New draft of the Polish Act on the protection of persons who report breaches of law (“Whistleblowers”)

This article is also available in Polish.

Much has already been written about last year's long-awaited Act on the Protection of Persons Who Report Breaches of Law (the "Act"), i.e. on the protection of so-called whistleblowers, whose implementation deadline passed on 17 December 2021. The proposed Act aims to transpose the provisions of Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of European Union law.

At the beginning of July, the third draft of the Act was published, which still does not provide answers to the key issues in practice (e.g. the establishment of whistleblower procedures in capital groups or the coverage of labour law cases).

The proposed changes relative to the previous April draft are not revolutionary (mainly clarifying) and include the following:

• The rules of processing the personal data of persons involved in the whistleblowing procedure have been clarified. The period for keeping personal data in the register of relevant internal or external notifications has been extended up to 15 months after the end of the calendar year in which the follow-up actions have been completed. In the case of notifications and other information contained in the Ombudsman's register of external notifications, this period will be shorter - 12 months.
• The catalogue of situations to which whistleblowing can apply has been expanded to include the recruitment process or pre-contract negotiations.
• It has been emphasised that the burden of proof that the action taken against the informer is not retaliatory will be on the employer.
• The internal whistleblowing procedure will have to set out a system of incentives for the use of the whistleblower procedure - where a breach of law can be resolved internally and there is no risk of retaliation. This element is mandatory (previously determining such incentives was voluntary). The whistleblowing procedure will make it possible to optionally include comprehensive information on how to make a report securely and without leaving traces in the IT system, ensuring the privacy of the notifier.
• The register of notifications will also include: (i) the personal data of the whistleblower and the person concerned; (ii) the contact address of the notifier.
• It has been pointed out that obtaining information which is the subject of a whistleblower report or access to such information cannot constitute grounds for liability, provided that such obtaining or access does not constitute an offence or crime.
• The rules for external notifications have been clarified. This includes the introduction of a protective guarantee against unjustified external notifications - the Ombudsman will be entitled to leave unprocessed notifications that concern the same situations and do not contain new relevant information on breaches of law. The same competence will be available to the public authority.
• The sanctioning of attempted obstruction in reporting breaches of law has been dropped.
• The deadline for establishing an internal / external whistleblowing procedure has been extended to 2 months.
• Given that the Act will enter into force 2 months after its promulgation, those obliged to establish the relevant procedures will have 4 months to do so.

Much is still subject to change during the legislative works on the draft Act, but following the principle of 'third time lucky', it may be that July’s draft Act will finally be ratified. It is difficult to determine the planned date for the enactment of legal provisions on whistleblowers. Nevertheless, we expect this to be in the second half of this year.

A dedicated team from Taylor Wessing's Warsaw office is monitoring works on the enactment of the Act and provides assistance and supports in fulfilling obligations related to the implementation of the relevant legal instruments.

Nowy projekt Ustawy o ochronie osób zgłaszających naruszenia prawa (Sygnaliści)

Wiele już zostało napisane na temat długo wyczekiwanej od minionego roku ustawy o ochronie osób zgłaszających naruszenia prawa („Ustawa”), czyli o ochronie tzw. sygnalistów, której termin implementacji minął 17 grudnia 2021 r. Oczekiwana Ustawa ma na celu transpozycję postanowień Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.

Na początku lipca opublikowano trzeci już projekt Ustawy, który w dalszym ciągu nie przynosi odpowiedzi na kwestie kluczowe w praktyce (np. ustanawianie procedur sygnalistów w grupach kapitałowych czy objęcie spraw prawnopracowniczych zakresem przedmiotowym).

Zaproponowane zmiany względem poprzedniego, kwietniowego projektu nie są rewolucyjne (głównie doprecyzowujące) i obejmują następujące kwestie:

• Doprecyzowano zasady przetwarzania danych osobowych osób uczestniczących w procesie zgłaszania naruszeń prawa, a także wydłużono okres ich przechowywania w rejestrze stosownych zgłoszeń wewnętrznych lub zewnętrznych do 15 miesięcy od zakończenia roku kalendarzowego, w którym zakończono działania następcze, w tym postępowania wynikającego z dokonanego zgłoszenia. W przypadku zgłoszeń i pozostałych informacji zawartych w rejestrze zgłoszeń zewnętrznych Rzecznika Praw Obywatelskich, okres ten będzie krótszy, bo wynoszący 12 miesięcy.
• Rozszerzono katalog sytuacji, w których można uzyskać informacje o naruszeniu prawa, o proces rekrutacyjny czy negocjacje poprzedzające zawarcie umowy.
• Podkreślono, że ciężar dowodu, iż podjęte działanie wobec zgłaszającego nie jest działaniem odwetowym, spoczywać będzie na pracodawcy.
• W procedurze zgłoszeń wewnętrznych będzie należało określić system zachęt do korzystania z procedury sygnalistów – w przypadku gdy naruszenie prawa można rozwiązać wewnątrzorganizacyjnie i nie zachodzi ryzyko działań odwetowych, przy czym element ten przesunięto z elementów fakultatywnych procedury do elementu obligatoryjnego; a także w procedurze będzie można fakultatywnie zawrzeć zrozumiałe informacje o zasadach bezpiecznego i niepozostawiającego śladów dokonania zgłoszenia w systemie informatycznym, zapewniających zachowanie prywatności zgłaszającego.
• W rejestrze zgłoszeń mają się pojawić także: (i) dane osobowe zgłaszającego oraz osoby, której dotyczy zgłoszenie; (ii) adres do kontaktu zgłaszającego.
• Wskazano, że uzyskanie informacji będących przedmiotem zgłoszenia naruszenia prawa lub dostęp do takich informacji nie może stanowić podstawy odpowiedzialności, pod warunkiem że takie uzyskanie lub dostęp nie stanowią czynu zabronionego.
• Doprecyzowano zasady dokonywania zgłoszeń zewnętrznych. W tym wprowadzono gwarancje ochronną przed nieuzasadnionymi zgłoszeniami zewnętrznymi - RPO będzie uprawniony do pozostawienia bez rozpoznania zgłoszeń, które dotyczą tych samych sytuacji i nie zawierają nowych istotnych informacji o naruszeniach. Ta sama kompetencja przysługiwać będzie organowi publicznemu.
• Zrezygnowano z sankcjonowania usiłowania utrudniania dokonania zgłoszenia o naruszeniu prawa.
• Wydłużono termin na ustanowienie procedury zgłoszeń wewnętrznych / zewnętrznych do 2 miesięcy.
• Uwzględniając, fakt, że Ustawa wejdzie w życie po upływie 2 miesięcy od dnia ogłoszenia, podmioty obowiązane do ustanowienia stosownych procedur będą miały na to 4 miesiące.

Wiele jeszcze może ulec zmianie w trakcie prac legislacyjnych nad projektem Ustawy, jednak kierując się zasadą „do trzech razy sztuka” może okazać się, że lipcowy projekt Ustawy będzie ostatecznie procedowany. Ciężko jest określić planowany termin uchwalenia przepisów dotyczących sygnalistów. Niemniej jednak, liczymy, że będzie druga połowa tego roku.

Dedykowany zespół warszawskiego biura kancelarii Taylor Wessing monitoruje przebieg prac nad uchwaleniem projektowanej Ustawy i służy pomocą oraz wsparciem w realizacji obowiązków związanych z wdrożeniem stosownych instrumentów prawnych.