Firma logistyczna z Mazowsza odkrywa – podczas audytu wewnętrznego – że od miesięcy funkcjonuje bez wymaganego kanału zgłoszeń dla sygnalistów. Ustawa o ochronie sygnalistów weszła w życie 25 września 2024 roku. Każdy pracodawca zatrudniający co najmniej 50 pracowników jest dziś zobowiązany do wdrożenia wewnętrznego systemu zgłoszeń. Brak tego systemu to nie tylko ryzyko administracyjne – to potencjalna odpowiedzialność karna do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.
Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek ustanowienia wewnętrznego kanału zgłoszeń naruszenia prawa. Obowiązek ten wynika wprost z artykułu 8 ustawy o sygnalistach. Kary za działania odwetowe wobec sygnalisty sięgają 1 080 000 PLN grzywny lub 3 lat pozbawienia wolności – zgodnie z artykułem 54 ustawy.
Niniejszy przewodnik przeprowadza pracodawcę przez cały proces wdrożenia: od analizy progu zatrudnienia, przez budowę procedur, aż po szkolenie pracowników i obsługę pierwszego zgłoszenia. Omówione zostaną trzy scenariusze biznesowe – firma produkcyjna, spółka IT i inwestor zagraniczny – oraz najczęstsze błędy popełniane na etapie wdrożenia.
Kogo obejmuje obowiązek i jakie są terminy?
Próg 50 pracowników to punkt startowy każdej analizy. Ustawa o ochronie sygnalistów obowiązuje od 25 września 2024 roku i nie przewiduje okresu przejściowego dla pracodawców, którzy już w dniu wejścia w życie przekraczali próg zatrudnienia. Oznacza to, że wielu pracodawców było zobowiązanych do wdrożenia kanału zgłoszeń od pierwszego dnia obowiązywania ustawy. Dla firm, które próg 50 pracowników przekroczyły później – obowiązek powstaje z dniem przekroczenia.
Przy liczeniu progu uwzględnia się pracowników w rozumieniu Kodeksu pracy. Zleceniobiorcy, osoby na kontraktach B2B i pracownicy tymczasowi co do zasady nie są wliczani, choć ich status może być przedmiotem sporu. Pracodawca powinien dokonać tej analizy z ostrożnością – błędne ustalenie, że próg nie został osiągnięty, nie wyłącza odpowiedzialności. Warto pamiętać, że art. 25(1) § 1 k.p. ogranicza łączny czas umów na czas określony do 33 miesięcy, co wpływa na sposób liczenia stałego zatrudnienia.
Ustawa obejmuje zgłoszenia naruszeń w kilku obszarach prawa: zamówienia publiczne, usługi finansowe, ochrona środowiska, bezpieczeństwo produktów, ochrona danych osobowych (RODO), prawo konkurencji oraz prawo pracy. To szeroki katalog. W praktyce oznacza to, że kanał zgłoszeń nie może być ograniczony wyłącznie do spraw kadrowych – musi obejmować wszelkie naruszenia prawa w działalności pracodawcy. Każda firma powinna zidentyfikować, które obszary są dla niej najbardziej istotne, i odpowiednio skonfigurować procedury przyjmowania zgłoszeń.
Podmioty z sektora finansowego, objęte nadzorem KNF, oraz podmioty zobowiązane do stosowania przepisów o przeciwdziałaniu praniu pieniędzy podlegają dodatkowym regulacjom sektorowym. Organy nadzoru – w tym KAS i UOKiK – mogą weryfikować zgodność wdrożonych procedur z wymogami ustawy. Rejestr naruszeń prowadzony wewnętrznie przez pracodawcę jest dokumentem, który może być przedmiotem kontroli.
Jak zbudować kanał zgłoszeń krok po kroku?
Wdrożenie kanału zgłoszeń to projekt o określonej strukturze. Prawidłowo przeprowadzone wdrożenie składa się z pięciu etapów i powinno zamknąć się w ciągu 6–8 tygodni od podjęcia decyzji o wdrożeniu. Każdy etap ma swoje produkty i osoby odpowiedzialne. Poniżej przedstawiamy tę strukturę w formie praktycznej listy kontrolnej.
- Etap 1 – analiza zatrudnienia i zakresu: ustalenie progu 50 pracowników, identyfikacja obszarów naruszeń objętych ustawą, weryfikacja ewentualnych regulacji sektorowych.
