Etykiety

Ustawa o ochronie sygnalistów w firmie: Wymogi i kary

⚖️ Ochrona sygnalistów (Whistleblowing) w firmie: Kto musi wdrożyć procedury i jak uniknąć kar? [Kompendium]

Ustawa o ochronie sygnalistów w firmie: Wymogi i kary
Wejście w życie ustawy o ochronie sygnalistów zrewolucjonizowało podejście do zgłaszania nieprawidłowości (tzw. whistleblowingu) w polskich organizacjach. Przepisy nakładają na pracodawców zatrudniających co najmniej 50 osób bezwzględny obowiązek utworzenia bezpiecznych i poufnych kanałów zgłoszeń wewnętrznych oraz prowadzenia rejestru zgłoszeń. Kto dokładnie posiada status sygnalisty i jak zapewnić mu ochronę przed działaniami odwetowymi? W tym poradniku krok po kroku omawiamy procedury zgodności (compliance), wymogi prawne oraz surowe sankcje – w tym karne – grożące za zignorowanie tych obowiązków.
📑 Spis treści (rozwiń)

🕵️‍♂️ Co to jest whistleblowing i kim jest sygnalista w świetle prawa?

Podstawa prawna: Art. 2 i 4 Ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów

Zjawisko whistleblowingu (z ang. dmuchanie w gwizdek) przez lata budziło w Polsce mieszane uczucia, często niesłusznie kojarząc się z donosicielstwem. Ustawa o ochronie sygnalistów całkowicie zmienia tę narrację. Z prawnego punktu widzenia, whistleblowing to mechanizm wczesnego ostrzegania organizacji przed ryzykiem, nadużyciami czy łamaniem prawa.

Kim zatem jest sygnalista? Zgodnie z przepisami, jest to osoba fizyczna, która zgłasza lub ujawnia publicznie informacje o naruszeniu prawa, o którym dowiedziała się w kontekście związanym z pracą.

Aby pracownik otrzymał ustawową ochronę przed jakimikolwiek działaniami odwetowymi (np. zwolnieniem, degradacją, mobbingiem), jego zgłoszenie musi spełniać dwa podstawowe warunki:

  1. Musi opierać się na uzasadnionym przekonaniu, że przekazywane informacje są prawdziwe w momencie zgłaszania (tzw. dobra wiara). Ustawa nie chroni osób rzucających bezpodstawne oskarżenia.
  2. Musi dotyczyć określonych obszarów naruszeń prawa.

Jakie naruszenia prawa może zgłosić sygnalista? (Katalog spraw)

Podstawa prawna: Art. 3 Ustawy o ochronie sygnalistów

Sygnalista nie może używać poufnych kanałów do zgłaszania osobistych animozji z kolegami z biura czy narzekania na temperaturę klimatyzacji. Ustawodawca precyzyjnie zamknął katalog dziedzin prawa, których naruszenie uprawnia do nadania statusu sygnalisty.

Obejmuje on m.in. takie obszary jak:

  • Zamówienia publiczne (np. ustawianie przetargów),
  • Zapobieganie praniu pieniędzy oraz finansowaniu terroryzmu (AML),
  • Bezpieczeństwo produktów i ich zgodność z wymogami,
  • Ochrona środowiska,
  • Ochrona prywatności, danych osobowych (RODO) oraz bezpieczeństwo sieci i systemów teleinformatycznych,
  • Interesy finansowe Unii Europejskiej,
  • Ochrona konsumentów oraz zdrowie publiczne.
Ekspercka wskazówka HR/Compliance: Polskie prawo pozwala, aby pracodawca dobrowolnie rozszerzył ten katalog w regulaminie zgłoszeń wewnętrznych. Wiele nowoczesnych firm decyduje się na umożliwienie zgłaszania naruszeń regulacji wewnętrznych (np. łamania kodeksu etyki, procedur antymobbingowych czy polityki antykorupcyjnej). Pozwala to "załatwić sprawę" wewnątrz firmy, zanim problem eskaluje.

Czy sygnalistą może być tylko pracownik etatowy? (B2B, stażyści, kandydaci do pracy)

To jeden z największych mitów krążących wokół ustawy. Wiele firm żyje w błędnym przekonaniu, że ochrona dotyczy wyłącznie osób zatrudnionych na podstawie umowy o pracę. To ogromny błąd, który może skutkować nałożeniem surowych kar.

Ustawa definiuje "kontekst związany z pracą" bardzo szeroko. Oznacza to, że status sygnalisty i pełną ochronę przed odwetem mogą zyskać m.in.:

  • Osoby na kontraktach B2B (przedsiębiorcy świadczący dla Ciebie usługi),
  • Osoby zatrudnione na podstawie umów cywilnoprawnych (umowa zlecenie, umowa o dzieło),
  • Praktykanci, stażyści i wolontariusze (nawet jeśli ich praca jest nieodpłatna),
  • Udziałowcy, akcjonariusze i członkowie organów spółki (np. zarządu czy rady nadzorczej),
  • Byli pracownicy (jeśli dowiedzieli się o naruszeniu przed odejściem z firmy),
  • Kandydaci do pracy (jeśli informację o naruszeniu uzyskali w trakcie procesu rekrutacyjnego!).

