Firma logistyczna z Mazowsza otrzymała w lutym 2025 roku pismo od Państwowej Inspekcji Pracy. Pytanie było jedno: gdzie jest wewnętrzny kanał zgłoszeń dla sygnalistów? Spółka zatrudniała 80 osób. Termin na wdrożenie minął pół roku wcześniej. Kara – do PLN 1 080 000 i do 3 lat pozbawienia wolności za działania odwetowe wobec sygnalisty – stała się realnym ryzykiem z dnia na dzień.
Ustawa z 14 czerwca 2024 roku o ochronie sygnalistów nakłada na pracodawców zatrudniających co najmniej 50 pracowników obowiązek stworzenia wewnętrznego kanału zgłoszeń. Obowiązek ten wynika z artykułu 8 ustawy o sygnalistach i wszedł w życie 25 września 2024 roku. Niedopełnienie wymogów technicznych i prawnych grozi odpowiedzialnością karną oraz poważnymi konsekwencjami wizerunkowymi.
W tym artykule omawiamy, co dokładnie musi zawierać kanał sygnalistów, jakie są wymagania techniczne i prawne, gdzie najczęściej pojawiają się błędy, oraz jak wygląda wdrożenie w organizacjach działających w kilku jurysdykcjach jednocześnie. Tekst adresujemy do pracodawców, działów compliance i zarządów – wszystkich, którzy chcą uniknąć nieodwracalnych konsekwencji zaniechania.
Jakie wymagania prawne nakłada ustawa o sygnalistach?
Ustawa o sygnalistach z 14 czerwca 2024 roku wdraża unijną dyrektywę 2019/1937 do polskiego porządku prawnego. Pracodawca zatrudniający co najmniej 50 osób musi uruchomić wewnętrzny kanał zgłoszeń najpóźniej w ciągu 14 dni od przekroczenia progu zatrudnienia. Obowiązek dotyczy spółek, fundacji, stowarzyszeń i innych podmiotów – forma prawna nie ma znaczenia. Obowiązek rejestracji beneficjentów rzeczywistych w CRBR jest oddzielny, ale oba mechanizmy wpisują się w szerszy system compliance.
Art. 8 ustawy o sygnalistach precyzuje, że kanał musi zapewniać poufność tożsamości osoby zgłaszającej, anonimowość jeśli zgłaszający jej zażąda, oraz ochronę danych osobowych zgodnie z RODO. Zgłoszenia mogą być składane pisemnie, ustnie lub elektronicznie. Każda z tych form musi być obsługiwana przez wyznaczoną, niezależną osobę lub jednostkę organizacyjną. W praktyce – wiele firm o tym zapomina – powierzenie obsługi kanału bezpośredniemu przełożonemu pracownika narusza zasadę niezależności.
Pracodawca ma obowiązek potwierdzić przyjęcie zgłoszenia w ciągu 7 dni. Następnie musi podjąć działania następcze i poinformować sygnalistę o wynikach w terminie 3 miesięcy od potwierdzenia przyjęcia zgłoszenia. Terminy te nie są orientacyjne – ich naruszenie może stanowić podstawę zarzutu utrudniania zgłoszenia. Warto pamiętać, że KAS, PIP i UOKiK mają uprawnienia do żądania dokumentacji potwierdzającej wdrożenie kanału.
Zakres przedmiotowy zgłoszeń obejmuje naruszenia prawa unijnego i krajowego w obszarach takich jak zamówienia publiczne, usługi finansowe, AML, ochrona środowiska, bezpieczeństwo żywności, ochrona danych osobowych i wiele innych. Pracodawca może rozszerzyć ten zakres o naruszenia wewnętrznych procedur – i w wielu przypadkach powinien to zrobić w ramach polityki ESG raportowania.
Jakie są wymagania techniczne kanału zgłoszeń?
Wymagania techniczne kanału sygnalistów wynikają bezpośrednio z wymagań prawnych dotyczących poufności i integralności danych. Kanał musi uniemożliwiać dostęp do tożsamości zgłaszającego osobom nieuprawnionym – zarówno wewnątrz organizacji, jak i z zewnątrz. Oznacza to szyfrowanie danych w transmisji i w spoczynku, kontrolę dostępu opartą na rolach oraz prowadzenie logów audytowych. Minimalne wymaganie to zgodność z RODO, czyli z rozporządzeniem (UE) 2016/679.
