Od 25 września 2024 roku każdy pracodawca zatrudniający co najmniej 50 pracowników ma obowiązek prowadzenia wewnętrznego kanału zgłoszeń dla sygnalistów. Brzmi prosto. W praktyce – wiele firm nadal nie wie, co dokładnie ten kanał musi zawierać, żeby spełniał wymogi ustawy.

Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów nakłada na pracodawców obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Artykuł 8 ustawy o sygnalistach precyzuje minimalne wymagania wobec tego kanału. Sankcje za brak wdrożenia sięgają do 1 080 000 PLN, a za działania odwetowe grozi do 3 lat pozbawienia wolności.

Ten alert wyjaśnia: kogo dotyczy obowiązek, jakie wymogi techniczne musi spełniać kanał oraz co zrobić w ciągu najbliższych tygodni, żeby uniknąć odpowiedzialności.

Kogo dotyczy obowiązek i od kiedy?

Próg 50 pracowników to punkt wyjścia – ale liczy się stan zatrudnienia na dzień wejścia ustawy w życie, czyli 25 września 2024 roku. Pracodawcy, którzy przekroczyli ten próg przed tą datą, powinni mieć kanał już uruchomiony. Firmy, które osiągną próg później, mają 14 dni od przekroczenia progu na wdrożenie systemu.

Obowiązek obejmuje podmioty sektora prywatnego i publicznego. Dla podmiotów z sektora finansowego, objętych regulacjami AML, obowiązek kanału zgłoszeń istniał już wcześniej – na podstawie przepisów o przeciwdziałaniu praniu pieniędzy. Ustawa o sygnalistach rozszerza ten obowiązek na wszystkich pracodawców spełniających kryterium zatrudnienia. Warto pamiętać, że firmy ujęte w CRBR (Centralny Rejestr Beneficjentów Rzeczywistych) i podlegające raportowaniu ESG w ramach CSRD mają dodatkowy interes w sprawnym compliance – inwestorzy i audytorzy będą weryfikować wdrożenie kanału jako element oceny ładu korporacyjnego.

Mikroprzedsiębiorcy i mali pracodawcy zatrudniający poniżej 50 osób są co do zasady zwolnieni. Wyjątek stanowią podmioty działające w sektorach regulowanych – tam obowiązek może powstać niezależnie od liczby pracowników.

Jakie wymagania techniczne musi spełniać kanał zgłoszeń?

Artykuł 8 ustawy o sygnalistach definiuje kanał zgłoszeń jako system umożliwiający dokonanie zgłoszenia na piśmie lub ustnie. Ustawa nie narzuca konkretnej technologii – ale precyzuje, co system musi zapewnić. To nie jest dowolność. To lista wymagań, które trzeba spełnić łącznie.

Kanał musi gwarantować:

  • poufność tożsamości sygnalisty i osób wskazanych w zgłoszeniu,
  • możliwość zgłoszenia anonimowego (jeśli pracodawca zdecyduje się je przyjmować),
  • potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni od jego wpłynięcia,
  • udzielenie informacji zwrotnej sygnaliście w terminie maksymalnie 3 miesięcy,
  • dostęp wyłącznie dla upoważnionych osób zajmujących się obsługą zgłoszeń.

W praktyce oznacza to, że kanał e-mailowy prowadzony przez dział HR rzadko spełnia te wymagania. Dostęp do skrzynki mają zazwyczaj osoby nieuprawnione. Nie ma mechanizmu automatycznego potwierdzenia. Poufność jest trudna do wykazania w razie kontroli. Bezpieczniejszym rozwiązaniem jest dedykowana platforma cyfrowa z szyfrowaniem end-to-end lub wydzielona skrzynka obsługiwana wyłącznie przez wyznaczonego compliance officera albo zewnętrznego dostawcę usługi.

Firmy objęte raportowaniem CSRD muszą pamiętać, że audytorzy ESG będą weryfikować kanał zgłoszeń jako element polityki zarządzania ryzykiem. Brak dokumentacji potwierdzającej poufność i terminy obsługi zgłoszeń to ryzyko uwag w raporcie zrównoważonego rozwoju.

Firma produkcyjna z Dolnego Śląska, wdrażając kanał jesienią 2024 roku, odkryła, że jej dotychczasowa procedura e-mailowa nie spełniała wymogu poufności – korespondencja była widoczna dla trzech administratorów IT. Zmiana na dedykowaną platformę zajęła dwa tygodnie i kosztowała mniej niż potencjalna kara.

