Kanał sygnalistów – przewodnik wdrożeniowy

Firma produkcyjna z Mazowsza zatrudniająca 180 osób dostaje anonimowe zgłoszenie e-mailem. Pracownik opisuje nieprawidłowości finansowe w dziale zakupów. Pracodawca nie ma wdrożonego kanału sygnalistów. Nie wie, kto ma przyjąć zgłoszenie, jak je zarejestrować ani jak chronić tożsamość osoby zgłaszającej. Tymczasem ustawa z 14 czerwca 2024 r. o ochronie sygnalistów obowiązuje od 25 września 2024 r. i dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników.

Ustawa o ochronie sygnalistów nakłada na pracodawców zatrudniających 50 lub więcej osób obowiązek ustanowienia wewnętrznego kanału zgłoszeń – zgodnie z artykułem 8 ustawy o sygnalistach. Naruszenie tego obowiązku grozi karą grzywny do 1 080 000 PLN oraz do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty. Termin wdrożenia minął 25 września 2024 roku.

Ten przewodnik prowadzi przez kolejne etapy wdrożenia: od oceny obowiązku przez zaprojektowanie procedury, po typowe błędy i scenariusze transgraniczne. Omówione zostają instrumenty dostępne w polskim prawie, pułapki praktyczne oraz lista kontrolna dla działu HR i zarządu.

Kogo dotyczy obowiązek i co mówi ustawa o sygnalistach?

Obowiązek wdrożenia wewnętrznego kanału zgłoszeń spoczywa na każdym pracodawcy zatrudniającym co najmniej 50 pracowników. Dotyczy to zarówno spółek kapitałowych, jak i spółek osobowych, fundacji, stowarzyszeń oraz jednostek sektora publicznego. Próg 50 pracowników liczy się według stanu na dzień 1 stycznia lub 1 lipca danego roku. Pracodawcy z sektora finansowego, bankowego oraz podmiotom regulowanym przez Komisję Nadzoru Finansowego (KNF) obowiązek dotyczy niezależnie od liczby zatrudnionych.

Artykuł 8 ustawy o sygnalistach zobowiązuje pracodawcę do ustanowienia wewnętrznego kanału zgłoszeń, przyjęcia procedury zgłoszeń wewnętrznych i jej konsultacji z zakładową organizacją związkową lub – przy jej braku – z przedstawicielami pracowników. Procedura musi określać co najmniej: sposób przyjmowania zgłoszeń, podmiot przyjmujący, termin potwierdzenia przyjęcia (7 dni), termin przekazania informacji zwrotnej (3 miesiące) oraz zasady ochrony danych osobowych.

Ustawa obejmuje zgłoszenia dotyczące naruszeń prawa w szerokim zakresie. Chodzi o prawo pracy, prawo podatkowe, prawo ochrony środowiska, prawo zamówień publicznych, prawo konkurencji, ochronę konsumentów oraz przepisy rynków finansowych. W praktyce – wiele firm o tym zapomina – zakres przedmiotowy ustawy jest szerszy niż wynikałoby to z jej nazwy. Ochroną objęty jest nie tylko pracownik etatowy, lecz także zleceniobiorca, praktykant, wolontariusz i były pracownik.

Pracodawcy podlegają też kontroli Państwowej Inspekcji Pracy (PIP), która weryfikuje, czy procedura została wdrożona i skonsultowana. Brak wdrożenia stanowi wykroczenie zagrożone grzywną. Działania odwetowe wobec sygnalisty to już przestępstwo z art. 54 ustawy – kara do 3 lat pozbawienia wolności.

Jak zaprojektować skuteczny kanał zgłoszeń wewnętrznych?

Skuteczny kanał zgłoszeń to nie formularz PDF wrzucony na intranet. To system, który daje sygnaliście realną ochronę, a pracodawcy – strukturę do obsługi zgłoszenia od wpłynięcia do zamknięcia. Trzy elementy decydują o tym, czy kanał działa: dostępność, poufność i niezależność osoby przyjmującej zgłoszenia.

Kanał może mieć formę elektroniczną (dedykowana platforma, zaszyfrowany formularz), telefoniczną (infolinia z nagrywaniem lub bez), pocztową lub osobistą. Ustawa nie narzuca konkretnej technologii. Wymaga natomiast, aby kanał był dostępny, bezpieczny i zapewniał poufność tożsamości sygnalisty. W praktyce rekomendujemy co najmniej dwie formy – elektroniczną i pisemną – tak aby pracownicy z różnymi preferencjami mogli skorzystać z ochrony.

