Firma logistyczna z Mazowsza wdrożyła regulamin pracy zdalnej, zaktualizowała politykę AML i – na ostatniej prostej przed terminem – zorientowała się, że brakuje jednego dokumentu: polityki ochrony sygnalistów. Ustawa z 14 czerwca 2024 r. weszła w życie 25 września 2024 r. i obejmuje wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Brak wdrożenia to nie tylko ryzyko kary finansowej – to zamknięta droga do certyfikatów ESG i utracone zaufanie kontrahentów.
Polityka ochrony sygnalistów to dokument wewnętrzny, który pracodawca obowiązany jest wdrożyć na podstawie artykułu 8 ustawy o sygnalistach. Obowiązek dotyczy podmiotów zatrudniających co najmniej 50 osób. Kary za naruszenia sięgają 1 080 000 PLN, a za działania odwetowe wobec sygnalisty grozi do 3 lat pozbawienia wolności.
Poniżej znajdą Państwo praktyczny przewodnik: od podstaw prawnych, przez strukturę dokumentu, typowe błędy wdrożeniowe, aż po checklistę gotowości i odpowiedzi na pytania, które najczęściej zadają klienci kancelarii.
Jakie przepisy regulują obowiązek stworzenia polityki ochrony sygnalistów?
Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów implementuje dyrektywę UE 2019/1937. Polska spóźniła się z transpozycją o ponad dwa lata. Skutek był taki, że przez długi czas pracodawcy funkcjonowali w próżni prawnej. Dziś próżni już nie ma – obowiązek jest realny i egzekwowalny.
Artykuł 8 ustawy o sygnalistach zobowiązuje pracodawców do ustanowienia wewnętrznego kanału zgłoszeń. Kanał musi zapewniać poufność tożsamości zgłaszającego, umożliwiać zgłoszenia ustne i pisemne, a także gwarantować odpowiedź w ciągu 7 dni od potwierdzenia przyjęcia zgłoszenia. Termin na rozpatrzenie sprawy wynosi 3 miesiące od potwierdzenia. To konkretne ramy proceduralne, które muszą znaleźć odzwierciedlenie w polityce.
Obok ustawy o sygnalistach działają równolegle przepisy AML, RODO oraz obowiązki wynikające z CSRD. Duże podmioty raportujące ESG muszą wykazać, że posiadają sprawny mechanizm zgłaszania nieprawidłowości – brak polityki oznacza lukę w raportowaniu ESG w Polsce. Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) i obowiązki AML tworzą dodatkową warstwę compliance, której polityka ochrony sygnalistów musi być spójna.
Warto pamiętać, że ustawa wyłącza z zakresu obowiązku podmioty sektora prywatnego zatrudniające poniżej 50 pracowników – z wyjątkiem firm z sektora finansowego i AML, gdzie próg nie obowiązuje. Dla przedsiębiorstw nieruchomościowych powiązanych z obowiązkami AML – podobnie jak w przypadku usług prawnych w obszarze nieruchomości – wdrożenie polityki jest obowiązkowe niezależnie od liczby zatrudnionych.
Co musi zawierać polityka ochrony sygnalistów zgodna z ustawą?
Polityka ochrony sygnalistów to dokument o charakterze proceduralnym. Musi regulować trzy elementy: (1) sposób przyjmowania zgłoszeń, (2) zasady postępowania po zgłoszeniu oraz (3) środki ochrony sygnalisty przed działaniami odwetowymi. Bez któregokolwiek z tych elementów dokument nie spełnia wymogów ustawy.
Kanał zgłoszeń może być prowadzony wewnętrznie lub powierzony podmiotowi zewnętrznemu. Ustawa dopuszcza obie formy. W praktyce firmy zatrudniające od 50 do 249 pracowników mogą dzielić kanał z innymi podmiotami z grupy. Dla grup kapitałowych to istotne uproszczenie – jeden kanał grupowy zamiast kilkunastu osobnych procedur.
