Polityka ochrony sygnalistów – jak napisać zgodnie

Firma produkcyjna z Wielkopolski zatrudnia 120 pracowników. Zarząd wie, że ustawa o sygnalistach obowiązuje od 25 września 2024 roku. Mimo to polityka ochrony sygnalistów nadal nie istnieje – bo nikt nie wie, od czego zacząć. Tymczasem każdy dzień bez wdrożonego kanału zgłoszeń to ryzyko kary do PLN 1 080 000 i odpowiedzialność karna osób zarządzających.

Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek ustanowienia wewnętrznego kanału zgłoszeń. Podstawę prawną stanowi artykuł 8 ustawy o sygnalistach. Termin wdrożenia upłynął 25 września 2024 roku – brak zgodności oznacza dziś naruszenie trwające w czasie.

Ten przewodnik przeprowadza Państwa przez cały proces: od oceny obowiązku, przez projekt polityki, aż po wdrożenie i utrzymanie systemu. Omówimy trzy scenariusze biznesowe, typowe błędy oraz koszty. Polityka ochrony sygnalistów nie musi być dokumentem trudnym – musi być dokumentem skutecznym.

Kogo obejmuje obowiązek i co grozi za jego brak?

Obowiązek dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników. Liczba ta obejmuje pracowników w rozumieniu Kodeksu pracy, ale ustawa rozciąga ochronę szerzej – na osoby świadczące pracę na podstawie umów cywilnoprawnych, stażystów i wolontariuszy. W praktyce wiele firm o tym zapomina i liczy wyłącznie etaty.

Artykuł 54 ustawy o sygnalistach przewiduje surowe sankcje. Za brak wewnętrznego kanału zgłoszeń lub za działania odwetowe wobec sygnalisty grozi grzywna do PLN 1 080 000. Co więcej, osoby fizyczne odpowiedzialne za wdrożenie – w tym członkowie zarządu i dyrektorzy HR – mogą ponieść odpowiedzialność karną do 3 lat pozbawienia wolności. To odpowiedzialność osobista, której nie przejmie ubezpieczenie D&O.

Warto pamiętać o trzech kategoriach podmiotów szczególnie narażonych:

spółki z grupy kapitałowej, gdzie każda spółka córka zatrudniająca 50+ osób musi mieć własną politykę,
podmioty objęte regulacjami AML (instytucje obowiązane), dla których wymogi nakładają się z przepisami ustawy o przeciwdziałaniu praniu pieniędzy,
firmy raportujące zgodnie z CSRD Poland – brak polityki sygnalistów obniża ocenę w obszarze governance i ESG reporting.

Dla spółek zależnych zagranicznych inwestorów sytuacja jest złożona. Szwajcarski holding może mieć własną globalną politykę whistleblower compliance. Polska spółka córka i tak musi posiadać odrębny dokument spełniający wymogi ustawy. Kwestię dostosowania globalnych programów compliance do polskich realiów omawiamy szerzej w osobnym materiale dotyczącym szwajcarskich spółek zależnych.

Obowiązek nie dotyczy pracodawców z sektora publicznego inaczej niż prywatnych – jednostki samorządu terytorialnego poniżej 10 000 mieszkańców mogą korzystać ze wspólnego kanału. To wyjątek, który nie ma zastosowania w środowisku korporacyjnym.

Jak zbudować politykę krok po kroku?

Politykę ochrony sygnalistów należy traktować jako proces, nie dokument. Składa się z pięciu etapów: oceny obowiązku, projektowania kanału, opracowania procedury, konsultacji z przedstawicielami pracowników i wdrożenia. Każdy etap ma swój termin i swoje pułapki. Cały cykl – od decyzji o wdrożeniu do uruchomienia systemu – zajmuje od 4 do 10 tygodni.

Etap 1: Ocena obowiązku. Policz pracowników według stanu na dzień wdrożenia. Uwzględnij umowy cywilnoprawne wykonywane regularnie. Sprawdź, czy spółka należy do grupy kapitałowej i czy możliwe jest korzystanie ze wspólnego kanału grupowego – ustawa dopuszcza takie rozwiązanie dla grup, ale wymaga spełnienia dodatkowych warunków.

Etap 2: Wybór kanału zgłoszeń. Kanał musi zapewniać poufność tożsamości sygnalisty. Możliwe rozwiązania to: dedykowana skrzynka e-mail z ograniczonym dostępem, zewnętrzna platforma cyfrowa, infolinia telefoniczna lub wyznaczona osoba (compliance officer). Kanał e-mail jest najtańszy – ale tylko wtedy, gdy dostęp do skrzynki jest faktycznie ograniczony do jednej osoby.

