Firma handlowa z Mazowsza traci kontrakt z zagranicznym partnerem – nie z powodu złej oferty, lecz dlatego że nie posiada udokumentowanego programu antykorupcyjnego. Kontrahent z Niemiec wymaga certyfikowanego compliance jako warunku wstępnego współpracy. Taka sytuacja zdarza się coraz częściej. Polskie prawo nie nakłada jeszcze jednego, spójnego obowiązku posiadania programu antykorupcyjnego. Jednak sieć przepisów – od Kodeksu karnego, przez ustawę o sygnalistach, po regulacje AML i CSRD – tworzy faktyczny obowiązek compliance dla każdej firmy o odpowiedniej skali.

Antykorupcja w Polsce opiera się na kilku filarach prawnych jednocześnie: Kodeksie karnym (odpowiedzialność karna za łapownictwo), ustawie z 28 października 2002 r. o odpowiedzialności podmiotów zbiorowych, ustawie o sygnalistach z 14 czerwca 2024 r. oraz regulacjach AML i CSRD. Ustawa o sygnalistach weszła w życie 25 września 2024 r. i objęła wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Brak wdrożenia kanału zgłoszeń grozi karą do PLN 1 080 000.

Ten materiał wyjaśnia, które przepisy obowiązują Państwa firmę już teraz, jakie progi decydują o objęciu obowiązkami i jakie działania należy podjąć w pierwszej kolejności. Omówione zostaną trzy obszary: aktualne ramy prawne, kto jest objęty obowiązkami i jakie są progi, oraz natychmiastowe kroki compliance.

Jakie przepisy tworzą ramy antykorupcyjne w Polsce?

Polskie prawo antykorupcyjne nie istnieje jako jeden akt. To mozaika regulacji, która razem tworzy spójny – choć rozproszony – system. Każda firma powinna znać co najmniej cztery filary tej mozaiki.

Pierwszy filar to Kodeks karny. Łapownictwo czynne i bierne zagrożone jest karą pozbawienia wolności do 8 lat. Odpowiedzialność karna dotyczy osób fizycznych – menedżerów, pracowników, pośredników. Co istotne, odpowiedzialność powstaje niezależnie od tego, czy korzyść majątkowa została przyjęta przez podmiot publiczny, czy prywatny. Korupcja w obrocie gospodarczym jest przestępstwem od 2003 r.

Drugi filar to ustawa o odpowiedzialności podmiotów zbiorowych. Spółka może zostać ukarana grzywną do PLN 5 000 000, jeśli przestępstwo popełnione przez osobę działającą w jej imieniu przyniosło jej korzyść. Projektowane zmiany tej ustawy – od lat dyskutowane – mają rozszerzyć odpowiedzialność podmiotów zbiorowych i wprowadzić obowiązek posiadania programu compliance jako okoliczności wyłączającej lub łagodzącej odpowiedzialność. Projekt jest ponownie procedowany w 2025 r.

Trzeci filar to regulacje AML. Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu nakłada na instytucje obowiązane – banki, kancelarie, biura rachunkowe, pośredników nieruchomości – obowiązek stosowania środków należytej staranności wobec klientów i zgłaszania transakcji podejrzanych do GIIF. Rejestr beneficjentów rzeczywistych (CRBR) jest elementem tego systemu. Wpis do CRBR jest obowiązkowy dla spółek prawa handlowego i fundacji rodzinnych.

Czwarty filar to CSRD. Dyrektywa UE 2022/2464 (CSRD) wymaga od dużych podmiotów raportowania kwestii antykorupcyjnych jako elementu sprawozdawczości ESG. Polska ustawa implementująca CSRD została podpisana 12 grudnia 2024 r. Dla podmiotów objętych falą drugą – spełniających 2 z 3 kryteriów: PLN 110 mln aktywów, PLN 220 mln przychodów, 250 pracowników – termin raportowania jest przesunięty do 2028 r. zgodnie z propozycją Omnibus. Mimo to wdrożenie procedur antykorupcyjnych powinno nastąpić wcześniej.

