Od 25 września 2024 r. każdy pracodawca zatrudniający co najmniej 50 pracowników ma obowiązek posiadać wewnętrzny kanał zgłoszeń i politykę ochrony sygnalistów. Wiele firm wciąż traktuje ten wymóg jako formalność. To błąd, który może kosztować nawet PLN 1 080 000 kary.
Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów nakłada na pracodawców obowiązek ustanowienia wewnętrznego kanału zgłoszeń oraz sporządzenia pisemnej polityki ochrony sygnalistów. Obowiązek dotyczy podmiotów zatrudniających co najmniej 50 osób. Sankcje za brak wdrożenia – w tym do 3 lat pozbawienia wolności za działania odwetowe – obowiązują od dnia wejścia ustawy w życie, czyli od 25 września 2024 r.
Poniżej znajdą Państwo odpowiedzi na trzy pytania: kogo ustawa obejmuje, co musi zawierać polityka, i co zrobić w ciągu najbliższych 30 dni.
Kogo obejmuje ustawa i jakie progi decydują o obowiązku?
Próg 50 pracowników to punkt wyjścia, ale nie jedyne kryterium. Ustawa obejmuje również podmioty z sektora finansowego, AML oraz te objęte obowiązkami CRBR – niezależnie od liczby zatrudnionych. Oznacza to, że spółka z trzema pracownikami, ale prowadząca działalność regulowaną, może już podlegać pełnym wymogom.
W praktyce – wiele firm o tym zapomina – próg liczy się według stanu zatrudnienia na dzień 1 stycznia danego roku. Firma, która w lutym zatrudnia 48 osób, ale 1 stycznia miała 51, jest objęta ustawą przez cały rok. Warto sprawdzić stan zatrudnienia wstecz, zanim firma uzna, że obowiązek jej nie dotyczy.
Podmioty z sektora publicznego podlegają ustawie bez względu na liczbę pracowników. Dla nich termin wdrożenia minął razem z wejściem ustawy w życie. Brak polityki w jednostce samorządu terytorialnego to naruszenie, które PIP może stwierdzić podczas rutynowej kontroli.
Trzy kategorie podmiotów objętych ustawą bezwarunkowo:
- pracodawcy z co najmniej 50 pracownikami,
- instytucje obowiązane w rozumieniu ustawy AML,
- podmioty sektora publicznego bez progu zatrudnienia.
Co musi zawierać polityka ochrony sygnalistów – i czego w niej brakuje?
Zgodnie z art. 8 ustawy o sygnalistach, polityka musi określać co najmniej: procedurę przyjmowania zgłoszeń, zasady ich weryfikacji, sposób informowania sygnalisty o podjętych działaniach oraz zakaz działań odwetowych. To minimum. Dokument, który spełnia tylko te cztery wymogi, jest formalnie zgodny – ale praktycznie bezużyteczny.
Dobrze napisana polityka idzie dalej. Wskazuje konkretne osoby odpowiedzialne za obsługę zgłoszeń, definiuje terminy (odpowiedź dla sygnalisty w ciągu 7 dni od potwierdzenia przyjęcia, działania następcze w ciągu 3 miesięcy) i opisuje, jak firma chroni tożsamość zgłaszającego. Brak tych elementów nie wyklucza formalnej zgodności, ale zwiększa ryzyko w razie sporu.
Częsty błąd: kopiowanie wzoru z internetu bez dostosowania do struktury organizacyjnej firmy. Polityka musi wskazywać realny kanał – adres e-mail, skrzynkę anonimową lub zewnętrznego operatora. Kanał fikcyjny lub nieobsługiwany to naruszenie równoważne z brakiem polityki. Jeśli Państwa spółka zarejestrowała się przez system S24, warto sprawdzić, czy przy okazji wdrożono też dokumentację compliance.
