Na papierze procedura wygląda prosto. W praktyce – wiele firm o tym zapomina – polityka ochrony sygnalistów to dokument, który musi spełniać konkretne wymogi ustawowe, a nie tylko brzmieć poprawnie. Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów weszła w życie 25 września 2024 r. i objęła wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Brak wdrożenia oznacza odpowiedzialność karną – do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty.

Ustawa o ochronie sygnalistów nakłada na pracodawców obowiązek stworzenia wewnętrznego kanału zgłoszeń oraz polityki ochrony sygnalistów. Obowiązek wynika bezpośrednio z artykułu 8 ustawy. Kary za retaliację wobec sygnalisty sięgają do PLN 1 080 000 grzywny i do 3 lat pozbawienia wolności zgodnie z artykułem 54 ustawy.

Poniżej omawiamy: co zmieniła ustawa, kogo dotyczy i jakie elementy musi zawierać polityka, żeby była zgodna z prawem – nie tylko formalnie, ale też skutecznie.

Co zmieniła ustawa o sygnalistach i kogo dotyczy?

Ustawa implementuje dyrektywę UE 2019/1937 i wprowadza w Polsce system ochrony osób zgłaszających naruszenia prawa. Obowiązek stworzenia wewnętrznego kanału zgłoszeń spoczywa na pracodawcach z sektora prywatnego i publicznego. Próg 50 pracowników jest kluczowy – poniżej niego ustawa nie nakłada obowiązku wewnętrznego kanału, choć ochrona sygnalisty nadal obowiązuje.

Kogo konkretnie dotyczy? Przede wszystkim spółek z o.o. i spółek akcyjnych zatrudniających 50 lub więcej osób. Dotyczy też oddziałów zagranicznych przedsiębiorców działających w Polsce. W praktyce – wiele firm z grupy kapitałowej musi wdrożyć kanał na poziomie każdej polskiej spółki osobno, nawet jeśli polityka grupowa już istnieje. KRS i CRBR nie zwalniają z tego obowiązku.

Ustawa objęła też podmioty z sektora finansowego niezależnie od liczby pracowników. Instytucje obowiązane w rozumieniu przepisów AML muszą wdrożyć kanał zgłoszeń bez względu na próg zatrudnienia. To ważna różnica, o której wiele firm dowiaduje się dopiero podczas audytu compliance.

Warto pamiętać, że ustawa działa równolegle z CSRD – dyrektywą UE 2022/2464 o raportowaniu ESG. Polityka ochrony sygnalistów staje się jednym z elementów weryfikowanych w ramach ESG reporting. Brak tej polityki może wpłynąć na ocenę w zakresie ładu korporacyjnego (governance) w raportach CSRD Poland.

Jakie elementy musi zawierać polityka ochrony sygnalistów?

Polityka ochrony sygnalistów to nie tylko deklaracja wartości. Musi zawierać konkretne procedury, terminy i wskazanie odpowiedzialnych osób. Artykuł 8 ustawy o sygnalistach określa minimalne wymogi dla wewnętrznego kanału zgłoszeń – polityka musi je odzwierciedlać wprost.

Minimalne elementy zgodnej z ustawą polityki to:

  • Wskazanie podmiotu przyjmującego zgłoszenia (osoba, dział lub zewnętrzny dostawca) wraz z danymi kontaktowymi.
  • Opis procedury przyjmowania zgłoszeń – kanały (pisemny, ustny, elektroniczny) i termin potwierdzenia przyjęcia zgłoszenia (7 dni).
  • Termin na podjęcie działań następczych – maksymalnie 3 miesiące od potwierdzenia przyjęcia zgłoszenia.
  • Zasady ochrony poufności tożsamości sygnalisty i osób trzecich wymienionych w zgłoszeniu.
  • Zakaz działań odwetowych oraz opis środków ochrony sygnalisty zgodnych z ustawą.

Firma produkcyjna z Dolnego Śląska wdrożyła politykę w październiku 2024 r. – ale pominęła obowiązek konsultacji z przedstawicielami pracowników przed jej przyjęciem. Ustawa wymaga przeprowadzenia takich konsultacji. Dokument musiał zostać cofnięty i ponownie uzgodniony, co opóźniło wdrożenie o kolejne 6 tygodni.

Polityka musi też wskazywać, jakie naruszenia można zgłaszać. Ustawa wymienia katalog dziedzin: prawo zamówień publicznych, ochrona środowiska, bezpieczeństwo produktów, ochrona danych osobowych (RODO), AML, prawo podatkowe. Pracodawca może rozszerzyć ten katalog – ale nie może go zawęzić. Whistleblower compliance oznacza tu pełne pokrycie ustawowego zakresu.

