Polityka ochrony sygnalistów – jak napisać zgodnie

Na papierze procedura wygląda prosto. Firma zatrudnia ponad 50 pracowników, więc musi mieć kanał zgłoszeń i politykę ochrony sygnalistów. W praktyce – wiele firm o tym zapomina – dokument ten musi spełniać kilkanaście konkretnych wymogów ustawowych, a jego brak lub wadliwa treść grozi karą do PLN 1 080 000 oraz odpowiedzialnością karną osoby zarządzającej.

Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów, która weszła w życie 25 września 2024 roku, nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek ustanowienia wewnętrznego kanału zgłoszeń i przyjęcia pisemnej polityki ochrony sygnalistów. Obowiązek wynika wprost z artykułu 8 tej ustawy. Brak zgodnej z prawem polityki oznacza naruszenie, które KAS, PIP lub organ ścigania mogą potwierdzić w trakcie kontroli.

Ten przewodnik prowadzi Państwa przez cały proces krok po kroku. Omawia strukturę dokumentu, terminy konsultacji z pracownikami, typowe błędy oraz trzy scenariusze biznesowe z praktyki kancelarii. Na końcu znajdą Państwo listę kontrolną i odpowiedzi na najczęstsze pytania klientów.

Kogo dotyczy obowiązek i jakie są progi zatrudnienia?

Ustawa o ochronie sygnalistów obejmuje pracodawców z sektora prywatnego i publicznego. Próg 50 pracowników decyduje o obowiązku wdrożenia wewnętrznego kanału zgłoszeń. Poniżej tego progu kanał jest dobrowolny, ale polityka i tak może chronić pracodawcę przed zarzutem działania w złej wierze wobec osoby zgłaszającej.

Próg oblicza się na podstawie liczby osób zatrudnionych – nie tylko na podstawie umów o pracę. Zleceniobiorcy, osoby świadczące usługi na podstawie umów B2B oraz pracownicy tymczasowi mogą wliczać się do tego progu, jeśli faktycznie świadczą pracę na rzecz podmiotu. Warto więc dokładnie zmapować strukturę zatrudnienia przed podjęciem decyzji o zakresie wdrożenia.

Podmioty z sektora finansowego, objęte wymogami AML, mają obowiązek wdrożenia kanału niezależnie od liczby pracowników. Obowiązki AML wynikają z odrębnych przepisów – szerzej opisujemy je w naszym przewodniku dotyczącym AML compliance dla polskich spółek. Podobnie podmioty raportujące według standardów CSRD Poland muszą uwzględnić kanał zgłoszeń jako element systemu zarządzania ryzykiem ESG reporting.

Grupy kapitałowe mogą – pod pewnymi warunkami – wdrożyć wspólną politykę dla kilku spółek. Wymaga to jednak spełnienia przesłanek ustawowych dotyczących dostępności kanału i niezależności osoby przyjmującej zgłoszenia. Compliance lawyer Warsaw obsługujący struktury holdingowe często rekomenduje odrębne polityki dla spółek zależnych, jeśli różnią się profilem ryzyka.

Jak napisać politykę ochrony sygnalistów krok po kroku?

Polityka ochrony sygnalistów to dokument wewnętrzny określający sposób działania kanału zgłoszeń, zakres przedmiotowy zgłoszeń, procedurę ich rozpatrywania oraz zasady ochrony sygnalisty. Artykuł 8 ustawy o sygnalistach wskazuje minimalne elementy, które polityka musi zawierać. Brakujący choćby jeden z nich czyni dokument niezgodnym z ustawą.

Struktura zgodnej z prawem polityki obejmuje co najmniej pięć bloków tematycznych:

Zakres podmiotowy – kto może zgłaszać (pracownicy, zleceniobiorcy, współpracownicy B2B, byli pracownicy)
Zakres przedmiotowy – jakie naruszenia podlegają zgłoszeniu (prawo pracy, prawo podatkowe, ochrona środowiska, AML, RODO)
Kanał zgłoszeń – forma, adres, osoba upoważniona do przyjmowania zgłoszeń
Procedura rozpatrywania – termin potwierdzenia przyjęcia (7 dni), termin informacji zwrotnej (3 miesiące)
Zakaz działań odwetowych – definicja, zakaz, środki ochrony

Przed uchwaleniem polityki pracodawca musi przeprowadzić konsultacje z przedstawicielami pracowników lub zakładową organizacją związkową. Konsultacje trwają co najmniej 5 dni. Dopiero po ich zakończeniu politykę można ogłosić – i wchodzi ona w życie po upływie kolejnych 7 dni od ogłoszenia. Łącznie minimalny czas procesu wdrożeniowego wynosi co najmniej 12 dni roboczych.

Dokument powinien być sporządzony w języku zrozumiałym dla pracowników. Jeśli firma zatrudnia cudzoziemców, warto rozważyć tłumaczenie. Polityka musi być dostępna w formie, która umożliwia zapoznanie się z nią w dowolnym momencie – najczęściej w intranecie lub jako załącznik do regulaminu pracy.

Jakie błędy popełniają pracodawcy przy wdrożeniu?