Kanał może mieć formę dedykowanej platformy SaaS, modułu zintegrowanego z systemem ERP, skrzynki e-mail z szyfrowaniem end-to-end lub fizycznej skrzynki pocztowej z zapieczętowaną kopertą. Każde z tych rozwiązań ma inne parametry bezpieczeństwa. Platforma SaaS zapewnia najwyższy poziom automatyzacji i audytowalności – czas wdrożenia wynosi od 2 do 6 tygodni. Skrzynka e-mail jest najtańsza, ale wymaga dodatkowych środków ochrony, takich jak szyfrowanie PGP lub S/MIME.
Rozwiązanie techniczne musi obsługiwać zgłoszenia anonimowe. To oznacza, że system nie może zbierać adresu IP ani innych metadanych identyfikujących nadawcę bez jego zgody. W przypadku platform SaaS – należy sprawdzić, czy dostawca przetwarza dane na serwerach w EOG, co jest wymogiem RODO. Lokalizacja serwerów poza EOG wymaga zawarcia standardowych klauzul umownych (SCC) lub innego mechanizmu transferu danych.
Firma produkcyjna z Wielkopolski wdrożyła w jesieni 2024 roku platformę sygnalistów zintegrowaną z systemem HR. Po 3 miesiącach działania kanał przyjął 12 zgłoszeń, z czego 4 dotyczyły naruszeń wewnętrznych procedur bezpieczeństwa. Żadne nie wymagało eskalacji zewnętrznej. Koszt wdrożenia wyniósł około PLN 18 000 brutto rocznie. To znacznie mniej niż potencjalna kara administracyjna.
- Szyfrowanie danych w transmisji (TLS 1.2 lub wyższy) i w spoczynku (AES-256 lub równoważny)
- Kontrola dostępu oparta na rolach z rejestrem dostępów (logi audytowe)
- Obsługa zgłoszeń anonimowych bez zbierania metadanych identyfikujących
- Serwery w EOG lub ważna podstawa transferu danych do państw trzecich
- Możliwość komunikacji zwrotnej z anonimowym zgłaszającym
Compliance techniczny to nie jednorazowy projekt. System wymaga regularnych przeglądów – co najmniej raz na 12 miesięcy – oraz testów penetracyjnych jeśli organizacja przetwarza dane szczególnie wrażliwe. PUODO może zażądać dokumentacji oceny skutków dla ochrony danych (DPIA) dla kanału sygnalistów, jeśli przetwarzanie wiąże się z wysokim ryzykiem.
Jeśli Państwa organizacja planuje wdrożenie lub audyt kanału zgłoszeń, zapraszamy do zapoznania się z naszym materiałem o polityce ochrony sygnalistów i jej zgodności z ustawą.
Konkretna sytuacja Państwa firmy – w zakresie doboru rozwiązania technicznego i weryfikacji zgodności z ustawą – wymaga indywidualnej analizy. Błędy na etapie wdrożenia mogą zamknąć drogę do skutecznej obrony w postępowaniu kontrolnym. Jeśli Państwa spółka zatrudnia co najmniej 50 osób i nie uruchomiła jeszcze kanału zgłoszeń lub ma wątpliwości co do jego zgodności – przeprowadzimy audyt prawny i techniczny oraz przygotujemy dokumentację wdrożeniową: info@kordeckipartners.com.
Gdzie najczęściej pojawiają się błędy przy wdrożeniu?
Najczęstszy błąd to mylenie kanału zgłoszeń z wewnętrzną procedurą skargową lub skrzynką HR. To dwa różne mechanizmy. Kanał sygnalistów musi gwarantować ochronę tożsamości zgłaszającego i niezależność osoby przyjmującej zgłoszenia. Skrzynka HR zarządzana przez dział kadr nie spełnia kryterium niezależności – i to jest pułapka, w którą wpada wiele organizacji.
Drugi błąd dotyczy zakresu podmiotowego. Ustawa obejmuje nie tylko pracowników na umowie o pracę, ale też zleceniobiorców, współpracowników B2B, stażystów, wolontariuszy i byłych pracowników – jeśli zgłoszenie dotyczy naruszeń, o których dowiedzieli się w trakcie współpracy. Pracodawcy często wdrażają kanał wyłącznie dla etatowców, co jest niezgodne z ustawą.
