Procedura zgłoszeń wewnętrznych sygnalisty

Procedura zgłoszeń wewnętrznych sygnalisty w Polsce to dokument wewnętrzny podmiotu prawnego, który określa zasady i kanały bezpiecznego przekazywania informacji o naruszeniach prawa przez osoby działające w kontekście związanym z pracą — w wykonaniu obowiązku wynikającego z art. 24 ust. 1 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928, dalej: „ustawa o ochronie sygnalistów”), transponującej dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii.

Polska ustawa o ochronie sygnalistów weszła w życie z dniem 25 września 2024 r. — jest jedną z ostatnich spośród państw Unii Europejskiej, które wdrożyły dyrektywę 2019/1937 (termin minął 17 grudnia 2021 r., Komisja Europejska wszczęła postępowanie naruszeniowe przeciwko Polsce). Ustawa ustanawia dwuszczeblowy system zgłaszania naruszeń: kanały wewnętrzne (u pracodawcy) i zewnętrzne (organ publiczny — w Polsce: Rzecznik Praw Obywatelskich jako organ centralny oraz organy branżowe, np. Komisja Nadzoru Finansowego, Urząd Ochrony Danych Osobowych, Prezes Urzędu Ochrony Konkurencji i Konsumentów). Sygnalista, który dokonał zgłoszenia wewnętrznego i nie uzyskał odpowiedzi ani działań następczych, może skierować zgłoszenie zewnętrzne do właściwego organu publicznego.

Sygnalista w rozumieniu ustawy o ochronie sygnalistów to osoba fizyczna, która zgłasza lub ujawnia publicznie informacje o naruszeniu prawa uzyskane w kontekście związanym z pracą. Krąg osób korzystających z ochrony ustawy jest szeroki: pracownicy (umowa o pracę, mianowanie, powołanie, wybór), osoby świadczące pracę na podstawie umów cywilnoprawnych (umowa zlecenia, umowa o dzieło, kontrakt B2B), stażyści, wolontariusze, kandydaci do pracy w procesie rekrutacji, byli pracownicy, akcjonariusze i wspólnicy, członkowie organów zarządzających.

Obowiązek posiadania procedury zgłoszeń wewnętrznych spoczywa na podmiotach prawnych zatrudniających co najmniej 50 pracowników. Ustawa wprowadziła jednak przepis przejściowy: podmioty zatrudniające 50–249 pracowników musiały wdrożyć procedurę do 17 grudnia 2023 r. (na mocy bezpośrednio stosowanej dyrektywy), natomiast podmioty zatrudniające co najmniej 250 pracowników — do 25 września 2024 r. Niezależnie od liczby pracowników procedurę muszą wdrożyć podmioty działające w sektorach obligatoryjnych: usługi finansowe, produkty i rynki finansowe, zapobieganie praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwo transportu, ochrona środowiska.

Wzór procedury zgłoszeń wewnętrznych sygnalisty zgodny z ustawą z 14.06.2024 r. oraz dyrektywą (UE) 2019/1937 dostępny jest na forms-legal.com. Prawidłowo sporządzona procedura chroni nie tylko sygnalistę, lecz także podmiot przed karą grzywny za jej brak lub utrudnianie zgłoszeń (art. 58 ustawy o ochronie sygnalistów).

Procedura zgłoszeń wewnętrznych sygnalisty w Polsce jest obowiązkowa dla podmiotów prawnych zatrudniających co najmniej 50 pracowników — bez względu na formę prawną (spółka z o.o., spółka akcyjna, prosta spółka akcyjna, spółka jawna, komandytowa, fundacja, stowarzyszenie, organ publiczny, przedsiębiorstwo państwowe).

**Podmioty z co najmniej 250 pracownikami** — obowiązek obowiązywał od 25 września 2024 r. (data wejścia w życie ustawy o ochronie sygnalistów). Brak procedury po tej dacie stanowi wykroczenie zagrożone karą grzywny (art. 58 ustawy o ochronie sygnalistów).

**Podmioty z 50–249 pracownikami** — obowiązek wynikał bezpośrednio z dyrektywy (UE) 2019/1937 od 17 grudnia 2023 r. (termin upłynął przed uchwaleniem polskiej ustawy transponującej). PUODO i Rzecznik Praw Obywatelskich (RPO) zalecali wdrożenie procedury na podstawie dyrektywy stosowanej wprost.

