Na papierze procedura wygląda prosto. W praktyce – wiele firm o tym zapomina – polityka ochrony sygnalistów to nie jeden dokument, lecz cały system wzajemnie powiązanych obowiązków. Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów weszła w życie 25 września 2024 r. i objęła wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Brak wdrożenia oznacza odpowiedzialność karną – do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.
Ustawa o ochronie sygnalistów zobowiązuje pracodawcę do ustanowienia wewnętrznego kanału zgłoszeń oraz opracowania polityki ochrony sygnalistów, zgodnie z artykułem 8 ustawy. Obowiązek obejmuje podmioty zatrudniające co najmniej 50 osób – termin wdrożenia upłynął 25 września 2024 roku. Za brak kanału lub działania odwetowe grozi grzywna do 1 080 000 złotych oraz do 3 lat pozbawienia wolności.
Ten przewodnik przeprowadza przez każdy etap tworzenia polityki – od analizy zakresu podmiotowego, przez projekt dokumentu, aż po audyt zgodności. Omówione zostaną trzy scenariusze biznesowe: firma produkcyjna, spółka IT i inwestor zagraniczny. Wskazane zostaną też najczęstsze błędy, które wykrywamy podczas przeglądów compliance.
Kogo obejmuje ustawa i jakie są progi zatrudnienia?
Ustawa o sygnalistach stosuje się do każdego podmiotu, który zatrudnia co najmniej 50 pracowników w rozumieniu stosunku pracy. Próg liczy się według stanu na dzień 1 stycznia lub 1 lipca danego roku. Dla podmiotów sektora finansowego, AML i podmiotów objętych regulacjami CRBR obowiązek powstaje niezależnie od liczby zatrudnionych – nawet przy 10 pracownikach.
Trzy kategorie podmiotów wymagają szczególnej uwagi:
- pracodawcy zatrudniający 50–249 pracowników – mogą korzystać ze wspólnego kanału zgłoszeń w grupie kapitałowej;
- pracodawcy zatrudniający 250 i więcej pracowników – muszą wdrożyć własny, odrębny kanał;
- podmioty sektora finansowego i AML – obowiązek niezależnie od wielkości zatrudnienia.
W praktyce wiele spółek holdingowych popełnia błąd, zakładając, że jeden kanał dla całej grupy wystarczy. Tymczasem przepisy wyraźnie różnicują sytuację podmiotów powyżej 249 pracowników. Każda taka spółka musi mieć własną strukturę. Naruszenie tego wymogu może zostać zakwalifikowane jako brak kanału zgłoszeń – z pełnymi konsekwencjami karnymi.
Warto też sprawdzić powiązania z obowiązkami raportowania ESG. Spółki objęte CSRD (Dyrektywa UE 2022/2464) powinny zapewnić spójność polityki sygnalistów z polityką zarządzania ryzykiem ujawnianą w raporcie zrównoważonego rozwoju. Brak tej spójności to luka, którą audytorzy zewnętrzni coraz częściej wskazują jako niezgodność. Więcej o podejściu do podwójnej istotności w raportowaniu ESG znajdą Państwo w naszym opracowaniu o CSRD i podwójnej istotności w praktyce.
Jak napisać politykę ochrony sygnalistów krok po kroku?
Polityka ochrony sygnalistów to dokument wewnętrzny, który reguluje trzy obszary: sposób przyjmowania zgłoszeń, procedurę ich rozpatrywania oraz zakres ochrony sygnalisty. Artykuł 8 ustawy o sygnalistach określa minimalne elementy kanału zgłoszeń – sam dokument polityki powinien te elementy uszczegóławiać. Termin na opracowanie i wdrożenie upłynął 25 września 2024 roku.
Proces tworzenia polityki przebiega w sześciu etapach:
- Etap 1 – analiza zakresu: ustalenie liczby zatrudnionych, weryfikacja przynależności do sektora finansowego lub AML;
- Etap 2 – projekt dokumentu: opracowanie treści polityki z uwzględnieniem kategorii naruszeń i kanałów zgłoszeń;
- Etap 3 – konsultacje: uzgodnienie projektu z zakładową organizacją związkową lub – przy jej braku – z przedstawicielami pracowników przez co najmniej 5 dni;
- Etap 4 – wdrożenie kanału: uruchomienie technicznego rozwiązania (skrzynka e-mail, dedykowana platforma, infolinia);
- Etap 5 – szkolenie: przeszkolenie osób odpowiedzialnych za obsługę zgłoszeń;
- Etap 6 – audyt: weryfikacja zgodności co najmniej raz na 2 lata.
