Zgodnie z treścią art. 28 ust. 8 podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt 14 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r. poz. 594) mogą ustalić wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą. Treść powyższej regulacji uzasadnia pytanie o relację między tzw. podmiotem prawnym, czyli przedsiębiorcą a grupą, w zakresie wykonywania zadań określonych w ustawie. Aby powyższe uczynić, należy jednak uporządkować pojęcia oraz wprowadzić tło teoretyczne.
Po pierwsze, przedmiotem przepisu jest „ustalenie wspólnej procedury zgłoszeń wewnętrznych”. Należy jednak pamiętać, że zgodnie z art. 24 ustawy pojęcie „procedura zgłoszeń wewnętrznych” oznacza w istocie dwie procedury: procedurę dokonywania zgłoszeń naruszeń prawa i procedurę podejmowania działań następczych. Powyższa uwaga jest ważna, albowiem przesądza, że przedmiotem działań organów powołanych przez procedurę grupy kapitałowej jest nie tylko przyjmowanie zgłoszeń, ale także podejmowanie czynności w ramach działań następczych.
Po drugie, zgodnie z treścią art. 25 ustawy, przedmiotem procedury jest m.in. powołanie organów zakładowych, a w tym przypadku „grupowych”, do których kompetencji należy przyjmowanie zgłoszeń oraz prowadzenie działań następczych. Owe organy nazywane są „osobą” lub „wydziałem”, choć chodzi zapewne o to, że to osoby zatrudnione w wydziałach występują w roli organów. Trudno bowiem uznać wydział za organ kolegialny.
Wbrew sugestii zawartej w powyższym przepisie, organy nie działają z upoważnienia pracodawcy, ale są przez niego jedynie ustanawianie. Ma to związek nie tylko z treścią dyrektywy, która stanowi o „wyznaczaniu”, a nie „upoważnianiu”, ale także z samą ustawą. Wynika z niej wszak jednoznacznie, że osoba będąca pracodawcą lub działająca za niego sama nie może ani przyjmować zgłoszeń, ani prowadzić działań następczych, lecz musi „upoważnić” inne osoby. A skoro nie ma w tym zakresie kompetencji własnych, to nie może nikogo upoważnić. Upoważnienie oznacza bowiem działanie w imieniu podmiotu, któremu przysługują kompetencje.
Wreszcie, skoro wskazanie owych osób lub wydziałów następuje w akcie prawnym, a procedura niewątpliwie jest takim aktem, to znaczy, że nie chodzi o upoważnienie, ale o ustanowienie organu. Pracodawca jedynie powołuje konkretną osobę do pełnienia funkcji ustanowionej przez prawo zakładowe, jakim jest procedura.
Po trzecie, z powyższego wynika, że wraz z ustaleniem wspólnej procedury zgłoszeń wewnętrznych w spółkach grupy nie powołuje się już żadnych organów zakładowych, wykonujących zadania określone ustawą. Do tego wątku jeszcze wrócę. Postępowania w sprawie przyjęcia zgłoszeń, jak i działań następczych, będą prowadzone przez organy powołane na poziomie grupy. Zarządy spółek grupy powinny natomiast co do zasady otrzymać wnioski wynikające z przeprowadzonych postępowań po to, aby podjąć czynności mające na celu usunięcie naruszeń prawa. Można przy tym zastosować rozwiązanie, że raport z ustaleń naruszeń prawa zostanie przekazany za pośrednictwem organu przedsiębiorcy kontrolującego lub że może być przekazany temu organowi równolegle. W sytuacji, w której to osoby pełniące funkcje organów przedsiębiorców są sprawcami naruszeń, raport powinien otrzymać wyłącznie organ przedsiębiorcy kontrolującego.
Po czwarte, ustalenie wspólnej procedury zgłoszeń wewnętrznych to nic innego jak akt stanowienia prawa. Organy przedsiębiorców należących do grupy nie występują bowiem w roli prywatnej, lecz w roli tzw. organów administrujących. Ustalenie dotyczy bowiem sposobu wykonywania zadania publicznego przez powołanie metazakładowych (grupowych) organów ochrony prawa oraz ustalenie procedury ich działania. Z perspektywy prawnej powyższy akt należy przypisać do grupy tzw. porozumień administracyjnych.
Po piąte, jakkolwiek cechą grup kapitałowych jest bezpośrednia lub pośrednia kontrola przez przedsiębiorcę „nadrzędnego”, to w zakresie ustalenia wspólnej procedury zgłoszeń wewnętrznych, organy przedsiębiorców wchodzących w skład grupy kapitałowej zachowują relację równorzędności. Innymi słowy, nie podlegają w tym zakresie poleceniom od przedsiębiorcy kontrolującego.
Po szóste, istnieją poważne argumenty, że podmiotem prowadzącym rejestr zgłoszeń jest grupa kapitałowa działająca przez grupowe organy przyjmujące zgłoszenia i prowadzące działania następcze. Ten wątek wymagałby głębszego rozwinięcia, które wykracza poza granice tego tekstu.
Po siódme, istnieją argumenty, że administratorem danych osobowych są organy powołane w ramach grupy kapitałowej, choć i to wymagałoby szerszej argumentacji.
W dostępnych wypowiedziach dotyczących ustawy można odnotować, że ustanowienie wspólnej procedury w ramach grupy nie zwalnia jej członków od ustanowienia procedury własnej. Nie podzielam tego poglądu. Pominąwszy nieracjonalność dublowania procedur, jak również stwierdzenie, że procedura jest „wspólna”, to istnieje silny argument formalny. Chodzi o to, że cała treść art. 28 ustawy zawiera wyjątki od typowej formy wykonywania zadań publicznych wynikających z ustawy. Zaczyna się od przyjmowania zgłoszeń przez podmioty zewnętrzne, następnie uwzględnia się możliwość tworzenia tzw. wspólnych zasobów w przedmiocie przyjmowania zgłoszeń i prowadzenia działań następczych a kończy najsilniejszą formą integracji jaką jest wspólna procedura i organy grupowe. Podsumowując, ustalenie wspólnej procedury zgłoszeń wewnętrznych w grupie kapitałowej zwalnia spółki (podmioty) grupy z obowiązków wynikających z ustawy, poza obowiązkiem wykonywania rekomendacji, mających na celu usunięcie naruszeń prawa.