Trzeci błąd to brak procedury wewnętrznej opisującej cały proces: od przyjęcia zgłoszenia, przez działania następcze, po archiwizację. Ustawa wymaga, żeby procedura była skonsultowana z zakładową organizacją związkową lub – jeśli jej nie ma – z przedstawicielami pracowników. Brak konsultacji stanowi odrębne naruszenie. Termin konsultacji wynosi minimum 5 dni.
Spółka technologiczna z Trójmiasta wdrożyła latem 2024 roku kanał sygnalistów oparty na zwykłej skrzynce e-mail bez szyfrowania. Podczas audytu wewnętrznego przeprowadzonego pół roku później okazało się, że administrator IT miał pełny dostęp do korespondencji. Naruszenie poufności spowodowało konieczność przebudowania całego systemu i ponownego informowania pracowników o dostępnych kanałach zgłoszeń.
Błędem jest też nieprowadzenie rejestru zgłoszeń. Ustawa wymaga przechowywania dokumentacji przez 5 lat od przyjęcia zgłoszenia. Rejestr musi zawierać datę zgłoszenia, przedmiot naruszenia, podjęte działania i ich wynik. PUODO i PIP mogą zażądać dostępu do rejestru w każdym momencie kontroli.
Jak wygląda wdrożenie kanału sygnalistów w organizacjach wielojurysdykcyjnych?
Dla grup kapitałowych działających w kilku krajach jednocześnie wdrożenie kanału sygnalistów to wyzwanie na wielu poziomach. Dyrektywa 2019/1937 została wdrożona przez poszczególne państwa członkowskie UE z różnym zakresem i w różnych terminach. Polska ustawa z 14 czerwca 2024 roku jest jedną z późniejszych implementacji. Organizacje działające w Polsce, Niemczech i Francji muszą spełnić wymagania trzech różnych reżimów prawnych jednocześnie.
Centralizacja kanału na poziomie grupy jest dopuszczalna, ale wymaga spełnienia dodatkowych warunków. Polska spółka zależna może korzystać ze wspólnego kanału grupy, pod warunkiem że kanał spełnia wszystkie wymagania polskiej ustawy – w tym wymóg obsługi zgłoszeń w języku polskim i zapewnienia działań następczych zgodnych z polskim prawem. Centralizacja nie zwalnia polskiej spółki z obowiązku wyznaczenia osoby odpowiedzialnej za przyjmowanie zgłoszeń na poziomie krajowym.
W kontekście ESG raportowania – i tu pojawia się istotny związek z CSRD – kanał sygnalistów jest elementem systemu zarządzania zgodnością, który musi być opisany w raporcie zrównoważonego rozwoju. Dyrektywa CSRD (UE 2022/2464) wymaga ujawnienia informacji o mechanizmach zgłaszania naruszeń. Organizacje objęte CSRD muszą więc traktować kanał sygnalistów jako element infrastruktury ESG, a nie tylko wymóg zatrudnieniowy.
Dla inwestorów zagranicznych wchodzących na rynek polski – na przykład z Ukrainy lub krajów WNP – kanał sygnalistów bywa zaskoczeniem. W wielu jurysdykcjach CIS analogiczne regulacje nie istnieją lub mają charakter dobrowolny. W Polsce obowiązek jest bezwzględny i sankcjonowany karnie. Nasi eksperci z Ukrainian Desk i CIS Desk regularnie doradzają w tym zakresie przy zakładaniu polskich spółek zależnych.
Warto też odnotować powiązanie z AML. Instytucje obowiązane w rozumieniu ustawy o przeciwdziałaniu praniu pieniędzy muszą prowadzić anonimowy kanał zgłoszeń naruszeń AML niezależnie od progu zatrudnienia. Oznacza to, że bank, biuro rachunkowe lub firma inwestycyjna zatrudniająca 10 osób i tak musi wdrożyć odpowiedni mechanizm – i powinien zadbać, żeby był zgodny zarówno z ustawą AML, jak i ustawą o sygnalistach. Więcej o powiązaniach między różnymi reżimami compliance można znaleźć w naszym materiale o IP Box dla firm IT, który ilustruje, jak jeden mechanizm prawny oddziałuje na wiele obszarów działalności.
Lista kontrolna: co przygotować przed uruchomieniem kanału?
