Firma zatrudniająca 55 osób dostaje wezwanie z Państwowej Inspekcji Pracy. Inspektor pyta o procedurę zgłoszeń wewnętrznych. Właściciel otwiera szufladę i wyciąga dokument zatytułowany „Regulamin zgłoszeń" – skopiowany ze strony internetowej, bez podpisu, bez daty wdrożenia, bez wskazania koordynatora. To nie jest polityka ochrony sygnalistów. To jest problem.

Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Obowiązek ten wszedł w życie 25 września 2024 roku. Za brak procedury lub jej wadliwe wdrożenie grożą kary pozbawienia wolności do 3 lat oraz grzywna do 1 080 000 złotych – zgodnie z artykułem 54 ustawy o sygnalistach.

Ten przewodnik pokazuje, jak napisać politykę ochrony sygnalistów krok po kroku – od analizy obowiązku, przez projekt dokumentu, aż po wdrożenie i monitoring. Omówimy trzy scenariusze biznesowe, typowe błędy oraz elementy, które decydują o tym, czy dokument spełnia wymogi ustawy, czy tylko sprawia takie wrażenie.

Kogo dotyczy obowiązek i co grozi za jego brak?

Ustawa o sygnalistach obejmuje pracodawców zatrudniających co najmniej 50 pracowników. Próg liczy się według stanu na dzień 1 stycznia każdego roku. Wlicza się pracowników na umowę o pracę – bez względu na wymiar etatu. Zleceniobiorcy i osoby na kontraktach B2B co do zasady nie wchodzą do tej liczby, chyba że wykonują pracę w sposób zbliżony do stosunku pracy.

Obowiązek dotyczy nie tylko spółek prawa handlowego. Obejmuje także fundacje, stowarzyszenia, spółdzielnie i jednostki sektora publicznego. Dla podmiotów z sektora finansowego i instytucji obowiązanych w rozumieniu przepisów AML próg 50 pracowników nie ma znaczenia – te podmioty wdrażają kanał zgłoszeń niezależnie od wielkości zatrudnienia. Warto sprawdzić wpis do rejestru CRBR i procedury sankcyjne, bo instytucje obowiązane mają obowiązki nakładające się z ustawą o sygnalistach.

Sankcje są dotkliwe i mają charakter osobisty. Artykuł 54 ustawy o sygnalistach przewiduje karę do 3 lat pozbawienia wolności za utrudnianie zgłoszeń, działania odwetowe wobec sygnalisty oraz ujawnienie tożsamości zgłaszającego. Grzywna może sięgnąć 1 080 000 złotych. Odpowiedzialność ponosi osoba fizyczna – najczęściej członek zarządu lub wyznaczony koordynator. Państwowa Inspekcja Pracy (PIP) kontroluje wdrożenie procedur i może żądać okazania dokumentacji w każdym czasie.

Mikroprzedsiębiorcy i pracodawcy zatrudniający do 49 pracowników nie mają obowiązku tworzenia wewnętrznego kanału. Mogą jednak wdrożyć politykę dobrowolnie – co bywa oczekiwane przez kontrahentów w ramach wymogów łańcucha dostaw i raportowania ESG zgodnie z dyrektywą CSRD.

Jak napisać politykę ochrony sygnalistów – krok po kroku?

Polityka ochrony sygnalistów to nie tylko formalny dokument. To działający system: kanał przyjmowania zgłoszeń, procedura ich rozpatrywania, ochrona tożsamości zgłaszającego i zakaz działań odwetowych. Artykuł 8 ustawy o sygnalistach wskazuje wprost, że pracodawca musi ustanowić wewnętrzny kanał zgłoszeń po konsultacjach z reprezentacją pracowników lub ze związkami zawodowymi. Konsultacje trwają co najmniej 5 dni.

Poniżej przedstawiamy strukturę dokumentu, który spełnia wymogi ustawy.

  • Zakres podmiotowy – kto może zgłaszać: pracownicy, zleceniobiorcy, stażyści, byli pracownicy, kandydaci do pracy, kontrahenci.
  • Zakres przedmiotowy – jakie naruszenia podlegają zgłoszeniu: prawo pracy, przepisy podatkowe, ochrona środowiska, AML, RODO, prawo zamówień publicznych.
  • Kanał zgłoszeń – forma przyjmowania zgłoszeń: formularz pisemny, adres e-mail, linia telefoniczna, osobiste spotkanie z koordynatorem.
  • Koordynator – wskazanie osoby lub jednostki organizacyjnej odpowiedzialnej za przyjmowanie i rozpatrywanie zgłoszeń oraz zapewnienie poufności.
  • Terminy – potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni; informacja zwrotna dla sygnalisty w ciągu 3 miesięcy od potwierdzenia.