Osoba lub jednostka przyjmująca zgłoszenia musi być niezależna od linii biznesowej, której dotyczy potencjalne naruszenie. Może to być wyznaczony pracownik działu compliance, zewnętrzny adwokat lub radca prawny, albo specjalistyczna firma. Kancelaria zewnętrzna jako administrator kanału daje dodatkową warstwę ochrony prawnej – komunikacja objęta jest tajemnicą zawodową, a pracownicy często chętniej zgłaszają nieprawidłowości podmiotowi zewnętrznemu niż własnemu działowi HR.

Procedura zgłoszeń wewnętrznych musi zostać skonsultowana ze związkami zawodowymi lub przedstawicielami pracowników. Konsultacje trwają co najmniej 5 dni. Po konsultacjach pracodawca wydaje procedurę i podaje ją do wiadomości pracowników – najpóźniej 7 dni przed dniem jej wejścia w życie. Ten wymóg jest często pomijany, a PIP traktuje go jako samodzielną podstawę do nałożenia grzywny.

Warto też pamiętać o grupach pracodawców. Podmioty powiązane kapitałowo mogą wdrożyć jeden wspólny kanał dla całej grupy – pod warunkiem, że każdy z podmiotów zatrudniający powyżej progu spełni wymogi formalne samodzielnie. Takie rozwiązanie obniża koszty operacyjne, ale wymaga starannego mapowania przepływu danych między spółkami w kontekście RODO.

Lista kontrolna – co przygotować przed uruchomieniem kanału:

Ocena progu zatrudnienia (50 pracowników na dzień 1 stycznia lub 1 lipca)
Wybór formy kanału (elektroniczna, telefoniczna, pocztowa) i wyznaczenie podmiotu przyjmującego
Opracowanie projektu procedury zgłoszeń wewnętrznych i przeprowadzenie konsultacji (min. 5 dni)
Ocena skutków dla ochrony danych (DPIA) i aktualizacja rejestru czynności przetwarzania RODO
Przeszkolenie osób przyjmujących zgłoszenia oraz kadry zarządzającej

Konkretna sytuacja Państwa firmy – liczba podmiotów w grupie, forma zatrudnienia pracowników, branża regulowana – wymaga indywidualnej oceny przed uruchomieniem kanału. Błąd na etapie projektowania procedury może być nieodwracalny: zgłoszenie złożone do wadliwego kanału może nie korzystać z ochrony ustawowej, a pracodawca naraża się na zarzut braku wdrożenia.

Jeśli Państwa spółka zatrudnia powyżej 50 osób i nie ma jeszcze wdrożonej procedury zgłoszeń wewnętrznych – przeprowadzimy audyt, opracujemy dokumentację i poprowadzi Państwa przez konsultacje z pracownikami: info@kordeckipartners.com.

Jakie są najczęstsze błędy przy wdrożeniu kanału sygnalistów?

Błąd nr 1 to mylenie kanału z procedurą. Kanał to techniczna forma przyjmowania zgłoszeń. Procedura to dokument opisujący cały proces – od wpłynięcia zgłoszenia, przez jego rejestrację, weryfikację, działania następcze, aż po informację zwrotną dla sygnalisty. Firmy uruchamiają formularz online i uważają, że spełniły obowiązek. Tymczasem bez procedury kanał nie ma podstawy prawnej.

Błąd nr 2 to brak konsultacji lub przeprowadzenie ich pro forma. Pracodawca wysyła projekt procedury do związków zawodowych i następnego dnia wydaje ją jako obowiązującą. Ustawa wymaga co najmniej 5 dni na konsultacje. PIP weryfikuje daty. Procedura wydana z naruszeniem tego wymogu może zostać zakwestionowana.

Błąd nr 3 to wyznaczenie do obsługi kanału osoby zależnej służbowo od potencjalnego sprawcy naruszenia. Pracownik zgłasza nieprawidłowości dotyczące dyrektora finansowego. Kanał obsługuje asystent zarządu podległy bezpośrednio temu dyrektorowi. Ustawa wymaga niezależności. Brak niezależności to nie tylko ryzyko prawne – to sygnał dla pracowników, że kanał jest pozorny.

Błąd nr 4 dotyczy ochrony danych. Platforma do obsługi zgłoszeń przetwarza dane osobowe sygnalisty, osoby, której dotyczy zgłoszenie, oraz świadków. Pracodawca musi przeprowadzić ocenę skutków dla ochrony danych (DPIA) i zaktualizować rejestr czynności przetwarzania. Urząd Ochrony Danych Osobowych (UODO) traktuje wdrożenie kanału jako nową czynność przetwarzania wymagającą odrębnej podstawy prawnej.

Błąd nr 5 to brak szkolenia. Osoby przyjmujące zgłoszenia muszą wiedzieć, jak postępować z informacją poufną, kiedy eskalować sprawę do zarządu lub organów zewnętrznych, i jak dokumentować podjęte działania. Brak dokumentacji działań następczych uniemożliwia pracodawcy wykazanie, że podjął odpowiednie kroki – co ma znaczenie w ewentualnym postępowaniu przed sądem pracy lub organem regulacyjnym.