Co zrobić teraz – lista działań

Compliance to proces, nie dokument. Samo uruchomienie kanału nie wystarczy – ustawa wymaga również regulaminu zgłoszeń wewnętrznych, konsultacji z przedstawicielami pracowników i przechowywania rejestru zgłoszeń przez 3 lata. Każdy z tych elementów może być przedmiotem kontroli Państwowej Inspekcji Pracy.

Lista działań do natychmiastowego wdrożenia:

  • Zweryfikuj stan zatrudnienia – czy próg 50 pracowników jest przekroczony,
  • Oceń istniejący kanał pod kątem wymogów art. 8 ustawy o sygnalistach,
  • Opracuj lub zaktualizuj regulamin zgłoszeń wewnętrznych,
  • Wyznacz osobę lub jednostkę odpowiedzialną za obsługę zgłoszeń,
  • Udokumentuj procedurę potwierdzania zgłoszeń i udzielania informacji zwrotnej.

Spółka z sektora IT z Trójmiasta, audytowana przez inwestora zagranicznego wiosną 2025 roku, nie była w stanie przedstawić rejestru zgłoszeń za poprzedni kwartał. Inwestor wstrzymał zamknięcie transakcji do czasu uzupełnienia dokumentacji. Opóźnienie kosztowało firmę kilka tygodni negocjacji i dodatkowe koszty doradcze. Brak kanału lub jego nieprawidłowe prowadzenie może więc nieodwracalnie wpłynąć na wartość transakcji M&A i ocenę due diligence.

Dla firm objętych regulacjami AML i CSRD kanał sygnalistów wpisuje się w szerszy system zarządzania ryzykiem. Jego brak lub wadliwe wdrożenie zamyka drogę do uzyskania pozytywnej oceny compliance w ramach raportowania ESG. Szczegółowe ramy programu antykorupcyjnego, który często integruje się z kanałem sygnalistów, opisujemy w artykule o ramach prawnych i programie compliance w obszarze antykorupcji.

Zagadnienia związane z odpowiedzialnością organów spółki w sytuacjach kryzysowych – w tym gdy brak procedur compliance prowadzi do postępowania upadłościowego – omawiamy w analizie dotyczącej praw rady wierzycieli w polskim postępowaniu upadłościowym.

Konkretna sytuacja Państwa firmy może wymagać oceny, czy istniejący kanał spełnia wymogi ustawy – zanim zrobi to inspektor PIP lub audytor ESG. Brak prawidłowego wdrożenia grozi karą do 1 080 000 PLN i może nieodwracalnie wpłynąć na wynik due diligence przy transakcji.

Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i nie ma pewności co do zgodności kanału zgłoszeń z art. 8 ustawy o sygnalistach – przeprowadzimy przegląd dokumentacji, ocenimy luki i zaproponujemy konkretne działania naprawcze: info@kordeckipartners.com.

Często zadawane pytania

P: Czy kanał e-mailowy spełnia wymogi ustawy o sygnalistach?

O: Zwykła skrzynka e-mail rzadko spełnia wymagania ustawy. Artykuł 8 ustawy o sygnalistach wymaga zapewnienia poufności tożsamości sygnalisty i dostępu wyłącznie dla upoważnionych osób. Standardowa skrzynka działu HR zazwyczaj nie gwarantuje tych warunków. Bezpieczniejszym rozwiązaniem jest dedykowana platforma lub wydzielona skrzynka z ograniczonym dostępem i dokumentowaną procedurą obsługi.

P: Ile czasu mam na odpowiedź sygnaliście po przyjęciu zgłoszenia?

O: Ustawa nakłada dwa terminy. Potwierdzenie przyjęcia zgłoszenia musi nastąpić w ciągu 7 dni od jego wpłynięcia. Informacja zwrotna o podjętych działaniach powinna zostać udzielona w terminie do 3 miesięcy od potwierdzenia przyjęcia. Oba terminy muszą być udokumentowane w rejestrze zgłoszeń przechowywanym przez 3 lata.

P: Czy pracodawca musi przyjmować zgłoszenia anonimowe?

O: Ustawa o sygnalistach nie nakłada bezwzględnego obowiązku przyjmowania zgłoszeń anonimowych. Pracodawca może zdecydować w regulaminie, czy takie zgłoszenia będą rozpatrywane. Jeśli jednak zdecyduje się je przyjmować, kanał musi technicznie zapewniać anonimowość – co wyklucza większość standardowych rozwiązań e-mailowych bez dodatkowych zabezpieczeń.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.