Skip to main content Wymagane prawem UE dla organizacji z ponad 50 pracownikami →

Lista kontrolna zgodności z dyrektywą UE o sygnalistach dla firm #

Dyrektywa UE 2019/1937 wymaga od organizacji zatrudniających 50 lub więcej pracowników ustanowienia wewnętrznych kanałów zgłaszania nieprawidłowości oraz ochrony osób zgłaszających naruszenia prawa unijnego. Większość państw członkowskich transponowała dyrektywę do prawa krajowego, a egzekwowanie przepisów jest aktywne.

Niniejsza lista kontrolna przeprowadzi Cię przez dwanaście kroków do pełnej zgodności. Dla każdego punktu podajemy odniesienie do odpowiedniego artykułu dyrektywy, dzielimy się praktycznymi wskazówkami i zaznaczamy, gdzie narzędzia mogą pomóc.

Lista kontrolna #

1. Określ, czy Twoja organizacja podlega dyrektywie #

Odniesienie do dyrektywy: Artykuł 8(3–4)

Wszystkie podmioty prawne w sektorze prywatnym zatrudniające 50 lub więcej pracowników muszą ustanowić wewnętrzne kanały zgłaszania nieprawidłowości. Podmioty sektora publicznego, gminy oraz podmioty w niektórych regulowanych sektorach (usługi finansowe, bezpieczeństwo lotnicze, sektor morski itp.) podlegają dyrektywie niezależnie od wielkości.

Praktyczna wskazówka: Licz wszystkich pracowników, nie tylko pełnoetatowych. Pracownicy zatrudnieni w niepełnym wymiarze godzin, podwykonawcy pracujący na miejscu i pracownicy tymczasowi mogą być wliczani do progu w zależności od przepisów transponujących w danym państwie członkowskim.

2. Ustanów wewnętrzny kanał zgłaszania #

Odniesienie do dyrektywy: Artykuł 8(1), Artykuł 9(1)(a)

Kanał musi umożliwiać zgłaszanie na piśmie (formularz online, e-mail, poczta) lub ustnie (telefon, system wiadomości głosowych), lub w obu formach. Na żądanie musi również umożliwiać spotkania osobiste w rozsądnym terminie.

Praktyczna wskazówka: Portal internetowy jest najbardziej praktyczną opcją — jest dostępny 24/7, tworzy automatyczny zapis i obsługuje anonimową komunikację dwukierunkową. Unikaj używania ogólnych adresów e-mail; brakuje im szyfrowania, anonimowości i ścieżek audytu.

Jak pomaga EthicsPortal: Zapewnia firmowy portal internetowy z szyfrowanym anonimowym zgłaszaniem i dwukierunkową komunikacją, gotowy w kilka minut.

3. Wyznacz bezstronną osobę lub dział do obsługi zgłoszeń #

Odniesienie do dyrektywy: Artykuł 9(1)(c)

Musisz wyznaczyć osobę lub dział kompetentny do prowadzenia działań następczych w związku ze zgłoszeniami. Osoba ta musi być bezstronna — nie powinna mieć konfliktu interesów z przedmiotem zgłoszeń.

Praktyczna wskazówka: Typowe wybory to specjalista ds. zgodności, radca prawny, dyrektor HR lub zewnętrzny ombudsman. W mniejszych organizacjach dyrektor zarządzający może pełnić tę rolę, jeśli prawdopodobnie nie będzie przedmiotem zgłoszeń. Rozważ wyznaczenie zastępcy.

4. Skonfiguruj proces potwierdzania przyjęcia zgłoszenia (termin 7 dni) #

Odniesienie do dyrektywy: Artykuł 9(1)(b)

Musisz potwierdzić przyjęcie zgłoszenia w ciągu siedmiu dni kalendarzowych. Dotyczy to wszystkich zgłoszeń, w tym anonimowych.

Praktyczna wskazówka: Zautomatyzuj ten proces. Ręczna procedura niesie ryzyko przekroczenia siedmiodniowego terminu podczas świąt lub nieobecności.

