Polish whistleblower act: time to indroduce whistleblower protection is running out

Private sector companies will soon be covered by the so-called Whistleblower Act (the „Act”). Polish lawmakers are still working on the final wording of the Act, which according to the Whistleblower Directive ((EU) 2019/1937), should enter into force no later than December 17th, 2021. Although it is now obvious that this deadline will not be met, it is already worth considering how to adapt the functioning of companies to the upcoming changes and be prepared once the Act is finally in force

Deadlines for implementing the whistleblowing system

Each company with at least 50 employees will be required to adopt internal whistleblowing system for reporting violations of the law. Under the draft Act, companies with at least 250 employees will have to establish internal whistleblowing channels after a 14-day vacatio legis period and companies with between 50 and 249 employees will have time to do so until December 17th, 2023.

Companies will be obliged to involve employees in the process of establishing whistleblowing regulations, either through consultations with trade unions or (where there are no trade unions) with employees’ representatives. Consequently, creation and implementation of whistleblowing procedures and policies will have to be carried out with an active and documented participation of employees. Implementation of the internal whistleblowing system will also require that the employees be effectively familiarized with how this system works.

Scope of legal protection

A whistleblower can be any person who reasonably suspects a violation of the law in his/her professional environment and (in good faith) reports such violation. Protection will be granted to employees (also former employees), job candidates, persons providing services on a B2B basis, trainees, volunteers, shareholders, members of governing bodies, staff of subcontractors or suppliers. Protection will also be available to persons who assisted a whistleblower in making the report (such as the whistleblower’s relatives).

The scope of infringements that can be subject to whistleblowing will cover areas indicated by the Act, to include public procurement, product or transport safety, consumer and competition protection, personal data protection, IT safety, AML, and environmental protection. Individual cases will not be subject to’ protection under the Act; however, the draft Act allows for a broader catalogue of protected violations, which may include employment law, internal regulations or ethical standards applicable in a given company. 

Internal reporting regulations

Companies will be required to have internal reporting regulations setting out an internal procedure for reporting and following up on violations. The regulations will come into effect 2 weeks after they have been communicated to employees in a manner adopted by the company.

Reports can be made orally or in writing.  According to the draft Act, the identity of a person making an internal report will be protected as confidential, but not anonymous; however, a company will be able to decide to accept anonymous reports. Implementation and management of the reporting channel and handling on whistleblowers’ reports can also be outsourced (for example to a law firm).

Companies will be obliged to confirm the receipt of the whistleblower report within 7 days of its receipt and to provide a whistleblowers with a feedback no later than within 3 months from the acknowledgement of the report receipt.

The companies will be also required to maintain a register of internal notifications and the data will have to be stored for a period of 5 years from the report receipt.

External and public reporting channels

The draft Act does not provide for a priority of reporting through internal channels. It also offers two other methods of reporting:

  • external reporting – available through the relevant state authorities,
  • public disclosure – available through traditional or social media.

Therefore, it seems particularly important to introduce effective internal procedures that guarantee confidentiality so that employees are encouraged to use internal channels first and foremost. An early detection of existing violations of the law will enable a company (respectively its officers) potentially exposed to liability to take advantage of, for example, the voluntary disclosure, a criminal law institution that allows to avoid (or reduce) liability for committing a prohibited act.

In the case of a public disclosure, a whistleblower will be able to benefit from protection, provided that he/she first used internal or external reporting channels, but no timely action has been taken in response to such report. The above shall apply in case a whistleblower has reasonable grounds to believe that the violation may pose an immediate or obvious threat to a public interest or he/she can expect retaliation or the violation is unlikely to be effectively remedied.

Protection against retaliation

Whistleblowers will be protected against retaliation for reporting, in particular against disciplinary action, termination of employment or other legal relationship, change of employment conditions to less favorable ones, harassment or discrimination as a form or reprisal, civil suits for defamation, damages or infringement of personal rights.

In the case of retaliation or other unfavorable treatment, the whistleblower will be able to claim compensation in an amount not lower than the statutory minimum gross wage (in 2022 it will be PLN 3,010). The company will bear the burden of proof that the actions taken against the whistleblower were not in retaliation for the report made.

Criminal liability

The draft Act provides for criminal sanctions (a fine, restriction of liberty, imprisonment of up to 3 years) for failure to establish or properly establish internal reporting procedure, obstructing reporting, breaching the confidentiality of a whistleblower’s identity, taking retaliatory action against a whistleblower.

The draft Act does not specify who will be held liable for the above actions. Therefore, it should be assumed that it will be the top management and relevant employees, in accordance with the scope of their responsibilities (e.g. representatives of legal or HR departments). In this perspective, the proper division of responsibilities in the process of establishing the whistleblowing system seems to be all the more important.

It is worth mentioning that a person making a false report is also threatened with up to 3 years imprisonment.

Entry into force

The draft Act is currently in the public consultation stage. It provides that the regulations will come into force 14 days after the act is promulgated, potentially giving very little time to implement the relevant internal procedures. However, the employers employing up to 250 employees will not be obliged to establish internal whistleblowing channels until December 17th , 2023.