W praktyce – wiele firm o tym zapomina – przepisy te nakładają się wzajemnie. Brak programu antykorupcyjnego może jednocześnie naruszać obowiązki AML, ustawę o sygnalistach i wymogi CSRD. Organy takie jak KAS, GIIF i Prokuratura mogą działać równolegle.

Dla firm z kapitałem zagranicznym istotne jest, że polskie spółki zależne mogą podlegać jednocześnie polskim przepisom i regulacjom macierzystym – np. UK Bribery Act lub FCPA. Więcej o projektowaniu programów compliance dla spółek zależnych w Polsce znajdą Państwo w naszym materiale o compliance dla spółek zależnych z Węgier działających w Polsce.

Kogo dotyczą obowiązki i jakie są progi?

Zakres podmiotowy polskich regulacji antykorupcyjnych zależy od konkretnego przepisu. Nie ma jednego progu, który decyduje o wszystkim. Poniżej zestawienie najważniejszych kryteriów.

Ustawa o sygnalistach z 14 czerwca 2024 r. objęła od 25 września 2024 r. wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Zgodnie z art. 8 ustawy o sygnalistach, każdy taki pracodawca musi wdrożyć wewnętrzny kanał zgłoszeń nieprawidłowości. Kanał musi zapewniać poufność tożsamości sygnalisty i umożliwiać zgłaszanie naruszeń prawa, w tym korupcji. Brak wdrożenia grozi grzywną do PLN 1 080 000 oraz – zgodnie z art. 54 ustawy – karą do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.

Obowiązki AML dotyczą instytucji obowiązanych niezależnie od liczby pracowników. Kancelarie prawne obsługujące transakcje powyżej EUR 10 000, biura rachunkowe, agenci nieruchomości – wszyscy muszą stosować procedury KYC i raportować do GIIF. Próg transakcyjny EUR 15 000 (gotówka) uruchamia obowiązek rejestracji transakcji.

CSRD i raportowanie ESG obejmują podmioty spełniające progi wielkościowe. Duże spółki publiczne raportują już za rok 2024. Pozostałe duże podmioty – za rok 2025, choć Omnibus proponuje przesunięcie do 2028 r. Małe i średnie przedsiębiorstwa na razie pozostają poza obowiązkiem, ale ich kontrahenci coraz częściej wymagają danych ESG w ramach due diligence.

Ustawa o odpowiedzialności podmiotów zbiorowych nie zawiera progu wielkościowego. Grożące sankcje – grzywna do PLN 5 000 000 – dotyczą każdej spółki, jeśli popełnione w jej imieniu przestępstwo przyniosło jej korzyść. Projektowane zmiany mają wprowadzić domniemanie odpowiedzialności w przypadku braku programu compliance.

Warto sprawdzić, czy Państwa firma podlega również regulacjom UOKiK w zakresie przetargów publicznych. Zmowy przetargowe są traktowane jako korupcja gospodarcza i mogą skutkować karą do 10% rocznego obrotu. Szczegóły dotyczące uprawnień UOKiK opisujemy w materiale o screeningu inwestycji zagranicznych i uprawnieniach UOKiK w Polsce.

Jakie działania podjąć natychmiast?

Brak programu antykorupcyjnego to nie tylko ryzyko kary. To utracona szansa na kontrakt, kredyt i partnerstwo. Firmy z udokumentowanym compliance mają przewagę w przetargach publicznych i negocjacjach z zagranicznymi kontrahentami. Każdy miesiąc zwłoki zamyka kolejne drzwi.

Działania natychmiastowe – do realizacji w ciągu 30 dni:

  • Weryfikacja, czy firma zatrudnia co najmniej 50 pracowników – jeśli tak, wdrożenie kanału zgłoszeń sygnalistów jest już wymagane od 25 września 2024 r.
  • Sprawdzenie wpisu do CRBR – spółki prawa handlowego i fundacje rodzinne muszą mieć aktualny wpis beneficjenta rzeczywistego; brak lub nieaktualny wpis grozi karą do PLN 1 000 000.
  • Ocena, czy firma jest instytucją obowiązaną w rozumieniu ustawy AML – jeśli tak, procedury KYC i raportowania do GIIF muszą być wdrożone i udokumentowane.
  • Przegląd umów z kontrahentami pod kątem klauzul antykorupcyjnych – coraz więcej kontraktów z podmiotami zagranicznymi wymaga oświadczeń o posiadaniu programu compliance.
  • Analiza ekspozycji na CSRD – nawet jeśli firma nie jest jeszcze objęta obowiązkiem raportowania, dane ESG mogą być wymagane przez kontrahentów lub banki finansujące.