Jak pomaga EthicsPortal: Śledzi termin potwierdzenia dla każdego zgłoszenia i pokazuje osobom obsługującym przypadki, które zgłoszenia wymagają uwagi.

5. Zdefiniuj proces przekazywania informacji zwrotnej (termin 3 miesiące) #

Odniesienie do dyrektywy: Artykuł 9(1)(f)

Musisz przekazać informację zwrotną osobie zgłaszającej w ciągu trzech miesięcy od potwierdzenia przyjęcia. Informacja zwrotna obejmuje: czy zgłoszenie jest oceniane, jest przedmiotem dochodzenia, czy zostało zamknięte, oraz wynik ewentualnego dochodzenia.

Praktyczna wskazówka: „Informacja zwrotna" nie wymaga ujawnienia pełnego wyniku dochodzenia. Poinformowanie zgłaszającego, że sprawa została zbadana i podjęto odpowiednie działania, jest wystarczające. W przypadku anonimowych zgłaszających informacja zwrotna musi być dostępna przez kanał zgłaszania (na przykład za pomocą kodu dostępu).

Jak pomaga EthicsPortal: Śledzi trzymiesięczny termin informacji zwrotnej dla każdej sprawy i obsługuje dwukierunkową komunikację z anonimowymi zgłaszającymi za pomocą kodów dostępu.

6. Wdróż środki ochrony poufności #

Odniesienie do dyrektywy: Artykuł 16

Tożsamość osoby zgłaszającej nie może być ujawniana nikomu poza upoważnionymi osobami obsługującymi sprawy bez wyraźnej zgody zgłaszającego. Dotyczy to również informacji, z których tożsamość zgłaszającego mogłaby być pośrednio wywnioskowana.

Praktyczna wskazówka: Ogranicz dostęp do zgłoszeń ściśle. Nie udostępniaj szczegółów zgłoszeń na spotkaniach, na których obecne są nieupoważnione osoby. Przy przekazywaniu spraw wewnętrznie redaguj informacje identyfikujące zgłaszającego. Upewnij się, że Twoje systemy IT wymuszają kontrolę dostępu.

Jak pomaga EthicsPortal: Kontrola dostępu oparta na rolach zapewnia, że tylko wyznaczone osoby obsługujące sprawy mogą przeglądać zgłoszenia. Tożsamość zgłaszającego nigdy nie jest ujawniana, chyba że zgłaszający dobrowolnie ją udostępni.

7. Ustanów ochronę przed odwetem #

Odniesienie do dyrektywy: Artykuły 19, 20, 21

Osoby zgłaszające, osoby pomagające oraz powiązane osoby trzecie muszą być chronione przed odwetem. Dyrektywa definiuje odwet szeroko: zwolnienie, degradacja, zastraszanie, umieszczanie na czarnej liście i inne. Ciężar dowodu jest odwrócony — jeśli zgłaszający poniesie szkodę po dokonaniu zgłoszenia, pracodawca musi udowodnić, że szkoda nie była związana ze zgłoszeniem.

Praktyczna wskazówka: Udokumentuj tę ochronę w swojej polityce sygnalistów. Przeszkol menedżerów w zakresie tego, co stanowi odwet. Śledź działania kadrowe dotyczące każdej osoby, która dokonała zgłoszenia, abyś mógł wykazać, że decyzje były podejmowane na uzasadnionych podstawach.

8. Przeszkol osoby obsługujące sprawy #

Odniesienie do dyrektywy: Artykuł 9(1)(c–f) (dorozumiane)

Dyrektywa nie określa konkretnych szkoleń, ale osoby obsługujące sprawy muszą być kompetentne, aby wypełniać obowiązki, które ona nakłada: zachowanie poufności, potwierdzanie przyjęcia w ciągu siedmiu dni, prowadzenie starannych działań następczych oraz przekazywanie informacji zwrotnej w ciągu trzech miesięcy.

Praktyczna wskazówka: Przeszkol osoby obsługujące sprawy co najmniej w zakresie: korzystania z kanału zgłaszania, obowiązków zachowania poufności, podstaw prowadzenia dochodzeń, zasad ochrony przed odwetem oraz ochrony danych. Udokumentuj szkolenia. Odnawiaj je co roku.