Jak widać, system zgłaszania nieprawidłowości musi być tak zaprojektowany, aby był dostępny i w pełni bezpieczny nie tylko dla załogi etatowej, ale dla całego ekosystemu współpracowników danej organizacji.

🏢 Kogo obowiązuje ustawa o ochronie sygnalistów?

Podstawa prawna: Art. 23 i 24 Ustawy o ochronie sygnalistów

Wprowadzenie mechanizmów ochrony sygnalistów przestało być domeną wyłącznie globalnych korporacji. Polskie przepisy nałożyły ten obowiązek na bardzo szeroką grupę podmiotów prawnych – zarówno w sektorze prywatnym, jak i publicznym. Wdrożenie wewnętrznych procedur dokonywania zgłoszeń naruszeń prawa to wymóg bezwzględny, a opieranie się na prowizorycznych rozwiązaniach (np. zwykłej skrzynce e-mail bez gwarancji poufności) rodzi ogromne ryzyko prawne.

Próg 50 zatrudnionych – jak prawidłowo przeliczać stany etatowe?

Dla standardowych podmiotów prywatnych podstawowym wyznacznikiem obowiązku wdrożenia poufnych kanałów zgłoszeniowych jest próg co najmniej 50 osób wykonujących pracę zarobkową. Niestety, wielu pracodawców popełnia w tym miejscu krytyczny błąd, utożsamiając tę liczbę wyłącznie z pracownikami zatrudnionymi na umowę o pracę (etatami).

W świetle polskiej ustawy o ochronie sygnalistów, do progu 50 osób wliczamy:

  • Pracowników etatowych (w przeliczeniu na pełne etaty),
  • Osoby świadczące pracę za wynagrodzeniem na podstawie umów cywilnoprawnych (np. umowa zlecenie, umowa o świadczenie usług, umowa o dzieło),
  • Współpracowników na kontraktach B2B (osoby fizyczne prowadzące działalność gospodarczą), o ile nie zatrudniają oni do wykonania tego zlecenia innych podmiotów.
Ważne z perspektywy HR i Zarządu: Stan zatrudnienia weryfikuje się dwukrotnie w ciągu roku – według stanu na 1 stycznia lub 1 lipca danego roku. Jeśli Twoja organizacja w jednym z tych dni osiągnie lub przekroczy próg 50 osób, obowiązek utworzenia procedury staje się wiążący. Warto o tym pamiętać, szczególnie w firmach o dużej rotacji, korzystających z pracy tymczasowej lub opartych na sezonowych kontraktach.

Kto musi wdrożyć procedury niezależnie od wielkości firmy? (Sektor finansowy i AML)

Ustawodawca przewidział sytuacje, w których wielkość firmy i stan zatrudnienia nie mają absolutnie żadnego znaczenia. Istnieją branże objęte podwyższonym ryzykiem nadużyć, które muszą posiadać systemy dla sygnalistów (whistleblowingowe), nawet jeśli zatrudniają zaledwie jedną osobę lub nie zatrudniają nikogo poza właścicielem.

Obowiązek bezwzględnego wdrożenia procedury dotyczy podmiotów działających w obszarach objętych odrębnymi dyrektywami unijnymi. Należą do nich przede wszystkim:

  • Sektor usług, produktów i rynków finansowych: banki, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń, firmy maklerskie.
  • Sektor AML (Anti-Money Laundering): czyli tzw. instytucje obowiązane w rozumieniu przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Do tej drugiej, niezwykle szerokiej grupy zaliczają się między innymi biura rachunkowe, księgowi, doradcy podatkowi, notariusze, pośrednicy w obrocie nieruchomościami, a także kantory czy podmioty prowadzące działalność w zakresie gier losowych. Jeśli Twoja firma widnieje na liście instytucji obowiązanych AML, przepisy o ochronie sygnalistów dotyczą Cię w pełni – nie możesz zasłaniać się faktem, że prowadzisz mikrofirmę.

⚙️ Procedura zgłoszeń wewnętrznych w firmie – wdrożenie krok po kroku

Podstawa prawna: Rozdział 3 Ustawy o ochronie sygnalistów

Samo stworzenie regulaminu to dopiero wierzchołek góry lodowej. Ustawodawca wymaga, aby procedura zgłoszeń wewnętrznych była nie tylko martwym dokumentem w intranecie, ale realnie działającym, bezpiecznym mechanizmem. Wdrożenie tego procesu wymaga przestrzegania rygorystycznych wymogów formalnych, a pominięcie któregokolwiek z kroków może skutkować nieważnością całego systemu i narażeniem firmy na kary.