- Etap 2 – projekt procedury: opracowanie regulaminu kanału zgłoszeń, określenie osoby lub jednostki przyjmującej zgłoszenia, zasad poufności i terminów odpowiedzi.
- Etap 3 – konsultacje ze związkami zawodowymi lub przedstawicielami pracowników: ustawa wymaga przeprowadzenia konsultacji przed wdrożeniem – minimalne 5-dniowe vacatio legis procedury wewnętrznej.
- Etap 4 – wdrożenie techniczno-organizacyjne: uruchomienie kanału (platforma IT, formularz papierowy lub skrzynka e-mail), szkolenie osób przyjmujących zgłoszenia.
- Etap 5 – komunikacja pracownicza: poinformowanie wszystkich pracowników o istnieniu kanału, zasadach zgłaszania i ochronie sygnalisty.
Kluczowym elementem jest zapewnienie poufności tożsamości sygnalisty. Pracodawca musi wdrożyć środki techniczne i organizacyjne uniemożliwiające nieuprawniony dostęp do danych osobowych zgłaszającego. Naruszenie poufności samo w sobie może stanowić podstawę odpowiedzialności karnej. Dlatego dostęp do systemu zgłoszeń powinien być ograniczony do ściśle określonego kręgu osób – w praktyce 1–3 osoby w organizacji, najczęściej compliance officer, dyrektor HR lub zewnętrzny doradca prawny.
Termin na potwierdzenie przyjęcia zgłoszenia wynosi 7 dni od jego wpłynięcia. Termin na przekazanie sygnaliście informacji zwrotnej o działaniach podjętych w następstwie zgłoszenia wynosi maksymalnie 3 miesiące. Te terminy są ustawowe i ich niedotrzymanie może być traktowane jako naruszenie praw sygnalisty. W praktyce – wiele firm o tym zapomina – warto skonfigurować system przypomnień, który automatycznie alarmuje osobę odpowiedzialną o zbliżających się terminach.
Dokumentacja całego procesu obsługi zgłoszenia musi być przechowywana przez 5 lat od dnia przyjęcia zgłoszenia. To wymóg wynikający z ustawy, który ma znaczenie zarówno dla ewentualnych postępowań sądowych, jak i dla kontroli organów nadzoru. Pracodawca powinien zadbać o to, by rejestr zgłoszeń był prowadzony w sposób umożliwiający odtworzenie przebiegu każdej sprawy.
Uważamy, że bezpieczniejszym rozwiązaniem dla większości firm jest powierzenie roli osoby przyjmującej zgłoszenia zewnętrznemu podmiotowi – kancelarii prawnej lub wyspecjalizowanej platformie compliance. Rozwiązanie to zapewnia niezależność, poufność i ciągłość obsługi, nawet w przypadku rotacji pracowników wewnętrznych. Koszt zewnętrznej obsługi kanału zgłoszeń to zazwyczaj 500–2 000 PLN miesięcznie, w zależności od wielkości organizacji.
Jakie błędy popełniają pracodawcy przy wdrożeniu?
Błędy wdrożeniowe są powtarzalne. Audyty compliance prowadzone przez kancelarie w 2025 roku ujawniają kilka typowych uchybień, które generują realne ryzyko prawne. Każde z nich może skutkować odpowiedzialnością – zarówno organizacji, jak i osób zarządzających. Poniżej opisujemy najczęstsze z nich.
Pierwszy błąd to ograniczenie kanału wyłącznie do naruszeń prawa pracy. Ustawa obejmuje znacznie szerszy katalog – zamówienia publiczne, ochrona środowiska, prawo konkurencji, RODO. Firma produkcyjna z Podkarpacia, która wdrożyła kanał zgłoszeń wyłącznie dla spraw kadrowych, naraziła się na zarzut niezgodności z ustawą po tym, jak pracownik zgłosił naruszenie przepisów środowiskowych przez podmiot zewnętrzny. Procedura nie przewidywała takiego scenariusza – zgłoszenie trafiło w próżnię.
