Firma IT z Wrocławia zatrudniająca 80 osób odkrywa w marcu 2026 roku, że nie ma wdrożonego kanału zgłoszeń wewnętrznych. Ustawa o ochronie sygnalistów obowiązuje od 25 września 2024 roku. Brak kanału oznacza grzywnę, odpowiedzialność karną zarządu i – co gorsza – utratę możliwości wykrycia nieprawidłowości zanim trafi do mediów lub regulatora.

Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Podstawa prawna to artykuł 8 ustawy o sygnalistach. Kary za brak kanału sięgają 1 080 000 PLN, a za działania odwetowe wobec sygnalisty grozi do 3 lat pozbawienia wolności – zgodnie z artykułem 54 ustawy.

Poniższy przewodnik prowadzi przez cztery etapy wdrożenia: ocenę obowiązku, wybór rozwiązania technicznego, opracowanie procedury i uruchomienie kanału. Każdy etap zawiera listę kontrolną, typowe błędy i szacunkowe koszty.

Na kogo spada obowiązek i od kiedy?

Próg 50 pracowników liczy się według stanu zatrudnienia, a nie wyłącznie umów o pracę. Do liczenia wlicza się pracowników tymczasowych i zleceniobiorców, jeśli świadczą pracę w sposób ciągły. Pracodawcy z sektora finansowego, AML i zamówień publicznych podlegają obowiązkowi niezależnie od liczby zatrudnionych – tu nie ma progu. KAS i inne organy kontrolne mogą zażądać dokumentacji kanału podczas każdej kontroli compliance.

Ustawa weszła w życie 25 września 2024 roku. Pracodawcy zatrudniający powyżej 50 i poniżej 250 pracowników mieli czas na wdrożenie do 17 grudnia 2023 roku – jednak wiele firm nadal nie spełnia wymagań. W praktyce – wiele podmiotów z sektora MŚP traktowało ten obowiązek jako odległy priorytet. To błąd, który dziś kosztuje.

Trzy scenariusze, które najczęściej pojawiają się w praktyce:

  • Firma produkcyjna z Mazowsza, 120 pracowników – obowiązek bezwzględny, brak żadnych wyłączeń.
  • Spółka IT z Trójmiasta, 55 pracowników – próg przekroczony, obowiązek pełny.
  • Zagraniczny inwestor otwierający oddział w Polsce – obowiązek dotyczy oddziału jako odrębnego pracodawcy, jeśli zatrudnia 50 lub więcej osób.

Warto pamiętać, że CRBR i rejestracja w KRS nie zastępują obowiązku wdrożenia kanału. To dwa odrębne reżimy compliance. Powiązania z CSRD są jednak realne – ESG raportowanie wymaga ujawnienia mechanizmów zarządzania ryzykiem, a kanał sygnalistów jest jednym z nich.

Jakie są wymagania techniczne kanału zgłoszeń?

Kanał musi zapewniać poufność tożsamości sygnalisty i osób wskazanych w zgłoszeniu. Ustawa nie narzuca konkretnej technologii, ale wskazuje funkcje minimalne. System musi umożliwiać przyjmowanie zgłoszeń pisemnych i ustnych, potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni oraz przekazanie informacji zwrotnej sygnaliście w ciągu 3 miesięcy.

Wymagania techniczne można podzielić na trzy poziomy:

  • Minimalny: zaszyfrowany formularz e-mail lub dedykowana skrzynka pocztowa z ograniczonym dostępem.
  • Standardowy: platforma SaaS z anonimizacją IP, szyfrowaniem end-to-end i automatycznym potwierdzeniem przyjęcia.
  • Zaawansowany: zintegrowany system GRC (Governance, Risk, Compliance) z modułem sygnalistów, audytem logów i raportowaniem do zarządu.

Koszt rozwiązania SaaS dla firmy zatrudniającej do 250 pracowników wynosi zazwyczaj od 2 000 do 8 000 PLN rocznie. Rozwiązanie własne (on-premise) to koszt jednorazowy od 15 000 PLN wzwyż, plus utrzymanie. Dla małych podmiotów rozwiązanie SaaS jest ekonomicznie uzasadnione.