Najczęstszy błąd to kopiowanie wzoru z internetu bez dostosowania do specyfiki firmy. Wzorcowa polityka może zawierać zakres przedmiotowy nieadekwatny do branży lub wskazywać na narzędzie zgłoszeń, którego firma w ogóle nie wdrożyła. Organ kontrolny – Państwowa Inspekcja Pracy – ocenia nie tylko treść dokumentu, ale i jego faktyczne stosowanie.

Firma produkcyjna z Dolnego Śląska wdrożyła w październiku 2024 roku politykę, która przewidywała kanał e-mailowy. Adres e-mail wskazany w dokumencie nie istniał. Pierwsza próba zgłoszenia przez pracownika zakończyła się komunikatem o niedostarczeniu wiadomości. Pracodawca musiał pilnie aneksować politykę i przeprowadzić ponowne konsultacje – co opóźniło pełne wdrożenie o kolejne 3 tygodnie.

Drugi typowy błąd dotyczy braku procedury rozpatrywania zgłoszeń anonimowych. Ustawa nie nakłada obowiązku przyjmowania zgłoszeń anonimowych, ale jeśli pracodawca zdecyduje się je przyjmować – a wielu tak robi dla zwiększenia skuteczności systemu – polityka musi to wyraźnie opisywać. Niespójność między treścią polityki a faktycznym działaniem systemu to sygnał ostrzegawczy dla audytorów ESG reporting i CSRD Poland.

Trzeci błąd – brak rejestru zgłoszeń. Artykuł 8 ustawy o sygnalistach wymaga prowadzenia rejestru. Rejestr musi zawierać datę zgłoszenia, przedmiot naruszenia, podjęte działania następcze i datę ich zakończenia. Brak rejestru lub rejestr niekompletny uniemożliwia wykazanie zgodności w trakcie kontroli.

Spółka technologiczna z Trójmiasta wdrożyła narzędzie SaaS do obsługi zgłoszeń wiosną 2025 roku. Narzędzie generowało automatyczny rejestr, ale dane przechowywano na serwerach poza EOG. To naruszenie RODO – dane sygnalistów podlegają szczególnej ochronie jako dane dotyczące naruszeń prawa. Konieczna była migracja danych i zawarcie nowych umów powierzenia przetwarzania.

Jeśli Państwa spółka wdrożyła politykę przed końcem 2024 roku, warto przeprowadzić przegląd zgodności. Wiele dokumentów opierało się na projektach ustawy, które różniły się od ostatecznej wersji. Szczegółowe podejście do projektowania programów compliance opisujemy w przewodniku dotyczącym compliance dla spółek zależnych w Polsce.

Trzy scenariusze biznesowe – producent, IT i inwestor zagraniczny

Whistleblower compliance wygląda inaczej w zależności od struktury organizacyjnej i branży. Poniżej trzy scenariusze, które ilustrują praktyczne różnice przy wdrożeniu polityki ochrony sygnalistów.

Scenariusz 1 – firma produkcyjna. Producent z Małopolski zatrudnia 180 osób na trzech zmianach. Znaczna część pracowników nie korzysta na co dzień z poczty elektronicznej. Kanał e-mailowy jest tu niewystarczający. Polityka powinna przewidywać co najmniej dwa kanały – elektroniczny i telefoniczny lub skrzynkę fizyczną. Osoba upoważniona do przyjmowania zgłoszeń powinna być dostępna w godzinach pracy każdej zmiany lub zgłoszenia powinny być odbierane przez zewnętrznego dostawcę. Koszt wdrożenia zewnętrznego kanału to zazwyczaj od 3 000 do 8 000 PLN rocznie.

Scenariusz 2 – spółka IT. Spółka programistyczna zatrudnia 70 osób, w tym 20 obcokrajowców. Politykę należy przetłumaczyć na język angielski. Zakres przedmiotowy zgłoszeń powinien obejmować naruszenia praw własności intelektualnej i ochrony danych osobowych – kluczowe ryzyka w branży technologicznej. Wdrożenie platformy SaaS z szyfrowaniem end-to-end spełnia wymogi ustawy pod warunkiem lokalizacji danych w EOG. Narzędzia do zarządzania IP Box i compliance technologiczny omawia nasz zespół w kontekście spółek IT.

Scenariusz 3 – inwestor zagraniczny. Dla niemieckiego inwestora wchodzącego na rynek polski kluczowe jest zrozumienie, że polska ustawa o sygnalistach wdraża dyrektywę UE 2019/1937, ale zawiera elementy wykraczające poza jej minimalny standard. Polska ustawa chroni szerszą kategorię osób zgłaszających i rozszerza zakres przedmiotowy o naruszenia prawa pracy. Inwestor, który wdrożył już politykę zgodną z dyrektywą w Niemczech, musi dostosować ją do polskich wymogów – w szczególności w zakresie konsultacji z pracownikami i prowadzenia rejestru zgłoszeń. Szczegóły dotyczące restrukturyzacji transgranicznej i pre-pack sale opisujemy w osobnym przewodniku dotyczącym procedury i harmonogramu w Polsce.

Lista kontrolna i kolejne kroki – co przygotować?