Firma produkcyjna z Dolnego Śląska zatrudniająca 180 pracowników wdrożyła politykę w ciągu 6 tygodni jesienią 2024 r. Kluczowym wyzwaniem okazał się etap konsultacji – związek zawodowy zgłosił uwagi do definicji „naruszenia prawa", co wymagało dwóch rund negocjacji. Ostatecznie dokument liczył 14 stron i obejmował procedurę anonimowego zgłaszania przez dedykowaną platformę.
Spółka IT z Krakowa zatrudniająca 60 specjalistów zdecydowała się na model współdzielonego kanału w ramach grupy kapitałowej. To dopuszczalne rozwiązanie przy zatrudnieniu poniżej 250 osób – ale wymaga zawarcia formalnego porozumienia między spółkami grupy oraz wyraźnego wskazania, która spółka administruje kanałem. Bez takiego porozumienia każda spółka odpowiada samodzielnie.
Jakie elementy musi zawierać polityka, żeby była zgodna z ustawą?
Polityka ochrony sygnalistów musi regulować co najmniej pięć obszarów wymaganych przez ustawę. Brak któregokolwiek z nich to niezgodność, którą Państwowa Inspekcja Pracy może zakwestionować podczas kontroli. Minimalna treść dokumentu wynika z art. 8 ustawy o sygnalistach i z przepisów implementujących Dyrektywę UE 2019/1937.
Obowiązkowe elementy polityki:
- Opis kanału zgłoszeń – wskazanie adresu e-mail, platformy lub numeru telefonu, na który kierowane są zgłoszenia;
- Procedura przyjmowania i rozpatrywania zgłoszeń – termin potwierdzenia przyjęcia zgłoszenia (do 7 dni) i termin udzielenia odpowiedzi zwrotnej (do 3 miesięcy);
- Zakres ochrony sygnalisty – katalog zakazanych działań odwetowych, w tym zwolnienie, degradacja, mobbing;
- Zakres podmiotowy – kto może dokonać zgłoszenia (pracownicy, zleceniobiorcy, stażyści, kontrahenci);
- Zasady poufności – sposób ochrony tożsamości sygnalisty i danych zawartych w zgłoszeniu.
Compliance to proces, nie dokument. Samo opracowanie polityki nie zamyka obowiązku – firma musi zapewnić jej rzeczywiste stosowanie. W praktyce oznacza to wyznaczenie konkretnej osoby lub komórki organizacyjnej odpowiedzialnej za obsługę zgłoszeń, a nie tylko wskazanie adresu e-mail w dokumencie.
Dla inwestora zagranicznego wchodzącego na rynek polski – na przykład funduszu private equity przejmującego polską spółkę produkcyjną – polityka sygnalistów staje się elementem due diligence. Brak wdrożonej procedury obniża wycenę lub generuje warunek zawieszający w umowie nabycia udziałów. Powiązanie z rejestrem CRBR jest tu dodatkowym elementem – nabywca weryfikuje, czy spółka target wypełnia obowiązki compliance, w tym rejestrację beneficjentów rzeczywistych.
Jakie błędy najczęściej wykrywamy podczas audytów compliance?
Najczęstszy błąd to mylenie kanału zgłoszeń z polityką ochrony sygnalistów. Kanał to narzędzie techniczne – adres e-mail lub platforma. Polityka to dokument regulujący całą procedurę. Firma, która uruchomiła skrzynkę e-mail, ale nie opracowała dokumentu polityki, nie spełnia wymogu z art. 8 ustawy o sygnalistach. To niezgodność, która w razie kontroli PIP generuje odpowiedzialność wykroczeniową.
Drugi błąd – brak konsultacji z pracownikami. Ustawa wymaga uzgodnienia lub konsultacji projektu polityki ze związkiem zawodowym lub przedstawicielami pracowników. Pominięcie tego etapu oznacza, że dokument nie został prawidłowo przyjęty, nawet jeśli jego treść jest merytorycznie poprawna. W spółce handlowej z Mazowsza wiosną 2025 r. kontrola PIP zakwestionowała właśnie ten element – polityka istniała, ale bez śladu konsultacji.
Trzeci błąd dotyczy zakresu podmiotowego zgłaszających. Wiele polityk ogranicza ochronę wyłącznie do pracowników zatrudnionych na umowę o pracę. Tymczasem ustawa obejmuje znacznie szerszy krąg: zleceniobiorców, stażystów, wolontariuszy, a nawet byłych pracowników, jeśli zgłoszenie dotyczy naruszeń z okresu zatrudnienia. Wąskie zdefiniowanie zakresu podmiotowego to luka, która wyłącza ochronę tam, gdzie ustawa jej wymaga.
