Firma technologiczna z Mazowsza otrzymuje anonimowe zgłoszenie: pracownik działu zakupów miał rzekomo przyjmować korzyści od dostawcy. Zarząd chce działać – ale nie wie, od czego zacząć. Czy powołać zewnętrzny zespół? Kogo przesłuchać najpierw? Co zrobić z dokumentami? Brak jasnej metodologii w takich sytuacjach kosztuje spółki więcej niż samo naruszenie.
Dochodzenie wewnętrzne to sformalizowany proces zbierania i oceny dowodów w celu ustalenia faktów dotyczących potencjalnego naruszenia prawa lub polityk spółki. W polskim porządku prawnym obowiązek posiadania kanału zgłoszeń nakłada artykuł 8 ustawy o sygnalistach na każdego pracodawcę zatrudniającego co najmniej 50 pracowników. Ustawa weszła w życie 25 września 2024 roku, a kary za brak kanału lub za działania odwetowe sięgają do 1 080 000 PLN i trzech lat pozbawienia wolności.
Ten przewodnik opisuje metodologię krok po kroku – od momentu wpłynięcia zgłoszenia do zamknięcia sprawy. Omawia harmonogram, koszty i trzy scenariusze biznesowe. Wskazuje też błędy, które najczęściej przekreślają wyniki dochodzenia w oczach organów takich jak KAS, PUODO czy prokuratura.
Kiedy polskie prawo wymaga dochodzenia wewnętrznego?
Przepisy nie definiują pojęcia „dochodzenia wewnętrznego" wprost. Jednak kilka reżimów regulacyjnych łącznie tworzy obowiązek reagowania na sygnały naruszeń w sposób udokumentowany i proporcjonalny. Spółka, która zignorowała zgłoszenie sygnalisty, nie może później twierdzić, że działała należycie.
Ustawa o sygnalistach z 14 czerwca 2024 r. nakłada na pracodawców zatrudniających co najmniej 50 osób obowiązek ustanowienia wewnętrznego kanału zgłoszeń. Kanał to jednak tylko punkt wejścia. Zgłoszenie musi zostać rozpatrzone – a rozpatrzenie oznacza w praktyce przeprowadzenie dochodzenia. Termin na potwierdzenie przyjęcia zgłoszenia wynosi 7 dni, a na udzielenie informacji zwrotnej sygnaliście – 3 miesiące.
Równolegle działa kilka innych regulacji. CSRD (Dyrektywa UE 2022/2464), wdrożona do polskiej ustawy o rachunkowości nowelizacją podpisaną 12 grudnia 2024 r., wymaga od dużych podmiotów raportowania o ryzykach i incydentach w obszarze ładu korporacyjnego. Regulacje AML nakładają obowiązek identyfikacji i weryfikacji beneficjentów rzeczywistych – dane trafiają do CRBR. Regulacje KAS i przepisy o odpowiedzialności podmiotów zbiorowych domykają ten krąg. W pierwszych dwóch sekcjach artykułu warto wskazać, że nadzór nad przestrzeganiem tych przepisów sprawują KAS, PUODO oraz prokuratura.
Trzy sytuacje wymagają natychmiastowego uruchomienia procedury:
- wpłynięcie zgłoszenia przez kanał sygnalistów lub pocztą anonimową,
- wszczęcie kontroli przez organ zewnętrzny (KAS, PUODO, prokuratura),
- odkrycie nieprawidłowości w toku audytu wewnętrznego lub due diligence.
W praktyce – wiele firm o tym zapomina – samo otrzymanie pisma od kontrahenta z zarzutem nadużycia po stronie pracownika również powinno uruchomić wewnętrzną procedurę. Brak reakcji to ryzyko zarzutu zaniechania i odpowiedzialności osobistej członków zarządu.
Jak wygląda metodologia dochodzenia krok po kroku?
Dochodzenie wewnętrzne składa się z pięciu etapów. Każdy ma własny cel, zestaw czynności i termin. Pominięcie etapu – nawet jednego – może podważyć całe postępowanie, jeśli sprawa trafi do sądu lub organu regulacyjnego.
Etap 1 – Ocena wstępna (dni 1–3). Zespół oceniający (najczęściej radca prawny lub adwokat plus compliance officer) ustala, czy zgłoszenie jest wiarygodne i czy zachodzi ryzyko zniszczenia dowodów. Na tym etapie podejmuje się decyzję o zabezpieczeniu danych – kopie e-maili, logi systemowe, dokumentacja finansowa. Termin jest krótki, bo zegar zaczyna biec od momentu zgłoszenia.
Etap 2 – Zabezpieczenie dowodów (dni 2–7). Legal hold – pisemna dyspozycja skierowana do działów IT i HR zakazująca usuwania jakichkolwiek danych powiązanych ze sprawą. To jeden z najważniejszych kroków. Sąd Najwyższy i PUODO zwracają uwagę na to, czy spółka działała w dobrej wierze i nie dopuściła do zniszczenia materiału dowodowego.
