Od 25 września 2024 roku każdy pracodawca zatrudniający co najmniej 50 pracowników ma obowiązek posiadania działającego kanału zgłoszeń wewnętrznych. Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów weszła w życie bez okresu przejściowego dla większości podmiotów. Firmy, które do dziś nie wdrożyły kanału, działają niezgodnie z prawem – i narażają się na dotkliwe sankcje.
Ustawa o ochronie sygnalistów nakłada na pracodawców z co najmniej 50 pracownikami obowiązek utworzenia wewnętrznego kanału zgłoszeń. Podstawę prawną stanowi artykuł 8 ustawy o sygnalistach z 14 czerwca 2024 roku. Za brak kanału lub działania odwetowe wobec sygnalisty grozi kara do PLN 1 080 000 oraz do 3 lat pozbawienia wolności.
Ten alert wyjaśnia: kogo obejmuje obowiązek, jakie są wymagania techniczne i prawne kanału, oraz co należy zrobić natychmiast. Compliance to proces, nie dokument – a czas na reakcję już minął.
Kogo obejmuje obowiązek i jakie sankcje grożą za jego naruszenie?
Próg 50 pracowników to kryterium decydujące. Liczy się stan zatrudnienia na dzień wejścia w życie ustawy – 25 września 2024 roku – i aktualizuje się na bieżąco. Obowiązek dotyczy zarówno spółek prawa handlowego, jak i jednostek sektora publicznego. Podmioty z sektora finansowego, niezależnie od liczby pracowników, podlegają ustawie w całości – ze względu na wymogi AML i nadzoru KNF.
Sankcje są dwutorowe. Po pierwsze – karne: art. 54 ustawy o sygnalistach przewiduje karę do PLN 1 080 000 grzywny oraz do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty. Po drugie – organizacyjne: brak kanału oznacza naruszenie przepisów prawa pracy, co może być podstawą roszczeń pracowniczych. W praktyce – wiele firm o tym zapomina – odpowiedzialność spoczywa personalnie na członkach zarządu, nie tylko na spółce jako takiej.
Czy Państwa firma jest w grupie ryzyka? Sprawdź trzy sygnały ostrzegawcze:
- brak pisemnej procedury przyjmowania zgłoszeń wewnętrznych,
- brak wyznaczonej osoby lub jednostki odpowiedzialnej za obsługę zgłoszeń,
- brak dokumentacji potwierdzającej wdrożenie kanału przed 25 września 2024 r.
Firma produkcyjna z Dolnego Śląska odkryła jesienią 2024 roku, że jej dotychczasowa skrzynka e-mail nie spełnia wymogów ustawy – brakowało potwierdzenia przyjęcia zgłoszenia w terminie 7 dni i dokumentacji działań następczych. Koszt szybkiego wdrożenia właściwego rozwiązania okazał się wielokrotnie niższy niż potencjalna odpowiedzialność zarządu. Wdrożenie kanału zgodnego z ustawą zajęło 3 tygodnie.
Jakie są wymagania techniczne i prawne kanału zgłoszeń?
Kanał zgłoszeń musi spełniać konkretne wymogi proceduralne i techniczne. Ustawa nie narzuca jednego rozwiązania technicznego – dopuszczalna jest dedykowana platforma IT, skrzynka e-mail z odpowiednimi zabezpieczeniami, a nawet fizyczna skrzynka na dokumenty. Jednak każde rozwiązanie musi zagwarantować poufność tożsamości sygnalisty i osób trzecich wymienionych w zgłoszeniu.
Wymagania prawne obejmują cztery elementy. Pracodawca musi potwierdzić przyjęcie zgłoszenia w ciągu 7 dni. Następnie – podjąć działania następcze i poinformować sygnalistę o ich wyniku w terminie do 3 miesięcy od potwierdzenia przyjęcia. Procedura wewnętrzna musi być skonsultowana z przedstawicielami pracowników lub zakładową organizacją związkową. Dokumentacja zgłoszeń podlega przechowywaniu przez 5 lat.
Wymagania techniczne to przede wszystkim ochrona danych osobowych zgodna z RODO. Kanał musi uniemożliwiać dostęp osób nieuprawnionych do treści zgłoszenia. Jeśli korzystacie Państwo z zewnętrznego dostawcy systemu – umowa powierzenia przetwarzania danych jest obowiązkowa. Brak tej umowy to osobne naruszenie przepisów, kontrolowane przez UODO.
Spółka technologiczna z Krakowa wdrożyła wiosną 2025 roku platformę SaaS do obsługi zgłoszeń sygnalistów. Integracja z systemem HR zajęła 2 tygodnie. Kluczowym elementem okazało się nie samo narzędzie, lecz procedura wewnętrzna – precyzyjne określenie, kto w organizacji ma dostęp do zgłoszeń i w jakim trybie podejmuje działania następcze. Bez tej procedury nawet najlepsze narzędzie nie spełnia wymogów ustawy.