Poinformuj znajomych

Polityka prywatności i plików cookies


Administratorem danych osobowych jest LEGALIO Pietrzak Markowicz Lewandowska Lubaś sp. j. z siedzibą w Warszawie (00-342), ul. Topiel 23, wpisana do rejestru przedsiębiorców Krajowego Reje-stru Sądowego prowadzonego przez Sąd Rejonowy dla m.st. Warszawy w Warszawie XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000874696, NIP 5272944924, RE-GON 387767552 (“LEGALIO”).

LEGALIO przetwarza dane osobowe takie jak: imię i nazwisko, adres e-mail, numer telefonu, nazwa stanowiska. Dane osobowe przetwarzane są przez LEGALIO na zasadach określonych w przepisach o ochronie danych osobowych, w szczególności w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”) oraz w ustawie z 10 maja 2018 r. o ochronie danych osobowych. LEGALIO zachowuje dane osobowe w poufności i zabezpiecza je przed niepowołanym dostępem osób trzecich na zasadach określonych w tych aktach prawnych.

Zakres i cele przetwarzania danych osobowych

W ramach swojej działalności LEGALIO zbiera i przetwarza dane osobowe dla celów:

  • wynikających z prawnie uzasadnionych interesów realizowanych przez LEGALIO jako admini-stratora danych, w szczególności zaś w celach związanych ze świadczeniem usług na rzecz klientów, informowaniem klientów lub potencjalnych klientów o zmianach w przepisach prawa lub o praktyce ich stosowania oraz z prowadzeniem pozostałej korespondencji, nawiązywa-niem i utrzymywaniem kontaktów z klientami, potencjalnymi klientami, kontrahentami lub też innymi podmiotami, a także w celu umożliwienia korzystania z profili LEGALIO prowadzonych na portalach społecznościowych – na podstawie art. 6 ust. 1 lit. f RODO;
  • negocjowania, zawierania i wykonywania umów z klientami i innymi podmiotami lub dla pod-jęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – na podstawie art. 6 ust. 1 lit. b RODO;
  • prowadzenia procesów rekrutacyjnych oraz wykonywania obowiązków prawnych związanych z zatrudnieniem – na podstawie, odpowiednio art. 6 ust. 1 lit. a, art. 6 ust. 1 lit. c, oraz art. 6 ust. 1 lit. f RODO;
  • wykonywania obowiązków wynikających z przepisów prawa – na podstawie art. 6 ust. 1 lit. c RODO.

Przekazywanie danych osobowych innym podmiotom

W związku z prowadzoną przez LEGALIO działalnością dane osobowe mogą być udostępniane pod-miotom zewnętrznym, przy pomocy których ta działalność jest prowadzona, w szczególności dostaw-com usług księgowych, IT, marketingowych, operatorom pocztowym, kurierom, itp. Dane osobowe nie będą przekazywane do państwa trzeciego.

Okres przetwarzania danych osobowych

Okres przetwarzania danych osobowych zależy od celu przetwarzania. W przypadku przetwarzania danych osobowych opartego o prawnie uzasadniony interes LEGALIO, dane osobowe przetwarzane będą przez okres umożliwiający realizację tego prawnie uzasadnionego interesu.

Gdy przetwarzanie danych osobowych następuje dla celów negocjowania, zawarcia lub wykonania umowy, dane osobowe są przetwarzane przez okres negocjowania i zawierania umowy, ewentualnie także wykonywania umowy, do czasu niezbędnego do ewentualnego ustalenia lub dochodzenia roszczeń, ewentualnie obrony przed roszczeniami, a po tym okresie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa.

W przypadku gdy przetwarzanie danych osobowych następuje dla wykonania obowiązków wynikających z przepisów prawa, okres przetwarzania danych wynikać będzie z treści tych obowiązków. Dane osobowe przetwarzane będą do czasu zgłoszenia skutecznego sprzeciwu w tym zakresie, ewentualnie cofnięcia zgody na przetwarzanie danych osobowych w sytuacjach, gdy taka zgoda jest jedyną podstawą przetwarzania danych osobowych.

Dane osobowe przetwarzane w ramach wykonywania zawodu adwokata albo radcy prawnego będą przechowywane przez 10 lat od końca roku, w którym zakończyło się postępowanie, w związku z którym dane osobowe zostały zgromadzone.

