Kanał sygnalistów – przewodnik wdrożeniowy

Firma logistyczna z Mazowsza dowiedziała się o nadużyciach finansowych dopiero z doniesień medialnych. Pracownik, który wiedział o nieprawidłowościach od miesięcy, nie zgłosił ich wewnętrznie – bo nie było gdzie. Efekt: postępowanie prokuratorskie, utrata kontraktu z dużym kontrahentem i rok naprawy reputacji. Kanał sygnalistów mógł to wszystko zatrzymać na etapie wewnętrznym.

Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów weszła w życie 25 września 2024 roku i nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek wdrożenia wewnętrznego kanału zgłoszeń. Podstawę prawną stanowi artykuł 8 ustawy o sygnalistach. Za brak kanału lub za działania odwetowe wobec sygnalisty grożą kary do 1 080 000 PLN oraz do 3 lat pozbawienia wolności – na podstawie artykułu 54 tej samej ustawy. Termin wdrożenia dla podmiotów prywatnych z sektora 50–249 pracowników upłynął 17 grudnia 2023 roku, a dla pozostałych podmiotów – 25 września 2024 roku.

W tym przewodniku wyjaśniamy, kto musi wdrożyć kanał, jak to zrobić krok po kroku, jakie błędy najczęściej popełniają pracodawcy i co powinny wiedzieć firmy z kapitałem zagranicznym lub zatrudniające cudzoziemców. Na końcu znajdą Państwo listę kontrolną gotowości wdrożeniowej.

Kogo dotyczy obowiązek i co grozi za jego pominięcie?

Obowiązek dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników – niezależnie od formy prawnej. Obejmuje spółki kapitałowe, spółki osobowe, fundacje, stowarzyszenia i pracodawców publicznych. Próg 50 pracowników liczy się na dzień 1 stycznia danego roku. Pracodawcy z sektora finansowego – banki, firmy ubezpieczeniowe, podmioty objęte regulacją KNF – podlegają obowiązkowi bez względu na liczbę zatrudnionych.

Sankcje są dwutorowe. Po pierwsze, odpowiedzialność karna: art. 54 ustawy o sygnalistach przewiduje do 3 lat pozbawienia wolności za działania odwetowe oraz do 1 080 000 PLN grzywny za utrudnianie zgłoszeń lub naruszenie poufności. Po drugie, odpowiedzialność cywilna: sygnalista, który doznał szkody wskutek działań odwetowych, może żądać odszkodowania nie niższego niż minimalne wynagrodzenie za pracę. W praktyce – wiele firm o tym zapomina – to pracodawca musi udowodnić, że działanie wobec sygnalisty nie miało charakteru odwetowego. Ciężar dowodu jest odwrócony.

Inspekcja Pracy (PIP) oraz Rzecznik Praw Obywatelskich (RPO) mogą prowadzić kontrole w zakresie przestrzegania ustawy. PIP ma uprawnienia do nakładania mandatów i kierowania spraw do sądu pracy. KAS może badać, czy zgłoszenia dotyczące nieprawidłowości podatkowych są obsługiwane zgodnie z procedurą. Żaden z tych organów nie uprzedza o kontroli z wyprzedzeniem.

Brak wdrożonego kanału to nie tylko ryzyko sankcji. To też utrata pierwszej linii obrony przed eskalacją problemu na zewnątrz. Pracownik bez wewnętrznej ścieżki może skierować zgłoszenie bezpośrednio do organów zewnętrznych – RPO, PIP, KAS, prokuratury – albo upublicznić informacje. Wówczas pracodawca traci kontrolę nad narracją i nad postępowaniem wyjaśniającym.

Jak zbudować kanał zgłoszeń krok po kroku?

Wdrożenie kanału sygnalistów to projekt czterech etapów. Każdy ma konkretny termin i odpowiedzialnego właściciela po stronie pracodawcy. Punktem wyjścia jest analiza organizacji – dopiero potem wybiera się narzędzia.

Etap 1 – Analiza i projekt procedury. Pracodawca określa zakres przedmiotowy zgłoszeń (minimum wymagany ustawą obejmuje naruszenia prawa pracy, prawa podatkowego, przepisów o ochronie środowiska, przepisów antykorupcyjnych i RODO). Można rozszerzyć zakres o naruszenia wewnętrznych polityk. Projekt procedury powinien powstać w ciągu 30 dni od decyzji o wdrożeniu.

