Polityka ochrony sygnalistów – jak napisać zgodnie

Wyobraź sobie dyrektora HR z firmy produkcyjnej na Śląsku, który odkrywa w skrzynce mailowej anonimowe zgłoszenie o nieprawidłowościach finansowych. Nie ma polityki. Nie ma kanału. Nie ma procedury. Ustawa o sygnalistach obowiązuje od 25 września 2024 r. – i kara do PLN 1 080 000 za brak wdrożenia jest jak najbardziej realna.

Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek ustanowienia wewnętrznego kanału zgłoszeń i przyjęcia pisemnej polityki ochrony sygnalistów. Obowiązek ten wynika wprost z artykułu 8 ustawy. Brak dokumentu oznacza odpowiedzialność karną do 3 lat pozbawienia wolności i administracyjne kary finansowe sięgające PLN 1 080 000.

Ten przewodnik przeprowadza Państwa przez każdy etap: od analizy zakresu podmiotowego, przez strukturę dokumentu, po najczęstsze błędy wdrożeniowe. Trzy scenariusze biznesowe – producent, firma IT i inwestor zagraniczny – pokazują, jak ustawa działa w praktyce różnych organizacji.

Kogo obejmuje ustawa i od kiedy?

Ustawa o ochronie sygnalistów weszła w życie 25 września 2024 r. Obowiązek ustanowienia wewnętrznego kanału zgłoszeń dotyczy pracodawców prywatnych zatrudniających co najmniej 50 osób. Liczy się stan na dzień wejścia w życie ustawy – a nie data planowanego wdrożenia.

Próg 50 pracowników obejmuje zarówno umowy o pracę, jak i długoterminowe umowy cywilnoprawne. W praktyce wiele firm mylnie zakłada, że zleceniobiorcy nie wchodzą do bilansu – to błąd, który może zmienić status firmy z „poniżej progu" na „objęta obowiązkiem" bez jej wiedzy. Podmioty sektora finansowego i instytucje obowiązane w rozumieniu przepisów AML podlegają obowiązkowi niezależnie od liczby zatrudnionych.

Dla grup kapitałowych ustawa nie przewiduje automatycznego wspólnego kanału. Każda spółka zależna musi samodzielnie ocenić swój próg zatrudnienia. Spółki z grupy mogą jednak wspólnie korzystać z jednego systemu technicznego – pod warunkiem, że każda z nich formalnie go przyjmie jako własny kanał. To rozwiązanie popularne w holdingach z siedzibą w Warszawie i Krakowie.

Zgodnie z artykułem 54 ustawy o sygnalistach, pracodawca, który podejmuje działania odwetowe wobec sygnalisty, naraża się na karę do 3 lat pozbawienia wolności. Kara finansowa do PLN 1 080 000 grozi za brak kanału lub polityki. Konsekwencje są więc podwójne – karne i administracyjne.

Jak zbudować politykę ochrony sygnalistów krok po kroku?

Polityka ochrony sygnalistów to dokument wewnętrzny, który musi zawierać co najmniej: opis kanału zgłoszeń, zakres przedmiotowy zgłoszeń, procedurę potwierdzenia przyjęcia zgłoszenia w ciągu 7 dni, procedurę działań następczych w ciągu 3 miesięcy oraz gwarancje poufności i ochrony tożsamości sygnalisty. Artykuł 8 ustawy określa te elementy jako obligatoryjne.

Krok pierwszy to analiza zakresu podmiotowego i przedmiotowego. Zakres przedmiotowy ustawa określa szeroko – obejmuje naruszenia prawa UE oraz krajowego w dziedzinach takich jak finanse publiczne, ochrona środowiska, bezpieczeństwo żywności, ochrona danych osobowych (RODO) i prawo pracy. Warto od razu sprawdzić, czy organizacja podlega także obowiązkom ESG raportowania wynikającym z dyrektywy CSRD (Dyrektywa UE 2022/2464) – bo polityka sygnalistów może być elementem szerszego systemu compliance.

Krok drugi to wybór formy kanału. Ustawa dopuszcza kanał elektroniczny, telefoniczny lub skrzynkę fizyczną. Szczegółowe wymagania techniczne i prawne dla kanału omawia dedykowany przewodnik: kanał sygnalistów – wymagania techniczne i prawne. Niezależnie od formy – kanał musi zapewniać poufność i uniemożliwiać identyfikację sygnalisty przez osoby nieuprawnione.

Krok trzeci to konsultacje z pracownikami lub reprezentującymi ich organizacjami związkowymi. Ustawa wymaga przeprowadzenia konsultacji przed przyjęciem polityki. Brak tego etapu jest jednym z najczęstszych błędów proceduralnych. Konsultacje muszą trwać co najmniej 5 dni.