Drugi błąd to brak konsultacji z pracownikami lub związkami zawodowymi przed wdrożeniem. Ustawa wprost wymaga przeprowadzenia tych konsultacji. Pominięcie tego kroku nie unieważnia co prawda całego kanału, ale stanowi naruszenie proceduralne, które może być podstawą zarzutów w toku kontroli PIP (Państwowej Inspekcji Pracy). Pracodawca powinien udokumentować przeprowadzenie konsultacji – najlepiej protokołem.
Trzeci błąd to brak szkolenia osób przyjmujących zgłoszenia. Osoba, która nie rozumie zasad poufności, terminów odpowiedzi i zakresu ochrony sygnalisty, może nieświadomie naruszyć jego prawa. Nawet niecelowe ujawnienie tożsamości zgłaszającego może być kwalifikowane jako działanie odwetowe. Szkolenie powinno obejmować co najmniej: zakres ustawy, procedurę obsługi zgłoszenia, zasady dokumentacji i terminy ustawowe.
Czwarty błąd dotyczy grup kapitałowych. Wiele holdingów zakłada, że jedno centralne rozwiązanie wystarczy dla wszystkich spółek zależnych. Tymczasem ustawa nakłada obowiązek na każdego pracodawcę z osobna. Spółka zależna zatrudniająca 60 pracowników musi mieć własny kanał zgłoszeń – nawet jeśli spółka matka posiada rozbudowany system compliance. Możliwe jest jednak wspólne rozwiązanie techniczne przy zachowaniu odrębnych procedur dla każdej spółki. Więcej o strukturach compliance w grupach kapitałowych można przeczytać w kontekście procedur zwolnień grupowych i notyfikacji, gdzie podobne kwestie dotyczące zakresu obowiązków pracodawcy w grupach są omawiane szczegółowo.
Trzy scenariusze biznesowe – jak podejść do wdrożenia?
Różne typy organizacji stają przed różnymi wyzwaniami przy wdrożeniu kanału zgłoszeń. Poniżej przedstawiamy trzy scenariusze, które ilustrują najczęstsze konfiguracje organizacyjne i odpowiednie podejście do każdej z nich.
Scenariusz 1: Firma produkcyjna, 150 pracowników. Duży zakład produkcyjny z Wielkopolski, zatrudniający pracowników fizycznych i administracyjnych, musi zapewnić dostępność kanału zgłoszeń dla wszystkich grup pracowników – w tym tych bez dostępu do komputera. Rozwiązanie powinno uwzględniać kanał papierowy lub telefoniczny obok elektronicznego. Procedura musi obejmować naruszenia z zakresu bezpieczeństwa produktów, ochrony środowiska i prawa pracy. Koszty wdrożenia: 3 000–8 000 PLN jednorazowo, plus obsługa bieżąca.
Scenariusz 2: Spółka IT, 55 pracowników. Firma technologiczna z Krakowa, zatrudniająca głównie programistów na umowach o pracę, wdraża kanał zgłoszeń zintegrowany z istniejącymi narzędziami compliance. Kluczowe obszary to RODO, ochrona własności intelektualnej i prawo konkurencji. Warto zwrócić uwagę, że ochrona oprogramowania i prawa autorskie w polskim prawie tworzą osobną warstwę ryzyka, którą kanał zgłoszeń powinien obejmować. Firma IT może wdrożyć w pełni cyfrowy kanał z szyfrowaniem end-to-end w ciągu 2–3 tygodni.
Scenariusz 3: Inwestor zagraniczny, oddział w Polsce. Dla niemieckiego inwestora wchodzącego na rynek polski wdrożenie kanału sygnalistów wiąże się z koniecznością harmonizacji z wymogami dyrektywy UE 2019/1937 (Whistleblower Directive) i polskiej ustawy implementującej. Polska ustawa zawiera wymogi wykraczające poza minimum dyrektywy – m.in. w zakresie zakresu przedmiotowego zgłoszeń. Oddział zatrudniający co najmniej 50 pracowników musi wdrożyć kanał zgodny z polskim prawem, niezależnie od rozwiązań przyjętych w centrali. Minimalne wynagrodzenie za pracę wymagane przy Blue Card Polska wynosi 12 272,58 PLN miesięcznie – co pokazuje, że polskie przepisy prawa pracy mają swoje własne progi i wymagania, które inwestor zagraniczny musi uwzględnić niezależnie.
