Firma handlowa z Mazowsza zatrudnia 60 osób. Pracownik działu finansowego zauważa nieprawidłowości w rozliczeniach z kontrahentem. Chce zgłosić problem – ale nie wie, komu, w jaki sposób i czy w ogóle mu coś grozi. Pracodawca nie ma żadnej procedury. To właśnie taki brak naraża spółkę na karę do PLN 1 080 000 i odpowiedzialność karną zarządu.
Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Obowiązek ten wynika z artykułu 8 ustawy i obowiązuje od 25 września 2024 roku. Brak zgodnej z ustawą polityki ochrony sygnalistów grozi karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3 za działania odwetowe.
Ten przewodnik przeprowadza przez cały proces krok po kroku – od diagnozy obowiązku, przez budowę kanału zgłoszeń, aż po najczęstsze błędy i scenariusze dla różnych typów firm. Struktura jest prosta: najpierw ustalisz, czy Twoja firma musi wdrożyć politykę, potem dowiesz się, co dokładnie musi zawierać, a na końcu znajdziesz gotową listę kontrolną.
Czy Twoja firma musi wdrożyć politykę ochrony sygnalistów?
Próg 50 pracowników to punkt wyjścia, ale liczy się go inaczej, niż wiele firm zakłada. Ustawa obejmuje osoby zatrudnione na podstawie umowy o pracę, ale także – co istotne – zleceniobiorców i osoby świadczące usługi na zasadach B2B, jeśli praca jest wykonywana pod kierownictwem pracodawcy. Warto sprawdzić strukturę zatrudnienia przed 25 września 2024 roku, bo KAS i inne organy nadzoru mogą weryfikować ten próg retrospektywnie.
Obowiązek dotyczy pracodawców z sektora prywatnego i publicznego. Podmioty z sektora finansowego, objęte przepisami AML, miały obowiązek wcześniej – niezależnie od liczby zatrudnionych. Jeśli firma przetwarza dane osobowe w zakresie wymagającym audytu RODO lub figuruje w rejestrze CRBR jako podmiot zobowiązany, polityka sygnalistów jest niemal zawsze wymagana równolegle.
Trzy scenariusze, które najczęściej pojawiają się w praktyce:
- Producent z Małopolski zatrudniający 55 osób – obowiązek pełny od 25 września 2024 r.
- Startup IT z Warszawy, 30 pracowników i 25 kontraktorów B2B – wymaga analizy, czy kontraktorzy są wliczani do progu.
- Oddział zagranicznego inwestora z Niemiec – obowiązek wynika zarówno z ustawy polskiej, jak i z dyrektywy unijnej implementowanej w kraju siedziby.
Jeśli firma przekroczyła próg choćby raz w ciągu ostatnich 12 miesięcy, bezpieczniej jest wdrożyć politykę. Brak wdrożenia to ryzyko nieodwracalne – organ nadzorczy nie ma obowiązku ostrzegać przed pierwszą kontrolą.
Co musi zawierać polityka ochrony sygnalistów zgodna z ustawą?
Artykuł 8 ustawy o sygnalistach określa minimalne elementy wewnętrznego kanału zgłoszeń. Polityka musi regulować: sposób przyjmowania zgłoszeń, zasady potwierdzania przyjęcia zgłoszenia w terminie 7 dni, procedurę działań następczych oraz ochronę tożsamości sygnalisty. To nie jest katalog fakultatywny – każdy z tych elementów musi być opisany wprost.
W praktyce dokument powinien liczyć od 8 do 15 stron i obejmować co najmniej pięć bloków tematycznych. Pierwszy blok to zakres podmiotowy – kto może zgłaszać (pracownicy, byli pracownicy, kontraktorzy, stażyści). Drugi blok to kanał zgłoszeń – forma pisemna, ustna, elektroniczna lub ich kombinacja. Trzeci blok to procedura rozpatrywania – kto przyjmuje zgłoszenie, w jakim terminie, kto prowadzi postępowanie wyjaśniające.
Czwarty blok dotyczy ochrony danych osobowych. Tu polityka musi być spójna z dokumentacją RODO – rejestr czynności przetwarzania powinien uwzględniać przetwarzanie danych sygnalisty i osób objętych zgłoszeniem. Piąty blok to zakaz działań odwetowych i środki ochrony – ustawa wymaga, by pracodawca wprost zakazał retaliacji i opisał konsekwencje jej stosowania.
Firmy objęte przepisami o przeciwdziałaniu praniu pieniędzy (AML) powinny zadbać o spójność polityki sygnalistów z wewnętrzną procedurą AML. Oba dokumenty dotyczą kanałów zgłaszania nieprawidłowości i nakładają się zakresowo – dublowanie procedur to najczęstszy błąd przy wdrożeniach.