Obowiązek konsultacji procedury ze związkami zawodowymi (lub przedstawicielami)

Zanim procedura ujrzy światło dzienne i zacznie obowiązywać, pracodawca ma bezwzględny obowiązek skonsultowania jej z załogą. Przepisy nie pozostawiają tutaj pola do interpretacji.

  • Jeśli w firmie działają związki zawodowe: Projekt procedury musi zostać z nimi skonsultowany.
  • Jeśli w firmie nie ma związków zawodowych: Pracodawca musi przeprowadzić konsultacje z wyłonionymi wcześniej przedstawicielami pracowników. Sposób ich wyboru musi być zgodny z przyjętymi w danej organizacji zwyczajami (np. poprzez głosowanie elektroniczne lub zebranie załogi).
Ważne ramy czasowe: Konsultacje to nie jest proces, który można zamknąć w jeden dzień. Ustawa narzuca konkretny termin na ich przeprowadzenie: od 5 do 15 dni od momentu przedstawienia projektu. Co więcej, gotowa procedura wchodzi w życie dopiero po upływie 7 dni od dnia podania jej do wiadomości osób wykonujących pracę.

Bezpieczne i poufne kanały zgłoszeń (aplikacje, skrzynki, dedykowane maile)

Zapewnienie absolutnej poufności tożsamości sygnalisty oraz osób trzecich wymienionych w zgłoszeniu to fundament całej ustawy. Pracodawca musi zagwarantować, że do danych tych nie będą miały dostępu osoby nieupoważnione. Wybór odpowiedniego kanału komunikacji jest zatem kluczowy:

  1. Zwykła skrzynka e-mail (np. sygnalista@firma.pl): Rozwiązanie wysoce ryzykowne. Administratorzy IT w firmie zazwyczaj mają techniczny dostęp do takich skrzynek, co z automatu łamie wymóg poufności. Trudno też zrealizować wymóg anonimowości.
  2. Fizyczna skrzynka na listy: Metoda przestarzała i problematyczna. Nie pozwala na dwustronną, bezpieczną komunikację z sygnalistą, uniemożliwia dopytanie o szczegóły i potwierdzenie przyjęcia zgłoszenia w ustawowym terminie (7 dni).
  3. Dedykowane aplikacje i systemy whistleblowingowe: Obecnie złoty standard rynkowy. Zewnętrzne platformy IT szyfrują dane, pozwalają na w pełni anonimowy i bezpieczny dialog z sygnalistą (poprzez unikalne kody dostępu) i automatyzują prowadzenie obowiązkowego rejestru zgłoszeń.

Kto w dziale HR lub Compliance powinien rozpatrywać zgłoszenia? (Wymóg bezstronności)

Firma musi wyraźnie wskazać w procedurze bezstronną osobę lub dedykowaną jednostkę organizacyjną odpowiedzialną za przyjmowanie zgłoszeń, podejmowanie działań następczych (prowadzenie postępowania wyjaśniającego) oraz przekazywanie informacji zwrotnej sygnaliście.

Słowo-klucz to tutaj bezstronność. Choć naturalnym odruchem wielu zarządów jest delegowanie tego zadania do działu HR lub dyrektora ds. operacyjnych, rodzi to potężne ryzyko konfliktu interesów. Co jeśli zgłoszenie dotyczy bezpośrednio szefa HR lub członka zarządu?

Z tego powodu najlepszą praktyką (zgodną z wytycznymi Ustawy) jest:

  • Powołanie niezależnego Oficera Compliance (Compliance Officera),
  • Stworzenie specjalnej komisji, w skład której wchodzą przedstawiciele różnych działów (np. HR, audyt, dział prawny), aby zminimalizować ryzyko stronniczości,
  • Outsourcing: Ustawa wprost zezwala na powierzenie obsługi zgłoszeń zewnętrznym podmiotom (np. wyspecjalizowanym kancelariom prawnym). Zewnętrzny operator gwarantuje 100% bezstronności i chroni firmę przed zarzutem "zamiatania spraw pod dywan".

⏳ Terminy na obsługę zgłoszenia – na to musisz uważać!

Podstawa prawna: Art. 25 Ustawy o ochronie sygnalistów

Wdrożenie systemu i powołanie odpowiednich osób to podstawa, ale ustawa o ochronie sygnalistów nie wybacza opieszałości. Mechanizm zgłaszania nieprawidłowości musi działać sprawnie, a ustawodawca narzucił bardzo rygorystyczne, sztywne ramy czasowe na obsługę każdego incydentu.

7 dni na potwierdzenie przyjęcia zgłoszenia

Kiedy pracownik, kontrahent czy kandydat do pracy wysyła powiadomienie o naruszeniu prawa, organizacja ma dokładnie 7 dni na potwierdzenie jego przyjęcia. Zegar zaczyna tykać od momentu wpływu zgłoszenia. Co ważne, potwierdzenie to nie jest równoznaczne z rozwiązaniem sprawy! To jedynie formalny komunikat zwrotny dla sygnalisty: "Otrzymaliśmy Twoją wiadomość, procedujemy ją". Brak takiego potwierdzenia to główny powód odchodzenia od maili w stronę automatów IT.