Etap 2 – Konsultacje ze związkami zawodowymi lub przedstawicielami pracowników. Ustawa wymaga przeprowadzenia konsultacji przed przyjęciem regulaminu zgłoszeń wewnętrznych. Czas konsultacji: minimum 5 dni. Jeśli w firmie działają związki zawodowe, to ich zgoda lub brak sprzeciwu w terminie 5 dni od przedstawienia projektu jest warunkiem formalnym. Pominięcie tego kroku to jeden z najczęstszych błędów proceduralnych – a inspektor pracy sprawdza go w pierwszej kolejności.

Etap 3 – Wybór narzędzia i wdrożenie techniczne. Kanał może być prowadzony przez dedykowaną platformę IT, skrzynkę e-mail z szyfrowaniem end-to-end, formularz papierowy lub telefoniczny. Każde z tych rozwiązań jest dopuszczalne, o ile zapewnia poufność tożsamości sygnalisty i anonimowość zgłoszeń anonimowych. Dane zgłaszającego mogą być dostępne wyłącznie dla osoby wyznaczonej do obsługi kanału.

Etap 4 – Szkolenie i komunikacja wewnętrzna. Pracownicy muszą wiedzieć o istnieniu kanału, o zakresie zgłoszeń i o ochronie, jaką zapewnia ustawa. Szkolenie wdrożeniowe nie musi trwać długo – wystarczą 2 godziny – ale musi być udokumentowane. Brak dokumentacji szkolenia to ryzyko podczas kontroli PIP.

Jeśli Państwa spółka zatrudnia cudzoziemców na podstawie zezwolenia na pracę lub Blue Card Polska, procedura kanału powinna być dostępna w języku zrozumiałym dla tych pracowników. Ustawa nie wymaga tłumaczenia, ale brak dostępności językowej może de facto uniemożliwiać korzystanie z kanału – co jest sprzeczne z jej celem.

Jakie błędy najczęściej popełniają pracodawcy przy wdrożeniu?

Trzy błędy pojawiają się w niemal każdym audycie wdrożeniowym, który przeprowadzamy. Ich wspólny mianownik to mylenie posiadania procedury z faktycznym wdrożeniem kanału. Prawo pracy wymaga działającego systemu – nie dokumentu w szufladzie.

Błąd 1 – Brak potwierdzenia odbioru zgłoszenia w terminie 7 dni. Ustawa wymaga, by pracodawca potwierdził sygnaliście przyjęcie zgłoszenia w ciągu 7 dni od jego wpłynięcia. Następnie – podjął działania wyjaśniające i poinformował sygnalistę o ich wyniku w terminie 3 miesięcy. Firmy, które wdrożyły kanał jako skrzynkę e-mail bez przypisanego opiekuna, regularnie przekraczają oba terminy.

Błąd 2 – Wadliwa klauzula poufności w regulaminie. Regulamin nie może zawierać postanowień, które faktycznie zniechęcają do zgłaszania lub ograniczają zakres ochrony ustawowej. Kancelaria prawa pracy powinna ocenić każdy projekt regulaminu przed jego przyjęciem – nie po. Zmiana regulaminu po kontroli PIP jest możliwa, ale nie usuwa odpowiedzialności za wcześniejszy okres naruszenia.

Błąd 3 – Brak rozróżnienia między kanałem wewnętrznym a zewnętrznym. Pracodawca odpowiada wyłącznie za kanał wewnętrzny. Ale pracownicy muszą wiedzieć, że mogą skorzystać z kanału zewnętrznego (RPO, PIP, właściwy organ branżowy) bez wcześniejszego zgłoszenia wewnętrznego. Regulaminy, które sugerują obowiązek uprzedniego wyczerpania ścieżki wewnętrznej, są niezgodne z ustawą.