Zgodność z ustawą o ochronie sygnalistów to nie jednorazowe działanie, lecz proces wymagający regularnego przeglądu. Whistleblower protection policy powinna być aktualizowana co najmniej raz w roku lub każdorazowo po zmianie struktury organizacyjnej, profilu ryzyka lub przepisów prawa. Compliance to proces, nie dokument.

Przed przekazaniem polityki do konsultacji z pracownikami sprawdź, czy spółka ma gotowe:

Analizę progu zatrudnienia z uwzględnieniem wszystkich form współpracy
Wyznaczoną osobę lub podmiot zewnętrzny do przyjmowania zgłoszeń
Działający kanał zgłoszeń (adres e-mail, platforma, telefon) przetestowany przed ogłoszeniem polityki
Wzór rejestru zgłoszeń zgodny z wymogami RODO i ustawy o sygnalistach
Procedurę wewnętrznego dochodzenia po zgłoszeniu

Podmioty objęte CSRD Poland powinny dodatkowo zintegrować kanał zgłoszeń z systemem zarządzania ryzykiem ESG reporting. Dyrektywa CSRD (Dyrektywa UE 2022/2464) wymaga ujawnienia informacji o mechanizmach umożliwiających pracownikom i interesariuszom zgłaszanie naruszeń. Brak spójności między polityką a raportem ESG to ryzyko reputacyjne i prawne jednocześnie.

Podmioty zobowiązane do rejestracji w CRBR – Centralnym Rejestrze Beneficjentów Rzeczywistych – powinny upewnić się, że polityka obejmuje zakresem przedmiotowym zgłoszeń naruszenia przepisów o AML i przejrzystości struktury właścicielskiej. To obszar, w którym organy kontrolne wykazują rosnącą aktywność od 2025 roku.

Artykuł 54 ustawy o sygnalistach przewiduje karę grzywny do PLN 1 080 000 i do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty. To odpowiedzialność osobista – nie tylko spółki, ale i osoby, która podjęła decyzję o działaniu odwetowym. Nieodwracalna szkoda dla sygnalisty może skutkować roszczeniami odszkodowawczymi, które zamykają drogę do polubownego rozwiązania sporu.

Uważamy, że bezpieczniejszym rozwiązaniem jest powierzenie prowadzenia kanału zewnętrznemu podmiotowi – kancelarii prawnej lub wyspecjalizowanemu dostawcy. Niezależność osoby przyjmującej zgłoszenia zwiększa zaufanie pracowników i eliminuje ryzyko konfliktu interesów przy zgłoszeniach dotyczących kadry kierowniczej.

Konkretna sytuacja Państwa firmy może wymagać weryfikacji istniejącej polityki, wdrożenia nowego kanału lub przeszkolenia osób upoważnionych. Każda z tych ścieżek ma inny harmonogram i koszt – a opóźnienie w każdej z nich niesie nieodwracalne konsekwencje w przypadku kontroli lub pierwszego rzeczywistego zgłoszenia.

Jeśli Państwa spółka zatrudnia co najmniej 50 osób i nie ma jeszcze zgodnej z ustawą polityki ochrony sygnalistów – przeprowadzimy audyt dokumentów, wdrożymy kanał zgłoszeń i przygotujemy politykę gotową do konsultacji z pracownikami: info@kordeckipartners.com.

Często zadawane pytania

P: Czy firma zatrudniająca 45 osób musi mieć politykę ochrony sygnalistów?

O: Obowiązek ustanowienia wewnętrznego kanału zgłoszeń dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Firma zatrudniająca 45 osób nie ma ustawowego obowiązku, ale wdrożenie dobrowolnej polityki jest rekomendowane – szczególnie jeśli firma planuje wzrost zatrudnienia lub działa w sektorze regulowanym przez przepisy AML. Warto pamiętać, że do progu mogą wliczać się osoby zatrudnione na podstawie umów cywilnoprawnych.

P: Ile kosztuje i jak długo trwa wdrożenie polityki ochrony sygnalistów?

O: Minimalny czas wdrożenia to około 12 dni roboczych – 5 dni konsultacji z pracownikami i 7 dni vacatio legis polityki. W praktyce, uwzględniając czas na przygotowanie dokumentu, wybór kanału i szkolenie osób upoważnionych, realistyczny harmonogram to 4 do 6 tygodni. Koszt zewnętrznej obsługi kanału zgłoszeń wynosi od 3 000 do 10 000 PLN rocznie w zależności od liczby pracowników i zakresu usługi.

P: Czy polityka musi obejmować zgłoszenia anonimowe?

O: Ustawa o ochronie sygnalistów nie nakłada obowiązku przyjmowania zgłoszeń anonimowych. Pracodawca może zdecydować, że kanał obsługuje wyłącznie zgłoszenia imienne. Jeśli jednak polityka deklaruje przyjmowanie zgłoszeń anonimowych, kanał musi to technicznie umożliwiać. Powszechnym błędem jest wskazanie w polityce możliwości anonimowego zgłoszenia przez e-mail – co jest sprzeczne z naturą tej formy komunikacji, bo adres e-mail identyfikuje nadawcę.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.