3 miesiące na przekazanie informacji zwrotnej (feedbacku) sygnaliście

Wysłanie potwierdzenia to zaledwie wstęp do właściwej pracy, czyli działań następczych (postępowania wyjaśniającego, wewnętrznego audytu czy wdrożenia środków naprawczych). Firma ma maksymalnie 3 miesiące na przekazanie sygnaliście oficjalnej informacji zwrotnej (licząc od dnia potwierdzenia przyjęcia zgłoszenia).

Uwaga na potężną pułapkę prawną! Jeśli zignorujesz ten termin, zamieciesz sprawę pod dywan lub przekażesz sygnaliście jedynie zdawkowe informacje, dajesz mu prawnie usankcjonowane zielone światło do ominięcia kanałów wewnętrznych. Pracownik ma prawo dokonać zgłoszenia zewnętrznego (np. do prokuratury), a w skrajnych przypadkach nawet ujawnienia publicznego (media) – i nadal zachowa pełną ochronę przed zwolnieniem!

🚨 WIDMO KONTROLI PIP?

Państwowa Inspekcja Pracy – podstawy prawne funkcjonowania

Błędy przy wdrażaniu przepisów o sygnalistach to najszybsza droga do sprowadzenia na firmę Państwowej Inspekcji Pracy. W tym eBooku znajdziesz wszystko, co dotyczy PIP – jakie ma uprawnienia, na czym polega kontrola i jakie mogą być jej skutki. Zabezpiecz swoją firmę!

Pobierz eBook i uniknij kar

🛡️ Zakaz działań odwetowych – tarcza ochronna dla zgłaszającego

Podstawa prawna: Art. 11 i 12 Ustawy o ochronie sygnalistów

Głównym celem ustawy o ochronie sygnalistów nie jest jedynie zbieranie informacji o nieprawidłowościach, ale przede wszystkim zapewnienie bezpieczeństwa osobom, które mają odwagę o nich mówić. Zgłoszenie naruszenia prawa (przy założeniu, że sygnalista działał w dobrej wierze) natychmiastowo aktywuje nad nim potężną, ustawową tarczę ochronną.

Pracodawca traci w tym momencie możliwość wyciągania wobec takiej osoby jakichkolwiek negatywnych konsekwencji zawodowych. Co więcej, w polskim prawie obowiązuje w takich sprawach odwrócony ciężar dowodu. To na pracodawcy spoczywa obowiązek udowodnienia, że np. wybrane rozwiązanie umowy o pracę miało obiektywne uzasadnienie i nie miało absolutnie żadnego związku z dokonanym zgłoszeniem.

Czego nie można zrobić sygnaliście? (Zwolnienie, degradacja, mobbing)

Katalog zakazanych działań odwetowych jest bardzo szeroki. Ustawa chroni sygnalistę przed każdą formą pogorszenia jego sytuacji. Do zakazanych praktyk należą m.in.:

  • Rozwiązanie umowy o pracę (zarówno za wypowiedzeniem, jak i zwolnienie dyscyplinarne),
  • Obniżenie wynagrodzenia, wstrzymanie premii, nagrody lub innych benefitów finansowych,
  • Degradacja na niższe stanowisko lub nieuzasadnione wstrzymanie zasłużonego awansu,
  • Zmiana miejsca pracy, rozkładu czasu pracy lub zakresu obowiązków na mniej korzystne,
  • Mobbing, dyskryminacja, zastraszanie lub celowe wykluczenie (ostracyzm) z zespołu,
  • Zerwanie kontraktu B2B lub umowy cywilnoprawnej przed terminem.

Ochrona osób pomagających w dokonaniu zgłoszenia

Pełną ochroną przed takimi samymi działaniami odwetowymi objęte są również:

  • Osoby pomagające w dokonaniu zgłoszenia (tzw. facylitatorzy) – np. pracownik IT czy związkowiec,
  • Osoby powiązane z sygnalistą – np. członkowie rodziny zatrudnieni w tej samej firmie,
  • Osoby prawne powiązane z sygnalistą – spółki należące do sygnalisty współpracujące z Twoją firmą.

🚨 Kary za brak procedur i utrudnianie zgłoszeń

Podstawa prawna: Rozdział 6 (Art. 54-58) Ustawy o ochronie sygnalistów

Wielu pracodawców błędnie zakłada, że ustawa to kolejne "miękkie" prawo. Nic bardziej mylnego. Niedopełnienie obowiązków wynikających z ustawy nie grozi jedynie upomnieniem z PIP. Mówimy tutaj o osobistej, bezpośredniej odpowiedzialności karnej osób fizycznych – najczęściej członków zarządu, dyrektorów oraz osób wyznaczonych do obsługi zgłoszeń.

Grzywny, kary ograniczenia i pozbawienia wolności (odpowiedzialność karna!)