Osobnym zagadnieniem jest powiązanie z CRBR – rejestrem beneficjentów rzeczywistych. Zgłoszenia dotyczące naruszeń obowiązków rejestracyjnych lub ukrywania beneficjentów rzeczywistych mieszczą się w zakresie ustawy. Polityka powinna to wyraźnie wskazywać, szczególnie w spółkach z rozbudowaną strukturą właścicielską.

Spółka technologiczna z Trójmiasta wdrożyła kanał elektroniczny jesienią 2024 r., ale nie zapewniła możliwości zgłoszenia ustnego na żądanie sygnalisty. Ustawa wymaga tej opcji wprost. Compliance lawyer Warsaw przeprowadzający audyt wskazał brak jako istotną lukę – wymagającą natychmiastowej korekty.

Co zrobić teraz – lista działań z terminami

Konkretna sytuacja Państwa firmy wymaga oceny, czy obecna dokumentacja spełnia wymogi ustawy. Brak zgodnej polityki to ryzyko nieodwracalne – sankcje karne nie podlegają „naprawieniu po fakcie", a pierwsze kontrole Państwowej Inspekcji Pracy w tym zakresie już trwają. Każdy miesiąc zwłoki zwiększa ekspozycję na odpowiedzialność osobistą członków zarządu.

Działania do podjęcia natychmiast:

  • Sprawdź stan zatrudnienia – próg 50 pracowników liczy się według stanu na dzień wejścia w życie ustawy (25 września 2024 r.).
  • Oceń istniejącą dokumentację – czy polityka grupowa spełnia wymogi polskiej ustawy? Często nie spełnia.
  • Przeprowadź konsultacje z przedstawicielami pracowników – bez tego kroku polityka jest wadliwa proceduralnie.
  • Wdróż kanał zgłoszeń z zachowaniem terminów ustawowych (7 dni na potwierdzenie, 3 miesiące na działania następcze).
  • Przeszkol osoby odpowiedzialne za przyjmowanie zgłoszeń – ustawa wymaga zapewnienia im odpowiednich zasobów.

Jeśli Państwa spółka zatrudnia 50 lub więcej pracowników i nie wdrożyła jeszcze zgodnej polityki ochrony sygnalistów – przeprowadzimy audyt dokumentacji, przygotujemy projekt polityki i przeprowadzimy konsultacje pracownicze: info@kordeckipartners.com.

Więcej o budowaniu programów compliance dla podmiotów działających w Polsce przeczytają Państwo w naszym materiale o projektowaniu programów compliance dla spółek zależnych w Polsce. Zagadnienia ESG due diligence w łańcuchach dostaw, w tym wymogi dotyczące sygnalistów w relacjach z dostawcami, omawiamy w analizie ESG due diligence w łańcuchach dostaw – perspektywa polska. Kwestie restrukturyzacyjne, które mogą towarzyszyć wdrożeniu compliance w firmach w trudnej sytuacji finansowej, opisujemy w materiale o postępowaniu o zatwierdzenie układu.

Często zadawane pytania

P: Czy polityka ochrony sygnalistów musi być oddzielnym dokumentem, czy może być częścią regulaminu pracy?

O: Ustawa nie wymaga, żeby polityka była odrębnym dokumentem. Może stanowić część regulaminu pracy lub innego wewnętrznego aktu normatywnego. Musi jednak zawierać wszystkie elementy wskazane w artykule 8 ustawy o ochronie sygnalistów. W praktyce rekomendujemy odrębny dokument – łatwiej go aktualizować i konsultować z pracownikami bez zmiany całego regulaminu.

P: Czy firma zatrudniająca 45 pracowników jest całkowicie zwolniona z obowiązków ustawy?

O: Nie całkowicie. Obowiązek stworzenia wewnętrznego kanału zgłoszeń nie dotyczy pracodawców poniżej progu 50 pracowników – z wyjątkiem podmiotów sektora finansowego i instytucji obowiązanych w rozumieniu przepisów AML. Jednak ochrona sygnalisty przed działaniami odwetowymi obowiązuje niezależnie od wielkości firmy. Pracodawca poniżej progu nadal nie może stosować retaliacji wobec osoby, która zgłosiła naruszenie.

P: Ile kosztuje wdrożenie kanału zgłoszeń i jak długo trwa cały proces?

O: Czas wdrożenia zależy od stopnia skomplikowania struktury organizacyjnej. W typowej spółce z o.o. zatrudniającej 50–200 pracowników proces – od audytu przez projekt dokumentów po konsultacje pracownicze – zajmuje od 4 do 8 tygodni. Koszt zewnętrznego narzędzia do przyjmowania zgłoszeń to zazwyczaj kilkaset złotych miesięcznie. Koszt obsługi prawnej wdrożenia jest uzależniony od zakresu – warto jednak porównać go z potencjalną grzywną do PLN 1 080 000.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.