Firma zatrudniająca 60 pracowników dostaje w poniedziałek rano wiadomość od anonimowego nadawcy. Treść: podejrzenie korupcji w dziale zakupów. Pracodawca nie ma kanału sygnalistów. Nie ma procedury. Nie wie, co zrobić dalej – ani prawnie, ani technicznie. Tymczasem ustawa o ochronie sygnalistów obowiązuje od 25 września 2024 r. i nakłada konkretne obowiązki na każdego pracodawcę zatrudniającego co najmniej 50 pracowników.
Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów wymaga od pracodawców zatrudniających 50 lub więcej pracowników wdrożenia wewnętrznego kanału zgłoszeń. Obowiązek wynika z artykułu 8 ustawy o sygnalistach. Kary za brak kanału lub za działania odwetowe wobec sygnalisty sięgają do 1 080 000 zł grzywny i do 3 lat pozbawienia wolności.
Ten artykuł wyjaśnia, czego dokładnie wymaga prawo – zarówno pod kątem technicznym, jak i proceduralnym. Omówimy: kto musi wdrożyć kanał, jakie są wymagania techniczne i organizacyjne, gdzie leżą najczęstsze pułapki, oraz jak wygląda to w kontekście międzynarodowym. Na końcu znajdą Państwo listę kontrolną i odpowiedzi na pytania, które słyszymy najczęściej od klientów.
Kto musi wdrożyć kanał sygnalistów i co grozi za brak działania?
Obowiązek wdrożenia wewnętrznego kanału zgłoszeń dotyczy każdego pracodawcy zatrudniającego co najmniej 50 pracowników. Próg liczy się według stanu zatrudnienia na dzień 1 stycznia danego roku. Podstawa prawna to art. 8 ustawy o sygnalistach – przepis nie przewiduje wyjątków branżowych dla podmiotów powyżej progu.
W praktyce obowiązek obejmuje spółki z o.o., spółki akcyjne, spółki komandytowe, a także podmioty sektora publicznego. Warto pamiętać, że przy liczeniu progu 50 pracowników bierze się pod uwagę zarówno umowy o pracę, jak i – w określonych okolicznościach – inne formy zatrudnienia. Prawnicy KAS i Państwowej Inspekcji Pracy już prowadzą pierwsze kontrole w tym zakresie.
Brak kanału to nie tylko ryzyko grzywny. Zgodnie z art. 54 ustawy o sygnalistach, za działania odwetowe wobec sygnalisty grozi kara do 3 lat pozbawienia wolności. Odpowiedzialność karna jest osobista – może dotknąć bezpośrednio członka zarządu lub dyrektora HR. To konsekwencja nieodwracalna. Wyroku skazującego nie da się „cofnąć" późniejszym wdrożeniem systemu.
Poza odpowiedzialnością karną istnieje ryzyko reputacyjne. Sygnalista, który nie ma wewnętrznego kanału, może zgłosić nieprawidłowości bezpośrednio do organów zewnętrznych: Rzecznika Praw Obywatelskich, prokuratury lub organów regulacyjnych. Wówczas pracodawca traci kontrolę nad przebiegiem sprawy. Wdrożony kanał wewnętrzny to przede wszystkim możliwość rozwiązania problemu zanim stanie się publiczny.
Jakie są wymagania techniczne kanału zgłoszeń?
Kanał sygnalistów musi spełniać trzy grupy wymagań technicznych: zapewniać poufność tożsamości zgłaszającego, umożliwiać anonimowe zgłoszenia oraz gwarantować integralność i dostępność danych przez co najmniej 5 lat. To nie są zalecenia – to obowiązki wynikające wprost z ustawy.
Pod kątem technicznym system musi umożliwiać zgłoszenia w co najmniej jednej z form: pisemnej lub ustnej (np. przez infolinię lub spotkanie osobiste). Coraz więcej pracodawców wdraża dedykowane platformy internetowe. Takie rozwiązanie spełnia wymóg pisemności i – jeśli jest odpowiednio skonfigurowane – zapewnia anonimowość. Kluczowe jest szyfrowanie end-to-end oraz brak logowania adresów IP zgłaszających.