Sprawami zajmują się bezpośrednio sądy karne. Oto jak wygląda odpowiedzialność:

  • Brak procedury lub jej wdrożenie z naruszeniem prawa: grozi za to kara grzywny (Art. 58).
  • Naruszenie poufności tożsamości: Ujawnienie danych sygnalisty osobom nieupoważnionym to przestępstwo, za które grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku (Art. 56).
  • Utrudnianie dokonania zgłoszenia: Za próby zablokowania działania sygnaliście grozi więzienie do roku. Jeśli sprawca używa przemocy, groźby bezprawnej lub podstępu, kara więzienia rośnie nawet do 3 lat (Art. 54).
  • Podejmowanie działań odwetowych: To najsurowiej karane przewinienie. Za zwolnienie czy mobbing wobec sygnalisty, osobie podejmującej decyzję grozi pozbawienie wolności do lat 2. W przypadku uporczywych działań odwetowych, wymiar kary rośnie do 3 lat więzienia (Art. 55).
Ważne dla równowagi stron (Ochrona przed fałszywymi oskarżeniami): Ustawodawca nie zapomniał o ochronie pracodawców. Jeśli pracownik celowo dokona zgłoszenia nieprawdziwych informacji (działa w złej wierze), sam popełnia przestępstwo. Za fałszywe zgłoszenie grozi mu kara pozbawienia wolności do lat 2 (Art. 57).

📄 Wzory dokumentów (PDF / DOC) – darmowe szablony dla HR

Podstawa prawna dot. rejestru: Art. 29 Ustawy o ochronie sygnalistów

W obliczu natłoku nowych obowiązków prawnych, naturalnym odruchem wielu działów HR i pracodawców jest poszukiwanie gotowych rozwiązań w internecie. Choć darmowe szablony mogą stanowić świetny punkt wyjścia, kopiowanie ich bez uwzględnienia struktury organizacyjnej to gra w rosyjską ruletkę. Każda procedura musi być zaadaptowana do firmy!

Samo przyjmowanie zgłoszeń to nie koniec formalności. Każdy pracodawca objęty ustawą musi prowadzić rejestr zgłoszeń wewnętrznych. Dane osobowe w rejestrze muszą być przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze. Trzymanie go w ogólnodostępnym pliku Excel to prosty przepis na karę od UODO.

Poniżej znajdziesz fizyczne struktury (szkielety) kluczowych dokumentów. Możesz je pobrać lub skopiować tekst bezpośrednio stąd.

📄 WZÓR: Procedura Zgłoszeń Wewnętrznych (Szkielet Regulaminu)
Rozdział I: Postanowienia ogólne i słowniczek pojęć 1. Celem niniejszej procedury jest zapewnienie bezpiecznych i poufnych kanałów zgłaszania naruszeń prawa w firmie [Nazwa Firmy]. 2. Ilekroć w regulaminie mowa jest o: a) Sygnaliście - rozumie się przez to osobę fizyczną (pracownika, kontrahenta, kandydata)... Rozdział II: Kogo i czego dotyczy procedura 1. Zgłoszeniu podlegają naruszenia prawa w dziedzinach: [Zamówienia publiczne, AML, RODO, BHP, Prawo pracy - jeśli firma decyduje się na rozszerzenie]. 2. Zgłoszenia można dokonać w trybie jawnym lub anonimowym [Firma musi zaznaczyć swój wybór]. Rozdział III: Dostępne kanały komunikacji 1. Pracodawca ustanawia następujące, bezpieczne kanały do przekazywania zgłoszeń wewnętrznych: a) Platforma internetowa (system IT): [Adres URL portalu szyfrowanego] b) Infolinia / Poczta głosowa: [Numer telefonu] c) Osobiste spotkanie na wniosek sygnalisty w terminie 14 dni od zgłoszenia. Rozdział IV: Osoby upoważnione do obsługi zgłoszeń (Komitet ds. Compliance) 1. Do przyjmowania zgłoszeń, prowadzenia postępowań wyjaśniających oraz kontaktu z sygnalistą upoważnia się: [Stanowisko / Imię i Nazwisko / Nazwa zewnętrznej Kancelarii]. 2. Osoby upoważnione zobowiązane są do zachowania całkowitej bezstronności oraz ochrony tożsamości Sygnalisty pod rygorem odpowiedzialności karnej. Rozdział V: Terminy i informacje zwrotne 1. Osoba upoważniona zobowiązana jest wysłać potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni. 2. Informacja zwrotna o podjętych działaniach następczych przekazywana jest sygnaliście w terminie nie dłuższym niż 3 miesiące od dnia potwierdzenia. Rozdział VI: Zakaz działań odwetowych 1. Pracodawca gwarantuje, że wobec sygnalisty działającego w dobrej wierze nie zostaną podjęte żadne działania odwetowe (m.in. zwolnienie, obniżenie wynagrodzenia, mobbing).
📕 WZÓR: Rejestr Zgłoszeń Wewnętrznych (Tabela ewidencyjna)
Zgodnie z Art. 29 Ustawy, rejestr musi zawierać minimum poniższe kolumny. Należy pamiętać o usunięciu danych po 3 latach od zakończenia roku, w którym zamknięto sprawę. | Nr Sprawy | Data Wpływu | Dane Sygnalisty (lub adnotacja "Anonim") | Przedmiot Naruszenia Prawa | Osoba, której dotyczy zgłoszenie | Podjęte Działania Następcze (Status) | Data Zakończenia Sprawy | |-----------|-------------|------------------------------------------|----------------------------|-----------------------------------|--------------------------------------|-------------------------| | ZW/01/24 | 15.08.2024 | Jan Kowalski / Dział IT | Naruszenie procedur RODO | Anna Nowak (Manager) | Audyt IT, zmiana haseł, nagana | 02.10.2024 | | ZW/02/24 | 20.09.2024 | ZGŁOSZENIE ANONIMOWE | Ustawa o przeciwdz. praniu | Brak danych | Sprawa w toku. Powołano komisję. | - |