Spółka produkcyjna z Dolnego Śląska wdrożyła program antykorupcyjny w III kwartale 2024 r. – tuż przed wejściem w życie ustawy o sygnalistach. Dzięki temu wygrała przetarg z kontrahentem z Francji, który wymagał dokumentacji compliance jako warunku kwalifikacji. Podobne doświadczenia mają firmy z sektora IT z Trójmiasta, które od początku 2025 r. raportują rosnące zapytania o certyfikaty compliance w procesach due diligence.

Projektowane zmiany ustawy o odpowiedzialności podmiotów zbiorowych mogą wejść w życie jeszcze w 2025 r. Firmy, które wdrożą program compliance przed uchwaleniem ustawy, będą mogły powołać się na niego jako okoliczność wyłączającą odpowiedzialność. To okno możliwości – ale zamyka się wraz z postępem prac legislacyjnych.

Dla spółek z kapitałem francuskim działających w Polsce dodatkowe wymogi wynikają z loi Sapin II. Szczegóły projektowania programów compliance dla takich podmiotów opisujemy w materiale o compliance dla spółek zależnych z Francji działających w Polsce.

Konkretna sytuacja Państwa firmy – liczba pracowników, branża, struktura właścicielska, ekspozycja na kontrahentów zagranicznych – decyduje o tym, które przepisy obowiązują już teraz, a które wejdą w życie w najbliższych miesiącach. Zwłoka w tym obszarze ma charakter nieodwracalny: kara nałożona za brak kanału zgłoszeń nie zniknie po późniejszym wdrożeniu systemu.

Jeśli Państwa spółka zatrudnia powyżej 50 pracowników lub prowadzi działalność w sektorach objętych AML – przeprowadzimy audyt compliance, zaprojektujemy kanał zgłoszeń i wdrożymy program antykorupcyjny dostosowany do Państwa struktury: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mała firma (poniżej 50 pracowników) musi wdrożyć program antykorupcyjny?

O: Obowiązek wdrożenia kanału zgłoszeń sygnalistów wynikający z ustawy z 14 czerwca 2024 r. dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Jednak mniejsze firmy mogą być objęte obowiązkami AML (jeśli są instytucją obowiązaną) oraz odpowiedzialnością karną na podstawie Kodeksu karnego i ustawy o odpowiedzialności podmiotów zbiorowych – niezależnie od wielkości. Wdrożenie podstawowych procedur antykorupcyjnych jest zalecane dla każdej firmy prowadzącej działalność o podwyższonym ryzyku korupcji.

P: Ile kosztuje i jak długo trwa wdrożenie programu compliance?

O: Czas wdrożenia zależy od skali firmy i stopnia złożoności struktury. Dla średniej spółki (50–200 pracowników) podstawowy program – obejmujący politykę antykorupcyjną, kanał zgłoszeń i szkolenia – można wdrożyć w ciągu 6 do 10 tygodni. Koszt zewnętrznego doradztwa prawnego waha się zazwyczaj od kilku do kilkunastu tysięcy złotych, zależnie od zakresu. Koszt braku programu – grzywna do PLN 5 000 000 lub utrata kontraktu – jest nieporównywalnie wyższy.

P: Czy posiadanie programu compliance chroni zarząd przed odpowiedzialnością karną?

O: Program compliance sam w sobie nie wyłącza odpowiedzialności karnej członków zarządu, jeśli sami popełnili przestępstwo. Jednak udokumentowany, skutecznie wdrożony program może stanowić okoliczność łagodzącą i dowód należytej staranności. Projektowane zmiany ustawy o odpowiedzialności podmiotów zbiorowych mają wprowadzić program compliance jako okoliczność wyłączającą odpowiedzialność spółki – co pośrednio chroni zarząd przed roszczeniami regresowymi. Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie programu przed uchwaleniem nowych przepisów.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.