Firma handlowa z Mazowsza otrzymuje zapytanie od zagranicznego kontrahenta: „Czy macie wdrożony program antykorupcyjny?" Zarząd milknie. Procedury leżą w szufladzie od trzech lat, kanał zgłoszeń nie działa, a rejestr ryzyk korupcyjnych nie był aktualizowany od momentu założenia spółki. Tymczasem brak formalnego programu compliance coraz częściej wyklucza z przetargów i partnerstw – a w przypadku kontroli KAS lub postępowania karnego staje się okolicznością obciążającą.

Antykorupcja w Polsce opiera się na kilku nakładających się warstwach regulacyjnych: Kodeksie karnym (przestępstwa łapownictwa czynnego i biernego), ustawie o sygnalistach z 14 czerwca 2024 r., przepisach AML oraz wymogach CSRD Poland dla większych podmiotów. Program compliance musi uwzględniać wszystkie te warstwy jednocześnie. Obowiązek wdrożenia wewnętrznego kanału zgłoszeń – zgodnie z artykułem 8 ustawy o sygnalistach – dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników, a ustawa weszła w życie 25 września 2024 roku.

Poniżej omawiamy, co zmieniło się w ostatnich miesiącach, kogo dotyczą nowe obowiązki oraz jakie działania należy podjąć natychmiast – z konkretnymi terminami i progami.

Co zmieniło się w polskich regulacjach antykorupcyjnych?

Ustawa o ochronie sygnalistów z 14 czerwca 2024 r. weszła w życie 25 września 2024 r. i przyniosła najpoważniejszą zmianę w architekturze compliance od lat. Pracodawcy zatrudniający co najmniej 50 osób muszą prowadzić wewnętrzny kanał zgłoszeń. Brak tego kanału to nie tylko ryzyko administracyjne – art. 54 ustawy o sygnalistach przewiduje kary do PLN 1 080 000 oraz do 3 lat pozbawienia wolności za działania odwetowe wobec zgłaszającego.

Równolegle CSRD (Dyrektywa UE 2022/2464) – wdrożona do polskiego prawa ustawą podpisaną 12 grudnia 2024 r. – nakłada na duże podmioty obowiązek raportowania ESG, w tym ujawniania polityk antykorupcyjnych i wyników ich stosowania. Podmioty spełniające dwa z trzech kryteriów (aktywa powyżej PLN 110 mln, przychody powyżej PLN 220 mln, co najmniej 250 pracowników) wchodzą w zakres obowiązku od roku obrotowego 2025, choć propozycja Omnibus przesuwa ten termin na 2028 rok.

Trzecia zmiana dotyczy CRBR – Centralnego Rejestru Beneficjentów Rzeczywistych. Organy ścigania i KAS coraz aktywniej korzystają z danych CRBR przy weryfikacji łańcuchów własności w sprawach korupcyjnych. W praktyce – wiele firm o tym zapomina – nieaktualne wpisy w CRBR mogą być interpretowane jako ukrywanie struktury właścicielskiej.

Zmiany w przepisach AML (ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu) uszczelniły obowiązki instytucji obowiązanych. Podmioty z sektora finansowego, doradczego i nieruchomościowego muszą prowadzić ocenę ryzyka korupcyjnego jako element procedury KYC. Pominięcie tego kroku w dokumentacji naraża na sankcje Generalnego Inspektora Informacji Finansowej.

Kogo dotyczą nowe obowiązki i jakie progi obowiązują?

Obowiązek wdrożenia kanału zgłoszeń dotyczy pracodawców zatrudniających co najmniej 50 pracowników – bez względu na formę prawną czy branżę. Próg 50 osób liczony jest według stanu na 1 stycznia każdego roku. Spółki córki zagranicznych grup muszą wdrożyć własny, odrębny kanał – nie wystarczy wskazanie na globalną infolinię grupy.

Dla podmiotów objętych CSRD obowiązek jest szerszy. Raportowanie musi obejmować politykę antykorupcyjną, procedury należytej staranności oraz wskaźniki wyników. Brak tych elementów w raporcie zrównoważonego rozwoju naraża na zarzut niepełnego ujawnienia – z konsekwencjami dla audytorów i zarządu.

Warto wskazać trzy typy podmiotów szczególnie narażonych na ryzyko:

  • Spółki uczestniczące w zamówieniach publicznych – zamawiający coraz częściej wymagają oświadczeń o programie antykorupcyjnym jako warunku udziału w przetargu.
  • Podmioty z udziałem zagranicznym – inwestorzy z Niemiec, Francji czy USA oczekują zgodności z lokalnymi przepisami antykorupcyjnymi (FCPA, UK Bribery Act) jako minimum.
  • Instytucje obowiązane w rozumieniu ustawy AML – banki, kancelarie prawne, doradcy podatkowi, pośrednicy nieruchomości.