Dane osobowe sygnalisty podlegają RODO. Administrator danych (pracodawca) musi prowadzić rejestr czynności przetwarzania dla zgłoszeń. Okres retencji danych wynosi 3 lata od zakończenia postępowania wyjaśniającego. To wymóg ustawy, nie dobra praktyka.

Firma logistyczna z Śląska wdrożyła w jesieni 2024 roku kanał oparty na platformie SaaS za 4 800 PLN rocznie. W ciągu pierwszych sześciu miesięcy otrzymała trzy zgłoszenia – jedno dotyczyło naruszenia procedur BHP, dwa – relacji pracowniczych. Żadne nie trafiło do mediów.

Jak opracować procedurę wewnętrzną krok po kroku?

Procedura wewnętrzna to dokument obowiązkowy. Musi określać: podmiot przyjmujący zgłoszenia, tryb postępowania wyjaśniającego, terminy i zasady informowania sygnalisty o działaniach następczych. Brak procedury to samodzielne naruszenie ustawy – niezależnie od tego, czy kanał technicznie działa.

Kroki wdrożenia procedury:

  • Krok 1 (tydzień 1–2): wyznaczenie osoby lub jednostki odpowiedzialnej za przyjmowanie zgłoszeń.
  • Krok 2 (tydzień 2–3): konsultacje z przedstawicielami pracowników lub zakładową organizacją związkową – ustawa wymaga ich przeprowadzenia przed wdrożeniem.
  • Krok 3 (tydzień 3–4): opracowanie projektu procedury i jej zatwierdzenie przez zarząd.
  • Krok 4 (tydzień 4–5): uruchomienie kanału technicznego i udostępnienie procedury pracownikom.
  • Krok 5 (tydzień 5–6): szkolenie osób obsługujących kanał i testy systemu.

Typowy błąd: wyznaczenie działu HR jako jedynego odbiorcy zgłoszeń. Jeśli zgłoszenie dotyczy kierownika HR, system traci wiarygodność. Bezpieczniejszym rozwiązaniem jest wyznaczenie zewnętrznego compliance officera lub podmiotu zewnętrznego jako alternatywnego odbiorcy.

Procedura powinna też regulować zakres przedmiotowy – jakie naruszenia można zgłaszać. Ustawa wskazuje katalog minimalny: prawo pracy, prawo podatkowe, AML, ochrona środowiska, bezpieczeństwo produktów. Pracodawca może rozszerzyć ten katalog. Wiele firm decyduje się na objęcie procedurą wszystkich naruszeń prawa lub wartości organizacyjnych.

Spółka deweloperska z Krakowa, zatrudniająca 90 osób, zdecydowała wiosną 2025 roku na rozszerzony katalog zgłoszeń – obejmujący również naruszenia kodeksu etyki. Efekt: trzy zgłoszenia w ciągu roku, wszystkie rozpatrzone w terminie, żadnego postępowania zewnętrznego. Powiązanie kanału z CSRD i podwójną istotnością pozwoliło firmie wykazać w raporcie ESG funkcjonujący mechanizm zarządzania ryzykiem etycznym.

Uważamy, że procedura powinna być dokumentem żywym – aktualizowanym co najmniej raz w roku i po każdej zmianie przepisów. Compliance to proces, nie dokument złożony do szuflady.

Konkretna sytuacja Państwa firmy może wymagać dostosowania zakresu procedury do specyfiki branży. Brak konsultacji z przedstawicielami pracowników przed wdrożeniem to błąd nieodwracalny – procedura przyjęta bez wymaganego trybu jest wadliwa prawnie i naraża pracodawcę na odpowiedzialność.

Jeśli Państwa spółka zatrudnia powyżej 50 pracowników i nie ma jeszcze wdrożonej procedury – przeprowadzimy pełny audyt compliance, opracujemy dokumentację i wdrożymy kanał: info@kordeckipartners.com.

Jakie błędy najczęściej eliminują skuteczność kanału?

Kanał formalnie wdrożony, ale faktycznie nieskuteczny – to scenariusz, który pojawia się w co trzeciej firmie po pierwszym audycie. Przyczyny są przewidywalne. Pierwsza: brak anonimowości. Jeśli system nie ukrywa tożsamości zgłaszającego, pracownicy po prostu z niego nie korzystają. Druga: brak potwierdzenia przyjęcia zgłoszenia w ustawowym terminie 7 dni.