Prawa osób, których dane osobowe są przetwarzane

Osobom, których dane osobowe są przetwarzane, przysługują następujące prawa:

  • prawo do dostępu do danych osobowych oraz informacji o ich przetwarzaniu, w szczególności o celach i podstawach prawnych przetwarzania, kategoriach przetwarzanych danych osobowych, zakresie przetwarzanych danych osobowych oraz podmiotach, którym dane osobowe są ujawniane;
  • prawo do uzyskania kopii przetwarzanych danych osobowych;
  • prawo do sprostowania danych osobowych;
  • prawo do usunięcia danych osobowych, których przetwarzanie nie jest niezbędne dla celów,
  • dla których dane te zostały zebrane;
  • prawo do ograniczenia przetwarzania danych osobowych;
  • prawo do przenoszenia danych osobowych przetwarzanych w sposób zautomatyzowany na podstawie umowy lub udzielonej zgody, polegające na możliwości żądania wydania danych osobowych dostarczonych przez daną osobę i jej dotyczących w sposób ustrukturyzowany i w powszechnie używanym formacie;
  • prawo do sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych;
  • prawo do wycofania w każdej chwili zgody na przetwarzanie danych osobowych, jeżeli przetwarzane są one na podstawie takiej zgody, co nie wpływa jednak na zgodność z prawem przetwarzania danych osobowych mającego miejsce przed wycofaniem zgody;
  • prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych w odniesieniu do przetwarzania danych osobowych.

Prawa te mogą jednak nie przysługiwać osobie, której dane osobowe są przetwarzane w zakresie, w jakim ich wykonanie mogłoby prowadzić do naruszenia tajemnicy radcowskiej albo adwokackiej.

Brak wymogu podania danych osobowych

Podanie danych osobowych jest dobrowolne. Podanie danych osobowych może być jednak niezbędne dla nawiązania i utrzymania kontaktu, prowadzenia korespondencji, zawarcia lub wykonania danej umowy lub dla otrzymywania informacji o zmianach w przepisach prawa lub praktyce ich stosowania.

Brak profilowania danych osobowych

Dane osobowe nie są przedmiotem profilowania ani innego zautomatyzowanego podejmowania decyzji.

Zasady dotyczące plików cookies

Pliki cookies (tzw. „ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika strony internetowej i przeznaczone są do korzystania z podstron tejże strony. Cookies zazwyczaj zawierają nazwę strony internetowej, z której pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.

Pliki cookies wykorzystywane są w celu:

  • dostosowania zawartości strony internetowej do preferencji użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie użytkownika strony internetowej i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb;
  • tworzenia statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy strony internetowej korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury
    i zawartości;
  • utrzymanie sesji użytkownika strony internetowej (po zalogowaniu), dzięki której użytkownik nie musi na każdej podstronie strony internetowej ponownie wpisywać loginu i hasła.

Na tej stronie internetowej stosowane są dwa zasadnicze rodzaje plików cookies: „sesyjne” (session cookies) oraz „stałe” (persistent cookies). Cookies „sesyjne” są plikami tymczasowymi, które przechowywane są w urządzeniu końcowym użytkownika do czasu wylogowania, opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej). „Stałe” pliki cookies przechowywane są w urządzeniu końcowym użytkownika przez czas określony w parametrach plików cookies lub do czasu ich usunięcia przez użytkownika.

W ramach strony internetowej stosowane są lub mogą być stosowane następujące rodzaje plików cookies:

  •  „niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach strony internetowej, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach strony internetowej;
  • pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach strony internetowej;
  • „wydajnościowe” pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych strony internetowej;
  • „funkcjonalne” pliki cookies, umożliwiające „zapamiętanie” wybranych przez użytkownika ustawień i personalizację interfejsu użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi użytkownik;
  • „analityczne” – np. Google Analytics , które zbierają informacje na temat odwiedzin strony, takie jak podstrony, czas spędzony na stronie czy przejścia pomiędzy poszczególnymi podstronami. W tym celu wykorzystywane są pliki cookies firmy Google LLC dotyczące usługi Google Analytics.

W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy strony internetowej mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika strony internetowej. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).

Korzystanie ze strony oznacza zgodę na umieszczanie plików cookies na urządzeniu użytkownika. Ograniczenia stosowania plików cookies mogą wpłynąć na niektóre funkcjonalności dostępne na stronie internetowej.

Pliki cookies zamieszczane w urządzeniu końcowym użytkownika strony internetowej i wykorzystywane mogą być również przez współpracujących z operatorem strony internetowej reklamodawców, partnerów, firmy analityczno-badawcze oraz dostawców aplikacji multimedialnych.

Korzystanie ze strony wiąże się z przesyłaniem zapytań do serwera, na którym przechowywana jest strona. Każde zapytanie skierowane do serwera zapisywane jest w logach serwera.

Logi obejmują m.in. adres IP użytkownika, datę i czas serwera, informacje o przeglądarce internetowej i systemie operacyjnym. Logi mogą być zapisywane i przechowywane są na serwerze.

Dane zapisane w logach serwera nie są kojarzone z konkretnymi osobami korzystającymi ze strony i nie są wykorzystywane przez nas w celu identyfikacji użytkownika.

Logi serwera stanowią wyłącznie materiał pomocniczy służący do administrowania stroną, a ich zawartość nie jest ujawniana nikomu poza osobami upoważnionymi do administrowania serwerem.

Strona wykorzystuje pliki cookies w celu świadczenia usług na najwyższym poziomie. Ustawienia przechowywania cookies można zmienić w przeglądarce. Więcej informacji…