Spółka IT z Małopolski wdrożyła w jesieni 2024 roku platformę do obsługi zgłoszeń sygnalistów. Przez pierwsze trzy miesiące nie wpłynęło ani jedno zgłoszenie. Audyt wykazał, że pracownicy nie wiedzieli o istnieniu kanału – komunikat wewnętrzny trafił tylko do menedżerów. Firma musiała powtórzyć szkolenia i zaktualizować stronę intranetową. Koszt: dodatkowe 15 000 PLN i opóźnienie o 6 tygodni.

Warto też pamiętać o regulacjach sąsiadujących. Obowiązki pracodawcy w zakresie przeciwdziałania mobbingowi (art. 94(3) k.p.) i obowiązki w zakresie kanału sygnalistów są odrębnymi reżimami prawnymi, ale często zgłoszenia dotyczące mobbingu trafiają właśnie przez kanał sygnalistów. Szczegółowe omówienie obowiązków antymobbingowych znajdą Państwo w naszym opracowaniu Mobbing w miejscu pracy – obowiązki pracodawcy.

Jak wdrożenie kanału wygląda w firmach z kapitałem zagranicznym i przy zatrudnieniu cudzoziemców?

Dla zagranicznego inwestora wchodzącego na rynek polski kanał sygnalistów jest często elementem globalnej polityki compliance, którą trzeba dostosować do wymogów polskiej ustawy. Nie wystarczy przetłumaczyć regulaminu grupowego. Polska ustawa ma własne wymogi proceduralne, które mogą różnić się od dyrektywy 2019/1937 implementowanej w innych krajach UE.

Pierwsza różnica dotyczy zakresu podmiotowego. Polska ustawa obejmuje nie tylko pracowników w rozumieniu Kodeksu pracy, ale też osoby świadczące usługi na podstawie umów cywilnoprawnych, stażystów, wolontariuszy i wykonawców. Globalny regulamin oparty wyłącznie na relacji pracowniczej może nie spełniać polskich wymogów.

Druga różnica dotyczy języka. Pracownicy zatrudnieni na podstawie zezwolenia na pracę lub posiadający Blue Card Polska często nie posługują się językiem polskim w stopniu umożliwiającym korzystanie z kanału. Ustawa nie nakłada obowiązku tłumaczenia, ale pracodawca odpowiada za faktyczną dostępność kanału. W praktyce – brak wersji językowej to argument dla sygnalisty, że nie miał realnej możliwości zgłoszenia.

Trzecia kwestia to centralizacja obsługi zgłoszeń. Grupy kapitałowe mogą powierzyć obsługę kanału podmiotowi zewnętrznemu lub innemu podmiotowi z grupy, pod warunkiem zachowania poufności i niezależności. Centralizacja jest dopuszczalna, ale wymaga odrębnej umowy powierzenia i jasnego podziału odpowiedzialności między spółką matką a polskim podmiotem.

Podmioty z sektora finansowego objęte regulacją DORA muszą uwzględnić kanał sygnalistów jako element szerszego systemu zarządzania ryzykiem ICT i compliance. Szczegółowe wymogi DORA dla polskich podmiotów omawiamy w artykule DORA – zarządzanie ryzykiem ICT w polskich podmiotach.

Firma produkcyjna z udziałem kapitału niemieckiego, zatrudniająca w Polsce 180 pracowników – w tym 30 obywateli Ukrainy na zezwoleniach na pracę – wdrożyła w lecie 2024 roku zunifikowany kanał grupowy. Po audycie okazało się, że formularz zgłoszeniowy był dostępny wyłącznie po angielsku i polsku. Wdrożono wersję ukraińską i rosyjską, aktualizując jednocześnie regulamin o postanowienia dotyczące zgłoszeń anonimowych.

Lista kontrolna gotowości wdrożeniowej – co przygotować?

Przed formalnym przyjęciem regulaminu zgłoszeń wewnętrznych pracodawca powinien zweryfikować pięć elementów. Każdy z nich może być przedmiotem kontroli PIP lub RPO.