Trzecia przyczyna – i najpoważniejsza – to działania odwetowe. Art. 54 ustawy o sygnalistach przewiduje do 3 lat pozbawienia wolności za retaliację. Odpowiedzialność osobista zarządu jest tu realna. Pracodawca musi pamiętać o jednym: ciężar dowodu braku odwetu spoczywa na pracodawcy, nie na sygnaliście.

Lista najczęstszych błędów technicznych i proceduralnych:

  • Brak szyfrowania zgłoszeń – naruszenie RODO i ustawy jednocześnie.
  • Jeden odbiorca zgłoszeń bez zastępcy – ryzyko konfliktu interesów.
  • Brak rejestru zgłoszeń – uniemożliwia wykazanie terminowości działań.
  • Procedura niedostępna w języku zrozumiałym dla pracowników cudzoziemskich.

Ten ostatni punkt jest szczególnie istotny dla firm zatrudniających pracowników z Ukrainy lub krajów WNP. Procedura wyłącznie po polsku może być kwestionowana jako faktycznie nieskuteczna. Warto tu sięgnąć po doświadczenia z struktur joint venture, gdzie wielojęzyczność dokumentacji jest standardem.

Zagraniczny inwestor z sektora finansowego, otwierający spółkę zależną w Polsce, musi pamiętać: kanał wdrożony w spółce matce za granicą nie zastępuje obowiązku krajowego. Polska spółka zależna, jeśli zatrudnia 50 lub więcej pracowników, musi mieć własny kanał zgodny z polską ustawą. Obowiązki AML i CRBR działają równolegle i nie zwalniają z obowiązku sygnalistycznego.

Często zadawane pytania

P: Czy firma zatrudniająca 48 pracowników musi wdrożyć kanał zgłoszeń?

O: Co do zasady – nie, próg ustawowy to 50 pracowników. Wyjątek dotyczy podmiotów z sektora finansowego, instytucji AML oraz podmiotów zobowiązanych w obszarze zamówień publicznych – te podlegają obowiązkowi niezależnie od liczby zatrudnionych. Warto jednak wdrożyć kanał dobrowolnie, jeśli firma zbliża się do progu lub planuje wzrost zatrudnienia. Koszt wdrożenia jest niższy niż koszt późniejszego dostosowania pod presją czasu.

P: Ile kosztuje wdrożenie kanału i jak długo trwa?

O: Pełne wdrożenie – od audytu przez procedurę po uruchomienie systemu – zajmuje od 4 do 6 tygodni przy sprawnej współpracy z prawnikiem i dostawcą technologii. Koszt rozwiązania SaaS to 2 000–8 000 PLN rocznie. Koszt obsługi prawnej przy opracowaniu procedury i konsultacjach pracowniczych to zazwyczaj jednorazowo od 3 000 do 7 000 PLN netto, zależnie od skali organizacji. Łącznie pierwsze wdrożenie zamknie się w przedziale 5 000–15 000 PLN.

P: Czy kanał musi być anonimowy – czy można wymagać podania danych sygnalisty?

O: Ustawa nie wymaga anonimowości jako standardu obowiązkowego, ale kanał musi umożliwiać przyjmowanie zgłoszeń anonimowych. Pracodawca nie może wymagać podania danych osobowych jako warunku przyjęcia zgłoszenia. Powszechnym błędem jest twierdzenie, że „anonimowe zgłoszenia nie są rozpatrywane" – takie postanowienie w procedurze jest sprzeczne z ustawą i naraża pracodawcę na sankcje.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Konkretna sytuacja Państwa firmy wymaga oceny, czy obecna dokumentacja compliance jest wystarczająca. Brak kanału lub wadliwa procedura to ryzyko nieodwracalne – postępowanie kontrolne może zostać wszczęte w każdej chwili.

Jeśli Państwa spółka zatrudnia powyżej 50 pracowników i nie przeszła jeszcze audytu kanału sygnalistów – przeprowadzimy ocenę dokumentacji, wdrożymy procedurę i dobierzemy rozwiązanie techniczne: info@kordeckipartners.com.

Data publikacji: 05.05.2026

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.