Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów weszła w życie 25 września 2024 r. i od tamtej chwili każdy pracodawca zatrudniający co najmniej 50 pracowników musi posiadać sprawnie działający kanał zgłoszeń wewnętrznych. Brak wdrożenia nie jest kwestią formalności – grozi karą do PLN 1 080 000 oraz odpowiedzialnością karną za działania odwetowe wobec sygnalisty.

Ustawa o ochronie sygnalistów nakłada na pracodawców obowiązek ustanowienia wewnętrznego kanału zgłoszeń na podstawie artykułu 8 ustawy. Obowiązek obejmuje wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Naruszenie przepisów może skutkować karą finansową do PLN 1 080 000 i pozbawieniem wolności do 3 lat za działania odwetowe.

Ten przewodnik odpowiada na pytania, które najczęściej zadają nam klienci: jakie są wymagania techniczne systemu, co musi znaleźć się w procedurze, ile kosztuje wdrożenie i jakich błędów unikać. Omówimy trzy scenariusze biznesowe – firmę produkcyjną, spółkę IT i zagranicznego inwestora – oraz wskażemy powiązania z CSRD i AML.

Co musi zawierać kanał zgłoszeń wewnętrznych?

Artykuł 8 ustawy o sygnalistach nakłada konkretne wymagania. Kanał musi umożliwiać zgłoszenia w formie pisemnej i ustnej, zapewniać poufność tożsamości sygnalisty oraz pozwalać na anonimowe zgłoszenia – jeśli pracodawca zdecyduje się je przyjmować. Termin na potwierdzenie przyjęcia zgłoszenia wynosi 7 dni, a na podjęcie działań następczych – 3 miesiące od tego potwierdzenia. To twarde terminy ustawowe, których przekroczenie samo w sobie stanowi naruszenie.

Kanał musi być obsługiwany przez wyznaczoną osobę lub jednostkę organizacyjną. W praktyce wiele firm powierza tę funkcję działowi compliance, prawnikowi wewnętrznemu lub zewnętrznemu podmiotowi. Każda z opcji ma swoje konsekwencje – wewnętrzny administrator zna strukturę firmy, zewnętrzny daje sygnaliście większe poczucie bezpieczeństwa. Uważamy, że bezpieczniejszym rozwiązaniem dla firm poniżej 250 pracowników jest model hybrydowy: zewnętrzna platforma plus wewnętrzny koordynator.

Procedura wewnętrzna musi określać co najmniej:

  • podmiot uprawniony do przyjmowania zgłoszeń i jego dane kontaktowe,
  • sposób potwierdzania przyjęcia zgłoszenia (termin 7 dni),
  • procedurę weryfikacji i działań następczych,
  • zasady ochrony danych osobowych sygnalisty i osób wskazanych w zgłoszeniu,
  • informację o możliwości dokonania zgłoszenia zewnętrznego do Rzecznika Praw Obywatelskich lub właściwego organu.

Procedura podlega konsultacji z zakładową organizacją związkową lub – jeśli jej nie ma – z przedstawicielami pracowników. Konsultacje trwają co najmniej 5 dni. Pominięcie tego kroku to jeden z najczęstszych błędów, który KAS i Państwowa Inspekcja Pracy mogą zakwestionować podczas kontroli. W praktyce – wiele firm o tym zapomina – procedura bez konsultacji jest procedurą wadliwą.

Jakie są wymagania techniczne systemu zgłoszeń?

Ustawa nie wskazuje konkretnego oprogramowania ani standardu technicznego. Wskazuje jednak cel: system musi zapewniać poufność i integralność danych, uniemożliwiać dostęp osób nieuprawnionych oraz przechowywać rejestr zgłoszeń przez 5 lat. To wymagania, które przekładają się na konkretne decyzje technologiczne i wydatki.

Rynek oferuje trzy modele wdrożenia. Pierwszy to dedykowana platforma SaaS – koszt od PLN 3 000 do PLN 15 000 rocznie w zależności od liczby pracowników i funkcjonalności. Drugi to moduł whistleblowing zintegrowany z istniejącym systemem ERP lub HR – koszt wdrożenia od PLN 10 000 do PLN 40 000 jednorazowo. Trzeci, najtańszy, to skrzynka e-mail lub formularz na stronie intranetowej – technicznie dopuszczalny, ale ryzykowny z perspektywy RODO i realnej poufności.

