Firma usługowa z Mazowsza zatrudniała 60 osób i przez rok działała bez kanału sygnalistów. Kiedy jeden z pracowników zgłosił nieprawidłowości bezpośrednio do Państwowej Inspekcji Pracy, pracodawca nie miał żadnej dokumentacji potwierdzającej brak działań odwetowych. Konsekwencje – zarówno finansowe, jak i reputacyjne – były poważniejsze niż koszt wdrożenia systemu od zera.
Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów weszła w życie 25 września 2024 r. i nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek ustanowienia wewnętrznego kanału zgłoszeń. Podstawą prawną jest artykuł 8 ustawy o sygnalistach. Za naruszenie przepisów – w tym za brak kanału lub działania odwetowe – grożą kary do 1 080 000 PLN oraz do 3 lat pozbawienia wolności.
Ten przewodnik przeprowadza przez cztery etapy wdrożenia: ocenę obowiązku, wybór rozwiązania technicznego, budowę procedury i utrzymanie systemu. Każdy etap zawiera konkretne terminy, koszty orientacyjne i pułapki, które najczęściej kosztują firmy czas i pieniądze.
Kogo dotyczy obowiązek i jakie są konsekwencje jego pominięcia?
Obowiązek wdrożenia kanału zgłoszeń dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Próg liczy się według stanu zatrudnienia na dzień 1 stycznia danego roku. Dla podmiotów z sektora finansowego, AML i zamówień publicznych próg nie obowiązuje – kanał jest wymagany niezależnie od liczby pracowników.
Ustawa o sygnalistach weszła w życie 25 września 2024 r. Podmioty, które nie wdrożyły kanału do tej daty, są od tamtej chwili w stanie naruszenia. W praktyce – wiele firm o tym zapomina – Państwowa Inspekcja Pracy może wszcząć kontrolę z urzędu, bez wcześniejszego ostrzeżenia.
Konsekwencje braku kanału obejmują trzy warstwy ryzyka. Po pierwsze, kara administracyjna do 1 080 000 PLN na podstawie art. 54 ustawy o sygnalistach. Po drugie, odpowiedzialność karna do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty. Po trzecie, ryzyko reputacyjne – zwłaszcza w kontekście raportowania ESG i wymogów CSRD wobec dużych podmiotów.
Podmioty objęte obowiązkami AML (instytucje obowiązane w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy) muszą dodatkowo zintegrować kanał sygnalistów z procedurami AML. Wymóg ten nakłada się na obowiązek wpisu do CRBR i prowadzenia rejestru beneficjentów rzeczywistych. Brak spójności między tymi systemami to jeden z najczęstszych błędów audytowych.
- Próg 50 pracowników – weryfikacja na 1 stycznia każdego roku
- Sektor finansowy i AML – brak progu pracowniczego
- Termin wdrożenia – 25 września 2024 r. (już upłynął)
- Kara maksymalna – 1 080 000 PLN lub 3 lata pozbawienia wolności
- Kontrole PIP – możliwe z urzędu, bez zapowiedzi
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie wewnętrznego audytu zatrudnienia przed każdym rokiem kalendarzowym. Zmiana stanu zatrudnienia z 48 na 52 osoby w ciągu roku nie zwalnia z obowiązku – liczy się stan na 1 stycznia.
Konkretna sytuacja Państwa firmy może wymagać oceny, czy próg pracowniczy jest spełniony i czy branża nie nakłada dodatkowych wymogów. Pominięcie tego etapu zamyka drogę do legalnego działania i naraża zarząd na nieodwracalne konsekwencje finansowe.
Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników lub działa w sektorze regulowanym i nie wdrożyła jeszcze kanału zgłoszeń – przeprowadzimy audyt obowiązku i ocenę ryzyka: info@kordeckipartners.com.
Jakie wymagania techniczne musi spełniać kanał zgłoszeń?
Kanał sygnalistów musi zapewniać poufność tożsamości zgłaszającego oraz anonimowość zgłoszeń – jeśli pracodawca zdecyduje się ją umożliwić. Ustawa nie narzuca konkretnego narzędzia technicznego, ale określa funkcjonalne minimum. System musi rejestrować datę zgłoszenia, umożliwiać potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni i pozwalać na udzielenie odpowiedzi w terminie 3 miesięcy.
W praktyce dostępne są trzy modele techniczne. Pierwszy – dedykowana platforma SaaS (koszt: od 200 do 2 000 PLN miesięcznie w zależności od liczby użytkowników). Drugi – rozwiązanie on-premise zintegrowane z systemem kadrowym lub compliance firmy. Trzeci – outsourcing do zewnętrznego dostawcy usług sygnalistycznych, który przejmuje obsługę zgłoszeń.