Analiza progu zatrudnienia i podmiotów objętych obowiązkiem
Wybór i wdrożenie kanału zgłoszeń (elektroniczny, telefoniczny, fizyczny)
Przeprowadzenie konsultacji z pracownikami lub związkami zawodowymi (min. 5 dni)
Sporządzenie i przyjęcie pisemnej polityki ochrony sygnalistów
Szkolenie osób odpowiedzialnych za obsługę zgłoszeń

Krok czwarty to wyznaczenie osoby lub jednostki odpowiedzialnej za przyjmowanie i rozpatrywanie zgłoszeń. Może to być dział compliance, HR lub zewnętrzny podmiot. Zewnętrzna obsługa jest dopuszczalna – ale umowa z takim podmiotem musi jasno regulować zasady poufności i zakaz ujawniania tożsamości sygnalisty.

Micro-case: Firma IT z Trójmiasta wdrożyła kanał elektroniczny w marcu 2025 r. Zaoszczędziła czas na wewnętrznej obsłudze, zlecając rozpatrywanie zgłoszeń zewnętrznemu compliance officerowi. Koszt roczny wyniósł ok. PLN 18 000 – znacznie mniej niż potencjalna kara administracyjna.

Konkretna sytuacja Państwa firmy może wymagać dodatkowych elementów – zwłaszcza jeśli organizacja działa w sektorze regulowanym (bankowość, ubezpieczenia, rynek kapitałowy) lub podlega obowiązkom AML. Nieodwracalne skutki braku polityki – kara i reputacyjne straty – uzasadniają weryfikację dokumentu przez prawnika przed jego przyjęciem. Aby otrzymać ocenę projektu polityki, napisz do info@kordeckipartners.com.

Jakie błędy najczęściej dyskwalifikują politykę sygnalistów?

Najczęstszy błąd to skopiowanie ogólnodostępnego wzoru bez dostosowania do specyfiki organizacji. Polityka musi odzwierciedlać rzeczywistą strukturę firmy – kanały komunikacji, hierarchię odpowiedzialności i zakres działalności. Dokument oderwany od realiów organizacji nie spełnia wymogu artykułu 8 ustawy i nie chroni pracodawcy przed odpowiedzialnością.

Drugi błąd to pominięcie terminów proceduralnych. Ustawa wymaga potwierdzenia przyjęcia zgłoszenia w ciągu 7 dni od jego wpływu. Na podjęcie działań następczych pracodawca ma 3 miesiące. W praktyce – wiele firm o tym zapomina – nie wdraża systemu śledzenia zgłoszeń i nie przypisuje im numerów referencyjnych. Skutek: niemożność wykazania, że procedura była przestrzegana.

Trzeci błąd to niewystarczające gwarancje poufności. Polityka musi jednoznacznie wskazywać, kto ma dostęp do danych sygnalisty i na jakich zasadach. Ogólne sformułowania w stylu „dane są chronione" nie wystarczą. Wymagana jest konkretna procedura pseudonimizacji lub szyfrowania – spójna z wymogami RODO.

Czwarty błąd dotyczy zakresu przedmiotowego. Firmy często zawężają politykę wyłącznie do korupcji lub nadużyć finansowych. Tymczasem ustawa obejmuje znacznie szerszy katalog naruszeń – w tym naruszenia prawa ochrony środowiska, bezpieczeństwa produktów i ochrony danych. Zbyt wąski zakres oznacza, że część zgłoszeń nie będzie objęta ochroną – co naraża pracodawcę na zarzut działań odwetowych.

Micro-case: Spółka handlowa z Mazowsza przyjęła politykę w październiku 2024 r. – ale bez mechanizmu potwierdzania odbioru zgłoszeń. W grudniu 2024 r. sygnalista złożył skargę do Państwowej Inspekcji Pracy, wskazując brak reakcji na zgłoszenie. Spółka nie była w stanie wykazać, że procedura była realizowana. Postępowanie wyjaśniające trwało 4 miesiące.

Trzy scenariusze biznesowe – producent, IT i inwestor zagraniczny

Scenariusz pierwszy: producent z sektora spożywczego. Firma zatrudnia 320 osób w dwóch zakładach. Podlega obowiązkowi niezależnie od progu – bo działa w sektorze bezpieczeństwa żywności objętym zakresem przedmiotowym ustawy. Polityka musi uwzględniać specyfikę zgłoszeń dotyczących bezpieczeństwa produktów i naruszeń prawa pracy. Zakład powinien wyznaczyć osobę odpowiedzialną w każdej lokalizacji lub zastosować scentralizowany kanał z jasną procedurą przekazywania zgłoszeń.