Pobierz Pliki (Do edycji)

📄 Pobierz Regulamin (DOC) 📕 Pobierz Rejestr (PDF)
📂 ZESTAW 30 WZORÓW

Druki z zakresu prawa pracy wraz z komentarzem

Szukasz pewnych, zgodnych z prawem wzorów pism HR? Masz na wyciągnięcie ręki pakiet ponad 30 aktualnych wzorów (CV, umowy, wypowiedzenia zmieniające, plan urlopów, świadectwo pracy). To obowiązkowy zbiór druków dla każdego pracodawcy – oszczędność czasu i nerwów!

Pobierz Pakiet Dokumentów

💡 Okiem eksperta: Jak uniknąć najdroższych błędów przy wdrażaniu ustawy?

Wdrażając przepisy o ochronie sygnalistów, firmy często wpadają w pułapkę "odhaczania" obowiązku prawnego. Skupiają się wyłącznie na zakupie systemu IT i napisaniu regulaminu. Z perspektywy wieloletniej praktyki compliance, to ogromny błąd. Kluczem do sukcesu nie jest sam system, ale kultura "Speak-up" (otwartej komunikacji). Zamiast wylewać żale w internecie lub biec do mediów, pracownik musi zaufać Twoim wewnętrznym kanałom.

💡

Kluczowe wnioski audytorów Compliance

Moja rekomendacja na podstawie wdrożeń w setkach firm

Zainwestuj w komunikację wewnętrzną i szkolenia. Wyjaśnij zespołowi, że sygnalista to nie "donosiciel", ale osoba dbająca o bezpieczeństwo biznesu i miejsc pracy. Pokaż im krok po kroku, jak działa system. Transparentność na etapie wdrożenia to najlepsza polisa ubezpieczeniowa przed kryzysami wizerunkowymi i prokuratorskimi!

92% Zgłoszeń wewnętrznych zatrzymuje kryzysy wizerunkowe
Szkolenia Zdejmują z systemu łatkę "pułapki na pracowników"
Poufność Brak szyfrowania IT to główny powód odrzucenia procedury

📊 Whistleblowing w praktyce – 3 życiowe case study z polskich firm

Suche przepisy często trudno przełożyć na codzienną rzeczywistość biznesową. Zobaczmy, jak ustawa o ochronie sygnalistów i zasada odwróconego ciężaru dowodu działają w praktyce, na przykładzie trzech realistycznych scenariuszy. Poniższe przykłady obrazują potężne konsekwencje błędów proceduralnych.

Sprawa UODO

Zignorowany mail

Pracownik zgłasza masowe pobieranie baz danych klientów na prywatny pendrive przez swojego menedżera. Pisze na ogólny adres HR. Skrzynka jest obsługiwana przez trzy osoby, wiadomość ginie, nikt nie potwierdza jej odbioru w ciągu 7 dni.

Skutek: Po 3 miesiącach sfrustrowany pracownik dokonuje zgłoszenia zewnętrznego prosto do UODO. Firma otrzymuje potężną karę za wyciek RODO, a zarząd odpowiada karnie za zignorowanie zgłoszenia.
Sąd Pracy

Zwolnienie pod przykrywką

Główna księgowa zgłasza prezesowi, że dyrektor sprzedaży fałszuje faktury. Dwa tygodnie później otrzymuje wypowiedzenie pod pretekstem "restrukturyzacji i redukcji etatów". Zarząd uznał ją za niewygodną.

Skutek: Sąd pracy i zasada odwróconego ciężaru dowodu. Firma w tym czasie zatrudniła nowe osoby do finansów. Linia obrony upada. Księgowa odzyskuje pracę z odszkodowaniem, a prezes ma proces karny za odwet.
Kryzys PR

Wykluczony kontrahent B2B

Informatyk na kontrakcie B2B odkrywa ustawianie przetargów. System zgłoszeń w firmie wymaga jednak służbowego maila (tylko dla etatowców), którego on nie posiada. Odrzucony systemowo, pozbawiony możliwości zgłoszenia wewnętrznego, idzie na policję.