Projekt dokumentu powinien zostać skonsultowany z reprezentacją pracowników przed jego wdrożeniem. Po konsultacjach zarząd zatwierdza politykę uchwałą lub zarządzeniem. Dokument musi być dostępny dla wszystkich pracowników – najlepiej w intranecie i w formie wydruku w widocznym miejscu. Data wdrożenia i podpis osoby zatwierdzającej są obowiązkowe.

Trzy scenariusze biznesowe pokazują, jak różnie wygląda wdrożenie w praktyce. Firma produkcyjna z Mazowsza zatrudniająca 120 osób wyznaczyła koordynatora ds. compliance i uruchomiła dedykowany adres e-mail – całość zajęła 3 tygodnie. Startup IT z Krakowa o zatrudnieniu 60 osób skorzystał z zewnętrznej platformy do obsługi zgłoszeń anonimowych – koszt abonamentu wyniósł około 400 złotych miesięcznie. Oddział zagranicznego inwestora z Niemiec działający w Polsce musiał dostosować globalną politykę grupy do wymogów polskiej ustawy – różnice dotyczyły głównie zakresu podmiotowego i terminów odpowiedzi.

Warto tu przypomnieć, że compliance to proces, nie dokument. Sam fakt posiadania pisemnej polityki nie wystarczy – konieczne jest jej faktyczne stosowanie i dokumentowanie każdego zgłoszenia oraz podjętych działań.

Konkretna sytuacja Państwa firmy może wymagać dodatkowej analizy pod kątem obowiązków z zakresu ESG raportowania i CSRD. Podobnie jak przy planowaniu struktury podatkowej, nieodwracalne konsekwencje wynikają z zaniechania działania w odpowiednim czasie.

Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i nie wdrożyła jeszcze procedury zgłoszeń wewnętrznych – ryzyko osobistej odpowiedzialności zarządu jest realne od 25 września 2024 roku. Przeprowadzimy audyt dokumentacji, opracujemy projekt polityki i poprowadzimy konsultacje z pracownikami: info@kordeckipartners.com.

Jakie błędy najczęściej dyskwalifikują politykę podczas kontroli PIP?

Kontrolerzy Państwowej Inspekcji Pracy wskazują na kilka powtarzających się problemów. Pierwszy i najczęstszy: brak dowodu przeprowadzenia konsultacji z pracownikami przed wdrożeniem dokumentu. Ustawa wymaga co najmniej 5-dniowego okresu konsultacji. Protokół z konsultacji lub pisemne stanowisko reprezentacji pracowników muszą być częścią dokumentacji.

Drugi błąd to zbyt wąski zakres podmiotowy. Wiele firm ogranicza politykę wyłącznie do pracowników na umowę o pracę. Tymczasem ustawa chroni także zleceniobiorców, stażystów, byłych pracowników oraz kandydatów do pracy. Pominięcie tych grup może skutkować zarzutem wadliwego wdrożenia.

Trzeci problem dotyczy koordynatora. Polityki często wskazują stanowisko (np. „dział HR"), ale nie osobę z imienia i nazwiska ani nie określają zastępstwa na czas nieobecności. W praktyce – wiele firm o tym zapomina – brak zastępstwa oznacza, że zgłoszenie złożone podczas urlopu koordynatora pozostaje bez odpowiedzi przez więcej niż 7 dni, co narusza ustawę.

Czwarty błąd to brak procedury ochrony tożsamości sygnalisty. Dokument musi opisywać, kto ma dostęp do danych zgłaszającego, w jaki sposób są one przechowywane i przez jaki okres. Powiązanie z RODO jest tu obowiązkowe – polityka powinna wskazywać podstawę prawną przetwarzania danych osobowych sygnalisty.

Piąty, rzadziej zauważany błąd: polityka nie przewiduje możliwości zgłoszenia anonimowego. Ustawa nie nakazuje przyjmowania zgłoszeń anonimowych, ale jeśli pracodawca zdecyduje się je przyjmować, musi opisać procedurę ich obsługi. Brak jasności w tym zakresie budzi wątpliwości podczas kontroli.