Spółka IT z Krakowa, zatrudniająca 120 osób, wdrożyła kanał zgłoszeń wiosną 2025 r. bez DPIA i bez konsultacji ze związkiem zawodowym. Trzy miesiące później UODO wszczął kontrolę po skardze pracownika. Pracodawca musiał przeprowadzić pełen proces naprawczy – w tym ponowne konsultacje i aktualizację dokumentacji RODO – generując koszty wielokrotnie wyższe niż koszt prawidłowego wdrożenia od początku.

Czy kanał sygnalistów dotyczy pracodawców zagranicznych działających w Polsce?

Tak – i to bez wyjątków. Każdy podmiot prowadzący działalność w Polsce i zatrudniający co najmniej 50 pracowników podlega polskiej ustawie o sygnalistach. Dotyczy to oddziałów zagranicznych spółek, spółek-córek grup kapitałowych z siedzibą poza Polską oraz przedstawicielstw. Prawo miejsca siedziby spółki dominującej nie zwalnia z obowiązku wdrożenia kanału w Polsce.

Dla grup międzynarodowych pojawia się dodatkowe wyzwanie: harmonizacja kanałów w różnych jurysdykcjach. Dyrektywa o sygnalistach (Dyrektywa 2019/937/UE) została wdrożona w każdym państwie członkowskim UE, ale szczegóły implementacji różnią się. Termin odpowiedzi dla sygnalisty, zakres podmiotowy ochrony, forma kanału – wszystko to może być regulowane odmiennie w Polsce, Niemczech i Francji. Centralny kanał grupowy musi spełniać najwyższe standardy każdej z jurysdykcji, w których działa grupa.

Pracodawcy z Wielkiej Brytanii prowadzący działalność w Polsce po Brexicie podlegają polskim przepisom w pełnym zakresie. Szczegółowe omówienie obowiązków pracodawców z UK na polskim rynku znajdą Państwo w naszym opracowaniu: employment law compliance for United Kingdom companies in Poland.

Dodatkową warstwę komplikacji stanowi zatrudnienie pracowników delegowanych. Pracownik delegowany do Polski z innego państwa UE podlega polskiemu prawu pracy w zakresie warunków zatrudnienia – w tym przepisom o sygnalistach. Pracodawca delegujący musi zapewnić pracownikowi dostęp do kanału zgłoszeń obowiązującego w Polsce. Kwestie certyfikatów A1 i delegowania szczegółowo omawiamy w artykule o pracownikach delegowanych z Cypru do Polski.

Podmioty z sektora finansowego regulowanego przez KNF – banki, towarzystwa ubezpieczeniowe, firmy inwestycyjne – podlegają dodatkowym wymogom wynikającym z rozporządzenia DORA (Rozporządzenie UE 2022/2554, obowiązujące od 17 stycznia 2025 r.). Kanał sygnalistów musi być spójny z wymogami zarządzania ryzykiem ICT. Więcej o DORA w kontekście polskich podmiotów: DORA ICT risk management framework for Polish entities.

Dla pracodawców zatrudniających pracowników z Ukrainy lub krajów WNP – co jest częstą sytuacją w Polsce po 2022 r. – kanał zgłoszeń musi być dostępny w języku zrozumiałym dla pracownika. Ustawa nie wymaga tłumaczenia procedury na języki obce, ale wymóg faktycznej dostępności kanału może oznaczać konieczność zapewnienia obsługi wielojęzycznej. Pracodawca zatrudniający 80 pracowników z Ukrainy i prowadzący kanał wyłącznie po polsku naraża się na zarzut pozorności kanału.

Jak wygląda obsługa zgłoszenia od wpłynięcia do zamknięcia?

Zgłoszenie wpływa do kanału. Od tego momentu biegną ustawowe terminy. Pracodawca ma 7 dni na potwierdzenie przyjęcia zgłoszenia sygnaliście. Następnie ma 3 miesiące na przekazanie informacji zwrotnej o podjętych lub planowanych działaniach następczych. Oba terminy są bezwzględne – ich przekroczenie narusza ustawę, nawet jeśli postępowanie wyjaśniające jest w toku.