Uważamy, że bezpieczniejszym rozwiązaniem jest jeden zintegrowany dokument polityki compliance, który łączy wymagania ustawy o sygnalistach, RODO i AML – zamiast trzech osobnych dokumentów, które mogą sobie przeczyć.
Termin wewnętrznych konsultacji: przed przyjęciem polityki pracodawca musi skonsultować jej treść ze związkami zawodowymi lub – przy ich braku – z przedstawicielami pracowników wybranymi w trybie przyjętym u pracodawcy. Konsultacje trwają co najmniej 5 dni.
Konkretna sytuacja Państwa firmy wymaga oceny, czy wdrożona dokumentacja rzeczywiście spełnia wymogi ustawy. Brak choćby jednego z elementów obligatoryjnych może oznaczać, że polityka istnieje formalnie, ale nie chroni pracodawcy przed odpowiedzialnością – a to konsekwencja nieodwracalna w przypadku kontroli.
Jeśli Państwa spółka zatrudnia co najmniej 50 osób i nie posiada jeszcze zgodnej z ustawą polityki sygnalistów – przeprowadzimy audyt istniejących dokumentów, opracujemy projekt polityki i przeprowadzimy konsultacje pracownicze: info@kordeckipartners.com.
Jak krok po kroku napisać politykę ochrony sygnalistów?
Wdrożenie polityki to proces, który – przy sprawnej organizacji – można zamknąć w 30 dni roboczych. Harmonogram jest ważny, bo organy nadzoru oceniają nie tylko treść dokumentu, ale też datę jego przyjęcia i ślad dokumentacyjny konsultacji.
Krok 1 – diagnoza obowiązku (dni 1–3): ustal liczbę zatrudnionych, zidentyfikuj osoby objęte zakresem podmiotowym ustawy, sprawdź, czy firma podlega dodatkowym regulacjom sektorowym (AML, DORA, CSRD).
Krok 2 – projekt dokumentu (dni 4–12): opracuj projekt polityki obejmujący wszystkie pięć bloków tematycznych opisanych powyżej. Na tym etapie zdecyduj o formie kanału zgłoszeń – wewnętrzna skrzynka e-mail, dedykowana platforma cyfrowa czy zewnętrzny dostawca usługi.
Krok 3 – konsultacje (dni 13–17): przekaż projekt związkom zawodowym lub przedstawicielom pracowników. Konsultacje muszą trwać co najmniej 5 dni. Udokumentuj ich przebieg – protokół lub potwierdzenie e-mail.
Krok 4 – przyjęcie i wdrożenie (dni 18–22): zarząd zatwierdza ostateczną wersję dokumentu. Polityka wchodzi w życie nie wcześniej niż po 2 tygodniach od przekazania jej pracownikom.
Krok 5 – szkolenie i archiwizacja (dni 23–30): przeprowadź szkolenie dla osób przyjmujących zgłoszenia. Zadbaj o archiwizację zgłoszeń przez wymagany okres – ustawa wskazuje 3 lata po zakończeniu roku, w którym zamknięto postępowanie wyjaśniające.
W praktyce – wiele firm o tym zapomina – termin 2 tygodni między przekazaniem polityki pracownikom a jej wejściem w życie to wymóg ustawowy, a nie dobra praktyka. Jego pominięcie podważa ważność całego wdrożenia.
Jakie błędy najczęściej dyskwalifikują politykę ochrony sygnalistów?
Screening sankcyjny i procedury compliance to obszary, gdzie błędy formalne mają realne konsekwencje prawne. Podobnie jest z polityką sygnalistów – dokument może istnieć, a mimo to nie chronić pracodawcy. Warto zapoznać się z tym, jak wdrażać procesy compliance w polskich przedsiębiorstwach, by uniknąć analogicznych pułapek.
Błąd pierwszy: brak kanału anonimowego. Ustawa nie wymaga bezwzględnie anonimowości, ale polityka powinna regulować, czy anonimowe zgłoszenia są przyjmowane i jak są rozpatrywane. Firmy, które w ogóle pomijają ten punkt, narażają się na zarzut niekompletności procedury.
Błąd drugi: wyznaczenie niewłaściwej osoby przyjmującej zgłoszenia. Osoba ta nie może być bezpośrednio podległa osobie, której dotyczy potencjalne zgłoszenie. W małych firmach to częsty problem strukturalny – rozwiązaniem jest outsourcing tej funkcji do zewnętrznego podmiotu.
Błąd trzeci: brak spójności z dokumentacją RODO. Jeśli polityka sygnalistów przetwarza dane osobowe, a rejestr czynności przetwarzania tego nie odzwierciedla, firma ma lukę compliance. Organy nadzorcze – zarówno Rzecznik Praw Obywatelskich, jak i PUODO – mogą prowadzić kontrole krzyżowe.
