Od 25 września 2024 roku każdy pracodawca zatrudniający co najmniej 50 pracowników ma obowiązek posiadać sprawny, zgodny z prawem kanał zgłoszeń wewnętrznych. Brzmi prosto. W praktyce – wiele firm wciąż nie wie, co dokładnie musi zawierać taki system ani jak go poprawnie skonfigurować technicznie i proceduralnie.

Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów (w życie od 25 września 2024 roku) nakłada na pracodawców obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Podstawę stanowi artykuł 8 ustawy o sygnalistach. Kary za naruszenia sięgają do 1 080 000 PLN i do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.

Ten alert omawia trzy rzeczy: co dokładnie zmieniło prawo, kogo obejmują nowe obowiązki oraz jakie kroki należy podjąć – i kiedy. Zagadnienie ma wymiar nie tylko compliance, ale też ESG raportowania i AML.

Co zmieniła ustawa o sygnalistach i kogo obejmuje?

Ustawa z 14 czerwca 2024 roku implementuje dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937. Obowiązek wdrożenia kanału zgłoszeń dotyczy pracodawców z sektora prywatnego i publicznego. Próg 50 pracowników jest obliczany według stanu zatrudnienia na dzień 1 stycznia danego roku. Warto pamiętać, że liczy się liczba osób faktycznie zatrudnionych – nie tylko na etacie.

Podmioty z sektora finansowego, objęte regulacjami AML, muszą wdrożyć kanał niezależnie od liczby pracowników. Dotyczy to instytucji obowiązanych w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy. Dla tych podmiotów obowiązek istniał wcześniej – ustawa o sygnalistach go rozszerza i precyzuje.

Ustawa obejmuje zgłoszenia naruszeń prawa w szerokim zakresie: prawo pracy, prawo podatkowe, ochrona środowiska, zamówienia publiczne, ochrona danych osobowych (RODO), a także przepisy dotyczące CRBR i beneficjentów rzeczywistych. To istotne rozszerzenie w stosunku do poprzednich regulacji sektorowych.

Kto jest wyłączony? Pracodawcy zatrudniający mniej niż 50 osób – o ile nie należą do sektora finansowego ani nie są jednostkami samorządu terytorialnego. Podmioty publiczne z kolei nie mają progu zatrudnienia: obowiązek dotyczy ich bezwarunkowo.

Naruszenie obowiązku wdrożenia kanału grozi grzywną. Jednak poważniejsze ryzyko to odpowiedzialność karna za działania odwetowe wobec sygnalisty – do 3 lat pozbawienia wolności zgodnie z art. 54 ustawy o sygnalistach. To odpowiedzialność osobista, nie korporacyjna.

Sprawdź, czy Twoja firma spełnia próg 50 pracowników. Jeśli tak – kanał musiał być gotowy 25 września 2024 roku. Każdy dzień zwłoki zwiększa ryzyko.

Jakie są wymagania techniczne i proceduralne kanału zgłoszeń?

Artykuł 8 ustawy o sygnalistach określa minimalne wymagania kanału. Musi on zapewniać poufność tożsamości sygnalisty i osób trzecich wskazanych w zgłoszeniu. System musi być zabezpieczony przed dostępem osób nieuprawnionych. Zgłoszenia można przyjmować pisemnie, ustnie lub w formie bezpośredniego spotkania – w ciągu 7 dni od wniosku sygnalisty.

Wymagania techniczne to nie tylko kwestia oprogramowania. Firma musi wyznaczyć osobę lub jednostkę organizacyjną odpowiedzialną za obsługę zgłoszeń. Osoba ta musi być niezależna od linii biznesowej. W praktyce – najczęściej jest to dział compliance, prawny lub zewnętrzny dostawca usługi.

Termin potwierdzenia przyjęcia zgłoszenia: 7 dni od jego otrzymania. Termin udzielenia informacji zwrotnej sygnaliście: nie dłużej niż 3 miesiące od potwierdzenia przyjęcia. To twarde terminy ustawowe – ich przekroczenie stanowi naruszenie.

  • Szyfrowane połączenie przy przesyłaniu zgłoszenia (HTTPS minimum)
  • Oddzielny dostęp dla osoby obsługującej zgłoszenia – bez wglądu przełożonych
  • Możliwość zgłoszenia anonimowego (choć firma może, ale nie musi, przyjmować anonimów)
  • Rejestr zgłoszeń przechowywany przez 5 lat od przyjęcia
  • Procedura wewnętrzna zatwierdzona po konsultacjach z przedstawicielami pracowników lub związkami zawodowymi

W kontekście CSRD i ESG raportowania – kanał sygnalistów staje się elementem oceny ładu korporacyjnego (governance). Brak sprawnego systemu może wpłynąć negatywnie na ocenę ratingów ESG i na raport niefinansowy spółki. Dla firm objętych dyrektywą CSRD (Dyrektywa UE 2022/2464) to dodatkowy argument za wdrożeniem systemu powyżej minimum ustawowego.