Dane zgłoszenia podlegają przepisom RODO (rozporządzenie UE 2016/679). Oznacza to konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA), jeśli przetwarzanie może powodować wysokie ryzyko dla osób, których dane dotyczą. PUODO jest organem nadzorczym właściwym w sprawach naruszeń. Administratorem danych jest pracodawca, a nie zewnętrzny dostawca platformy.
Wdrożenie platformy cyfrowej wymaga też integracji z wewnętrznymi procedurami. System nie może działać w oderwaniu od regulaminu zgłoszeń, polityki poufności i procedury rozpatrywania spraw. W praktyce – wiele firm wdraża narzędzie techniczne, zapominając o warstwie proceduralnej. To błąd, który może kosztować więcej niż brak samego narzędzia.
Firmy z rozbudowanymi systemami IT – na przykład te, które wdrażają już KSeF lub integrują systemy ERP – mogą rozważyć podłączenie kanału sygnalistów do istniejącej infrastruktury. Więcej o integracji systemów compliance z rozwiązaniami cyfrowymi przeczytają Państwo w naszym przewodniku po testowaniu integracji KSeF krok po kroku.
Jak wygląda prawidłowa procedura obsługi zgłoszeń?
Technika to tylko połowa sukcesu. Prawidłowy kanał sygnalistów to przede wszystkim procedura – kto odbiera zgłoszenie, kto je weryfikuje, w jakim terminie i co się dzieje dalej. Ustawa określa minimalne terminy: potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni, zakończenie postępowania wyjaśniającego i poinformowanie sygnalisty o podjętych działaniach w ciągu 3 miesięcy.
Obsługę kanału może prowadzić wyznaczona osoba wewnątrz organizacji lub podmiot zewnętrzny. Zewnętrzna obsługa (outsourcing) jest dopuszczalna, ale pracodawca nadal odpowiada za przestrzeganie przepisów. W praktyce outsourcing sprawdza się w mniejszych podmiotach – tuż powyżej progu 50 pracowników – gdzie wyznaczenie dedykowanego pracownika byłoby nieekonomiczne.
Spółka z Mazowsza – zatrudniająca 80 osób w branży logistycznej – powierzyła obsługę kanału zewnętrznemu dostawcy wiosną 2025 r. Pierwsze zgłoszenie wpłynęło po 6 tygodniach. Dzięki gotowej procedurze sprawa została rozpatrzona w 11 tygodni, a sygnalista otrzymał informację zwrotną w terminie. Pracodawca uniknął eskalacji do organów zewnętrznych.
Procedura musi też obejmować ochronę osoby, której dotyczy zgłoszenie. Zasada domniemania niewinności obowiązuje na każdym etapie. Dostęp do treści zgłoszenia powinien być ograniczony do niezbędnego minimum. Naruszenie tych zasad może rodzić odpowiedzialność odszkodowawczą wobec osoby niesłusznie oskarżonej.
Compliance to proces, nie dokument. Sama procedura na papierze nie wystarczy – musi być regularnie testowana, aktualizowana i komunikowana pracownikom. Szkolenie z zasad działania kanału sygnalistów powinno być częścią onboardingu każdego nowego pracownika.
Jakie są najczęstsze pułapki wdrożeniowe i jak ich uniknąć?
Pierwsze i najczęstsze ryzyko: kanał istnieje, ale pracownicy o nim nie wiedzą. Ustawa wymaga, aby pracodawca przekazał informacje o kanale wszystkim pracownikom w sposób jasny i przystępny. Brak komunikacji wewnętrznej to błąd proceduralny, który podważa sens całego systemu. Organ nadzorczy może uznać, że kanał faktycznie nie funkcjonuje.
Drugie ryzyko: brak anonimowości. Jeśli platforma techniczna loguje adresy IP lub wymaga podania adresu e-mail, de facto uniemożliwia anonimowe zgłoszenia. A ustawa wyraźnie przewiduje, że sygnalista może, ale nie musi ujawniać swojej tożsamości. Platforma musi technicznie umożliwiać anonimowość – nawet jeśli pracodawca woli zgłoszenia imienne.
Trzecie ryzyko: konflikt interesów przy obsłudze kanału. Osoba odpowiedzialna za przyjmowanie zgłoszeń nie powinna być bezpośrednio podległa osobie, której dotyczy zgłoszenie. W małych organizacjach to szczególnie trudne. Rozwiązaniem jest albo outsourcing, albo wyznaczenie kilku osób do obsługi kanału z jasnym podziałem ról.