Błąd czwarty: pominięcie raportowania ESG. Firmy objęte dyrektywą CSRD muszą ujawnić w raporcie zrównoważonego rozwoju informacje o mechanizmach zgłaszania nieprawidłowości. Polityka sygnalistów, która nie jest skoordynowana z procesem ESG raportowania, tworzy rozbieżność między dokumentacją wewnętrzną a ujawnieniami publicznymi.
Błąd piąty: brak aktualizacji po zmianie struktury zatrudnienia. Firma, która przekroczyła próg 50 pracowników w trakcie roku, powinna wdrożyć politykę w ciągu 3 miesięcy od przekroczenia progu. Wiele firm tego nie monitoruje.
Konkretna sytuacja Państwa firmy – zwłaszcza jeśli struktura zatrudnienia jest złożona lub firma podlega kilku reżimom regulacyjnym jednocześnie – wymaga indywidualnej oceny dokumentacji. Błąd w polityce compliance to konsekwencja nieodwracalna w momencie, gdy organ nadzorczy wszczyna postępowanie.
Jeśli Państwa spółka posiada politykę sygnalistów, ale nie jest pewna jej kompletności – przeprowadzimy przegląd dokumentu, zidentyfikujemy luki i przedstawimy rekomendacje: info@kordeckipartners.com.
Lista kontrolna – co przygotować przed wdrożeniem?
Przed finalnym przyjęciem polityki ochrony sygnalistów warto zweryfikować gotowość organizacyjną. Poniższa lista obejmuje minimum, które powinien sprawdzić każdy pracodawca objęty ustawą.
- Potwierdzenie progu zatrudnienia – lista pracowników i kontraktorów według stanu na dzień wdrożenia, z uwzględnieniem wszystkich form zatrudnienia.
- Wybór formy kanału zgłoszeń – decyzja o kanale wewnętrznym (e-mail, platforma) lub zewnętrznym dostawcy, z dokumentacją wyboru.
- Wyznaczenie osoby lub komórki odpowiedzialnej za przyjmowanie zgłoszeń – z potwierdzeniem braku konfliktu interesów.
- Aktualizacja dokumentacji RODO – rejestr czynności przetwarzania, klauzule informacyjne dla sygnalisty i osoby objętej zgłoszeniem.
- Protokół z konsultacji z przedstawicielami pracowników lub związkami zawodowymi – datowany, podpisany, archiwizowany.
Spółka produkcyjna z Podkarpacia wdrożyła politykę jesienią 2024 roku w ciągu 28 dni roboczych, korzystając z zewnętrznego doradcy. Koszt wdrożenia zamknął się w kwocie kilku tysięcy złotych – znacznie poniżej potencjalnej kary z art. 54 ustawy o sygnalistach, która może sięgać PLN 1 080 000.
Często zadawane pytania
P: Czy firma zatrudniająca 45 pracowników i 10 zleceniobiorców musi wdrożyć politykę sygnalistów?
O: To zależy od charakteru współpracy ze zleceniobiorcami. Jeśli wykonują pracę pod kierownictwem pracodawcy i są ekonomicznie zależni od zleceniodawcy, ustawa może zaliczać ich do progu 50 osób. Uważamy, że w takiej sytuacji bezpieczniej jest przeprowadzić analizę prawną przed podjęciem decyzji o wdrożeniu lub jego zaniechaniu. Brak polityki przy faktycznym przekroczeniu progu to ryzyko odpowiedzialności karnej zarządu – do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.
P: Ile kosztuje wdrożenie polityki ochrony sygnalistów i jak długo trwa?
O: Przy sprawnej organizacji i zewnętrznym wsparciu prawnym wdrożenie trwa od 3 do 6 tygodni. Koszt obsługi prawnej zależy od złożoności struktury firmy i zakresu wymaganych dokumentów – w typowym przypadku dla średniej firmy mieści się w przedziale kilku do kilkunastu tysięcy złotych. Do tego należy doliczyć ewentualne koszty platformy cyfrowej do przyjmowania zgłoszeń, jeśli firma decyduje się na rozwiązanie technologiczne. Ważne: termin wejścia w życie polityki to co najmniej 2 tygodnie po jej przekazaniu pracownikom – tego wymogu nie można skrócić.
P: Czy polityka sygnalistów musi być osobnym dokumentem, czy można ją włączyć do regulaminu pracy?
O: Ustawa nie wymaga, by polityka była odrębnym dokumentem. Można ją włączyć do regulaminu pracy lub innego wewnętrznego aktu normatywnego, pod warunkiem że spełnia wszystkie wymogi formalne artykułu 8 ustawy o sygnalistach. W praktyce – dla firm objętych jednocześnie wymogami RODO, AML i CSRD – zalecamy osobny, zintegrowany dokument polityki compliance. Ułatwia to aktualizacje i zmniejsza ryzyko wewnętrznych sprzeczności między dokumentami.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
O autorze
Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.
Data publikacji: 18.01.2026
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.