Regulamin zgłoszeń wewnętrznych – przyjęty po konsultacjach ze związkami zawodowymi lub przedstawicielami pracowników, zawierający zakres przedmiotowy, procedurę obsługi i terminy (7 dni na potwierdzenie odbioru, 3 miesiące na informację zwrotną).
Wyznaczona osoba lub jednostka do obsługi zgłoszeń – z jasno określonymi uprawnieniami, zakazem ujawniania tożsamości sygnalisty i obowiązkiem dokumentowania działań wyjaśniających.
Narzędzie techniczne lub organizacyjne – zapewniające poufność i możliwość składania zgłoszeń anonimowych; przetestowane przed uruchomieniem.
Dokumentacja szkoleń – lista obecności lub potwierdzenia e-learningowe dla wszystkich pracowników objętych obowiązkiem informacyjnym.
Polityka ochrony danych osobowych sygnalisty – zgodna z RODO, określająca czas retencji danych zgłoszenia (minimum 3 lata po zakończeniu postępowania wyjaśniającego).

Jeśli Państwa firma zatrudnia pracowników tymczasowych lub korzysta z outsourcingu, sprawdźcie, czy umowy z agencjami pracy i dostawcami usług zawierają postanowienia dotyczące kanału sygnalistów. Brak takich klauzul może oznaczać lukę w systemie ochrony.

Pracodawcy, którzy wdrożyli kanał przed 25 września 2024 roku na podstawie wcześniejszych regulacji wewnętrznych, powinni dokonać przeglądu zgodności z aktualną ustawą. Zmiany mogą dotyczyć zakresu przedmiotowego, procedury konsultacji i wymogów dotyczących anonimowości. Przegląd zgodności zajmuje zazwyczaj od 5 do 10 dni roboczych.

Konkretna sytuacja Państwa firmy – liczba zatrudnionych, struktura grupy kapitałowej, branża – determinuje zakres i formę wdrożenia. Pominięcie jednego elementu listy kontrolnej może oznaczać nieważność całej procedury w rozumieniu ustawy. To ryzyko nieodwracalne w momencie kontroli.

Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i nie wdrożyła jeszcze kanału zgłoszeń zgodnego z ustawą z 14 czerwca 2024 roku – przeprowadzimy audyt zgodności, przygotujemy regulamin i poprowadzi Państwa przez konsultacje ze związkami zawodowymi: info@kordeckipartners.com.

Często zadawane pytania

P: Czy pracodawca zatrudniający 45 pracowników musi wdrożyć kanał sygnalistów?

O: Nie – próg ustawowy wynosi 50 pracowników. Pracodawca zatrudniający 45 osób nie ma obowiązku ustawowego, ale może wdrożyć kanał dobrowolnie. Warto jednak pamiętać, że podmioty z sektora finansowego podlegają obowiązkowi niezależnie od liczby zatrudnionych, na podstawie odrębnych przepisów sektorowych. Przy zatrudnieniu zbliżonym do progu warto monitorować stan zatrudnienia na dzień 1 stycznia każdego roku.

P: Ile kosztuje wdrożenie kanału sygnalistów?

O: Koszty zależą od wybranego narzędzia i stopnia złożoności organizacji. Proste rozwiązanie oparte na szyfrowanej skrzynce e-mail i regulaminie przygotowanym przez kancelarię prawa pracy to wydatek rzędu 5 000–10 000 PLN jednorazowo. Platformy SaaS dedykowane obsłudze zgłoszeń sygnalistów kosztują od 200 do 1 500 PLN miesięcznie, w zależności od liczby użytkowników i funkcjonalności. Do tego należy doliczyć koszt szkoleń pracowniczych – zazwyczaj od 2 000 do 5 000 PLN. Brak wdrożenia kosztuje wielokrotnie więcej.

P: Czy pracownik może zgłosić naruszenie bezpośrednio do organów zewnętrznych, z pominięciem kanału wewnętrznego?

O: Tak. Ustawa o ochronie sygnalistów nie wymaga od pracownika uprzedniego skorzystania z kanału wewnętrznego. Sygnalista może od razu zgłosić naruszenie do Rzecznika Praw Obywatelskich, Państwowej Inspekcji Pracy, Krajowej Administracji Skarbowej lub innego właściwego organu. Regulaminy wewnętrzne, które sugerują obowiązek wyczerpania ścieżki wewnętrznej przed zgłoszeniem zewnętrznym, są niezgodne z ustawą i mogą być kwalifikowane jako utrudnianie zgłoszeń.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa pracy i compliance, w tym wdrożeń kanałów sygnalistów, procedur antymobbingowych i globalnej mobilności pracowników. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.