Etap 3: Treść polityki. Dokument musi zawierać co najmniej:

opis procedury przyjmowania i weryfikacji zgłoszeń,
termin potwierdzenia przyjęcia zgłoszenia (7 dni) i termin udzielenia informacji zwrotnej (3 miesiące),
zakres naruszeń objętych ochroną,
opis środków ochrony sygnalisty przed działaniami odwetowymi,
informację o możliwości zgłoszenia zewnętrznego do Rzecznika Praw Obywatelskich.

Etap 4: Konsultacje z pracownikami. Projekt polityki należy skonsultować z zakładową organizacją związkową lub – gdy jej brak – z przedstawicielami pracowników wybranymi ad hoc. Konsultacje trwają minimum 5 dni. Pominięcie tego etapu to jeden z najczęstszych błędów.

Etap 5: Wdrożenie i komunikacja. Politykę należy udostępnić wszystkim pracownikom w sposób umożliwiający zapoznanie się z jej treścią. Samo zamieszczenie w intranecie nie wystarczy – potrzebne jest potwierdzenie odbioru lub szkolenie.

Jakie błędy najczęściej popełniają pracodawcy?

Compliance to proces, nie dokument. Największe ryzyko nie leży w braku polityki – leży w polityce pozornej, która istnieje na papierze, ale nie działa w praktyce. Inspekcja pracy i Rzecznik Praw Obywatelskich coraz częściej weryfikują faktyczne funkcjonowanie kanałów, nie tylko ich formalne istnienie.

Błąd pierwszy: zbyt wąski zakres naruszeń. Ustawa wymaga, by kanał obejmował naruszenia prawa unijnego w określonych dziedzinach – zamówienia publiczne, usługi finansowe, AML, ochrona środowiska, bezpieczeństwo produktów. Wiele firm ogranicza politykę wyłącznie do naruszeń wewnętrznych regulaminów. To za mało.

Błąd drugi: brak realnej poufności. Skrzynka e-mail dostępna dla całego działu HR nie spełnia wymogu poufności. Tożsamość sygnalisty musi być chroniona od chwili przyjęcia zgłoszenia. Naruszenie poufności – nawet nieumyślne – może stanowić działanie odwetowe w rozumieniu ustawy.

Błąd trzeci: brak terminów. Polityka bez konkretnych terminów (7 dni na potwierdzenie, 3 miesiące na informację zwrotną) nie spełnia wymogów ustawowych. Terminy muszą być wpisane w procedurę i faktycznie przestrzegane.

Firma IT z Mazowsza wdrożyła w lecie 2024 roku platformę do zgłoszeń, ale zapomniano o konsultacjach pracowniczych. Polityka musiała zostać cofnięta do etapu konsultacji, co opóźniło wdrożenie o kolejne 6 tygodni. Koszt naprawy – w tym zewnętrznego doradztwa compliance lawyer Warsaw – był trzykrotnie wyższy niż prawidłowe wdrożenie od początku.

Dla spółek czeskich działających w Polsce przez spółki zależne nakładają się dodatkowe wymogi grup kapitałowych. Specyfikę programów compliance dla czeskich spółek zależnych opisujemy w dedykowanym opracowaniu.

Trzy scenariusze biznesowe – ile to kosztuje i ile trwa?

Koszt wdrożenia polityki zależy od trzech czynników: wielkości organizacji, wybranego kanału zgłoszeń i poziomu zewnętrznego wsparcia prawnego. Poniżej trzy typowe scenariusze z szacunkowymi kosztami i harmonogramem.

Scenariusz A: Producent z Małopolski, 80 pracowników. Firma nie ma działu prawnego. Decyduje się na zewnętrzną platformę cyfrową do zgłoszeń (koszt abonamentu: PLN 300–600 miesięcznie) i zleca kancelarii opracowanie polityki (jednorazowo PLN 3 000–6 000). Czas wdrożenia: 6 tygodni. Łączny koszt pierwszego roku: PLN 6 600–13 200. To mniej niż 1% potencjalnej grzywny.

Scenariusz B: Spółka IT z Mazowsza, 200 pracowników, spółka zależna zagranicznego holdingu. Holding posiada globalną politykę whistleblower compliance. Polska spółka musi dostosować ją do wymogów ustawy i przeprowadzić konsultacje pracownicze. Koszt adaptacji dokumentu: PLN 4 000–8 000. Czas wdrożenia: 8 tygodni (z uwagi na konieczność akceptacji centralnej). Dodatkowe ryzyko: niezgodność globalnej polityki z polskimi terminami ustawowymi.

Scenariusz C: Instytucja finansowa z Warszawy, 350 pracowników, objęta AML i ESG reporting. Wymogi nakładają się: ustawa o sygnalistach, przepisy AML, CSRD Poland i wymogi CRBR w zakresie przejrzystości struktury właścicielskiej. Polityka musi być zintegrowana z programem compliance. Koszt: PLN 12 000–25 000 za kompleksowe wdrożenie. Czas: 10–14 tygodni. Oszczędność na ryzyku regulacyjnym: nieporównywalna.

