Sygnaliści (whistleblowing) w firmie inwestycyjnej

Ustawa o obrocie instrumentami finansowymi, w art. art. 83a ust 1a i ust 1 b nakłada na firmy inwestycyjne^[1] obowiązek:

1.  posiadania procedury anonimowego zgłaszania wskazanemu członkowi zarządu, a w szczególnych przypadkach - radzie nadzorczej, naruszeń prawa, w tym rozporządzenia 596/2014, rozporządzenia 600/2014 oraz procedur i standardów etycznych obowiązujących w firmie inwestycyjnej
2. w ramach procedur, o których mowa w pkt 1), zapewnienia pracownikom, którzy zgłaszają naruszenia, ochronę co najmniej przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania.

Zobacz: Bezpieczeństwo

Przy okazji przypomnę, że ostatnia nowelizacja przedmiotowej ustawy nałożyła na Spółki prowadzące rynek regulowany i  na podmioty świadczącego usługi w zakresie udostępniania informacji o transakcjach obowiązek:

1. posiadania procedury anonimowego zgłaszania wskazanemu członkowi zarządu, a w szczególnych przypadkach – radzie nadzorczej, naruszeń przepisów prawa, w tym przepisów rozporządzenia 596/2014 i rozporządzenia 600/2014, procedur i standardów etycznych obowiązujących w podmiocie,
2. zapewnienia pracownikom, którzy zgłaszają naruszenia, ochronę co najmniej przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania.

Wymagania dla powyższej procedur, w firmach inwestycyjnych, zostały określone w Rozdziale 4 „Procedury anonimowego zgłaszania naruszeń” Rozporządzenia Ministra Finansów z dnia 29 maja 2018 r. w sprawie szczegółowych warunków technicznych i organizacyjnych dla firm inwestycyjnych, banków, o których mowa w art. 70 ust. 2 ustawy o obrocie instrumentami finansowymi, i banków powierniczych (Dz. U. 2018 poz. 1111).

Po pierwsze, firma inwestycyjna powinna opracować i wdrożyć procedury anonimowego zgłaszania przez pracowników naruszeń prawa oraz obowiązujących w firmie inwestycyjnej procedur i standardów etycznych, zwanych w rozporządzeniu „zgłoszeniami naruszeń”. Przy czym przez procedury rozumie się akty wewnętrzne, w tym regulaminy, instrukcje, systemy i rozwiązania przyjęte w danej firmie.

Procedury zgłaszania naruszeń powinny  co najmniej określać:

1. sposób odbierania zgłoszeń naruszeń, w tym w musi być określony sposób zapewniający możliwość odbierania zgłoszeń bez podawania tożsamości przez osobę dokonującą zgłoszenia,
2. sposób ochrony osoby dokonującej zgłoszenia naruszenia. Ochrona osoby musi obejmować co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania,
3. sposób ochrony danych osobowych osoby dokonującej zgłoszenia naruszenia oraz osoby, której zarzuca się dokonanie naruszenia,
4. rozwiązania pozwalające na zachowanie poufności tożsamości osoby dokonującej zgłoszenia naruszenia, w przypadku gdy osoba ta ujawniła swoją tożsamość lub jej tożsamość jest możliwa do ustalenia,
5. organy odpowiedzialne za odbieranie zgłoszeń naruszeń. Przy czym jeżeli zgłoszenie dotyczy członka zarządu, powinno ono być przyjęte przez radę nadzorczą,
6. sposób przekazywania członkowi zarządu (odpowiedzialnemu za bieżące funkcjonowanie procedur zgłaszania naruszeń i do którego są zgłaszane takie naruszenia) lub radzie nadzorczej oraz pracownikom i jednostkom organizacyjnym (wyznaczonym do weryfikacji zgłoszenia naruszenia oraz podejmowania i koordynowania działań następczych) informacji związanych ze zgłoszeniem naruszenia niezbędnych do prawidłowej weryfikacji tego zgłoszenia. Przy czym należy mieć na uwadze ograniczenia zakresu przekazywanych informacji ze względu na cele realizowane przez procedurę oraz treść zgłoszenia naruszenia,
7. rodzaj i charakter działań następczych podejmowanych na skutek:
   1. odebrania zgłoszenia naruszenia,
   2. weryfikacji zgłoszenia naruszenia,
8. sposób koordynacji działań następczych,
9. termin usunięcia przez firmę inwestycyjną danych osobowych zawartych w zgłoszeniu naruszenia,
10. termin powiadomienia, w przypadku pozytywnej weryfikacji zasadności zgłoszenia naruszeni, przez członka zarządu (odpowiedzialnego za bieżące funkcjonowanie procedur zgłaszania naruszeń i do którego są zgłaszane takie naruszenia) lub radę nadzorczą gdy zgłoszenie naruszenia dotyczy członka zarządu, osoby, której zarzuca się dokonanie naruszenia, o fakcie dokonania zgłoszenia naruszenia oraz przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia, z zastrzeżeniem zachowania poufności.