Wymagania techniczne, które system musi spełniać niezależnie od modelu:

  • szyfrowanie danych w transmisji i w spoczynku (minimum TLS 1.2),
  • kontrola dostępu oparta na rolach (RBAC) – tylko uprawnione osoby widzą zgłoszenie,
  • log dostępu i ścieżka audytowa niemodyfikowalna przez administratora,
  • możliwość anonimowego zgłoszenia bez ujawniania adresu IP sygnalisty,
  • kopie zapasowe i plan ciągłości działania (RPO/RTO).

Powiązanie z RODO jest nieuchronne. Rejestr zgłoszeń zawiera dane osobowe – zarówno sygnalisty (jeśli nie jest anonimowy), jak i osób wskazanych w zgłoszeniu. Wymaga to odrębnego wpisu w rejestrze czynności przetwarzania (art. 30 RODO), klauzul informacyjnych i – w wielu przypadkach – oceny skutków dla ochrony danych (DPIA). Organ nadzorczy PUODO traktuje naruszenia w tym obszarze poważnie. Warto też pamiętać, że CRBR – Centralny Rejestr Beneficjentów Rzeczywistych – może być źródłem danych przy weryfikacji tożsamości osób wskazanych w zgłoszeniach dotyczących prania pieniędzy.

Firma logistyczna z Mazowsza wdrożyła w jesieni 2024 r. system oparty wyłącznie na wewnętrznej skrzynce e-mail. Podczas audytu compliance ujawniono, że dostęp do skrzynki miało pięć osób, w tym bezpośredni przełożony jednego z potencjalnych sygnalistów. System wymagał natychmiastowej przebudowy – koszt awaryjnego wdrożenia platformy SaaS wyniósł ponad PLN 20 000 zamiast planowanych PLN 5 000.

Konkretna sytuacja Państwa firmy – szczególnie jeśli przetwarza dane wrażliwe lub działa w sektorze regulowanym – wymaga oceny, czy wybrany model techniczny jest wystarczający. Niedostateczna ochrona danych sygnalisty może prowadzić do nieodwracalnych konsekwencji: utraty zaufania pracowników i sankcji PUODO.

Jeśli Państwa spółka wdraża lub weryfikuje kanał zgłoszeń i zatrudnia powyżej 50 pracowników – przeprowadzimy audyt techniczny i prawny systemu oraz przygotujemy dokumentację RODO: info@kordeckipartners.com.

Trzy scenariusze biznesowe – jak wdrożyć kanał w praktyce?

Wymagania ustawy brzmią podobnie dla wszystkich pracodawców. Sposób wdrożenia różni się zasadniczo w zależności od struktury, branży i skali działalności. Poniżej trzy scenariusze, które najczęściej spotykamy w praktyce.

Scenariusz 1 – firma produkcyjna. Spółka produkcyjna z Wielkopolski zatrudniająca 180 pracowników, z zakładową organizacją związkową. Obowiązek wdrożenia kanału powstał z chwilą wejścia ustawy w życie – 25 września 2024 r. Kluczowe wyzwanie: konsultacje ze związkami mogą trwać dłużej niż ustawowe 5 dni, jeśli związki zgłoszą zastrzeżenia do projektu procedury. Rekomendowany model: platforma SaaS z polskim interfejsem, administrator zewnętrzny, procedura w dwóch językach (polski i ukraiński, jeśli zatrudniani są pracownicy z Ukrainy). Czas wdrożenia: 4–6 tygodni. Koszt: PLN 8 000–12 000 rocznie.