Checklist – co musi znaleźć się w polityce:
- opis kanału zgłoszeń (adres, forma, operator),
- procedura potwierdzenia przyjęcia zgłoszenia (termin: 7 dni),
- zasady ochrony tożsamości sygnalisty i danych osobowych (RODO),
- zakaz działań odwetowych z przykładami zakazanych zachowań,
- informacja o zewnętrznym kanale zgłoszeń (Rzecznik Praw Obywatelskich).
Co zrobić teraz – działania na najbliższe 30 dni
Firmy, które jeszcze nie wdrożyły polityki, tracą każdy dzień. Art. 54 ustawy o sygnalistach przewiduje karę do PLN 1 080 000 oraz do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty. To nie są przepisy martwego prawa – Państwowa Inspekcja Pracy prowadzi kontrole, a pierwsze postępowania już się toczą.
Firmy raportujące w ramach ESG raportowania i CSRD mają dodatkowy powód do działania. Dyrektywa CSRD (2022/2464) wymaga ujawnienia informacji o mechanizmach zgłaszania naruszeń. Brak wewnętrznej polityki sygnalistów to luka w raporcie niefinansowym – zauważalna przez audytorów i inwestorów. Compliance i ESG raportowanie przestały być oddzielnymi ścieżkami.
Spółka z Mazowsza wdrożyła politykę sygnalistów w ciągu 14 dni roboczych po audycie dokumentacji – bez konieczności zmiany struktury organizacyjnej. Firma z Małopolski z kolei odkryła podczas wdrożenia, że jej kanał zgłoszeń był technicznie niedostępny przez 4 miesiące. Oba przypadki pokazują, że wdrożenie jest szybkie, ale wymaga weryfikacji stanu faktycznego.
Konkretna sytuacja Państwa firmy może wymagać dostosowania polityki do specyfiki branży, struktury zatrudnienia lub obowiązków wynikających z AML. Brak działania zamyka drogę do obrony w razie kontroli PIP lub skargi sygnalisty – a każdy kolejny dzień bez polityki to nieodwracalne naruszenie.
Jeśli Państwa spółka zatrudnia co najmniej 50 osób lub działa w sektorze regulowanym i nie posiada jeszcze wdrożonej polityki ochrony sygnalistów – przeprowadzimy audyt dokumentacji, przygotujemy projekt polityki i wdrożymy kanał zgłoszeń: info@kordeckipartners.com.
Często zadawane pytania
P: Czy polityka ochrony sygnalistów musi być uzgodniona ze związkami zawodowymi lub przedstawicielami pracowników?
O: Tak. Ustawa o ochronie sygnalistów wymaga, aby przed przyjęciem polityki pracodawca skonsultował jej treść ze związkami zawodowymi lub – przy ich braku – z przedstawicielami pracowników. Konsultacje powinny trwać co najmniej 5 dni. Pominięcie tego kroku czyni procedurę wadliwą formalnie, nawet jeśli treść dokumentu jest prawidłowa.
P: Jak długo firma musi przechowywać zgłoszenia sygnalistów?
O: Ustawa o ochronie sygnalistów nie określa wprost okresu przechowywania, ale wskazuje, że dane osobowe sygnalisty i treść zgłoszenia podlegają przepisom RODO. W praktyce przyjmuje się okres 3 lat od zakończenia postępowania wyjaśniającego. Dłuższe przechowywanie wymaga odrębnej podstawy prawnej i powinno być uzasadnione w rejestrze czynności przetwarzania.
P: Czy mała spółka z o.o. zatrudniająca 12 osób musi wdrożyć politykę sygnalistów?
O: Co do zasady – nie, jeśli nie działa w sektorze finansowym ani nie jest instytucją obowiązaną w rozumieniu ustawy AML. Próg 50 pracowników zwalnia małe podmioty z obowiązku posiadania wewnętrznego kanału zgłoszeń. Wyjątkiem są spółki objęte CRBR, które prowadzą działalność regulowaną – dla nich obowiązek może wynikać z przepisów sektorowych niezależnie od liczby zatrudnionych.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.