Wdrożenie kanału sygnalistów wpisuje się również w szerszy kontekst ESG raportowania i wymogów CSRD. Dyrektywa CSRD (EU 2022/2464), której implementację w Polsce reguluje nowelizacja ustawy o rachunkowości podpisana 12 grudnia 2024 roku, wymaga ujawnienia informacji o mechanizmach zgłaszania naruszeń. Brak kanału sygnalistów może więc negatywnie wpłynąć na ocenę compliance w raportach ESG. Więcej o tym, kto musi raportować CSRD w Polsce, znajdą Państwo w naszej analizie.
Co należy zrobić teraz – lista działań priorytetowych
Obowiązek obowiązuje od 25 września 2024 roku. Każdy dzień bez kanału to kolejny dzień naruszenia. Poniższa lista działań pozwala ocenić, na jakim etapie jest Państwa organizacja i co wymaga natychmiastowej uwagi.
Co przygotować w pierwszej kolejności:
- weryfikacja progu zatrudnienia – czy firma zatrudnia co najmniej 50 osób,
- wybór formy kanału zgłoszeń (platforma IT, e-mail, fizyczna skrzynka) i zawarcie umowy powierzenia danych z dostawcą,
- opracowanie i wdrożenie procedury wewnętrznej z terminami 7 dni i 3 miesięcy,
- konsultacje z przedstawicielami pracowników lub związkami zawodowymi,
- szkolenie osób odpowiedzialnych za obsługę zgłoszeń.
Prawo pracy nakłada na pracodawcę dodatkowe obowiązki informacyjne wobec pracowników. Każdy zatrudniony musi otrzymać informację o dostępności kanału, zasadach poufności i ochronie przed działaniami odwetowymi. Szczegóły dotyczące obowiązków pracodawcy w zakresie prawa pracy opisujemy w naszym przewodniku po prawie pracy w Polsce.
Uważamy, że bezpieczniejszym rozwiązaniem jest wdrożenie kanału opartego na dedykowanej platformie IT – nawet prostej – niż poleganie wyłącznie na e-mailu. Platforma automatyzuje potwierdzenia przyjęcia zgłoszenia i prowadzi log działań następczych. To eliminuje ryzyko przeoczenia ustawowych terminów.
Podmioty objęte wymogami AML oraz nadzorem KNF powinny dodatkowo zweryfikować, czy ich kanał sygnalistów jest spójny z procedurami zgłaszania naruszeń wymaganymi przez regulacje sektorowe. CRBR i obowiązki rejestracyjne beneficjentów rzeczywistych to odrębna warstwa compliance – ale dobrze zaprojektowany kanał zgłoszeń może obsługiwać naruszenia z obu obszarów jednocześnie.
Konkretna sytuacja Państwa firmy – liczba pracowników, branża, struktura właścicielska – determinuje zakres obowiązków i priorytety wdrożenia. Brak kanału to naruszenie, które nie ulega przedawnieniu wraz z upływem czasu, lecz kumuluje ryzyko odpowiedzialności zarządu. Każdy miesiąc zwłoki to nieodwracalne pogłębianie ekspozycji prawnej.
Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i nie posiada jeszcze działającego kanału zgłoszeń – przeprowadzimy audyt stanu wdrożenia, przygotujemy procedurę wewnętrzną i wesprzemy wybór rozwiązania technicznego: info@kordeckipartners.com.
Często zadawane pytania
P: Czy firma zatrudniająca 45 pracowników musi wdrożyć kanał sygnalistów?
O: Nie – próg ustawowy wynosi 50 pracowników. Podmioty poniżej tego progu są zwolnione z obowiązku posiadania wewnętrznego kanału zgłoszeń, chyba że działają w sektorach objętych szczególnymi regulacjami, takich jak sektor finansowy czy AML. Warto jednak monitorować stan zatrudnienia – przekroczenie progu 50 osób uruchamia obowiązek niezwłocznie.
P: Czy skrzynka e-mail spełnia wymogi techniczne ustawy o sygnalistach?
O: Tak, ale pod warunkiem spełnienia wszystkich wymogów proceduralnych: potwierdzenia przyjęcia zgłoszenia w 7 dni, poufności tożsamości sygnalisty, zawarcia umowy powierzenia danych z dostawcą poczty oraz dokumentacji działań następczych przez 5 lat. W praktyce zwykła firmowa skrzynka e-mail rzadko spełnia wszystkie te warunki bez dodatkowych zabezpieczeń.
P: Jakie są koszty wdrożenia kanału sygnalistów?
O: Koszt zależy od wybranego rozwiązania. Proste platformy SaaS dla małych i średnich firm kosztują od kilkuset do kilku tysięcy złotych rocznie. Koszt obsługi prawnej – opracowania procedury wewnętrznej i przeprowadzenia konsultacji pracowniczych – to zazwyczaj kilka tysięcy złotych jednorazowo. Koszt ten jest nieporównywalnie niższy niż potencjalna grzywna do PLN 1 080 000 lub roszczenia pracownicze wynikające z braku kanału.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.