W przypadku negatywnej weryfikacji zasadności zgłoszenia naruszenia i oddalenia podejrzeń w nim zawartych członek zarządu (odpowiedzialny za bieżące funkcjonowanie procedur zgłaszania naruszeń i do którego są zgłaszane takie naruszenia)  lub rada nadzorcza, w przypadku gdy zgłoszenie naruszenia dotyczy członka zarządu, niezwłocznie powiadamia osobę, której zarzucono dokonanie naruszenia, o fakcie zgłoszenia naruszenia oraz przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia, którego zgłoszenie dotyczyło, z zastrzeżeniem zachowania poufności. W takim przypadku firma inwestycyjna niezwłocznie usuwa ze swoich systemów dane osobowe zawarte w zgłoszeniu naruszenia, pozostawiając w systemach przez okres, o którym mowa w ustawie, inne informacje zawarte w zgłoszeniu naruszenia oraz informacje o podjętych działaniach następczych.

Po drugie, firma inwestycyjna powinna zapewnić możliwość zgłaszania przez pracowników naruszeń za pośrednictwem specjalnego, niezależnego i autonomicznego kanału komunikacji. Przy czym co najmniej jeden z kanałów powinien zapewniać możliwość dokonania zgłoszenia bez podawania tożsamości przez sygnalistę.

Po trzecie Zarząd powinien ustalić wewnętrzny podział kompetencji, wskazując członka zarządu, który jest odpowiedzialny za bieżące funkcjonowanie procedur zgłaszania naruszeń i do którego są zgłaszane takie naruszenia. Wskazany członek Zarządu lub rada nadzorcza po otrzymaniu zgłoszenia naruszenia wyznacza pracowników bądź jednostki organizacyjne odpowiedzialne za weryfikację zgłoszenia naruszenia oraz podejmowanie i koordynowanie działań następczych. W przypadku gdy jest to uzasadnione wielkością, strukturą i rodzajem prowadzonej działalności, wskazany członek zarządu lub rada nadzorcza może odstąpić od wyznaczania pracowników lub jednostek organizacyjnych. Wskazany członek Zarządu powinien ponadto, regularnie, nie rzadziej niż raz na 6 miesięcy, przekazywać radzie nadzorczej informacje o otrzymanych zgłoszeniach naruszeń.

Po czwarte za adekwatność i skuteczność procedury zgłaszania naruszeń odpowiedzialny jest Zarząd. Natomiast Rada nadzorcza w zależności od potrzeb, nie rzadziej niż raz w roku, powinna oceniać adekwatność i skuteczność procedury zgłaszania naruszeń.

Po piąte, ale też bardzo ważne, firma inwestycyjna zobowiązana jest przeprowadzać wstępne i regularne szkolenia swoich pracowników w zakresie zgłaszania naruszeń, w szczególności obowiązujących w tym zakresie procedur.

^[1] firma inwestycyjna - dom maklerski, bank prowadzący działalność maklerską, zagraniczna firma inwestycyjna prowadząca działalność maklerską na terytorium Rzeczypospolitej Polskiej oraz zagraniczna osoba prawna z siedzibą na terytorium państwa innego niż państwo członkowskie, prowadzącą na terytorium Rzeczypospolitej Polskiej działalność maklerską