Scenariusz 2 – spółka IT. Startup technologiczny z Krakowa zatrudniający 60 osób, praca zdalna, brak związków zawodowych. Pracownicy są technicznie wymagający i oczekują nowoczesnego narzędzia. Ryzyko: kanał e-mailowy nie zapewni anonimowości (metadane). Rekomendowany model: platforma z szyfrowaniem end-to-end, możliwość zgłoszenia przez aplikację mobilną, integracja z systemem HR. Czas wdrożenia: 2–3 tygodnie. Koszt: PLN 5 000–9 000 rocznie. Dodatkowy wymiar: spółka IT przetwarza dane klientów, więc zgłoszenia mogą dotyczyć naruszeń RODO – kanał musi być zsynchronizowany z procedurą zarządzania incydentami.

Scenariusz 3 – zagraniczny inwestor. Dla inwestora niemieckiego wchodzącego na rynek polski przez spółkę zależną sp. z o.o. sprawa ma dwa wymiary. Po pierwsze, polska ustawa o sygnalistach obowiązuje polską spółkę niezależnie od struktury grupy. Po drugie, jeśli grupa raportuje zgodnie z CSRD, kanał zgłoszeń jest jednym z elementów ujawnienia w raporcie zrównoważonego rozwoju – szczegóły dotyczące zakresu raportowania omawia artykuł o tym, kto musi raportować CSRD w Polsce. Inwestor zagraniczny musi pamiętać, że polska procedura wymaga konsultacji z pracownikami – nie wystarczy przetłumaczenie grupowego regulaminu. Czas wdrożenia: 6–8 tygodni (dłuższy ze względu na koordynację z centralą). Koszt: PLN 10 000–25 000 (wdrożenie + tłumaczenia + szkolenia).

Jakie błędy najczęściej popełniają pracodawcy przy wdrożeniu?

Compliance to proces, nie dokument. Samo uchwalenie procedury i uruchomienie formularza nie wyczerpuje obowiązku. Najczęstsze błędy, które identyfikujemy podczas audytów, można podzielić na trzy grupy: błędy proceduralne, techniczne i operacyjne.

Błędy proceduralne. Najpoważniejszy to brak konsultacji z pracownikami przed wdrożeniem procedury. Drugi – niepoinformowanie pracowników o istnieniu kanału. Ustawa wymaga, by informacja była dostępna i zrozumiała; samo umieszczenie dokumentu w intranecie nie wystarczy. Trzeci błąd to procedura, która nie obejmuje zgłoszeń anonimowych – ustawa nie nakazuje ich przyjmowania, ale jeśli pracodawca zdecyduje się je odrzucać, musi to wprost wynikać z procedury i być uzasadnione.

Błędy techniczne. Poza wspomnianym problemem z e-mailem, częstym błędem jest brak ścieżki audytowej. Jeśli sygnalista twierdzi, że dokonał zgłoszenia, a pracodawca nie ma dowodu jego przyjęcia ani działań następczych – pracodawca jest w trudnej pozycji procesowej. Brak logów to brak dowodów. Kolejny błąd: przechowywanie danych zgłoszeń razem z innymi danymi HR, co narusza zasadę minimalizacji danych z RODO.

Błędy operacyjne. Administrator kanału nie zna procedury lub nie rozumie swojej roli. Terminy – 7 dni na potwierdzenie, 3 miesiące na działania następcze – są przekraczane bez dokumentacji uzasadnienia. Zgłoszenia dotyczące naruszeń AML nie są przekazywane do Generalnego Inspektora Informacji Finansowej (GIIF), mimo że ustawa o sygnalistach współistnieje z obowiązkami AML. To powiązanie między compliance wewnętrznym a regulacjami sektorowymi jest często pomijane.

Spółka handlowa z Pomorza wdrożyła w zimie 2024 r. procedurę bez szkolenia administratora. Pierwsze zgłoszenie wpłynęło po 6 tygodniach od uruchomienia kanału. Administrator nie wiedział, że ma 7 dni na potwierdzenie przyjęcia. Sygnalista, nie otrzymując odpowiedzi, dokonał zgłoszenia zewnętrznego do RPO. Sprawa skończyła się postępowaniem wyjaśniającym i kosztami obsługi prawnej wielokrotnie wyższymi niż koszt szkolenia.