Polityka powinna precyzować co najmniej pięć obszarów:
- podmioty uprawnione do przyjmowania zgłoszeń (imiennie lub funkcyjnie)
- formy zgłoszeń – pisemna, ustna, elektroniczna
- termin potwierdzenia przyjęcia zgłoszenia (7 dni) i termin odpowiedzi (3 miesiące)
- zasady zachowania poufności i ochrony danych osobowych sygnalisty
- katalog działań odwetowych objętych zakazem, z odniesieniem do art. 54 ustawy
Artykuł 54 ustawy o sygnalistach przewiduje karę do 3 lat pozbawienia wolności za działania odwetowe. To nieodwracalna konsekwencja dla osoby odpowiedzialnej za kadrę – menedżera, dyrektora HR lub członka zarządu. Polityka musi więc nie tylko opisywać zakaz, ale też wskazywać, kto odpowiada za jego egzekwowanie.
W praktyce – wiele firm o tym zapomina – polityka powinna zawierać wzór rejestru zgłoszeń z polami wymaganymi przez RODO. Dane sygnalisty i osoby, której zgłoszenie dotyczy, podlegają szczególnej ochronie. Brak klauzuli informacyjnej RODO w polityce to jeden z najczęstszych błędów audytowych, które wykrywa KAS i PIP podczas kontroli.
Jakie błędy najczęściej dyskwalifikują politykę sygnalistów podczas kontroli?
Inspekcja Pracy (PIP) i Urząd Ochrony Danych Osobowych (UODO) to dwa główne organy kontrolne w obszarze sygnalistów. PIP sprawdza, czy kanał zgłoszeń funkcjonuje, UODO – czy dane są przetwarzane zgodnie z RODO. Podwójna kontrola oznacza podwójne ryzyko.
Firma produkcyjna z Dolnego Śląska w jesieni 2024 r. otrzymała wezwanie do usunięcia uchybień po kontroli PIP. Polityka istniała – ale była kopią szablonu pobranego z internetu. Brakowało w niej danych kontaktowych wewnętrznego podmiotu przyjmującego zgłoszenia. Korekta zajęła trzy tygodnie i kosztowała firmę znacznie więcej niż pierwotne wdrożenie.
Trzy błędy pojawiają się najczęściej:
- Brak konsultacji z pracownikami lub związkami zawodowymi. Ustawa wymaga przeprowadzenia konsultacji przed wdrożeniem polityki. Pominięcie tego kroku czyni dokument wadliwym proceduralnie.
- Kanał zgłoszeń bez możliwości zgłoszenia ustnego. Ustawa wprost przewiduje tę formę. Brak jej obsługi to naruszenie art. 8.
- Brak procedury follow-up. Polityka musi określać, co dzieje się po zgłoszeniu – kto je weryfikuje, w jakim trybie i z jakim skutkiem.
Dodatkowym ryzykiem jest niespójność z polityką AML i CRBR. Jeśli firma działa w sektorze regulowanym, a jej polityka sygnalistów nie uwzględnia specyfiki zgłoszeń AML, organ nadzoru może uznać, że compliance jest pozorny. Unikamy takiego podejścia – uważamy, że bezpieczniejszym rozwiązaniem jest jeden zintegrowany dokument compliance zamiast kilku nieskoordynowanych polityk.
Spółka IT z Trójmiasta w lecie 2025 r. przeszła audyt ESG przed wejściem na giełdę. Audytor zakwestionował politykę sygnalistów, bo nie obejmowała zgłoszeń zewnętrznych do organów państwowych. Brak tej klauzuli opóźnił IPO o dwa miesiące. To konkretna, wymierna utrata szansy.
Jak wygląda wdrożenie polityki krok po kroku?
Wdrożenie polityki ochrony sygnalistów składa się z czterech etapów. Każdy ma określony horyzont czasowy i angażuje inne zasoby wewnętrzne. Poniżej praktyczny schemat działania dla firmy zatrudniającej 50–500 pracowników.