Skutek: Błąd polegający na niezrozumieniu szerokiej definicji sygnalisty. Zamiast cichego audytu, wybuch publicznego skandalu i zatrzymania służb.

✅ Checklista wdrożeniowa HR & Compliance: Czy Twoja firma jest gotowa?

Aby upewnić się, że Twoja organizacja spełnia wszystkie wymogi ustawy, przejdź przez poniższą interaktywną listę kontrolną. Jeśli na którekolwiek pytanie odpowiesz "Nie", oznacza to obszar wysokiego ryzyka prawnego, który wymaga natychmiastowej interwencji zarządu i działu HR.

Prawny Audyt Zgodności

✔️
Weryfikacja progu: Czy prawidłowo policzyliśmy stan na 1 stycznia lub 1 lipca (wliczając etaty, zlecenia i B2B wykonujące pracę osobiście)?
✔️
Bezpieczny kanał: Czy nasz system IT gwarantuje 100% poufności tożsamości i uniemożliwia dostęp administratorom sieci?
✔️
Bezstronny zespół: Czy wyznaczyliśmy niezależną osobę (Compliance) lub komitet do obsługi, minimalizując ryzyko konfliktu interesów?
✔️
Konsultacje: Czy projekt procedury został skonsultowany ze związkami zawodowymi lub przedstawicielami załogi (proces 5-15 dni)?
✔️
Terminy: Czy proces gwarantuje wysłanie potwierdzenia w 7 dni oraz merytorycznego feedbacku w max. 3 miesiące?
✔️
Rejestr i Szkolenia: Czy prowadzimy szyfrowany rejestr spraw i przeszkoliliśmy kadrę z zakazu działań odwetowych?

❓ FAQ – Najczęściej zadawane pytania o ochronę sygnalistów (Whistleblowing)

1. Czy firma ma obowiązek przyjmować zgłoszenia anonimowe?

Nie. Ustawa daje pracodawcy wolną rękę w tej kwestii. Firma w swojej procedurze zgłoszeń wewnętrznych może samodzielnie zdecydować, czy rozpatruje wyłącznie zgłoszenia podpisane (od osób o znanej tożsamości), czy dopuszcza również kanały w pełni anonimowe. Rekomenduje się jednak dopuszczenie anonimowości, co znacząco zwiększa zaufanie załogi do systemu.

2. Czy firma zatrudniająca 30 osób musi mieć procedurę dla sygnalistów?

Co do zasady nie. Obowiązek prawny dotyczy podmiotów, na rzecz których pracę zarobkową wykonuje co najmniej 50 osób. Wyjątkiem są firmy z tzw. branż regulowanych (np. sektor finansowy, biura rachunkowe, pośrednicy nieruchomości podlegający pod ustawę AML), które muszą wdrożyć procedury bez względu na liczbę pracowników (nawet przy 1 osobie). Mniejsze firmy spoza tej grupy mogą to zrobić w pełni dobrowolnie.

3. Czy sygnalista dostaje nagrodę finansową za zgłoszenie nadużycia?

Nie. Polskie i unijne przepisy nie przewidują żadnych nagród finansowych (tzw. „znaleźnego”) dla osób zgłaszających nieprawidłowości, co odróżnia nasz system np. od rozwiązań amerykańskich. Główną i jedyną korzyścią dla sygnalisty jest pełna ochrona prawna przed jakimikolwiek działaniami odwetowymi ze strony pracodawcy.

4. Co grozi sygnaliście, który celowo złoży fałszywe zgłoszenie?

Ochrona przysługuje wyłącznie osobom działającym w dobrej wierze (czyli takim, które miały uzasadnione podstawy sądzić, że informacja jest prawdziwa w momencie zgłaszania). Osoba, która świadomie i celowo dokonuje fałszywego zgłoszenia, aby zaszkodzić firmie lub współpracownikom, nie podlega ochronie. Co więcej, grozi jej odpowiedzialność karna (grzywna, ograniczenie lub pozbawienie wolności do lat 2), a pracodawca może ją zwolnić w trybie dyscyplinarnym – np. poprzez zwolnienie dyscyplinarne (Art. 52 KP) za ciężkie naruszenie obowiązków pracowniczych.

5. Z jakich kanałów zgłoszeń można korzystać w firmie?

Ustawa dopuszcza zgłoszenia ustne (np. nagrywana infolinia, osobiste spotkanie) oraz pisemne. W praktyce, z uwagi na rygorystyczne wymogi poufności, firmy najczęściej wdrażają dedykowane, szyfrowane aplikacje webowe do whistleblowingu. Tradycyjne skrzynki e-mail czy fizyczne skrzynki na listy są odradzane, ponieważ znacznie utrudniają zachowanie bezpieczeństwa danych i terminową obsługę.

