Firma logistyczna z Mazowsza wdrożyła kanał sygnalistów w ostatniej chwili – trzy tygodnie przed kontrolą Państwowej Inspekcji Pracy. Formularz działał. Tożsamość zgłaszającego jednak nie była chroniona w sposób wymagany przez ustawę. Wynik: konieczność przebudowy całego systemu i realne ryzyko kary do PLN 1 080 000 za naruszenie przepisów o sygnalistach.

Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek ustanowienia wewnętrznego kanału zgłoszeń. Podstawa prawna to artykuł 8 ustawy o sygnalistach. Ustawa weszła w życie 25 września 2024 roku, a za brak kanału lub jego nieprawidłowe funkcjonowanie grożą kary do PLN 1 080 000 i do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.

Ten przewodnik opisuje krok po kroku, co musi zawierać prawidłowy kanał zgłoszeń – zarówno od strony prawnej, jak i technicznej. Omawia terminy, koszty, trzy scenariusze biznesowe oraz najczęstsze błędy wdrożeniowe. Znajdą tu odpowiedź zarówno spółki produkcyjne, firmy technologiczne, jak i zagraniczni inwestorzy wchodzący na rynek polski.

Kogo dotyczy obowiązek i jakie są terminy wdrożenia?

Obowiązek wdrożenia wewnętrznego kanału zgłoszeń obejmuje każdego pracodawcę zatrudniającego co najmniej 50 osób. Liczy się stan zatrudnienia na dzień wejścia w życie ustawy – 25 września 2024 roku. Podmioty z sektora finansowego, publicznego oraz objęte przepisami AML mają obowiązek bez względu na liczbę pracowników.

Pracodawcy z progiem 50–249 pracowników mogli skorzystać z wydłużonego terminu wdrożenia do 17 grudnia 2023 roku na podstawie pierwotnej dyrektywy unijnej. Polska ustawa obowiązuje od 25 września 2024 roku – co oznacza, że podmioty, które dotychczas nie wdrożyły kanału, są już w zwłoce. Państwowa Inspekcja Pracy (PIP) i prokuratura to organy uprawnione do kontroli.

Trzy scenariusze biznesowe pokazują różny zakres obowiązków:

  • Producent z Małopolski zatrudniający 80 pracowników – obowiązek pełny, kanał wewnętrzny wymagany.
  • Startup IT z Warszawy, 30 pracowników, obsługujący klientów finansowych – obowiązek z tytułu AML, niezależnie od progu zatrudnienia.
  • Spółka córka zagranicznego inwestora, 200 pracowników – obowiązek pełny; kanał grupy może być wspólny, ale musi spełniać polskie wymogi prawne i językowe.

Warto pamiętać, że podmioty objęte przepisami CSRD (Dyrektywa UE 2022/2464) traktują kanał sygnalistów jako element ESG raportowania. Brak działającego systemu może wpłynąć na ocenę zgodności z wymogami ładu korporacyjnego w raportach niefinansowych. Dla spółek wpisanych do CRBR (Centralny Rejestr Beneficjentów Rzeczywistych) brak kanału stanowi dodatkowy sygnał ryzyka compliance dla audytorów zewnętrznych.

Jakie są wymagania techniczne kanału zgłoszeń?

Prawidłowy kanał techniczny musi zapewniać poufność tożsamości sygnalisty, integralność zgłoszenia oraz możliwość anonimowego kontaktu zwrotnego. Art. 8 ustawy o sygnalistach wymaga, by zgłoszenia były przyjmowane w formie ustnej lub pisemnej – w tym elektronicznej. Termin na potwierdzenie przyjęcia zgłoszenia wynosi 7 dni od jego wpłynięcia.

Minimalne wymogi techniczne obejmują cztery elementy. Po pierwsze – szyfrowanie end-to-end całej komunikacji między sygnalistą a osobą przyjmującą zgłoszenie. Po drugie – oddzielenie danych identyfikacyjnych sygnalisty od treści zgłoszenia (pseudonimizacja lub pełna anonimizacja). Po trzecie – kontrola dostępu: tylko wyznaczone osoby mogą przeglądać zgłoszenia. Po czwarte – rejestr operacji na danych, tzw. log dostępu, umożliwiający audyt.