Scenariusz drugi: firma IT świadcząca usługi dla sektora finansowego. Zatrudnia 55 osób. Podlega obowiązkowi ze względu na próg zatrudnienia. Dodatkowo – jako podmiot przetwarzający dane osobowe w dużej skali – musi zadbać o spójność polityki sygnalistów z procedurami RODO i wymogami CSRD w zakresie ESG raportowania. Warto rozważyć integrację kanału sygnalistów z systemem zarządzania incydentami bezpieczeństwa IT.

Scenariusz trzeci: inwestor zagraniczny wchodzący na rynek polski. Dla inwestora z Niemiec lub Ukrainy ustawa polska obowiązuje od pierwszego dnia zatrudnienia pracowników w Polsce. Spółka zależna w Polsce musi posiadać własną politykę – nawet jeśli spółka matka ma wdrożony system zgodny z dyrektywą UE 2019/1937. Rejestracja w KRS i CRBR (Centralny Rejestr Beneficjentów Rzeczywistych) to oddzielne obowiązki, niezwiązane z polityką sygnalistów – ale ich brak może komplikować ocenę compliance organizacji.

We wszystkich trzech scenariuszach wspólnym mianownikiem jest konieczność przeprowadzenia konsultacji pracowniczych i przyjęcia polityki w formie pisemnej przed uruchomieniem kanału. Kolejność ma znaczenie prawne. Firmy przechodzące restrukturyzację powinny dodatkowo sprawdzić, czy zmiany struktury zatrudnienia nie wpływają na próg objęcia obowiązkiem – więcej o tym w kontekście restrukturyzacji zapobiegawczej i dostępnych trybach postępowania.

Często zadawane pytania

P: Czy firma zatrudniająca 48 osób musi wdrożyć politykę sygnalistów?

O: Jeśli firma zatrudnia mniej niż 50 pracowników i nie działa w sektorze finansowym ani nie jest instytucją obowiązaną w rozumieniu przepisów AML, obowiązek formalnie jej nie dotyczy. Jednak ustawa nie zabrania dobrowolnego wdrożenia polityki – a w praktyce wiele firm poniżej progu decyduje się na to ze względów reputacyjnych i w ramach strategii ESG. Warto pamiętać, że próg liczy się łącznie z długoterminowymi umowami cywilnoprawnymi – artykuł 8 ustawy o sygnalistach odnosi się do „pracowników" w szerokim rozumieniu.

P: Ile kosztuje wdrożenie polityki sygnalistów i jak długo trwa?

O: Koszty zależą od skali organizacji i wybranego rozwiązania technicznego. Dla firmy zatrudniającej 50–200 osób całkowity koszt wdrożenia (doradztwo prawne, system kanału, szkolenie) wynosi zazwyczaj od PLN 8 000 do PLN 30 000. Czas wdrożenia – od analizy do przyjęcia polityki – to minimum 3–4 tygodnie ze względu na obowiązkowe 5-dniowe konsultacje pracownicze. Zewnętrzna obsługa kanału zgłoszeń to koszt roczny rzędu PLN 12 000–25 000 w zależności od dostawcy.

P: Czy polityka sygnalistów musi być opublikowana publicznie?

O: Ustawa nie wymaga publicznego udostępnienia polityki – wymaga natomiast, aby była ona dostępna dla wszystkich pracowników objętych jej zakresem. W praktyce oznacza to umieszczenie dokumentu w intranecie lub przekazanie go każdemu pracownikowi wraz z potwierdzeniem odbioru. Wiele firm błędnie zakłada, że wystarczy opublikowanie skrótu na stronie internetowej. To niewystarczające – dokument musi być kompletny i zrozumiały dla każdego adresata. Firmy objęte obowiązkiem raportowania ESG zgodnie z dyrektywą CSRD mogą być zobowiązane do ujawnienia informacji o systemie sygnalistów w raporcie niefinansowym.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – szczególnie gdy organizacja działa w kilku jurysdykcjach lub przechodzi zmiany strukturalne. Brak zgodnej z ustawą polityki sygnalistów zamyka drogę do wykazania dobrej wiary w postępowaniu administracyjnym i naraża zarząd na nieodwracalne konsekwencje osobiste. Jeśli Państwa spółka zatrudnia ponad 50 osób i nie posiada jeszcze formalnej polityki ochrony sygnalistów – przeprowadzimy audyt zgodności, przygotujemy projekt dokumentu i poprowadzimy konsultacje pracownicze: info@kordeckipartners.com.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

O autorce

Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.