Uważamy, że bezpieczniejszym rozwiązaniem dla podmiotów objętych wieloma reżimami regulacyjnymi jest opracowanie zintegrowanej polityki compliance, a nie zestawu odrębnych dokumentów. Spójność procedur ogranicza ryzyko luk i sprzeczności. Warto przy tym pamiętać, że KSeF i cyfryzacja procesów biznesowych wpływają także na archiwizację dokumentacji compliance – więcej o cyfrowej transformacji procesów w polskich firmach piszemy w materiale o KSeF.

Co przygotować przed wdrożeniem – lista kontrolna

Przed przystąpieniem do pisania polityki należy zebrać dane wejściowe. Brak któregokolwiek elementu wydłuży proces lub wymusi późniejszą korektę dokumentu. Poniższa lista obejmuje minimum, które każda firma powinna mieć gotowe przed pierwszym spotkaniem projektowym.

Aktualna lista zatrudnionych z podziałem na rodzaj umowy (etat, zlecenie, dzieło, stażysta).
Informacja o strukturze grupy kapitałowej i ewentualnym istnieniu grupowego kanału zgłoszeń.
Wykaz obowiązujących regulaminów wewnętrznych i polityk compliance (w tym AML, RODO, kodeks etyki).
Dane kontaktowe przedstawicieli pracowników lub zakładowej organizacji związkowej do konsultacji.
Decyzja o wyborze kanału zgłoszeń: wewnętrzny (e-mail, osoba wyznaczona) czy zewnętrzna platforma.

Firma deweloperska z Pomorza, zatrudniająca 65 osób, w jesieni 2024 roku ukończyła wdrożenie w 4 tygodnie – dokładnie dlatego, że przyszła do kancelarii z kompletną listą. Oszczędność czasu przełożyła się bezpośrednio na niższy rachunek za usługi prawne.

Konkretna sytuacja Państwa firmy wymaga oceny, które elementy polityki są już spełnione, a które wymagają uzupełnienia. Brak działającego kanału zgłoszeń to naruszenie trwające każdego dnia – nieodwracalne w tym sensie, że odpowiedzialność karna i administracyjna nalicza się od daty upływu terminu wdrożenia, nie od daty kontroli.

Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i nie posiada jeszcze polityki ochrony sygnalistów zgodnej z ustawą – przeprowadzimy audyt dokumentacji, opracujemy projekt polityki i poprowadzimy konsultacje pracownicze: info@kordeckipartners.com.

Często zadawane pytania

P: Czy spółka zatrudniająca 45 pracowników musi wdrożyć politykę sygnalistów?

O: Formalnie obowiązek ustawowy dotyczy pracodawców zatrudniających co najmniej 50 osób. Jednak przy liczeniu należy uwzględnić nie tylko pracowników na etacie, ale również osoby świadczące pracę na podstawie umów cywilnoprawnych wykonywanych regularnie. Firma zatrudniająca 45 pracowników etatowych i 10 stałych zleceniobiorców może już przekroczyć próg 50 osób. Rekomendujemy weryfikację stanu zatrudnienia z pomocą prawnika przed podjęciem decyzji o zaniechaniu wdrożenia.

P: Czy globalna polityka grupy kapitałowej zastępuje polską politykę wewnętrzną?

O: Nie zastępuje. Ustawa wymaga, by polska spółka zależna posiadała własny kanał zgłoszeń spełniający wymogi krajowe – w tym polskie terminy procesowe (7 dni na potwierdzenie przyjęcia zgłoszenia, 3 miesiące na informację zwrotną) i możliwość zgłoszenia w języku polskim. Globalna polityka może stanowić punkt wyjścia do adaptacji, ale nie może jej zastąpić bez dostosowania do przepisów ustawy z 14 czerwca 2024 roku. Wyjątkiem jest sytuacja, gdy spółka matka prowadzi wspólny kanał dla grupy i spełnia wszystkie polskie wymogi proceduralne.

P: Ile czasu zajmuje wdrożenie polityki sygnalistów i ile to kosztuje?

O: Standardowe wdrożenie trwa od 4 do 10 tygodni, w zależności od wielkości organizacji i złożoności struktury. Kluczowym elementem wydłużającym proces są obowiązkowe konsultacje z przedstawicielami pracowników, które muszą trwać minimum 5 dni. Koszt zewnętrznego wsparcia prawnego wynosi od PLN 3 000 do PLN 25 000 w zależności od zakresu. Dla porównania: minimalna grzywna administracyjna za brak wdrożenia może wielokrotnie przekroczyć koszt prawidłowego przygotowania dokumentacji.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.