9. Poinformuj pracowników o kanale zgłaszania #

Odniesienie do dyrektywy: Artykuł 9(1)(g)

Musisz zapewnić jasne i łatwo dostępne informacje o sposobie korzystania z wewnętrznego kanału zgłaszania. Musisz również poinformować pracowników o ich prawie do zgłaszania na zewnątrz do właściwych organów.

Praktyczna wskazówka: Opublikuj informacje w intranecie, uwzględnij je w materiałach onboardingowych i wyświetl w miejscach wspólnych. Kod QR prowadzący do portalu zgłaszania jest skutecznym sposobem na uczynienie kanału łatwo dostępnym.

Jak pomaga EthicsPortal: Generuje kod QR i link do udostępniania portalu, który możesz wydrukować i rozpowszechnić.

10. Skonfiguruj przechowywanie i usuwanie danych #

Odniesienie do dyrektywy: Artykuł 17(1–3)

Dane osobowe zawarte w zgłoszeniach nie mogą być przechowywane dłużej niż jest to konieczne. Dane, które są oczywiście nieistotne, muszą być niezwłocznie usunięte. Konkretne okresy przechowywania zależą od prawa danego państwa członkowskiego, ale zasada jest następująca: przechowuj tak długo, jak jest to potrzebne do dochodzenia i wszelkich wynikających z niego postępowań, a następnie usuń.

Praktyczna wskazówka: Zdefiniuj okres przechowywania w swojej polityce (typowe wybory to dwa do pięciu lat po zamknięciu sprawy, w zależności od prawa krajowego). Ustaw przypomnienia kalendarzowe, aby przeglądać i usuwać zamknięte sprawy.

11. Przygotuj pisemną politykę sygnalistów #

Odniesienie do dyrektywy: Artykuły 8, 9 (dorozumiane), plus większość krajowych przepisów transponujących

Chociaż dyrektywa nie wymaga wyraźnie samodzielnego dokumentu polityki, większość krajowych przepisów transponujących tego wymaga, a jest to praktycznie niezbędne do wypełnienia obowiązków informacyjnych z artykułu 9(1)(g).

Praktyczna wskazówka: Twoja polityka powinna obejmować: zakres, kto może zgłaszać, co można zgłaszać, jak zgłaszać, poufność, ochronę przed odwetem, proces dochodzenia, terminy informacji zwrotnej i ochronę danych. Zobacz nasz bezpłatny szablon polityki sygnalistów, aby uzyskać gotowy dokument do użycia.

12. Udokumentuj zgodność na potrzeby kontroli regulacyjnej #

Odniesienie do dyrektywy: Artykuł 11(2) (kanały zewnętrzne), krajowe przepisy transponujące (wewnętrzne)

Kilka państw członkowskich wymaga od organizacji udokumentowania, że wypełniły swoje obowiązki, i udostępnienia tej dokumentacji organom regulacyjnym na żądanie.

Praktyczna wskazówka: Przechowuj dokumentację dotyczącą: daty ustanowienia kanału zgłaszania, wyznaczonych osób obsługujących sprawy, dokumentacji szkoleń, polityki sygnalistów (z historią wersji) oraz zbiorczych statystyk dotyczących otrzymanych i obsłużonych zgłoszeń. Nie przechowuj szczegółów poszczególnych spraw dłużej niż pozwala na to okres przechowywania.

Następne kroki #

Jeśli zaznaczyłeś każdy punkt powyżej, Twoja organizacja jest zgodna z podstawowymi wymogami dyrektywy 2019/1937. Zgodność nie jest jednorazowym wydarzeniem — przeglądaj swoje rozwiązania co roku, szkolisz ponownie osoby obsługujące sprawy i aktualizuj swoją politykę w miarę ewolucji prawa krajowego.

Potrzebujesz kanału zgłaszania? EthicsPortal zapewnia zgodny, anonimowy portal zgłaszania w kilka minut — 49 €/miesiąc ryczałtowo, bez wyceny per pracownik, bez rozmów handlowych. Zacznij już dziś.