W praktyce – wiele firm popełnia ten sam błąd – kanał oparty wyłącznie na skrzynce e-mail działu HR nie spełnia wymogów. Adres e-mail jest widoczny dla administratora poczty. Zgłoszenie nie jest zaszyfrowane. Dostęp nie jest ograniczony do wyznaczonej osoby. Taki system naraża pracodawcę na zarzut naruszenia zarówno ustawy o sygnalistach, jak i RODO.

Dostępne rozwiązania techniczne to platformy SaaS dedykowane sygnalistom (koszt od PLN 300 do PLN 2 000 miesięcznie w zależności od liczby użytkowników), systemy on-premise wdrażane przez dział IT oraz hybrydowe rozwiązania łączące formularz elektroniczny z telefoniczną infolinią. Każde z nich wymaga oceny pod kątem zgodności z RODO przed uruchomieniem.

Dla firm z branży finansowej, objętych regulacjami DORA lub compliance AML, integracja kanału sygnalistów z systemem zarządzania incydentami ICT jest rekomendowaną praktyką. Pozwala uniknąć dublowania procesów i ułatwia raportowanie do KNF.

Jakie procedury wewnętrzne musi opracować pracodawca?

Sam kanał techniczny to za mało. Ustawa o sygnalistach wymaga, by pracodawca opracował regulamin przyjmowania i rozpatrywania zgłoszeń wewnętrznych. Regulamin musi być skonsultowany ze związkami zawodowymi lub przedstawicielami pracowników – konsultacje trwają minimum 5 dni, maksimum 10 dni. Bez konsultacji regulamin jest nieważny.

Regulamin musi zawierać co najmniej:

  • Podmiot uprawniony do przyjmowania zgłoszeń (osoba fizyczna lub jednostka organizacyjna).
  • Sposób potwierdzenia przyjęcia zgłoszenia – nie później niż 7 dni od wpływu.
  • Termin na podjęcie działań następczych – maksymalnie 3 miesiące od potwierdzenia przyjęcia.
  • Informację o możliwości zgłoszenia zewnętrznego do Rzecznika Praw Obywatelskich (RPO) lub właściwego organu.
  • Zasady ochrony danych osobowych sygnalisty i osób, których zgłoszenie dotyczy.

Firma produkcyjna z Podkarpacia – z doświadczeń z pierwszego kwartału 2025 roku – przeprowadziła konsultacje w ciągu 7 dni, zatwierdziła regulamin i uruchomiła platformę SaaS w ciągu 3 tygodni od startu projektu. Koszt całego wdrożenia wyniósł około PLN 8 000 brutto, wliczając obsługę prawną i konfigurację systemu.

Wyznaczenie osoby odpowiedzialnej za przyjmowanie zgłoszeń to decyzja strategiczna. Może to być pracownik działu compliance, prawnik wewnętrzny lub zewnętrzny podmiot (outsourcing). Outsourcing jest dopuszczalny, ale pracodawca pozostaje odpowiedzialny za prawidłowość całego procesu. Uważamy, że bezpieczniejszym rozwiązaniem jest wyznaczenie osoby wewnętrznej z dostępem do wsparcia zewnętrznego prawnika.

Compliance to proces, nie dokument. Regulamin wymaga przeglądu co najmniej raz w roku lub po każdej istotnej zmianie struktury organizacyjnej. Brak aktualizacji przy fuzji lub przejęciu to jeden z najczęstszych błędów wykrywanych podczas audytów.

Zapraszamy do zapoznania się z naszym przewodnikiem dotyczącym compliance funduszy UE i wymagań KPO i RRF, gdzie omawiamy analogiczne mechanizmy proceduralne w kontekście finansowania unijnego.

