Brytyjska spółka technologiczna wchodzi na polski rynek przez spółkę zależną. Zarząd w Londynie zakłada, że wewnętrzne procedury grupy – opracowane pod UK Bribery Act i FCA – wystarczą. W praktyce okazuje się, że polska spółka zależna nie ma kanału zgłoszeń, nie figuruje w CRBR i nie spełnia wymogów ustawy o sygnalistach. To nie jest wyjątkowy przypadek. To schemat, który powtarza się co kwartał.

Projektowanie programu compliance dla polskiej spółki zależnej z grupy brytyjskiej wymaga połączenia co najmniej trzech warstw regulacyjnych: prawa polskiego, wymogów unijnych (CSRD, AML) oraz standardów grupy wywodzących się z UK. Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów weszła w życie 25 września 2024 roku i obejmuje każdego pracodawcę zatrudniającego co najmniej 50 pracowników. Kary za zaniechanie sięgają do 1 080 000 PLN, a w przypadku retaliacji – do 3 lat pozbawienia wolności.

Poniżej przedstawiamy anonimizowaną sprawę, którą prowadziliśmy dla spółki zależnej brytyjskiej grupy technologicznej. Opisujemy tło, przyjętą strategię, przebieg procesu i wnioski, które można zastosować w każdej analogicznej sytuacji.

Tło sprawy: co poszło nie tak przed wdrożeniem?

Klient – polska spółka z o.o. będąca w 100% własnością brytyjskiego holdingu – zatrudniała 120 pracowników i obsługiwała kontrakty B2B z podmiotami z sektora publicznego. Spółka funkcjonowała od czterech lat. Przez ten czas compliance opierał się wyłącznie na dokumentach grupy tłumaczonych z angielskiego. Żaden z tych dokumentów nie uwzględniał polskich wymogów regulacyjnych.

Trzy obszary wymagały natychmiastowej interwencji. Po pierwsze, brak kanału zgłoszeń – naruszenie art. 8 ustawy o sygnalistach. Po drugie, nieaktualne dane w CRBR – spółka nie zaktualizowała wpisu po zmianie struktury udziałowej w 2023 roku. Po trzecie, brak polityki AML dostosowanej do polskich przepisów, mimo że spółka prowadziła rozliczenia z kontrahentami z jurysdykcji wysokiego ryzyka.

Zarząd grupy w Londynie dowiedział się o tych lukach przy okazji przygotowań do audytu ESG prowadzonego przez zewnętrznego doradcę. Termin był napięty – audyt zaplanowano na 8 tygodni od pierwszego kontaktu z naszą kancelarią.

Jaką strategię przyjęliśmy i dlaczego?

Program compliance dla polskiej spółki zależnej z grupy brytyjskiej nie może być prostym tłumaczeniem polityk grupowych. Musi być autonomicznym dokumentem spełniającym wymogi polskie i unijne, jednocześnie spójnym z wartościami i standardami grupy. To napięcie między lokalizacją a spójnością grupową jest głównym wyzwaniem projektowym.

Przyjęliśmy strategię trójwarstwową. Pierwsza warstwa to wymogi bezwzględne prawa polskiego – ustawa o sygnalistach, ustawa AML, przepisy CRBR, kodeks pracy w zakresie mobbingu. Druga warstwa to wymogi unijne – CSRD (Dyrektywa UE 2022/2464) w zakresie raportowania ESG, RODO, NIS2. Trzecia warstwa to standardy grupy – UK Bribery Act compliance, polityki antykorupcyjne, zasady due diligence wobec dostawców.

Priorytetem było zamknięcie luk regulacyjnych w ciągu 30 dni. Resztę – harmonizację z dokumentami grupy i pełne wdrożenie CSRD – zaplanowaliśmy na kolejne 60 dni. Łączny harmonogram: 90 dni od podpisania zlecenia. Dla spółki z analogicznym profilem ryzyka ze strukturą hiszpańską zastosowaliśmy podobne podejście etapowe.

Projekt prowadzony był przez dwuosobowy zespół z naszej kancelarii we współpracy z działem prawnym grupy w Londynie. Cotygodniowe call'e statusowe z CFO polskiej spółki pozwalały utrzymać tempo.

Jak przebiegał proces wdrożenia?

Etap pierwszy – audyt luk (dni 1–14). Przeprowadziliśmy przegląd dokumentacji compliance, struktury korporacyjnej i rejestru kontrahentów. Wynik: 11 obszarów wymagających działania, z czego 4 krytyczne (sygnaliści, CRBR, AML, polityka konfliktu interesów).

Etap drugi – zamknięcie luk krytycznych (dni 15–30). Wdrożyliśmy kanał zgłoszeń spełniający wymogi art. 8 ustawy o sygnalistach. Zaktualizowaliśmy dane w CRBR. Opracowaliśmy politykę AML uwzględniającą polskie przepisy o przeciwdziałaniu praniu pieniędzy. Kwestie techniczne kanału zgłoszeń – w tym wymogi dotyczące anonimowości i retencji danych – opisujemy szczegółowo w odrębnym materiale o projektowaniu kanałów zgłoszeń.

Etap trzeci – harmonizacja i dokumentacja (dni 31–60). Przygotowaliśmy polskie wersje kluczowych polityk grupowych z zaznaczeniem, które przepisy lokalne mają pierwszeństwo. Opracowaliśmy macierz ryzyka compliance uwzględniającą kontrahentów z sektora publicznego. Przeprowadziliśmy szkolenie dla zarządu polskiej spółki – 4 godziny, tryb zdalny.