Etap 1 – diagnoza (1–2 tygodnie). Określamy zakres podmiotowy: ilu pracowników, czy firma działa w sektorze AML lub finansowym, czy istnieje struktura grupowa. Na tym etapie identyfikujemy też istniejące kanały zgłoszeń (np. w polityce antymobbingowej lub AML), które mogą zostać zintegrowane.
Etap 2 – konsultacje (2–4 tygodnie). Ustawa wymaga konsultacji z pracownikami lub ich przedstawicielami. Jeśli w firmie działa zakładowa organizacja związkowa, konsultacje muszą trwać co najmniej 5 dni. Wynik konsultacji dokumentujemy i dołączamy do akt wdrożenia.
Etap 3 – redakcja i wdrożenie dokumentu (1–2 tygodnie). Polityka wchodzi w życie po upływie 2 tygodni od podania jej do wiadomości pracowników. Ten termin jest sztywny – nie można go skrócić. Politykę udostępniamy w formie elektronicznej lub papierowej, zrozumiałej dla wszystkich pracowników.
Etap 4 – szkolenie i utrzymanie (ciągłe). Samo wdrożenie dokumentu nie wystarczy. Osoby przyjmujące zgłoszenia muszą być przeszkolone. Rejestr zgłoszeń wymaga regularnego przeglądu. Politykę należy aktualizować co najmniej raz w roku lub przy każdej istotnej zmianie struktury organizacyjnej.
Czy polityka sygnalistów obejmuje pracowników transgranicznych i struktury grupowe?
Dla grup kapitałowych z oddziałami w kilku jurysdykcjach pytanie o zakres terytorialny polityki jest strategiczne. Polska ustawa obejmuje pracowników wykonujących pracę na terytorium RP – niezależnie od prawa właściwego dla umowy. Pracownik delegowany z Ukrainy lub Niemiec, świadczący pracę w Polsce, jest objęty polską ustawą.
Grupy kapitałowe mogą stosować jeden wspólny kanał zgłoszeń dla podmiotów zatrudniających od 50 do 249 pracowników. Powyżej tego progu każda spółka musi mieć własny kanał – choć może być obsługiwany przez wspólną platformę technologiczną. To rozróżnienie jest istotne przy projektowaniu infrastruktury compliance w grupach z polską spółką-matką lub polskim oddziałem.
Dla inwestorów zagranicznych wchodzących na rynek polski – szczególnie z krajów WNP lub spoza UE – polska polityka sygnalistów musi być przetłumaczona na język zrozumiały dla pracowników. Ustawa nie wymaga tłumaczenia wprost, ale wymóg skutecznego poinformowania pracowników oznacza, że dokument w języku niezrozumiałym dla odbiorcy jest dokumentem martwym.
Warto też pamiętać o relacji z CSRD. Firmy raportujące ESG na podstawie dyrektywy CSRD w Polsce muszą ujawnić, czy i jak działa ich system zgłaszania nieprawidłowości. Brak polityki sygnalistów lub jej pozorne wdrożenie bezpośrednio obniża ocenę w obszarze governance (G) raportu ESG. To utracona szansa na pozytywną ocenę ratingową – nieodwracalna w danym roku sprawozdawczym.
Często zadawane pytania
P: Czy firma zatrudniająca 45 pracowników musi wdrożyć politykę ochrony sygnalistów?
O: Co do zasady – nie, jeśli firma działa poza sektorem finansowym i AML. Próg 50 pracowników dotyczy podmiotów sektora prywatnego. Jednak firmy z sektora finansowego, instytucje obowiązane w rozumieniu ustawy AML oraz podmioty publiczne muszą wdrożyć politykę niezależnie od liczby zatrudnionych. Przed podjęciem decyzji o zaniechaniu wdrożenia warto zweryfikować, czy firma nie podlega sektorowym regulacjom szczególnym.