Wdrożenie kanału sygnalistów to projekt obejmujący co najmniej trzy warstwy: prawną, techniczną i organizacyjną. Poniższa lista kontrolna pozwoli ocenić gotowość organizacji przed uruchomieniem lub audytem istniejącego systemu. Każdy punkt odpowiada konkretnemu wymogowi ustawy lub wymaganiu technicznemu omówionemu w poprzednich sekcjach.
- Weryfikacja progu zatrudnienia – czy organizacja zatrudnia co najmniej 50 osób w rozumieniu ustawy (uwzględniając zleceniobiorców i B2B)?
- Wybór i wdrożenie rozwiązania technicznego spełniającego wymogi poufności, anonimowości i zgodności z RODO – termin wdrożenia do 25 września 2024 r. (dla podmiotów powyżej progu)
- Wyznaczenie niezależnej osoby lub jednostki odpowiedzialnej za przyjmowanie i rozpatrywanie zgłoszeń
- Opracowanie i skonsultowanie wewnętrznej procedury zgłoszeń (minimum 5-dniowy termin konsultacji z pracownikami lub związkami zawodowymi)
- Uruchomienie rejestru zgłoszeń z 5-letnim okresem archiwizacji
Compliance to proces, nie dokument. Samo uruchomienie kanału nie wystarczy – organizacja musi regularnie testować system, szkolić osoby odpowiedzialne za obsługę zgłoszeń i aktualizować procedury w ślad za zmianami prawa. Przegląd co najmniej raz w roku to minimum. W przypadku istotnych zmian struktury zatrudnienia lub zakresu działalności – przegląd powinien być natychmiastowy.
Ocena zgodności kanału sygnalistów z ustawą wymaga analizy dokumentacji technicznej, prawnej i organizacyjnej. Pominięcie choćby jednego elementu może prowadzić do nieodwracalnych konsekwencji w postępowaniu kontrolnym. Jeśli Państwa spółka chce przeprowadzić audyt istniejącego kanału lub wdrożyć system od podstaw – przeanalizujemy dokumentację, wskażemy luki i przygotujemy pełen pakiet wdrożeniowy zgodny z ustawą: info@kordeckipartners.com.
Często zadawane pytania
P: Czy firma zatrudniająca 45 osób musi wdrożyć kanał sygnalistów?
O: Nie – próg ustawowy wynosi 50 pracowników. Podmioty zatrudniające mniej niż 50 osób nie mają obowiązku prowadzenia wewnętrznego kanału zgłoszeń, chyba że są instytucjami obowiązanymi w rozumieniu ustawy AML lub działają w sektorze finansowym, gdzie obowiązek wynika z odrębnych przepisów. Warto jednak pamiętać, że próg zatrudnienia liczy się łącznie ze zleceniobiorcami i współpracownikami B2B, jeśli wykonują pracę regularnie i w warunkach zbliżonych do stosunku pracy.
P: Ile kosztuje wdrożenie kanału sygnalistów i jak długo trwa?
O: Koszt zależy od wybranego rozwiązania technicznego. Dedykowane platformy SaaS kosztują od PLN 5 000 do PLN 30 000 rocznie w zależności od liczby użytkowników i zakresu funkcjonalności. Wdrożenie trwa od 2 do 6 tygodni. Do tego dochodzi koszt obsługi prawnej – przygotowania procedury wewnętrznej, konsultacji z pracownikami i dokumentacji RODO. Całkowity koszt projektu wdrożeniowego dla organizacji średniej wielkości wynosi zwykle od PLN 15 000 do PLN 40 000. To wielokrotnie mniej niż potencjalna kara wynosząca do PLN 1 080 000.
P: Czy kanał sygnalistów i kanał AML to to samo?
O: Nie – to dwa odrębne mechanizmy, choć mogą być obsługiwane przez ten sam system techniczny. Kanał sygnalistów wynikający z ustawy o ochronie sygnalistów obejmuje szeroki zakres naruszeń prawa unijnego i krajowego. Kanał AML dotyczy wyłącznie zgłoszeń związanych z podejrzeniem prania pieniędzy lub finansowania terroryzmu i obowiązuje instytucje obowiązane niezależnie od progu zatrudnienia. Artykuł 8 ustawy o sygnalistach i przepisy ustawy AML mają różne zakresy podmiotowe i przedmiotowe – organizacja powinna przeanalizować, które z nich ją dotyczą, i zapewnić zgodność z obydwoma reżimami jednocześnie.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.