6. Kim jest „osoba pomagająca w dokonaniu zgłoszenia”?

To osoba fizyczna, która pomaga sygnaliście w procesie zgłaszania w kontekście związanym z pracą (tzw. facylitator – np. kolega z zespołu, przedstawiciel związkowy, a nawet pracownik IT pomagający zabezpieczyć pliki). Osoby te podlegają dokładnie takiej samej tarczy ochronnej przed odwetem zawodowym jak sam sygnalista.

7. Kto w firmie powinien przyjmować zgłoszenia od sygnalistów?

Przepisy wymagają wyznaczenia bezstronnej osoby lub dedykowanego zespołu. Najczęściej są to pracownicy działu Compliance, radcy prawni, audytorzy wewnętrzni lub specjalnie przeszkoleni pracownicy HR. Aby zagwarantować 100% bezstronności, proces ten można również w pełni legalnie zlecić wyspecjalizowanej firmie zewnętrznej lub kancelarii (outsourcing obsługi zgłoszeń).

8. Jak długo trzeba przechowywać dane w rejestrze zgłoszeń wewnętrznych?

Zgodnie z ustawą, dane osobowe oraz inne informacje w rejestrze zgłoszeń wewnętrznych muszą być przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze (lub po zakończeniu postępowań, które te działania zainicjowały). Po tym czasie dane należy usunąć.

9. Czym różni się zgłoszenie wewnętrzne od zewnętrznego?

Zgłoszenie wewnętrzne trafia do wyznaczonej osoby lub komitetu wewnątrz struktury danej firmy. Zgłoszenie zewnętrzne to przekazanie informacji o naruszeniu prawa bezpośrednio do odpowiedniego organu publicznego (np. UODO, UOKiK, PIP, prokuratury) lub do Rzecznika Praw Obywatelskich. Sygnalista ma prawo dokonać zgłoszenia zewnętrznego z pominięciem firmowej procedury.

10. Czym są „działania następcze”?

To wszystkie formalne kroki, które pracodawca musi podjąć po otrzymaniu zgłoszenia od sygnalisty. Obejmują one m.in. weryfikację prawdziwości informacji, przeprowadzenie postępowania wyjaśniającego (audytu, śledztwa wewnętrznego), komunikację z sygnalistą oraz podjęcie środków zaradczych w celu wyeliminowania łamania prawa.

🎯 Podsumowanie: Ochrona sygnalistów to nie opcja, to obowiązek

Wejście w życie przepisów o ochronie sygnalistów zamknęło w Polsce erę "zamiatania problemów pod dywan". Ustawodawca jasno dał do zrozumienia, że transparentność biznesu i bezpieczeństwo pracowników to absolutny priorytet. Wymóg wdrożenia procedur zgłoszeń wewnętrznych, obejmujący większość firm zatrudniających powyżej 50 osób (oraz cały sektor finansowy i AML), to wyzwanie, którego nie można bagatelizować.

Jak wykazaliśmy w powyższym artykule, wdrożenie ustawy to znacznie więcej niż tylko skopiowanie darmowego wzoru z internetu. To skomplikowany proces, który wymaga:

  • Precyzyjnego policzenia stanu zatrudnienia (w tym współpracowników B2B i zleceniobiorców),
  • Zapewnienia bezwzględnej poufności poprzez bezpieczne kanały komunikacji (np. szyfrowane platformy IT),
  • Przestrzegania rygorystycznych terminów (7 dni na potwierdzenie, 3 miesiące na informację zwrotną),
  • Zrozumienia zasady odwróconego ciężaru dowodu i absolutnego zakazu działań odwetowych.

Konsekwencje błędów na tym polu są niezwykle surowe. Zignorowanie obowiązku, utrudnianie zgłoszeń lub próba zemsty na sygnaliście (np. poprzez zwolnienie czy mobbing) to prosta droga do odpowiedzialności karnej zarządu – w tym nawet do 3 lat pozbawienia wolności – oraz potężnego kryzysu wizerunkowego. Z drugiej strony, prawidłowo wdrożony system whistleblowingowy to ogromna wartość dodana. To mechanizm wczesnego ostrzegania, który pozwala zarządowi wykryć i zneutralizować nadużycia, zanim sprawa trafi do prokuratury czy mediów.

Nie ryzykuj bezpieczeństwa swojej firmy i zarządu!

Wdrażanie procedur compliance na własną rękę, bez odpowiedniego zaplecza prawnego i technologicznego, to ogromne ryzyko. Jeśli Twoja organizacja potrzebuje wsparcia w legalnym, bezpiecznym i sprawnym wdrożeniu systemu dla sygnalistów – jesteśmy do Twojej dyspozycji.

Przeprowadzimy audyt, stworzymy procedury szyte na miarę, dostarczymy bezpieczną platformę IT i przeszkolimy Twój zespół.

Skontaktuj się i umów bezpłatny audyt procedur
Wyślij posta przez e-mail

Komentarze

Prześlij komentarz