Czwarty błąd – brak procedury obsługi zgłoszeń anonimowych. Ustawa nie nakazuje przyjmowania zgłoszeń anonimowych, ale jeśli pracodawca zdecyduje się je przyjmować – a większość tak robi – musi to wyraźnie uregulować w polityce. Brak regulacji przy faktycznym przyjmowaniu anonimów tworzy próżnię prawną i ryzyko zarzutu nierównego traktowania zgłaszających. Kwestia ta ma też wymiar AML – w sektorze finansowym anonimowe zgłoszenia mogą krzyżować się z obowiązkami raportowania prania pieniędzy.
Jeśli Państwa firma planuje przeprowadzenie audytu wewnętrznego, pomocna może być też analiza procedur dochodzenia roszczeń – zagadnienie to omawia nasze opracowanie dotyczące wykonania wyroku arbitrażowego w Polsce, gdzie poruszamy kwestię egzekwowania decyzji w złożonych strukturach korporacyjnych.
Piąty błąd – brak cyklicznego przeglądu dokumentu. Polityka uchwalona w 2024 r. może wymagać aktualizacji już w 2026 r., jeśli zmienią się przepisy lub struktura organizacyjna firmy. Rekomendujemy przegląd co 24 miesiące lub każdorazowo przy istotnych zmianach zatrudnienia, struktury grupy lub zakresu działalności regulowanej.
Lista kontrolna – co przygotować przed wdrożeniem polityki:
- Weryfikacja liczby zatrudnionych na dzień 1 stycznia lub 1 lipca;
- Ustalenie, czy spółka należy do sektora finansowego lub AML;
- Projekt dokumentu polityki z obowiązkowymi elementami z art. 8 ustawy;
- Dokumentacja konsultacji ze związkiem zawodowym lub przedstawicielami pracowników;
- Wybór i uruchomienie kanału technicznego (platforma, e-mail, infolinia).
Konkretna sytuacja Państwa firmy może wymagać weryfikacji, czy dotychczasowe wdrożenie jest wystarczające. Brak prawidłowej polityki zamyka drogę do skutecznej obrony w razie zarzutu działań odwetowych – a odpowiedzialność karna w tym zakresie jest nieodwracalna.
Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i nie przeprowadziła jeszcze audytu zgodności polityki sygnalistów z ustawą – przeprowadzimy przegląd dokumentacji, identyfikację luk oraz opracowanie rekomendacji: info@kordeckipartners.com.
Często zadawane pytania
P: Czy firma zatrudniająca 48 pracowników musi wdrożyć politykę ochrony sygnalistów?
O: Próg 50 pracowników jest twardy – podmiot zatrudniający 48 osób nie ma ustawowego obowiązku wdrożenia wewnętrznego kanału zgłoszeń. Wyjątek dotyczy podmiotów z sektora finansowego, AML oraz objętych szczególnymi regulacjami branżowymi – tam obowiązek istnieje niezależnie od liczby zatrudnionych. Zalecamy jednak dobrowolne wdrożenie polityki już przy 30–40 pracownikach, ponieważ zatrudnienie fluktuuje, a próg liczy się na określony dzień roku.
P: Ile kosztuje wdrożenie polityki ochrony sygnalistów i jak długo trwa?
O: Koszty wdrożenia zależą od modelu kanału zgłoszeń. Rozwiązanie oparte na dedykowanej platformie zewnętrznej kosztuje od kilku do kilkunastu tysięcy złotych rocznie. Opracowanie samego dokumentu polityki przez kancelarię prawną to zazwyczaj koszt od 3 000 do 8 000 złotych, zależnie od złożoności struktury organizacyjnej. Cały proces – od projektu dokumentu do uruchomienia kanału – zajmuje od 4 do 8 tygodni, przy założeniu sprawnego przeprowadzenia konsultacji pracowniczych.
P: Czy polityka ochrony sygnalistów musi być powiązana z polityką ESG lub CSRD?
O: Ustawa o sygnalistach i obowiązki wynikające z CSRD (Dyrektywy UE 2022/2464) to odrębne reżimy prawne, ale w praktyce są ze sobą powiązane. Spółki objęte raportowaniem zrównoważonego rozwoju powinny ujawniać informacje o systemie zarządzania zgłoszeniami naruszeń jako element ładu korporacyjnego (governance). Brak spójności między polityką sygnalistów a raportem ESG może zostać zakwestionowana przez audytora zewnętrznego jako luka w systemie zarządzania ryzykiem.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.