Każde z tych rozwiązań musi spełniać wymogi RODO. Dane osobowe sygnalisty są danymi szczególnie wrażliwymi w kontekście relacji pracowniczej. Administrator danych (pracodawca) musi prowadzić rejestr czynności przetwarzania i – jeśli przetwarza dane na dużą skalę – przeprowadzić ocenę skutków dla ochrony danych (DPIA). PUODO może przeprowadzić kontrolę niezależnie od PIP.
Scenariusz produkcyjny: firma z branży automotive z Dolnego Śląska wdrożyła platformę SaaS w 2024 r. Integracja z istniejącym systemem HR zajęła 3 tygodnie. Koszt roczny wyniósł około 8 400 PLN. Alternatywa on-premise kosztowałaby ponad 40 000 PLN przy wdrożeniu i wymagałaby zasobów IT.
Scenariusz IT: spółka technologiczna z Warszawy wybrała outsourcing do zewnętrznego dostawcy. Rozwiązanie spełniało wymogi anonimowości i RODO bez angażowania wewnętrznych zasobów. Miesięczny koszt obsługi wyniósł 1 200 PLN. Czas wdrożenia – 10 dni roboczych.
Dla inwestora zagranicznego wchodzącego na rynek polski kluczowe jest, że kanał musi działać w języku polskim i obsługiwać zgłoszenia dotyczące naruszeń prawa polskiego – w tym przepisów AML, prawa pracy i regulacji ESG. Systemy wdrożone dla spółek matek w innych jurysdykcjach nie zastępują lokalnego kanału, jeśli polska spółka zatrudnia powyżej 50 osób.
Jak zbudować procedurę obsługi zgłoszeń krok po kroku?
Procedura obsługi zgłoszeń to dokument wewnętrzny, który musi być dostępny dla wszystkich pracowników przed uruchomieniem kanału. Ustawa wymaga, by procedura określała: podmiot uprawniony do przyjmowania zgłoszeń, termin potwierdzenia przyjęcia (7 dni), termin udzielenia odpowiedzi (3 miesiące) oraz zakres działań następczych.
Etap 1 – wyznaczenie osoby lub jednostki odpowiedzialnej za przyjmowanie zgłoszeń. Może to być dział HR, dział prawny, compliance officer lub zewnętrzny podmiot. Osoba ta musi być niezależna od linii raportowania, której dotyczy potencjalne naruszenie. W małych organizacjach (50–100 pracowników) najczęściej wyznacza się zewnętrznego doradcę prawnego.
Etap 2 – opracowanie rejestru zgłoszeń. Rejestr musi zawierać datę zgłoszenia, jego przedmiot, podjęte działania i wynik. Dostęp do rejestru jest ograniczony – tylko wyznaczone osoby mogą go przeglądać. Rejestr przechowuje się przez co najmniej 5 lat od zamknięcia sprawy.
Etap 3 – konsultacje z przedstawicielami pracowników. Przed wdrożeniem procedury pracodawca ma obowiązek przeprowadzenia konsultacji ze związkami zawodowymi lub – przy ich braku – z przedstawicielami pracowników. Konsultacje trwają co najmniej 5 dni roboczych. Pominięcie tego etapu to jeden z najczęstszych błędów proceduralnych.
Etap 4 – szkolenie osób obsługujących kanał. Osoby przyjmujące zgłoszenia muszą znać zakres ochrony sygnalisty, zakaz działań odwetowych i zasady poufności. Szkolenie powinno być udokumentowane. Compliance w tym zakresie wpisuje się w szersze wymogi ESG raportowania – zwłaszcza dla spółek objętych CSRD.
- Wyznaczenie osoby odpowiedzialnej – przed uruchomieniem kanału
- Konsultacje z pracownikami – minimum 5 dni roboczych
- Opracowanie rejestru zgłoszeń – przechowywanie przez 5 lat
- Szkolenie osób obsługujących – z dokumentacją
Jakie błędy najczęściej eliminują ochronę pracodawcy?
Compliance to proces, nie dokument. Najczęstszy błąd to wdrożenie kanału „na papierze" – firma posiada regulamin, ale nikt nie obsługuje zgłoszeń, a rejestr jest pusty. W razie kontroli PIP lub postępowania sądowego brak faktycznej obsługi zgłoszeń działa na niekorzyść pracodawcy tak samo jak brak kanału.
Drugi błąd dotyczy zakresu podmiotowego. Ustawa o sygnalistach chroni nie tylko pracowników, ale również zleceniobiorców, praktykantów, wolontariuszy i kontrahentów. Kanał ograniczony wyłącznie do pracowników etatowych nie spełnia wymagań ustawy. W praktyce – wiele firm o tym zapomina – umowy B2B z kontraktorami powinny zawierać klauzulę informującą o dostępności kanału.