Etap czwarty – gotowość do audytu ESG (dni 61–90). Przygotowaliśmy dokumentację na potrzeby CSRD Poland – mapowanie danych ESG, opis procesów raportowych, dokumentację due diligence w łańcuchu dostaw. Spółka przeszła audyt bez zastrzeżeń krytycznych. Audytor zewnętrzny wskazał jedynie dwa obszary do uzupełnienia w perspektywie 6 miesięcy – oba niekrytyczne.

Jakie wnioski można przenieść na inne spółki zależne?

Doświadczenia z tej sprawy powtarzają się w kolejnych projektach. Wnioski są transferowalne niezależnie od branży i wielkości spółki zależnej.

Pierwsza lekcja: dokumenty grupowe nie zastępują lokalnego compliance. Nawet doskonały program opracowany pod UK Bribery Act nie uwzględnia ustawy o sygnalistach ani wymogów CRBR. Spółka zależna odpowiada za swoje naruszenia samodzielnie – holding nie przejmuje tej odpowiedzialności automatycznie.

Druga lekcja: ESG reporting wymaga przygotowania co najmniej 12 miesięcy przed pierwszym raportem. Spółki, które zaczynają zbierać dane ESG w roku sprawozdawczym, mają poważny problem z jakością informacji. CSRD (Dyrektywa UE 2022/2464) nakłada wymogi, których nie da się spełnić retroaktywnie.

Trzecia lekcja: ochrona własności intelektualnej i compliance to naczynia połączone. Spółki technologiczne z grupy brytyjskiej często przenoszą do Polski część R&D. Bez właściwej struktury IP – opisanej w naszym materiale o strategii ochrony IP dla brytyjskich firm technologicznych – program compliance jest niekompletny.

Czwarta lekcja: whistleblower compliance to nie tylko kanał zgłoszeń. To polityka ochrony sygnalistów, procedura rozpatrywania zgłoszeń, szkolenia dla przełożonych i dokumentacja. Brak któregokolwiek z tych elementów naraża spółkę na odpowiedzialność z art. 54 ustawy o sygnalistach.

  • Audyt luk compliance przed każdą zmianą struktury grupy lub wejściem na nowy rynek
  • Aktualizacja CRBR w ciągu 7 dni od każdej zmiany beneficjenta rzeczywistego
  • Wdrożenie kanału zgłoszeń przed osiągnięciem progu 50 pracowników
  • Mapowanie danych ESG co najmniej rok przed pierwszym obowiązkowym raportem
  • Coroczny przegląd polityk AML z uwzględnieniem aktualnych list jurysdykcji wysokiego ryzyka

Konkretna sytuacja Państwa spółki zależnej może różnić się od opisanego przypadku – w szczególności jeśli spółka działa w sektorze regulowanym lub obsługuje zamówienia publiczne. Pominięcie choćby jednego z wymienionych elementów może nieodwracalnie zamknąć drogę do certyfikacji ESG lub skutkować wykluczeniem z przetargów.

Jeśli Państwa spółka zależna z grupy brytyjskiej zatrudnia co najmniej 50 pracowników lub przygotowuje się do audytu ESG – przeprowadzimy audyt luk compliance, wdrożymy kanał zgłoszeń i przygotujemy dokumentację CSRD: info@kordeckipartners.com.

Często zadawane pytania

P: Czy holding brytyjski odpowiada za naruszenia compliance w polskiej spółce zależnej?

O: Holding nie przejmuje automatycznie odpowiedzialności regulacyjnej polskiej spółki zależnej. Polska spółka z o.o. ma odrębną osobowość prawną i odpowiada za własne naruszenia – w tym za brak kanału zgłoszeń czy nieaktualne dane w CRBR. Zarząd polskiej spółki ponosi odpowiedzialność osobistą na podstawie przepisów Kodeksu spółek handlowych i ustawy o sygnalistach. Dokumenty grupowe mogą stanowić podstawę programu compliance, ale nie zwalniają z obowiązku dostosowania do prawa polskiego.

P: Ile czasu i kosztów wymaga wdrożenie programu compliance od podstaw?

O: W opisanym przypadku zamknięcie luk krytycznych zajęło 30 dni, a pełne wdrożenie – 90 dni. Koszt zależy od wielkości spółki, liczby obszarów regulacyjnych i stopnia zaawansowania dokumentacji grupowej. Spółki, które zaczynają od zera, powinny liczyć się z budżetem obejmującym audyt, opracowanie dokumentów, szkolenia i wsparcie przy rejestracji w CRBR. Znacznie tańsze jest wdrożenie prewencyjne niż reakcja na wszczętą kontrolę lub postępowanie.

P: Czy ustawa o sygnalistach dotyczy spółek zależnych zatrudniających mniej niż 50 pracowników?

O: Obowiązek wdrożenia wewnętrznego kanału zgłoszeń wynikający z artykułu 8 ustawy o ochronie sygnalistów dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Spółki poniżej tego progu nie mają obowiązku ustawowego, ale mogą być zobowiązane do wdrożenia kanału przez wymagania grupy lub kontrahentów publicznych. Warto pamiętać, że próg 50 pracowników liczony jest łącznie z pracownikami zatrudnionymi na podstawie umów cywilnoprawnych, jeśli świadczą pracę w sposób stały.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.