Spółka produkcyjna z Mazowsza zatrudniająca 180 osób dowiedziała się o obowiązku wdrożenia kanału zgłoszeń dla sygnalistów dopiero podczas audytu ESG. Brakowało nie tylko procedury, ale też osoby odpowiedzialnej za przyjmowanie zgłoszeń. Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów weszła w życie 25 września 2024 r. – i objęła każdego pracodawcę zatrudniającego co najmniej 50 pracowników.

Polityka ochrony sygnalistów to dokument wymagany przez ustawę o ochronie sygnalistów dla pracodawców zatrudniających co najmniej 50 osób. Artykuł ósmy ustawy nakłada obowiązek ustanowienia wewnętrznego kanału zgłoszeń. Brak wdrożenia grozi karą do 1 080 000 złotych oraz do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.

Poniższe studium przypadku pokazuje, jak przeprowadzono wdrożenie od zera w ciągu 8 tygodni. Omówimy tło sprawy, przyjętą strategię, przebieg procesu i wnioski możliwe do zastosowania w każdej organizacji podlegającej ustawie.

Tło sprawy – dlaczego spółka przeoczyła obowiązek?

Spółka działała w branży produkcji komponentów metalowych. Zatrudniała 180 pracowników na umowach o pracę i 30 współpracowników B2B. Dział prawny nie istniał – obsługę zapewniała zewnętrzna kancelaria rozliczana za godzinę. Compliance traktowano jako dodatek do audytu finansowego, nie jako samodzielny proces.

Kiedy zewnętrzny audytor ESG zapytał o politykę ochrony sygnalistów, zarząd sprawdził zaległości. Spółka nie figurowała w CRBR jako podmiot objęty szczególnym nadzorem, ale przekraczała próg 50 pracowników już od 2021 r. Brakowało kanału zgłoszeń, regulaminu, wyznaczonej osoby przyjmującej zgłoszenia i jakiejkolwiek dokumentacji. Ryzyko odpowiedzialności karnej dotyczyło bezpośrednio członków zarządu.

Dodatkowym czynnikiem była presja kontrahenta – duża spółka z grupy kapitałowej z Niemiec wymagała od dostawców potwierdzenia zgodności z wymogami ESG raportowania. Brak polityki sygnalistów mógł skutkować utratą kontraktu o wartości 2,4 mln zł rocznie. To był moment, w którym zarząd zdecydował się działać.

Jak wyglądała strategia wdrożenia zgodnego z ustawą?

Strategia opierała się na trzech filarach: szybkim zamknięciu luki formalnej, zbudowaniu realnie działającego kanału zgłoszeń i przeszkoleniu organizacji. Compliance to proces, nie dokument – dlatego od początku zakładano, że polityka musi być żywa, nie tylko archiwizowana.

Pierwszym krokiem była analiza luk. W ciągu 5 dni roboczych sporządzono mapę braków: brak regulaminu kanału, brak osoby przyjmującej zgłoszenia, brak procedury potwierdzenia przyjęcia zgłoszenia w terminie 7 dni, brak procedury działań następczych w terminie 3 miesięcy. Każdy z tych elementów wynika wprost z art. 8 ustawy o sygnalistach.

Drugim krokiem było powołanie koordynatora ds. sygnalistów – pracownika działu HR z formalnym zakresem obowiązków. Rozważano outsourcing tej funkcji do kancelarii zewnętrznej. Ostatecznie zdecydowano o modelu hybrydowym: koordynator wewnętrzny obsługuje zgłoszenia, kancelaria zapewnia wsparcie prawne przy sprawach skomplikowanych. Takie rozwiązanie zmniejsza ryzyko konfliktu interesów. W praktyce – wiele firm o tym zapomina – koordynator nie może podlegać służbowo osobie, której zgłoszenie może dotyczyć.

Trzecim krokiem było przygotowanie samej polityki. Dokument musiał objąć: zakres podmiotowy, katalog naruszeń podlegających zgłoszeniu, opis kanału wewnętrznego, procedurę potwierdzenia i działań następczych, zasady ochrony tożsamości sygnalisty oraz zakaz działań odwetowych. Łącznie 11 stron, zatwierdzonych przez zarząd uchwałą.

Uważamy, że bezpieczniejszym rozwiązaniem jest powiązanie polityki sygnalistów z szerszym systemem AML i compliance – tak, aby procedury wzajemnie się uzupełniały, a nie powielały.

Jak przebiegał proces i co poszło nie tak?

Wdrożenie zaplanowano na 8 tygodni. Tydzień 1–2: analiza luk i powołanie koordynatora. Tydzień 3–4: projekt polityki i konsultacje z przedstawicielami pracowników. Tydzień 5–6: wdrożenie kanału technicznego (dedykowany adres e-mail + skrzynka fizyczna). Tydzień 7: szkolenie dla kadry kierowniczej. Tydzień 8: zatwierdzenie dokumentu i komunikacja do wszystkich pracowników.

Pierwsza trudność pojawiła się na etapie konsultacji z pracownikami. Ustawa wymaga, by regulamin kanału zgłoszeń był uzgodniony ze związkami zawodowymi lub – w ich braku – z przedstawicielami pracowników wyłonionymi w trybie przyjętym u pracodawcy. W spółce nie działały związki zawodowe. Wyłonienie przedstawicieli zajęło 10 dni roboczych zamiast planowanych 5, co przesunęło harmonogram.

Druga trudność dotyczyła kanału technicznego. Pierwotnie planowano wyłącznie kanał e-mailowy. Pracownicy produkcyjni – stanowiący 60% załogi – sygnalizowali w badaniu anonimowym, że nie korzystają regularnie z firmowej poczty elektronicznej. Dodano skrzynkę fizyczną w miejscu dostępnym 24/7 oraz numer telefonu do koordynatora. Koszt wdrożenia kanału technicznego wyniósł poniżej 2 000 zł.