We wszystkich trzech scenariuszach wspólnym mianownikiem jest konieczność dostosowania procedury do specyfiki organizacji. Gotowe szablony procedur dostępne w internecie rzadko spełniają wymogi ustawy w całości. Uważamy, że każda procedura powinna być opracowana po przeprowadzeniu analizy ryzyka specyficznej dla danej firmy – a nie kopiowana z wzorca.
Pracodawca powinien pamiętać o art. 36 § 1 k.p. w kontekście obsadzania stanowiska compliance officera odpowiedzialnego za kanał zgłoszeń – okresy wypowiedzenia wynoszą od 2 tygodni do 3 miesięcy w zależności od stażu pracy. Planując zmiany organizacyjne związane z wdrożeniem, warto uwzględnić te terminy w harmonogramie projektu.
Konkretna sytuacja Państwa firmy – szczególnie jeśli prowadzicie działalność w kilku jurysdykcjach lub zatrudniacie pracowników na różnych podstawach prawnych – wymaga indywidualnej analizy. Błędne wdrożenie kanału zgłoszeń może mieć nieodwracalne konsekwencje: odpowiedzialność karna osób zarządzających jest trudna do odwrócenia po wszczęciu postępowania.
Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i nie wdrożyła jeszcze kanału zgłoszeń lub ma wątpliwości co do zgodności istniejącego systemu z ustawą – przeprowadzimy audyt zgodności, opracujemy procedurę i wesprzemy wdrożenie: info@kordeckipartners.com.
Często zadawane pytania
P: Czy firma zatrudniająca 45 pracowników na umowie o pracę i 10 zleceniobiorców musi wdrożyć kanał zgłoszeń?
O: Próg 50 pracowników odnosi się do pracowników w rozumieniu Kodeksu pracy – a więc osób zatrudnionych na podstawie umowy o pracę, mianowania lub spółdzielczej umowy o pracę. Zleceniobiorcy i osoby na kontraktach B2B co do zasady nie są wliczani do tego progu. W opisanym przypadku firma zatrudnia 45 pracowników i nie przekracza progu – obowiązek wdrożenia kanału zgłoszeń formalnie nie powstaje. Niemniej jednak wdrożenie kanału dobrowolnie jest praktyką zalecaną, zwłaszcza gdy firma planuje wzrost zatrudnienia lub działa w sektorach regulowanych.
P: Ile kosztuje wdrożenie kanału zgłoszeń i kto może go obsługiwać?
O: Koszt wdrożenia zależy od wybranego rozwiązania technicznego i zakresu wsparcia zewnętrznego. Samodzielne wdrożenie z wykorzystaniem formularza e-mail i procedury papierowej to koszt rzędu 1 000–3 000 PLN (głównie koszty doradztwa prawnego przy opracowaniu procedury). Zewnętrzna platforma compliance z obsługą zgłoszeń to koszt 500–2 000 PLN miesięcznie. Kanał może obsługiwać wewnętrzny pracownik (np. compliance officer, dyrektor HR) lub zewnętrzny podmiot – kancelaria prawna lub wyspecjalizowana firma. Artykuł 8 ustawy o sygnalistach nie narzuca konkretnej formy technicznej, lecz wymaga zapewnienia poufności i dostępności.
P: Czy pracownik może zgłosić naruszenie bezpośrednio do organu zewnętrznego, z pominięciem wewnętrznego kanału?
O: Tak. Ustawa o ochronie sygnalistów przewiduje trzy ścieżki zgłoszeń: wewnętrzną (do pracodawcy), zewnętrzną (do właściwego organu publicznego, np. KAS, UOKiK, KNF, PIP) oraz ujawnienie publiczne (w szczególnych przypadkach). Pracownik nie ma obowiązku korzystania najpierw z kanału wewnętrznego – może od razu zgłosić naruszenie do organu zewnętrznego. Prawidłowe wdrożenie wewnętrznego kanału zgłoszeń zwiększa jednak prawdopodobieństwo, że pracownicy skorzystają najpierw z drogi wewnętrznej, co daje pracodawcy szansę na samodzielne rozwiązanie problemu przed interwencją organu zewnętrznego.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa pracy, compliance i wdrożeń regulacyjnych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Autor: Olga Adamczyk kieruje praktyką prawa pracy i mobilności globalnej oraz koordynuje Ukrainian Desk i CIS Desk kancelarii. Doradzała przy ponad 200 zezwoleniach na pracę od 2023 r.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.