Etap 3 – Zbieranie i analiza dowodów (tygodnie 2–5). Przegląd dokumentów, analiza danych finansowych, wywiady z pracownikami. Wywiady prowadzi prawnik – nie HR, nie bezpośredni przełożony. Każda rozmowa jest protokołowana. Pracownik ma prawo do informacji, że rozmowa jest częścią dochodzenia. Uważamy, że bezpieczniejszym rozwiązaniem jest przekazanie tej informacji na piśmie przed rozpoczęciem wywiadu.
Etap 4 – Raport z dochodzenia (tygodnie 5–7). Dokument opisujący fakty, wnioski i rekomendacje. Raport nie jest opinią prawną – to ustalenie faktów. Powinien wyraźnie oddzielać fakty ustalone od przypuszczeń. Rekomendacje dotyczą działań naprawczych: zmiany procedur, środków dyscyplinarnych, ewentualnego zawiadomienia organów.
Etap 5 – Wdrożenie rekomendacji i zamknięcie sprawy (tygodnie 7–10). Zarząd zatwierdza raport i podejmuje decyzje. Spółka dokumentuje wdrożone zmiany. Sygnalista otrzymuje informację zwrotną w terminie 3 miesięcy od zgłoszenia – wymóg ustawy o sygnalistach. Czas całego dochodzenia: od 6 do 10 tygodni przy typowej sprawie.
Firma produkcyjna z Dolnego Śląska zakończyła dochodzenie dotyczące nieprawidłowości w zamówieniach w ciągu 8 tygodni jesienią 2024 r. – dzięki wczesnemu zabezpieczeniu danych uniknęła zarzutu utrudniania postępowania, gdy KAS wszczął równoległą kontrolę.
Koszt dochodzenia zależy od skali. Proste sprawy jednoosobowe: 20 000–40 000 PLN. Sprawy wielowątkowe z analizą danych cyfrowych: 80 000–150 000 PLN lub więcej. Zewnętrzny counsel zapewnia niezależność i ochronę tajemnicy adwokackiej – co ma znaczenie, gdy sprawa może trafić do sądu.
Jeśli Państwa spółka stoi przed koniecznością przeprowadzenia dochodzenia, a nie ma jeszcze ustalonej procedury – czas działa przeciwko zarządowi. Konkretna metodologia wymaga dostosowania do okoliczności sprawy, struktury organizacyjnej i mających zastosowanie regulacji. Pominięcie etapu zabezpieczenia dowodów zamyka drogę do skutecznej obrony przed organami.
Aby otrzymać ocenę sytuacji i propozycję harmonogramu dochodzenia, napisz do info@kordeckipartners.com.
Trzy scenariusze biznesowe – jak różni się podejście?
Metodologia jest wspólna, ale akcenty różnią się w zależności od branży i struktury spółki. Poniżej trzy scenariusze ilustrujące typowe wyzwania.
Scenariusz 1 – Spółka produkcyjna. Zgłoszenie dotyczy przyjmowania korzyści przez pracownika działu zakupów. Kluczowe dowody to e-maile, faktury, historia zamówień i wyciągi bankowe dostawcy. Wyzwanie: pracownicy produkcyjni mają ograniczony dostęp do systemów IT, więc dowody są często w formie papierowej. Zalecamy równoległe zabezpieczenie dokumentów fizycznych i cyfrowych od pierwszego dnia. Szczególnie istotna jest analiza umów z dostawcami pod kątem cen transferowych – tu pomocne mogą być zasady dotyczące safe harbour w cenach transferowych.
Scenariusz 2 – Spółka IT lub startup. Zgłoszenie dotyczy naruszenia danych osobowych przez pracownika. Sprawa ma wymiar RODO – PUODO może wszcząć postępowanie niezależnie od dochodzenia wewnętrznego. Termin zgłoszenia naruszenia do PUODO wynosi 72 godziny od jego wykrycia. Dochodzenie wewnętrzne musi biec równolegle z procedurą notyfikacyjną. Wyzwanie: logi systemowe są często nadpisywane po 30–90 dniach – legal hold musi być wydany natychmiast.
Scenariusz 3 – Spółka zależna zagranicznego inwestora. Inwestor z Niemiec lub Hiszpanii wymaga zgodności z własnym programem compliance. Dochodzenie musi uwzględniać oba porządki prawne. W praktyce – wiele zagranicznych spółek matek wymaga raportowania do centrali w ciągu 48 godzin od uruchomienia dochodzenia. Polskie przepisy o ochronie danych mogą ograniczać transfer dokumentów za granicę. Jak zaprojektować program compliance dla spółek zależnych – opisujemy w osobnym materiale: compliance programme design for Spain subsidiaries in Poland. Obowiązki AML w kontekście polskim omawia z kolei nasz przewodnik: AML compliance obligations for Polish companies.
