygnalistów w tym zdefiniowanych w Ustawie jako „niekorzystne traktowanie” odpowiadające w większości definicji naruszenia praw pracowniczych, zawartych w OWU D&O, choćby nieumyślnie w wyniku niedbalstwa  lub rażącego niedbalstwa (zlekceważenie wymogów ustawowych, niewprowadzenie ich na czas, brak wiedzy nt. wymogów Dyrektywy i jej bezpośredniego stosowania). Odszkodowanie przysługuje zarówno Sygnalistom pracownikom jak i pozostałym Sygnalistom, wówczas jednak działania odwetowe nie mają charakteru „niekorzystnego traktowania” ściśle związanego ze stosunkiem pracy ale pozostałych działań odwetowych wymienionych w Dyrektywie lub Ustawie (np. rozwiązanie, wypowiedzenie, lub odmowę nawiązania umowy cywilnoprawnej z osobą wykonującą określone zlecenie lub umowę o dzieło; odmowę zawarcia lub zerwanie umowy sprzedaży, dostawy towaru lub świadczeniu usługi). W powyższych przypadkach można dochodzić odszkodowania do wysokości rzeczywistej straty i utraconych korzyści lub zadośćuczynienia za ujemne przeżycia psychiczne nie niższego niż minimalne wynagrodzenie za pracę (obecnie 2.800 PLN brutto) albo uznania umowy za bezskuteczną i dochodzenie odszkodowania na zasadach ogólnych bez ograniczenia i kwot minimalnych odpowiadających rzeczywistej szkodzie i utraconym korzyściom,
  1. Ochrona Spółki w zakresie kosztów obrony w sprawach co najmniej cywilnych oraz odszkodowania w przypadku roszczeń Sygnalistów – pracowników w przypadku naruszenia praw pracowniczych mających charakter „niekorzystnego traktowania” zdefiniowanego w Ustawie (w ślad za wymienionymi działaniami odwetowymi wskazanymi w Dyrektywie.
  2. Pokrycie koszty ekspertów ds. zarządzania kryzysowego w spółce w związku z zaistnieniem zdarzenia, które może doprowadzić do określonego w umowie ubezpieczenia spadku przychodów lub np. zawirowań na giełdzie w ich wyniku takich jak: naruszenie przepisów o zapobieganiu praniu pieniędzy i finansowania terroryzmu (art. 2 ust. 1 pkt a) ppkt ii Dyrektywy); nieuprawnione wtargniecie do systemów informatycznych (teleinformatycznych) zagrażających ujawnieniu informacji poufnych czy danych osobowych (art. 2 ust 1 pkt a) ppkt x Dyrektywy);
  3. Pokrycie kosztów konsultantów PR których zadaniem jest doradzenie osobom ubezpieczonym określonych działań i ich przeprowadzenie w sytuacji pojawienia się w mediach negatywnych doniesień nt. działań osób ubezpieczonych, choćby tylko zarzucających usiłowanie lub podejmowanie działań odwetowych wobec Sygnalistów;

 

W razie pytań zapraszam do kontaktu.

Paweł Krak Quantum

Paweł Krak
Pełnomocnik Zarządu
Biuro Ubezpieczeń Finansowych
pawel.krak@quantum-broker.pl