Trzecia trudność: szkolenie kadry kierowniczej ujawniło błędne przekonanie, że polityka dotyczy wyłącznie naruszeń prawa pracy. Tymczasem ustawa obejmuje znacznie szerszy katalog – naruszenia prawa zamówień publicznych, ochrony środowiska, bezpieczeństwa produktów, prawa finansowego. Powiązanie z CSRD i ESG raportowaniem okazało się kluczowe dla zrozumienia przez zarząd, dlaczego dokument ma strategiczne znaczenie.

Dla porównania – spółka IT z Małopolski wdrożyła analogiczną politykę wiosną 2025 r. w 5 tygodniach, korzystając ze wzorca opracowanego przy pierwszym wdrożeniu. Czas skrócił się o 37%.

Jakie wnioski można zastosować w każdej organizacji?

Pierwsze: nie czekaj na audyt zewnętrzny. Obowiązek obowiązuje od 25 września 2024 r. Każdy pracodawca z co najmniej 50 pracownikami, który nie wdrożył kanału zgłoszeń, jest już w zwłoce. Art. 54 ustawy o sygnalistach przewiduje karę do 1 080 000 zł i do 3 lat pozbawienia wolności za działania odwetowe – ale samo nieustanowienie kanału również naraża organizację na odpowiedzialność.

Drugie: polityka musi być dopasowana do struktury organizacji. Wzorzec pobrany z internetu nie wystarczy. Kanał zgłoszeń musi być realnie dostępny dla wszystkich grup pracowników – nie tylko dla osób pracujących przy komputerze. Powiązanie z CRBR, AML i procedurami antykorupcyjnymi wzmacnia spójność systemu compliance.

Trzecie: koordynator zgłoszeń musi mieć rzeczywistą niezależność. Podległość służbowa wobec osoby, której może dotyczyć zgłoszenie, podważa całą konstrukcję ochrony sygnalisty. Warto rozważyć zewnętrzny kanał zgłoszeń prowadzony przez kancelarię prawną jako alternatywę lub uzupełnienie.

Czwarte: dokumentuj każdy etap. Potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni i informacja o działaniach następczych w ciągu 3 miesięcy – to terminy ustawowe. Ich niedotrzymanie może być podstawą zarzutu wobec pracodawcy. Sprawdź też, czy Twoja organizacja podlega wymogom screeningu sankcyjnego – obie procedury często obejmują te same podmioty.

  • Wyznacz koordynatora ds. sygnalistów z formalnym zakresem obowiązków
  • Uzgodnij regulamin z przedstawicielami pracowników przed zatwierdzeniem
  • Zapewnij co najmniej dwa kanały zgłoszeń (elektroniczny i fizyczny)
  • Udokumentuj potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni
  • Powiąż politykę z systemem AML i procedurami ESG raportowania

Jeśli Twoja organizacja działa w branży z podwyższonym ryzykiem naruszeń, warto sprawdzić, czy polityka sygnalistów nie powinna być połączona z procedurą ochrony praw własności intelektualnej – naruszenia IP są jedną z kategorii objętych ustawą.

Konkretna sytuacja Państwa firmy wymaga oceny, czy istniejące dokumenty spełniają wymogi ustawy o sygnalistach. Brak zgodności zamyka drogę do certyfikacji ESG i może nieodwracalnie zaszkodzić relacjom z kontrahentami wymagającymi potwierdzenia compliance.

Jeśli Państwa spółka zatrudnia co najmniej 50 osób i nie wdrożyła jeszcze kanału zgłoszeń – przeprowadzimy analizę luk, przygotujemy projekt polityki i poprowadzi Państwa przez konsultacje z pracownikami: info@kordeckipartners.com.

Często zadawane pytania

P: Czy spółka zatrudniająca 55 osób na umowach B2B musi wdrożyć politykę sygnalistów?

O: Próg 50 osób odnosi się do pracowników w rozumieniu Kodeksu pracy, a nie do wszystkich współpracowników. Osoby zatrudnione wyłącznie na umowach B2B co do zasady nie są wliczane do progu. Jednak ustawa chroni sygnalistów niezależnie od podstawy zatrudnienia – co oznacza, że współpracownik B2B może złożyć zgłoszenie i korzysta z ochrony. Zalecamy analizę struktury zatrudnienia przed podjęciem decyzji o zakresie wdrożenia.

P: Ile kosztuje wdrożenie kanału zgłoszeń i jak długo trwa?

O: Koszt wdrożenia zależy od modelu: kanał wewnętrzny z obsługą własną to koszt głównie czasu pracy koordynatora i ewentualnego narzędzia technicznego – w opisanym przypadku poniżej 2 000 złotych. Outsourcing kanału do kancelarii zewnętrznej to koszt od kilkuset do kilku tysięcy złotych miesięcznie. Czas wdrożenia wynosi od 5 do 10 tygodni, zależnie od wielkości organizacji i konieczności wyłonienia przedstawicieli pracowników.

P: Czy polityka ochrony sygnalistów jest tym samym co procedura AML?

O: Nie – to odrębne dokumenty wynikające z różnych podstaw prawnych. Procedura AML wynika z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu i obejmuje instytucje obowiązane. Polityka ochrony sygnalistów wynika z ustawy z 14 czerwca 2024 roku i obejmuje wszystkich pracodawców z co najmniej 50 pracownikami. W praktyce warto powiązać oba dokumenty, ponieważ obejmują częściowo te same kategorie naruszeń i te same osoby odpowiedzialne za compliance.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.