**Podmioty sektora finansowego** — na podmioty objęte nadzorem Komisji Nadzoru Finansowego (KNF) i banki nakłada obowiązek posiadania procedur sygnalizowania nieprawidłowości dyrektywa CRD IV i ustawa Prawo bankowe — niezależnie od liczby pracowników.

**Typowe sytuacje wymagające procedury:** - Wdrożenie systemu compliance w organizacji po raz pierwszy lub jego aktualizacja. - Audyt RODO lub audyt compliance — brak procedury sygnalistów to ryzyko compliance negatywnie oceniane przez audytorów i ubezpieczycieli. - Przystąpienie do przetargu publicznego lub postępowania o zamówienie publiczne — zamawiający coraz częściej żądają potwierdzenia wdrożenia systemu compliance. - Przekroczenie progu 50 pracowników — moment graniczny, od którego obowiązek staje się aktywny. - Incydent związany z naruszeniem prawa w organizacji — wdrożenie procedury zmniejsza ryzyko odpowiedzialności organizacyjnej i indywidualnej zarządu. - Wdrożenie lub certyfikacja ISO 37001 (systemy zarządzania antykorupcyjnego) lub ISO 37301 (systemy zarządzania compliance) — obie normy wymagają kanałów zgłaszania nieprawidłowości.

**Dobrowolne wdrożenie — podmioty z poniżej 50 pracownikami.** Małe firmy nie mają obowiązku prawnego, jednak wdrożenie procedury sygnalistów jest elementem dobrej praktyki corporate governance, który jest doceniany przez kontrahentów, inwestorów i instytucje finansowe. Wdrożenie procedury na warunkach ustawy o ochronie sygnalistów automatycznie zapewnia sygnaliście ochronę ustawową nawet w podmiocie poniżej progu 50 pracowników.

Procedura zgłoszeń wewnętrznych sygnalisty w Polsce musi zawierać szereg elementów wskazanych wprost w art. 25 ust. 1 ustawy o ochronie sygnalistów oraz wynikających z wymogów dyrektywy (UE) 2019/1937.

**1. Wskazanie podmiotu i zakres podmiotowy.** Pełna nazwa podmiotu prawnego wdrażającego procedurę, jego dane rejestrowe (adres siedziby, NIP, numer KRS) i liczba zatrudnionych pracowników — decydująca o istnieniu obowiązku prawnego. Zakres podmiotowy musi obejmować wszystkich pracowników i osoby działające w kontekście związanym z pracą, w tym pracowników tymczasowych i osoby świadczące pracę na innej podstawie niż stosunek pracy.

**2. Kanały i sposoby zgłaszania naruszeń.** Ustawa wymaga ustanowienia co najmniej jednego wewnętrznego kanału zgłoszeniowego zapewniającego poufność tożsamości sygnalisty. W praktyce stosuje się: dedykowany adres e-mail, telefoniczną linię zgłoszeniową, formularz online na platformie compliance, możliwość osobistego spotkania z koordynatorem lub składania pisemnych zgłoszeń w zamkniętej kopercie. Kanał musi umożliwiać złożenie zgłoszenia w formie pisemnej lub ustnej (art. 26 ustawy o ochronie sygnalistów).

**3. Bezstronny koordynator (wewnętrzna jednostka lub osoba upoważniona).** Podmiot wskazuje bezstronną wewnętrzną jednostkę organizacyjną lub osobę upoważnioną do przyjmowania zgłoszeń i podejmowania działań następczych. Koordynatorem może być dział compliance, IOD, radca prawny wewnętrzny, wydzielona osoba HR lub członek zarządu (dla małych podmiotów). Koordynator nie może być bezpośrednim przełożonym osoby dokonującej zgłoszenia w danej sprawie — naruszałoby to wymóg bezstronności z art. 25 ust. 1 pkt 3 ustawy o ochronie sygnalistów.

**4. Terminy działań następczych.** Potwierdzenie przyjęcia zgłoszenia: 7 dni od daty otrzymania (art. 28 ust. 1). Informacja o działaniach następczych: do 3 miesięcy od potwierdzenia (art. 28 ust. 2). Wstępna ocena zasadności: nie dłużej niż 14 dni. W sprawach pilnych (zagrożenie zdrowia lub życia) — niezwłocznie. Uchybienie terminom ustawowym może być podstawą odpowiedzialności Podmiotu za utrudnianie zgłoszeń (art. 58 ustawy o ochronie sygnalistów).