Lista kontrolna wdrożenia kanału sygnalistów

Przed uruchomieniem kanału zgłoszeń wewnętrznych warto zweryfikować każdy z poniższych elementów. Brak któregokolwiek z nich może oznaczać, że system nie spełnia wymogów ustawy – nawet jeśli technicznie działa.

  • Procedura wewnętrzna sporządzona i skonsultowana z pracownikami lub związkami zawodowymi (minimum 5 dni konsultacji).
  • System techniczny zapewniający poufność, szyfrowanie i kontrolę dostępu – z możliwością zgłoszeń pisemnych i ustnych.
  • Wyznaczony administrator kanału z pisemnym zakresem obowiązków i przeszkoleniem.
  • Dokumentacja RODO: wpis w rejestrze czynności przetwarzania, klauzule informacyjne, DPIA jeśli wymagana.
  • Procedura działań następczych z terminarzem: 7 dni na potwierdzenie, 3 miesiące na działania.

Wdrożenie kanału sygnalistów ma też wymiar strategiczny. Firmy raportujące zgodnie z CSRD muszą ujawnić informacje o mechanizmach zgłaszania naruszeń. Kanał zgłoszeń jest elementem zarządzania ryzykiem ESG i może wpływać na ocenę ratingową w zakresie ładu korporacyjnego. Więcej o tym, jak compliance wpisuje się w szerszy kontekst umów biznesowych, można przeczytać w artykule o kluczowych warunkach umów komercyjnych w Polsce.

Konkretna sytuacja Państwa firmy – zwłaszcza jeśli działa w grupie kapitałowej lub podlega regulacjom sektorowym – wymaga oceny, czy wdrożony system jest kompletny i odporny na kontrolę. Brak działającego kanału to ryzyko nieodwracalnych konsekwencji: sankcji finansowych i utraty reputacji.

Jeśli Państwa spółka zatrudnia ponad 50 pracowników i nie wdrożyła jeszcze kanału zgłoszeń lub chce zweryfikować istniejący system – przeprowadzimy kompleksowy przegląd prawny i techniczny, przygotujemy procedurę i dokumentację RODO: info@kordeckipartners.com.

Często zadawane pytania

P: Czy pracodawca zatrudniający 45 pracowników musi wdrożyć kanał sygnalistów?

O: Obowiązek ustawowy dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Pracodawca zatrudniający 45 osób formalnie nie jest objęty obowiązkiem z artykułu 8 ustawy o ochronie sygnalistów. Jednak jeśli planuje wzrost zatrudnienia, wdrożenie kanału z wyprzedzeniem jest rozsądnym krokiem – pozwala uniknąć wdrożenia pod presją czasu. Warto też sprawdzić, czy pracodawca nie podlega obowiązkowi z innego tytułu – np. przepisów AML lub regulacji sektorowych.

P: Ile kosztuje wdrożenie kanału zgłoszeń i czy można to zrobić samodzielnie?

O: Koszt wdrożenia zależy od modelu. Platforma SaaS to wydatek od PLN 3 000 do PLN 15 000 rocznie. Wdrożenie modułu w istniejącym systemie ERP kosztuje jednorazowo od PLN 10 000 do PLN 40 000. Samodzielne wdrożenie na bazie e-maila lub formularza jest technicznie możliwe, ale niesie istotne ryzyko naruszenia RODO i faktycznej poufności. Do kosztów należy doliczyć przygotowanie procedury (PLN 3 000–8 000 przy wsparciu prawnym), szkolenie administratora i dokumentację RODO.

P: Czy kanał sygnalistów musi obsługiwać zgłoszenia anonimowe?

O: Ustawa o ochronie sygnalistów nie nakazuje przyjmowania zgłoszeń anonimowych. Pracodawca może zdecydować, że kanał przyjmuje wyłącznie zgłoszenia identyfikowalne. Decyzja ta musi jednak wynikać wprost z procedury wewnętrznej i być zakomunikowana pracownikom. W praktyce pracodawcy, którzy nie przyjmują zgłoszeń anonimowych, ryzykują, że sygnaliści obawiający się odwetu w ogóle nie skorzystają z kanału wewnętrznego – i od razu dokonają zgłoszenia zewnętrznego do Rzecznika Praw Obywatelskich.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.