Czwarte ryzyko: pominięcie warstwy AML. Podmioty objęte przepisami o przeciwdziałaniu praniu pieniędzy (ustawa o AML) mają dodatkowe obowiązki w zakresie zgłoszeń wewnętrznych. Kanał sygnalistów i procedury AML to dwa odrębne systemy, które muszą współdziałać. Firmy z sektora finansowego, kancelarie prawne i biura rachunkowe powinny to szczególnie wziąć pod uwagę.
Piąte ryzyko: brak aktualizacji procedur po zmianach prawa. Ustawa o sygnalistach jest stosunkowo nowa, a praktyka interpretacyjna dopiero się kształtuje. Procedury wdrożone w 2024 r. mogą wymagać aktualizacji już w 2025 lub 2026 r. Compliance to ciągły obowiązek, nie jednorazowy projekt.
Konkretna sytuacja Państwa firmy może wymagać indywidualnej oceny ryzyka – zwłaszcza jeśli organizacja działa w kilku branżach lub zatrudnia pracowników w różnych formach. Brak właściwej procedury zamyka drogę do kontrolowanego rozwiązania sprawy wewnątrz organizacji.
Jeśli Państwa spółka zatrudnia co najmniej 50 pracowników i nie wdrożyła jeszcze kanału zgłoszeń – przeprowadzimy audyt zgodności, przygotujemy procedurę i dobierzemy właściwe rozwiązanie techniczne: info@kordeckipartners.com.
Kanał sygnalistów w kontekście ESG, CSRD i wymagań transgranicznych
Kanał sygnalistów to nie tylko obowiązek z ustawy krajowej. W kontekście ESG raportowania i dyrektywy CSRD (Dyrektywa UE 2022/2464) funkcjonowanie wewnętrznych kanałów zgłoszeń jest jednym z elementów oceny ładu korporacyjnego (governance). Spółki raportujące według ESRS G1 muszą ujawniać informacje o mechanizmach zgłaszania naruszeń.
Dla firm objętych CSRD – czyli dużych podmiotów spełniających co najmniej 2 z 3 kryteriów: 110 mln zł aktywów, 220 mln zł przychodów, 250 pracowników – brak sprawnego kanału sygnalistów może bezpośrednio wpłynąć na ocenę ratingów ESG. Inwestorzy instytucjonalni i banki finansujące coraz częściej weryfikują te informacje przed podjęciem decyzji. Więcej o tym, kto podlega CSRD w Polsce, wyjaśniamy w naszej analizie CSRD – kto musi raportować w Polsce.
Dla spółek z udziałem zagranicznym lub działających w grupach kapitałowych pojawia się dodatkowe wyzwanie: wymogi różnych jurysdykcji. Dyrektywa o sygnalistach (2019/1937) została implementowana w poszczególnych krajach UE z różnicami. Spółka matka w Niemczech może mieć procedurę grupową, która nie spełnia polskich wymogów – np. w zakresie języka komunikacji, terminów lub zakresu podmiotowego.
Firmy zarejestrowane w CRBR (Centralny Rejestr Beneficjentów Rzeczywistych) z udziałem zagranicznych beneficjentów rzeczywistych powinny dodatkowo upewnić się, że kanał sygnalistów jest dostosowany do wymogów AML i regulacji antykorupcyjnych obowiązujących w krajach siedziby grupy. To szczególnie istotne dla spółek z inwestorami z krajów spoza UE.
Spółka z udziałem kapitału skandynawskiego, działająca w branży produkcyjnej na Śląsku, wdrożyła latem 2025 r. kanał sygnalistów zgodny zarówno z polską ustawą, jak i z wymogami grupy. Kluczowym wyzwaniem było dostosowanie terminów odpowiedzi – polska ustawa wymaga odpowiedzi w ciągu 7 dni, procedura grupowa przewidywała 14 dni. Rozwiązaniem było przyjęcie krótszego terminu dla zgłoszeń wpływających przez kanał polski.