**5. Ochrona tożsamości sygnalisty (poufność).** Bezwzględny zakaz ujawniania tożsamości sygnalisty bez jego zgody osobom nieupoważnionym. Dane osobowe sygnalisty przetwarzane są na podstawie art. 6 ust. 1 lit. c RODO (obowiązek prawny) i art. 32 RODO (bezpieczeństwo przetwarzania). Dokumentacja zgłoszeń przechowywana jest przez 5 lat od przyjęcia zgłoszenia (art. 29 ust. 3 ustawy o ochronie sygnalistów). Systemy IT obsługujące kanały zgłoszeniowe muszą mieć ograniczony dostęp i logi zdarzeń.

**6. Zakaz działań odwetowych i środki ochrony.** Bezwzględny zakaz wszelkich form działań odwetowych wobec sygnalisty, osób mu pomagających i osób z nim powiązanych (art. 12 ustawy o ochronie sygnalistów). Katalog działań odwetowych jest otwarty — obejmuje zwolnienie, degradację, mobbing, dyskryminację, negatywną ocenę pracy, wpisanie na czarną listę. Ciężar dowodu odwrócony — w sporze sądowym to pracodawca musi wykazać, że działanie było niezależne od zgłoszenia (art. 17 ust. 2 ustawy o ochronie sygnalistów). Narzędzie do generowania procedur zgodnych z ustawą o ochronie sygnalistów dla polskich firm — forms-legal.com.

**7. Rejestr zgłoszeń.** Obowiązek prowadzenia rejestru zgłoszeń wewnętrznych (art. 29 ustawy o ochronie sygnalistów) z minimalnymi danymi: numer zgłoszenia, data, przedmiot, status, data działań następczych, data zakończenia. Rejestr przechowywany przez 5 lat; dostęp ograniczony do upoważnionych osób.

**8. Informacja dla pracowników i szkolenia.** Podmiot zobowiązany jest poinformować pracowników o procedurze — procedura wchodzi w życie nie wcześniej niż po upływie 7 dni od przekazania jej treści do wiadomości pracowników (art. 25 ust. 1 ustawy o ochronie sygnalistów). Zaleca się szkolenia z zakresu ochrony sygnalistów dla kadry zarządzającej i HR oraz zamieszczenie procedury w BIP (dla podmiotów publicznych) lub w intranecie (podmioty prywatne).

Procedura zgłoszeń wewnętrznych sygnalisty w Polsce wypełniana jest przez dostosowanie wzoru do specyfiki organizacji — struktury zatrudnienia, dostępnych kanałów technicznych i struktury wewnętrznej podmiotu.

**Krok 1: Dane podmiotu.** Wpisz pełną firmę (nazwę), adres siedziby i NIP podmiotu wdrażającego procedurę. Dane muszą być zgodne z wpisem w KRS lub CEIDG. Wskaż przedział zatrudnienia — jest to istotne z punktu widzenia obowiązku prawnego i trybu wdrożenia.

**Krok 2: Koordynator zgłoszeń.** Wskaż konkretną komórkę organizacyjną lub imiennie upoważnioną osobę. Koordynator musi być bezstronny — nie powinien być bezpośrednim przełożonym potencjalnych sygnalistów w sprawach, które mogą być przedmiotem zgłoszenia. Dla mniejszych podmiotów (50–100 pracowników) funkcję koordynatora może pełnić jeden z członków zarządu lub HR — pod warunkiem zapewnienia bezstronności. W podmiotach powyżej 250 pracowników rekomendowany jest odrębny dział compliance lub IOD.

**Krok 3: Kanały zgłoszeń.** Wpisz dedykowany adres e-mail i numer telefonu przeznaczone wyłącznie do zgłoszeń sygnalistów. Adres e-mail nie powinien być ogólnym adresem firmowym ([email protected]) — powinien być poufny i dostępny wyłącznie dla koordynatora. Jeśli podmiot wdraża platformę compliance online (np. EQS, Navex Global, własna aplikacja), wskaż jej adres URL.