Firma produkcyjna z Mazowsza – zatrudniająca 120 osób – wdrożyła kanał w formie skrzynki e-mailowej bez szyfrowania jesienią 2024 roku. Rozwiązanie nie spełniało wymogu poufności. Konieczna była wymiana systemu i ponowna konsultacja z pracownikami. Koszt opóźnienia: kilka tygodni pracy i ryzyko naruszenia ustawy przez cały ten okres.

Firma IT z Małopolski wybrała zewnętrznego dostawcę platformy whistleblowing już w sierpniu 2024 roku. Procedura wewnętrzna była gotowa przed terminem. Dzięki temu spółka mogła uwzględnić kanał jako element compliance w procesie due diligence przy pozyskiwaniu inwestora zagranicznego w pierwszym kwartale 2025 roku.

Uważamy, że bezpieczniejszym rozwiązaniem jest skorzystanie z dedykowanej platformy zewnętrznej niż budowanie kanału wewnętrznie. Koszt roczny licencji to zazwyczaj kilka tysięcy złotych – wielokrotnie mniej niż potencjalna grzywna lub koszt postępowania karnego. Dla firm objętych obowiązkami z zakresu antykorupcji i programów compliance kanał sygnalistów powinien być integralną częścią szerszego systemu.

Pracodawcy zatrudniający od 50 do 249 pracowników mogą dzielić zasoby obsługi kanału z innymi podmiotami z tej samej grupy kapitałowej. To ważna opcja dla holdingów i grup spółek – pozwala obniżyć koszty przy zachowaniu zgodności z prawem.

Zagadnienie mobilności pracowników i ich statusu zatrudnienia przy obliczaniu progu 50 osób bywa nieoczywiste. Szczegółowe zasady liczenia pracowników delegowanych i cudzoziemców omawia nasz materiał o EU Blue Card w Polsce i nowych progach na 2026 rok.

Konkretna sytuacja Państwa firmy – liczba pracowników, struktura grupy kapitałowej, branża – decyduje o tym, jakie wymagania techniczne i proceduralne są nieodwracalnie wiążące już teraz. Zwłoka nie zatrzymuje biegu terminów ustawowych.

Jeśli Państwa spółka zatrudnia co najmniej 50 osób i nie wdrożyła jeszcze kanału zgłoszeń zgodnego z art. 8 ustawy o sygnalistach – przeprowadzimy audyt zgodności, przygotujemy procedurę wewnętrzną i doradzamy przy wyborze narzędzia technicznego: info@kordeckipartners.com.

Często zadawane pytania

P: Czy kanał sygnalistów musi być osobnym systemem informatycznym, czy wystarczy dedykowany adres e-mail?

O: Ustawa nie narzuca konkretnego narzędzia technicznego, ale wymaga zapewnienia poufności tożsamości sygnalisty i ochrony przed nieuprawnionym dostępem. Zwykły adres e-mail bez szyfrowania zazwyczaj nie spełnia tych wymagań. Bezpieczniejszym rozwiązaniem jest dedykowana platforma lub zaszyfrowany formularz z ograniczonym dostępem. Artykuł 8 ustawy o sygnalistach formułuje wymagania funkcjonalne – ich spełnienie należy udokumentować.

P: Czy firma może przyjmować zgłoszenia anonimowe i czy musi na nie odpowiadać?

O: Ustawa o sygnalistach nie zobowiązuje pracodawcy do przyjmowania zgłoszeń anonimowych – jest to decyzja firmy, którą należy opisać w procedurze wewnętrznej. Jeśli firma zdecyduje się przyjmować anonimowe zgłoszenia, powinna określić zasady ich obsługi. Obowiązek udzielenia informacji zwrotnej w terminie 3 miesięcy dotyczy zgłoszeń, w których sygnalista podał dane kontaktowe.

P: Jakie są koszty wdrożenia kanału i czy małe firmy mogą korzystać ze wspólnego kanału w grupie?

O: Koszt zewnętrznej platformy whistleblowing to zazwyczaj od 2 000 do 10 000 PLN rocznie, zależnie od dostawcy i liczby użytkowników. Pracodawcy zatrudniający od 50 do 249 pracowników mogą korzystać ze wspólnego kanału z innymi podmiotami tej samej grupy kapitałowej – to rozwiązanie dopuszczone wprost przez ustawę. Procedura wewnętrzna musi jednak być zatwierdzona odrębnie dla każdego podmiotu po konsultacjach z pracownikami lub związkami zawodowymi.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.