Konkretna sytuacja Państwa firmy – zwłaszcza gdy zatrudnienie oscyluje wokół progu 50 pracowników lub gdy spółka należy do grupy kapitałowej – wymaga indywidualnej oceny. Błędne zakwalifikowanie struktury zatrudnienia zamyka drogę do obrony przed karą i może prowadzić do nieodwracalnych konsekwencji reputacyjnych.

Jeśli Państwa spółka zatrudnia co najmniej 50 osób lub prowadzi działalność objętą AML i nie posiada jeszcze prawidłowego kanału zgłoszeń – przeprowadzimy audyt zgodności, opracujemy regulamin i wdrożymy procedury: info@kordeckipartners.com.

Jakie błędy wdrożeniowe najczęściej kończą się odpowiedzialnością?

Nieprawidłowe wdrożenie kanału sygnalistów generuje trzy rodzaje ryzyka: odpowiedzialność karną osób zarządzających (do 3 lat pozbawienia wolności za działania odwetowe), kary administracyjne do PLN 1 080 000 oraz roszczenia cywilne sygnalisty za naruszenie jego ochrony. Każde z tych ryzyk może zmaterializować się niezależnie.

Najczęstsze błędy wdrożeniowe to:

  • Brak pseudonimizacji lub anonimizacji danych sygnalisty w systemie technicznym.
  • Niewyznaczenie konkretnej osoby odpowiedzialnej za rozpatrywanie zgłoszeń.
  • Pominięcie konsultacji z przedstawicielami pracowników przed wprowadzeniem regulaminu.
  • Niedotrzymanie 7-dniowego terminu potwierdzenia przyjęcia zgłoszenia.
  • Brak informacji dla pracowników o istnieniu i zasadach działania kanału.

Firma IT z Trójmiasta – wiosna 2025 roku – wdrożyła kanał bez konsultacji z radą pracowników. Regulamin był technicznie poprawny. Jednak brak konsultacji spowodował, że cała procedura musiała być powtórzona. Koszt opóźnienia: trzy tygodnie ekspozycji na ryzyko i dodatkowe PLN 5 000 za obsługę prawną powtórnych konsultacji.

Szczególnie niebezpieczny jest błąd polegający na ujawnieniu tożsamości sygnalisty – nawet nieumyślnym. Art. 54 ustawy o sygnalistach penalizuje działania odwetowe, ale odpowiedzialność za naruszenie poufności może powstać również wtedy, gdy pracodawca nie wdrożył odpowiednich zabezpieczeń technicznych. Sąd patrzy na dowody, nie na intencje.

Dla spółek objętych CSRD i ESG raportowaniem brak działającego kanału sygnalistów to nie tylko ryzyko prawne. To sygnał dla inwestorów i audytorów, że system zarządzania ryzykiem etycznym nie funkcjonuje. Wpływa to bezpośrednio na ocenę wskaźników ładu korporacyjnego (governance) w raportach niefinansowych.

Zagadnienia związane z restrukturyzacją i ochroną przed niewypłacalnością, które mogą towarzyszyć poważnym naruszeniom compliance, omawia nasz przewodnik po restrukturyzacji zapobiegawczej i czterech dostępnych trybach.

Lista kontrolna: co przygotować przed uruchomieniem kanału?

Prawidłowe wdrożenie kanału sygnalistów wymaga działań na trzech poziomach: prawnym, technicznym i organizacyjnym. Poniższa lista kontrolna pozwala ocenić gotowość przed uruchomieniem systemu. Każdy punkt odpowiada konkretnemu wymogowi ustawowemu lub najlepszej praktyce compliance.