P: Ile kosztuje wdrożenie polityki ochrony sygnalistów i jak długo trwa?
O: Dla firmy zatrudniającej 50–200 pracowników pełne wdrożenie – od diagnozy przez konsultacje do szkolenia – zajmuje od 6 do 10 tygodni. Koszty zależą od złożoności struktury i wyboru kanału zgłoszeń: platforma zewnętrzna kosztuje od kilkuset do kilku tysięcy złotych miesięcznie, obsługa wewnętrzna wymaga przeszkolenia osoby przyjmującej zgłoszenia. Zaniechanie wdrożenia naraża firmę na karę do 1 080 000 PLN – wielokrotnie więcej niż koszt prawidłowego wdrożenia.
P: Czy polityka sygnalistów musi być oddzielnym dokumentem, czy można ją włączyć do regulaminu pracy?
O: Ustawa nie wymaga, by polityka ochrony sygnalistów była oddzielnym dokumentem. Można ją włączyć do regulaminu pracy lub regulaminu compliance, pod warunkiem że spełnia wszystkie wymogi merytoryczne artykułu 8 ustawy. W praktyce rekomendujemy wyodrębnienie polityki jako osobnego dokumentu – ułatwia to aktualizacje, szkolenia i dokumentowanie konsultacji z pracownikami.
Konkretna sytuacja Państwa firmy – liczba pracowników, struktura grupowa, sektor działalności – decyduje o zakresie obowiązków i ryzyku. Brak wdrożenia lub wdrożenie pozorne zamykają drogę do certyfikatów ESG i narażają zarząd na odpowiedzialność osobistą. Każdy miesiąc zwłoki to utracona szansa na zbudowanie wiarygodności compliance wobec kontrahentów i inwestorów.
Jeśli Państwa spółka zatrudnia ponad 50 pracowników i nie posiada jeszcze zgodnej z ustawą polityki ochrony sygnalistów – przeprowadzimy diagnozę, przygotujemy dokument, obsłużymy konsultacje i przeprowadzimy szkolenie dla osób przyjmujących zgłoszenia: info@kordeckipartners.com.
Checklist gotowości – co przygotować przed wdrożeniem?
Przed zleceniem lub samodzielnym przygotowaniem polityki ochrony sygnalistów warto zebrać następujące informacje i dokumenty:
- Aktualna liczba pracowników i forma zatrudnienia (umowa o pracę, zlecenie, B2B) – ustawa obejmuje różne formy świadczenia pracy
- Wykaz istniejących kanałów zgłoszeń (polityka antymobbingowa, procedura AML, hotline etyczny) – unikamy dublowania i niespójności
- Informacja o strukturze grupowej – czy istnieje możliwość współdzielenia kanału z podmiotami zatrudniającymi poniżej 250 osób
- Lista organów i instytucji właściwych dla zewnętrznych zgłoszeń w danej branży – polityka musi wskazywać te organy pracownikom
- Dokumentacja konsultacji z pracownikami lub związkami zawodowymi – wymóg proceduralny, którego brak podważa ważność wdrożenia
Zebranie tych informacji przed rozpoczęciem prac nad dokumentem skraca czas wdrożenia o 30–40% i eliminuje najczęstsze błędy audytowe.
Sytuacja każdej firmy jest inna. Zintegrowanie polityki sygnalistów z obowiązkami AML, CRBR i ESG raportowaniem wymaga analizy konkretnych okoliczności – nieodwracalne konsekwencje (kary, odpowiedzialność karna zarządu, utrata ocen ESG) pojawiają się szybciej, niż większość przedsiębiorców się spodziewa.
Jeśli Państwa spółka działa w sektorze regulowanym lub przygotowuje się do audytu ESG i potrzebuje zgodnej z ustawą polityki ochrony sygnalistów – umówimy spotkanie diagnostyczne i przeprowadzimy Państwa przez cały proces wdrożenia: info@kordeckipartners.com.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.