Spółka IT z Małopolski, obsługująca klientów z sektora publicznego, odkryła wiosną 2025 r., że jej procedury antykorupcyjne nie spełniają wymogów nowego przetargu unijnego. Wdrożenie programu compliance zajęło 6 tygodni i kosztowało ułamek wartości kontraktu – który ostatecznie wygrała. Dla porównania: firma budowlana z Dolnego Śląska, która zrezygnowała z wdrożenia, przegrała analogiczny przetarg w tym samym kwartale.

Compliance lawyer Warsaw to nie tylko obsługa korporacyjna – to realna ochrona przed odpowiedzialnością osobistą członków zarządu. Zgodnie z przepisami k.s.h. oraz Ordynacji podatkowej zarząd odpowiada za zaniedbania organizacyjne, które umożliwiły popełnienie przestępstwa korupcyjnego przez pracownika.

Jakie działania podjąć natychmiast – lista kontrolna?

Program antykorupcyjny to nie dokument – to żywy system procedur, szkoleń i monitoringu. Whistleblower compliance, polityki podarunkowe, ocena ryzyka kontrahentów i ESG reporting muszą tworzyć spójną całość. Poniżej lista działań do wdrożenia w ciągu 30 dni.

  • Uruchomienie wewnętrznego kanału zgłoszeń zgodnego z art. 8 ustawy o sygnalistach – jeśli zatrudniasz co najmniej 50 osób, termin minął 25 września 2024 r.
  • Aktualizacja oceny ryzyka korupcyjnego – minimum raz na 12 miesięcy, z dokumentacją procesu i wniosków.
  • Weryfikacja wpisów w CRBR – niezgodność struktury właścicielskiej z rejestrem to sygnał ostrzegawczy dla organów kontrolnych.
  • Przegląd polityki podarunków i reprezentacji – limit wartości upominku powinien być wyrażony kwotowo (rekomendacja: do PLN 200 na osobę rocznie).
  • Szkolenie zarządu i kluczowych pracowników z zakresu Anti-corruption – udokumentowane, z testem wiedzy i podpisanym potwierdzeniem uczestnictwa.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu luk compliance przed ewentualną kontrolą, a nie po jej wszczęciu. Postępowanie wyjaśniające po fakcie jest wielokrotnie droższe i nie eliminuje odpowiedzialności karnej.

Dla spółek wchodzących na rynek polski lub rozwijających struktury holdingowe przydatne będą nasze materiały dotyczące projektowania programów compliance dla spółek córek w Polsce oraz compliance dla podmiotów z Czech działających w Polsce. Kwestie korporacyjne powiązane z programem antykorupcyjnym – w tym odpowiedzialność zarządu i struktura nadzoru – omawia nasza praktyka corporate M&A dla Polski.

Konkretna sytuacja Państwa firmy wymaga oceny, która uwzględnia branżę, strukturę właścicielską i historię ewentualnych naruszeń. Brak udokumentowanego programu antykorupcyjnego w chwili wszczęcia postępowania karnego jest okolicznością nieodwracalnie obciążającą zarząd.

Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników lub uczestniczy w zamówieniach publicznych – przeprowadzimy audyt luk compliance, opracujemy dokumentację programu i wdrożymy kanał zgłoszeń: info@kordeckipartners.com.

Często zadawane pytania

P: Czy mała spółka z o.o. zatrudniająca 30 osób musi wdrożyć program antykorupcyjny?

O: Formalny obowiązek prowadzenia kanału zgłoszeń wynikający z artykułu 8 ustawy o sygnalistach dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Spółka zatrudniająca 30 osób nie jest objęta tym obowiązkiem ustawowym. Jednak brak jakichkolwiek procedur antykorupcyjnych może być okolicznością obciążającą w razie postępowania karnego lub cywilnego – dlatego rekomendujemy wdrożenie podstawowej polityki niezależnie od progu.

P: Ile kosztuje i jak długo trwa wdrożenie programu compliance?

O: Czas wdrożenia zależy od wielkości organizacji i stanu obecnych procedur. Dla spółki zatrudniającej od 50 do 200 osób typowy projekt trwa od 4 do 8 tygodni. Koszt obsługi prawnej wynosi zwykle od PLN 8 000 do PLN 25 000 – w zależności od zakresu dokumentacji i liczby szkoleń. To wielokrotnie mniej niż minimalna kara przewidziana za działania odwetowe wobec sygnalisty.

P: Czy globalny program compliance grupy zastępuje lokalny program dla polskiej spółki córki?

O: Nie. Ustawa o sygnalistach wymaga, aby każdy pracodawca spełniający próg 50 pracowników prowadził własny, wewnętrzny kanał zgłoszeń – dostępny w języku polskim i zgodny z polskim prawem. Wskazanie na globalną infolinię grupy nie spełnia tego wymogu. Polska spółka córka musi mieć odrębną procedurę przyjmowania i rozpatrywania zgłoszeń, nawet jeśli korzysta z technicznej platformy grupy.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.