  • Weryfikacja progu zatrudnienia – ustalenie, czy spółka zatrudnia co najmniej 50 osób lub podlega obowiązkowi z tytułu AML, CSRD lub regulacji sektorowych.
  • Wybór rozwiązania technicznego – ocena platform SaaS, systemów on-premise lub outsourcingu pod kątem szyfrowania, anonimizacji i kontroli dostępu; koszt od PLN 300/miesiąc.
  • Opracowanie regulaminu – projekt regulaminu zgodny z art. 8 ustawy o sygnalistach, uwzględniający terminy 7-dniowy (potwierdzenie) i 3-miesięczny (działania następcze).
  • Konsultacje pracownicze – minimum 5-dniowe konsultacje ze związkami zawodowymi lub przedstawicielami pracowników; dokumentacja przebiegu konsultacji.
  • Szkolenie osób przyjmujących zgłoszenia – co najmniej jedno szkolenie przed uruchomieniem kanału; zalecane szkolenia cykliczne co 12 miesięcy.

Decyzja o wyborze modelu wdrożenia zależy od kilku zmiennych: wielkości firmy, branży, struktury grupy kapitałowej i dostępnych zasobów IT. Spółki należące do grup międzynarodowych mogą korzystać ze wspólnego kanału grupowego, pod warunkiem że spełnia on polskie wymogi językowe i procedurale. Termin na dostosowanie wspólnego kanału do wymogów polskiej ustawy upłynął 25 września 2024 roku.

Compliance to proces, nie jednorazowe wdrożenie. Po uruchomieniu kanału konieczne są: roczny przegląd regulaminu, aktualizacja oceny skutków dla ochrony danych (DPIA) oraz weryfikacja, czy dostawca platformy technicznej spełnia aktualne wymogi bezpieczeństwa. Brak przeglądów to jeden z sygnałów ryzyka wykrywanych przez audytorów CSRD i inspektorów PIP.

Konkretna sytuacja Państwa firmy – w szczególności gdy spółka wchodzi w skład grupy kapitałowej lub planuje wdrożenie wspólnego kanału – wymaga analizy, zanim system zostanie uruchomiony. Nieodwracalne konsekwencje naruszenia poufności sygnalisty zamykają drogę do ugodowego zakończenia sprawy.

Jeśli Państwa spółka planuje wdrożenie lub audyt istniejącego kanału sygnalistów – przeprowadzimy analizę zgodności z ustawą, opracujemy regulamin i przygotujemy dokumentację RODO: info@kordeckipartners.com.

Często zadawane pytania

P: Czy spółka zatrudniająca 45 pracowników musi wdrożyć kanał sygnalistów?

O: Co do zasady – nie, jeśli jedyną podstawą obowiązku jest próg zatrudnienia z artykułu 8 ustawy o sygnalistach. Jednak spółka objęta przepisami AML, regulacjami sektorowymi (np. finansowymi) lub raportowaniem CSRD może mieć obowiązek niezależnie od liczby pracowników. Przed podjęciem decyzji o zaniechaniu wdrożenia zalecamy weryfikację wszystkich podstaw prawnych, nie tylko progu zatrudnienia.

P: Czy kanał e-mailowy spełnia wymogi techniczne ustawy?

O: To powszechne nieporozumienie. Zwykła skrzynka e-mail działu HR lub compliance nie spełnia wymogów, jeśli nie zapewnia szyfrowania end-to-end, pseudonimizacji danych sygnalisty i ograniczonego dostępu do treści zgłoszenia. Ustawa wymaga, by tożsamość sygnalisty była chroniona przed nieuprawnionym dostępem. Standardowe systemy pocztowe tego nie gwarantują. Konieczne jest albo dedykowane rozwiązanie techniczne, albo szyfrowany formularz z kontrolą dostępu.

P: Ile kosztuje wdrożenie kanału sygnalistów i jak długo trwa?

O: Koszt zależy od modelu wdrożenia. Platforma SaaS kosztuje od PLN 300 do PLN 2 000 miesięcznie. Jednorazowe koszty prawne i organizacyjne (regulamin, konsultacje, szkolenie) wynoszą zazwyczaj od PLN 5 000 do PLN 15 000 w zależności od złożoności struktury. Czas wdrożenia przy sprawnej organizacji to 3–5 tygodni, wliczając obowiązkowe konsultacje pracownicze trwające minimum 5 dni roboczych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.