Procedura obsługi zgłoszenia powinna przewidywać co najmniej pięć etapów. Pierwszy to rejestracja i wstępna ocena – czy zgłoszenie mieści się w zakresie ustawy, czy jest anonimowe, jakie informacje zawiera. Drugi to ocena zasadności – zebranie informacji, rozmowy z osobami wskazanymi w zgłoszeniu (z zachowaniem poufności tożsamości sygnalisty). Trzeci to decyzja o działaniach następczych – wewnętrzne postępowanie dyscyplinarne, przekazanie sprawy do organów zewnętrznych (prokuratura, KAS, UOKiK), lub zamknięcie z uzasadnieniem braku naruszenia. Czwarty to informacja zwrotna dla sygnalisty. Piąty to archiwizacja dokumentacji przez 5 lat.

Szczególną uwagę należy zwrócić na ochronę tożsamości sygnalisty podczas etapu wyjaśniającego. Rozmowy z potencjalnym sprawcą naruszenia nie mogą ujawniać źródła informacji. Jeśli naruszenie dotyczy małego zespołu, a sygnalista jest jedyną osobą, która mogła wiedzieć o danej sprawie – de facto ujawniamy jego tożsamość przez samo wszczęcie postępowania. Dobra procedura przewiduje mechanizmy minimalizacji ryzyka deidentyfikacji.

Spółka handlowa z Trójmiasta latem 2024 r. otrzymała zgłoszenie dotyczące mobbingu w dziale sprzedaży. Osoba przyjmująca zgłoszenie poinformowała bezpośredniego przełożonego podejrzewanego o wszczęciu postępowania wyjaśniającego – ujawniając tym samym krąg możliwych sygnalistów. Sygnalista złożył skargę do PIP. Postępowanie zakończyło się mandatem dla pracodawcy i roszczeniem odszkodowawczym ze strony pracownika.

Dokumentacja każdego etapu jest niezbędna. Pracodawca, który nie może wykazać, że podjął działania następcze, nie może skutecznie bronić się przed zarzutem zaniechania. Rejestr zgłoszeń prowadzony przez 5 lat jest obowiązkiem ustawowym – nie zaleceniem.

Konkretna struktura procesu obsługi zgłoszeń w Państwa firmie zależy od jej wielkości, branży i struktury organizacyjnej. Błędy proceduralne na etapie obsługi zgłoszenia mogą mieć nieodwracalne konsekwencje – zarówno dla pracodawcy, jak i dla osoby zgłaszającej.

Jeśli Państwa spółka wdrożyła kanał, ale nie ma pewności co do prawidłowości procedury obsługi zgłoszeń – przeprowadzimy przegląd dokumentacji, ocenimy luki i zaproponujemy korekty: info@kordeckipartners.com.

Często zadawane pytania

P: Czy pracodawca zatrudniający 45 pracowników musi wdrożyć kanał sygnalistów?

O: Obowiązek wdrożenia wewnętrznego kanału zgłoszeń dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Pracodawca z 45 pracownikami nie jest objęty tym obowiązkiem – chyba że działa w sektorze finansowym lub jest podmiotem regulowanym przez Komisję Nadzoru Finansowego, gdzie próg zatrudnienia nie ma znaczenia. Warto jednak pamiętać, że dobrowolne wdrożenie kanału przez mniejszego pracodawcę jest dopuszczalne i może stanowić element polityki compliance.

P: Ile kosztuje wdrożenie kanału sygnalistów i jak długo to trwa?

O: Koszt zależy od wybranego modelu. Wdrożenie oparte na dedykowanej platformie technologicznej to wydatek od kilku do kilkunastu tysięcy złotych rocznie za licencję, plus koszt przygotowania dokumentacji prawnej i przeprowadzenia konsultacji. Wdrożenie z obsługą kanału przez zewnętrzną kancelarię prawną jest droższe, ale zapewnia wyższy poziom poufności i niezależności. Cały proces – od audytu przez opracowanie procedury, konsultacje i szkolenie – zajmuje od 4 do 8 tygodni przy sprawnej współpracy stron.

P: Czy anonimowe zgłoszenia muszą być rozpatrywane przez pracodawcę?

O: To częste nieporozumienie. Ustawa o ochronie sygnalistów nie zobowiązuje pracodawcy do przyjmowania zgłoszeń anonimowych – procedura zgłoszeń wewnętrznych może, ale nie musi, przewidywać taką możliwość. Jeśli jednak pracodawca zdecyduje się przyjmować zgłoszenia anonimowe i tak je przyjmie, powinien je rozpatrzyć. W praktyce rekomendujemy przyjmowanie zgłoszeń anonimowych – ich wykluczenie zmniejsza skuteczność kanału i może być odebrane przez pracowników jako sygnał, że kanał nie zapewnia rzeczywistej ochrony.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa pracy i compliance. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. Prowadzimy Ukrainian Desk, German Desk i CIS Desk. W sprawach dotyczących wdrożenia kanału sygnalistów, procedur zgłoszeń wewnętrznych i zgodności z ustawą o ochronie sygnalistów: info@kordeckipartners.com.