Checklist: co musi zawierać gotowa polityka?

Przed przekazaniem dokumentu do zatwierdzenia przez zarząd warto sprawdzić, czy polityka zawiera wszystkie wymagane elementy. Poniżej lista kontrolna dla osoby odpowiedzialnej za compliance w organizacji.

  • Zakres podmiotowy – wyliczenie wszystkich kategorii osób uprawnionych do zgłoszeń.
  • Zakres przedmiotowy – katalog naruszeń objętych procedurą, w tym naruszenia prawa AML i przepisów podatkowych.
  • Opis kanału zgłoszeń – forma, adres, sposób zapewnienia poufności lub anonimowości.
  • Dane koordynatora i jego zastępcy – imię, nazwisko, stanowisko, dane kontaktowe.
  • Terminy – 7 dni na potwierdzenie przyjęcia zgłoszenia, 3 miesiące na informację zwrotną.

Do dokumentacji dołącz protokół konsultacji z pracownikami, uchwałę zarządu zatwierdzającą politykę oraz potwierdzenie udostępnienia dokumentu wszystkim pracownikom. Przechowuj te materiały przez co najmniej 5 lat – tyle wynosi typowy okres przedawnienia w sprawach pracowniczych i administracyjnych.

Firmy działające w grupach kapitałowych powinny sprawdzić, czy globalna polityka grupy spełnia wymogi polskiej ustawy. Nierzadko konieczna jest lokalna adaptacja – zwłaszcza w zakresie terminów, zakresu podmiotowego i języka dokumentu. Polityka powinna być dostępna w języku polskim, nawet jeśli w grupie obowiązuje wersja angielska.

Często zadawane pytania

P: Czy firma zatrudniająca 48 pracowników ma obowiązek wdrożenia polityki ochrony sygnalistów?

O: Nie – próg ustawowy wynosi 50 pracowników. Firma zatrudniająca 48 osób nie jest objęta obowiązkiem wdrożenia wewnętrznego kanału zgłoszeń na podstawie ustawy o sygnalistach. Wyjątek stanowią instytucje obowiązane w rozumieniu przepisów o przeciwdziałaniu praniu pieniędzy (AML) – te podmioty mają obowiązek bez względu na liczbę zatrudnionych. Wdrożenie dobrowolne może być jednak wymagane przez kontrahentów lub audytorów ESG.

P: Ile kosztuje i jak długo trwa wdrożenie polityki?

O: Koszt wdrożenia zależy od wybranego modelu. Obsługa zgłoszeń przez wewnętrznego koordynatora to głównie koszt pracy – kilka godzin miesięcznie. Zewnętrzna platforma do obsługi zgłoszeń anonimowych kosztuje od 300 do 1 500 złotych miesięcznie w zależności od dostawcy i liczby użytkowników. Czas wdrożenia od projektu dokumentu do zatwierdzenia przez zarząd to zazwyczaj 2–4 tygodnie, wliczając obowiązkowe 5-dniowe konsultacje z pracownikami.

P: Czy polityka ochrony sygnalistów jest tym samym co procedura anonimowego zgłaszania naruszeń wymagana przez CSRD?

O: To częste nieporozumienie. Ustawa o sygnalistach i dyrektywa CSRD nakładają odrębne obowiązki. Ustawa o sygnalistach reguluje wewnętrzny kanał zgłoszeń i ochronę sygnalisty przed działaniami odwetowymi. Dyrektywa CSRD, transponowana do polskiej ustawy o rachunkowości, wymaga ujawnienia informacji o procedurach due diligence w obszarze ESG raportowania – w tym o mechanizmach zgłaszania naruszeń w łańcuchu wartości. Dokumenty te powinny być spójne, ale nie są tożsame.

Konkretna sytuacja Państwa firmy wymaga oceny, czy posiadana dokumentacja faktycznie spełnia wymogi ustawy o sygnalistach, czy jedynie sprawia takie wrażenie. Brak prawidłowego wdrożenia zamyka drogę do obrony przed zarzutem naruszenia obowiązków przez zarząd – a odpowiedzialność osobista jest tu nieodwracalna.

Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i potrzebuje audytu istniejącej polityki lub opracowania dokumentu od podstaw – przeprowadzimy analizę zgodności, projekt konsultacji z pracownikami i szkolenie dla koordynatora: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG raportowania i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.