Trzeci błąd to brak aktualizacji procedury. Ustawa o sygnalistach implementuje dyrektywę UE, która będzie ewoluować wraz z przepisami CSRD i ESG raportowania. Procedura wdrożona w 2024 r. może wymagać aktualizacji już w 2026 r. – zwłaszcza dla spółek objętych Wave 2 CSRD (próg: PLN 110 mln aktywów lub PLN 220 mln przychodów lub 250 pracowników).
Czwarty błąd to brak integracji z procedurami AML. Podmioty obowiązane w rozumieniu przepisów AML muszą zapewnić spójność między kanałem sygnalistów a systemem raportowania naruszeń AML. Rozbieżność między tymi systemami może prowadzić do podwójnej odpowiedzialności – zarówno na gruncie ustawy o sygnalistach, jak i ustawy o przeciwdziałaniu praniu pieniędzy.
Piąty błąd dotyczy danych osobowych. Pracodawcy często nie aktualizują polityki prywatności i rejestru czynności przetwarzania po wdrożeniu kanału. PUODO traktuje to jako odrębne naruszenie RODO – niezwiązane z ustawą o sygnalistach, ale mogące pojawić się w tym samym postępowaniu kontrolnym. Dla podmiotów raportujących w ramach CRBR dodatkowym wymogiem jest spójność danych beneficjentów rzeczywistych z dokumentacją compliance.
Konkretna sytuacja Państwa firmy wymaga oceny, czy istniejący kanał spełnia wszystkie wymagania – nie tylko formalne, ale i faktyczne. Luka między dokumentem a praktyką jest nieodwracalna w momencie wszczęcia kontroli.
Jeśli Państwa spółka wdrożyła kanał sygnalistów, ale nie przeprowadziła audytu jego zgodności z ustawą – zweryfikujemy procedurę, rejestr i dokumentację RODO: info@kordeckipartners.com.
Często zadawane pytania
P: Czy firma zatrudniająca 48 osób na umowę o pracę i 5 na B2B musi wdrożyć kanał sygnalistów?
O: Próg 50 pracowników oblicza się na podstawie liczby osób zatrudnionych na podstawie stosunku pracy – umów o pracę. Kontraktory B2B co do zasady nie wliczają się do progu. Jednak ustawa o sygnalistach chroni ich jako osoby uprawnione do korzystania z kanału, jeśli kanał istnieje. Jeśli firma nie przekracza progu pracowniczego i nie działa w sektorze regulowanym, obowiązek wdrożenia kanału formalnie nie powstaje – choć wdrożenie dobrowolne jest dopuszczalne i rekomendowane z perspektywy ESG raportowania.
P: Ile kosztuje wdrożenie kanału sygnalistów i jak długo trwa?
O: Koszt wdrożenia zależy od modelu technicznego. Platforma SaaS to wydatek od 200 do 2 000 PLN miesięcznie. Outsourcing obsługi zgłoszeń do zewnętrznego doradcy to koszt od 800 do 3 000 PLN miesięcznie w zależności od zakresu. Rozwiązanie on-premise wymaga nakładu jednorazowego rzędu 20 000–60 000 PLN. Czas wdrożenia – od 10 dni roboczych (SaaS) do 6 tygodni (on-premise z integracją HR). Etap konsultacji pracowniczych wydłuża harmonogram o minimum 5 dni roboczych i nie może być pominięty.
P: Czy jeden kanał sygnalistów może obsługiwać wiele spółek w grupie kapitałowej?
O: Ustawa o sygnalistach dopuszcza wspólny kanał dla grupy kapitałowej, ale z ważnym zastrzeżeniem: każda spółka zatrudniająca od 50 do 249 pracowników musi zapewnić, że zgłoszenia dotyczące jej działalności są rozpatrywane niezależnie – bez konfliktu interesów z podmiotem dominującym. Dla spółek powyżej 250 pracowników każda jednostka powinna mieć własny, odrębny kanał lub wyraźnie wydzielony moduł w systemie grupowym. Zezwolenia na pracę dla pracowników delegowanych między spółkami grupy mogą wpływać na zakres podmiotowy kanału – więcej o tej kwestii w artykule o zezwoleniach na pracę typ AE.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. Pomagamy w weryfikacji obowiązku, wyborze rozwiązania technicznego, opracowaniu procedury i audycie zgodności – w tym w kontekście wymogów AML, CRBR i screeningu sankcyjnego dla polskich przedsiębiorstw. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.