Konkretna sytuacja Państwa grupy kapitałowej wymaga oceny, czy istniejące procedury grupowe są zgodne z polskimi wymogami. Brak takiej weryfikacji może prowadzić do nieodwracalnych konsekwencji – zarówno regulacyjnych, jak i reputacyjnych.
Jeśli Państwa spółka działa w grupie kapitałowej z podmiotami zagranicznymi i potrzebuje oceny zgodności kanału z polskim prawem – przeprowadzimy analizę luk i dostosujemy procedury: info@kordeckipartners.com.
Lista kontrolna: co przygotować przed wdrożeniem kanału sygnalistów?
Wdrożenie kanału sygnalistów to projekt wielowymiarowy. Wymaga działań prawnych, technicznych i organizacyjnych. Poniższa lista kontrolna obejmuje minimum, które każdy pracodawca powinien zrealizować przed uruchomieniem kanału.
- Weryfikacja progu zatrudnienia – ustal, czy na dzień 1 stycznia bieżącego roku zatrudniasz co najmniej 50 pracowników (uwzględnij wszystkie formy zatrudnienia).
- Wybór i konfiguracja narzędzia technicznego – platforma musi zapewniać szyfrowanie, anonimowość i przechowywanie danych przez co najmniej 5 lat; brak logowania IP jest obowiązkowy.
- Opracowanie regulaminu i procedury obsługi zgłoszeń – dokument musi określać terminy (7 dni na potwierdzenie, 3 miesiące na odpowiedź), osoby odpowiedzialne i zasady poufności.
- Przeprowadzenie oceny skutków dla ochrony danych (DPIA) – wymagane przez RODO przed uruchomieniem systemu przetwarzającego dane osobowe sygnalistów i osób, których dotyczą zgłoszenia.
- Komunikacja wewnętrzna i szkolenie pracowników – każdy pracownik musi wiedzieć, że kanał istnieje, jak z niego korzystać i że jest chroniony przed działaniami odwetowymi.
Pominięcie któregokolwiek z tych elementów osłabia skuteczność całego systemu. Organ nadzorczy ocenia kanał jako całość – nie tylko to, czy platforma technicznie działa.
Często zadawane pytania
P: Czy spółka zatrudniająca 48 pracowników musi wdrożyć kanał sygnalistów?
O: Nie – próg ustawowy wynosi 50 pracowników. Spółka zatrudniająca 48 osób formalnie nie ma obowiązku wdrożenia wewnętrznego kanału zgłoszeń. Warto jednak pamiętać, że próg liczy się na dzień 1 stycznia każdego roku. Jeśli zatrudnienie wzrośnie powyżej 50 przed końcem roku, obowiązek powstanie od początku następnego roku. Dobrowolne wdrożenie kanału przed osiągnięciem progu jest dopuszczalne i może stanowić element polityki compliance.
P: Czy można korzystać z jednego kanału dla całej grupy kapitałowej?
O: Tak, ustawa dopuszcza wspólny kanał dla grupy kapitałowej, ale tylko pod warunkiem, że każda spółka w grupie zachowuje możliwość samodzielnego rozpatrywania zgłoszeń dotyczących jej działalności. Procedura grupowa musi być zgodna z polskimi wymogami – w tym z terminami i zasadami poufności wynikającymi z ustawy o sygnalistach. Częstym błędem jest przyjęcie procedury zagranicznej spółki matki bez weryfikacji jej zgodności z polskim prawem.
P: Ile kosztuje wdrożenie kanału sygnalistów i jak długo trwa?
O: Koszt zależy od wybranego modelu. Zewnętrzne platformy SaaS kosztują od kilkuset do kilku tysięcy złotych miesięcznie, w zależności od liczby użytkowników i funkcjonalności. Opracowanie procedury prawnej i DPIA przez kancelarię to zazwyczaj jednorazowy koszt od 5 000 do 20 000 zł, w zależności od złożoności organizacji. Czas wdrożenia – od momentu podjęcia decyzji do uruchomienia kanału – wynosi zazwyczaj od 4 do 8 tygodni. Opóźnienie wdrożenia o każdy kolejny miesiąc oznacza dalsze ryzyko regulacyjne i reputacyjne.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Anna Witkowska specjalizuje się w compliance, ESG i dochodzeniach wewnętrznych.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.