Spółka usługowa z Pomorza obsługująca klientów ze Skandynawii zakończyła dochodzenie wewnętrzne w sprawie konfliktu interesów latem 2024 r. Dzięki temu, że raport był sporządzony po polsku i angielsku, spółka matka mogła szybko zatwierdzić rekomendacje – bez zbędnego opóźnienia.
Jakie błędy najczęściej niszczą wyniki dochodzenia?
Compliance to proces, nie dokument. Dochodzenie można przeprowadzić formalnie poprawnie – i nadal popełnić błędy, które podważą jego wartość przed organami lub sądem. Poniżej najczęstsze pułapki.
Brak legal hold. To błąd numer jeden. Jeśli dane zostały usunięte po wpłynięciu zgłoszenia – nawet nieumyślnie – organ może uznać to za utrudnianie postępowania. PUODO w decyzjach z lat 2023–2024 wielokrotnie wskazywał na brak procedur zabezpieczania danych jako okoliczność obciążającą.
Wywiady prowadzone przez HR lub przełożonego. Pracownik przesłuchiwany przez własnego przełożonego nie jest w stanie zeznawać swobodnie. Wyniki takiego wywiadu są kwestionowane przez sądy pracy. Wywiady powinien prowadzić prawnik zewnętrzny lub compliance officer niezwiązany ze sprawą.
Raport zawierający oceny prawne zamiast faktów. Raport z dochodzenia ustala fakty. Nie jest aktem oskarżenia. Stwierdzenie „pracownik X dopuścił się przestępstwa" w raporcie wewnętrznym może narazić spółkę na roszczenie o naruszenie dóbr osobistych, jeśli sprawa nie trafi do sądu karnego.
Brak informacji zwrotnej dla sygnalisty. Ustawa o sygnalistach wymaga odpowiedzi w ciągu 3 miesięcy. Brak odpowiedzi to naruszenie przepisów – niezależnie od tego, jak zakończyło się dochodzenie. Kary za naruszenie obowiązków wobec sygnalistów sięgają 1 080 000 PLN.
Co przygotować przed uruchomieniem dochodzenia:
- pisemna procedura dochodzenia wewnętrznego (policy),
- lista kontaktów do zewnętrznego counsela i specjalisty od e-discovery,
- szablon dyspozycji legal hold dla działu IT i HR,
- rejestr zgłoszeń z datami i statusem spraw,
- wzór protokołu z wywiadu z pracownikiem.
Konkretna sytuacja Państwa firmy wymaga oceny, które z tych elementów są już wdrożone, a które stanowią lukę. Brak procedury w momencie wpłynięcia zgłoszenia to nieodwracalna strata – pierwsze 72 godziny decydują o wartości dowodów.
Jeśli Państwa spółka zatrudnia ponad 50 pracowników i nie posiada jeszcze procedury dochodzenia wewnętrznego – przeprowadzimy audyt gotowości compliance i przygotujemy dokumentację: info@kordeckipartners.com.
Często zadawane pytania
P: Czy małe spółki (poniżej 50 pracowników) muszą przeprowadzać dochodzenia wewnętrzne?
O: Artykuł 8 ustawy o sygnalistach nakłada obowiązek posiadania kanału zgłoszeń na pracodawców zatrudniających co najmniej 50 pracowników. Mniejsze podmioty nie mają tego obowiązku ustawowego. Jednak jeśli zgłoszenie wpłynie – nawet nieformalnie – ignorowanie go naraża zarząd na zarzut zaniechania i odpowiedzialność osobistą na podstawie przepisów Kodeksu spółek handlowych. Uważamy, że każda spółka, niezależnie od wielkości, powinna mieć choćby uproszczoną procedurę reagowania na sygnały naruszeń.
P: Ile kosztuje zewnętrzne dochodzenie wewnętrzne i jak długo trwa?
O: Koszt zależy od skali sprawy i liczby osób objętych dochodzeniem. Proste sprawy jednoosobowe zamykają się zwykle w przedziale 20 000–40 000 PLN i trwają 4–6 tygodni. Sprawy wielowątkowe z analizą danych cyfrowych (e-discovery) mogą kosztować 80 000–150 000 PLN i trwać 8–12 tygodni. Angażowanie zewnętrznego prawnika od początku jest droższe, ale zapewnia ochronę tajemnicy adwokackiej i niezależność raportu.
P: Czy raport z dochodzenia wewnętrznego może być dowodem w postępowaniu karnym?
O: Tak, raport może zostać włączony do materiału dowodowego przez prokuraturę. Dlatego jego treść musi być precyzyjna – ustalać fakty, nie ferować wyroków. Raport sporządzony przez zewnętrznego adwokata lub radcę prawnego korzysta z ochrony tajemnicy zawodowej w zakresie, w jakim zawiera poradę prawną. Część faktograficzna nie jest objęta tą ochroną. Przed sporządzeniem raportu warto omówić z counselem, jak strukturyzować dokument, aby maksymalizować ochronę procesową.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, dochodzeń wewnętrznych i ESG. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.