**Krok 4: Zakres naruszeń.** Wybierz kategorie naruszeń objętych procedurą. Minimalny zakres obowiązkowy obejmuje naruszenia prawa UE w dziedzinach wskazanych w art. 3 ust. 1 ustawy o ochronie sygnalistów. Możesz rozszerzyć zakres o naruszenia prawa krajowego (w tym Kodeksu pracy, przepisów antykorupcyjnych, przepisów podatkowych) na podstawie art. 4 ustawy — rozszerzenie zakresu jest zalecane z punktu widzenia kompleksowego compliance.

**Krok 5: Zgłoszenia anonimowe.** Zdecyduj, czy procedura dopuszcza anonimowe zgłoszenia. Ustawa nie wymaga ich akceptowania, lecz ich dopuszczenie zwiększa efektywność systemu sygnalizowania — część sygnalistów decyduje się zgłosić wyłącznie pod warunkiem pełnej anonimizacji. Jeśli Podmiot przyjmuje zgłoszenia anonimowe, powinien zapewnić kanał techniczny umożliwiający poufną dwustronną komunikację (np. aplikacja anonimizowana).

**Krok 6: Data i wdrożenie.** Wpisz datę wejścia w życie procedury. Przed tą datą procedura musi zostać przekazana do wiadomości pracowników — poprzez wewnętrzny intranet, skrzynkę e-mail pracowniczą lub zebranie pracownicze. Zachowaj potwierdzenie przekazania (np. wydruk z systemu HR lub lista obecności na zebraniu). Po wejściu w życie procedury każdy nowo zatrudniany pracownik powinien być z nią zaznajomiony podczas onboardingu.

Procedura zgłoszeń wewnętrznych sygnalisty w Polsce musi spełniać wymogi ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928) i dyrektywy (UE) 2019/1937.

**Art. 24–25 ustawy o ochronie sygnalistów — obowiązek i treść procedury.** Podmioty prawne zatrudniające co najmniej 50 pracowników są zobowiązane do ustanowienia wewnętrznych kanałów i procedur zgłoszeń. Art. 25 ust. 1 wskazuje minimalne elementy procedury: wskazanie podmiotu, sposoby zgłaszania, bezstronną wewnętrzną jednostkę, tryb postępowania, terminy, zakaz działań odwetowych. Procedura wchodzi w życie po 7 dniach od przekazania jej pracownikom.

**Art. 8 — poufność tożsamości sygnalisty.** Bezwzględny obowiązek ochrony tożsamości sygnalisty. Naruszenie poufności podlega karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3 (art. 54 ust. 1 ustawy o ochronie sygnalistów).

**Art. 12–14 — zakaz działań odwetowych i ochrona.** Katalog zakazanych działań odwetowych. Odwrócony ciężar dowodu w sporze sądowym — pracodawca musi wykazać niezwiązanie działania ze zgłoszeniem (art. 17 ust. 2). Sygnaliście przysługuje odszkodowanie minimum w wysokości minimalnego wynagrodzenia (art. 14 ust. 1).

**Art. 28–29 — działania następcze i rejestr.** Obowiązek potwierdzenia przyjęcia zgłoszenia (7 dni) i informowania o działaniach następczych (3 miesiące). Rejestr zgłoszeń przechowywany 5 lat. Dane osobowe sygnalisty i osoby, której dotyczy zgłoszenie, chronione przepisami RODO (art. 6 ust. 1 lit. c i art. 32 RODO).

**Art. 54–58 — sankcje karne i administracyjne.** Naruszenie poufności tożsamości sygnalisty: do 3 lat pozbawienia wolności. Działania odwetowe: grzywna, ograniczenie wolności lub pozbawienie wolności do lat 2. Zgłoszenie informacji nieprawdziwych przez sygnalistę: grzywna, ograniczenie wolności lub pozbawienie wolności do roku. Brak procedury lub utrudnianie zgłoszeń przez podmiot: kara grzywny.

**Powiązanie z RODO (art. 6 ust. 1 lit. c i art. 13 RODO).** Podmiot przetwarza dane osobowe sygnalisty na podstawie obowiązku prawnego z ustawy o ochronie sygnalistów. Sygnaliście przysługuje klauzula informacyjna RODO przekazana przy przyjmowaniu zgłoszenia, z wyłączeniem informacji mogących ujawnić tożsamość osób zgłoszonych przed zakończeniem postępowania (art. 23 ust. 1 lit. e u.o.d.o.).

**Kodeks pracy — art. 94³ KP (mobbing) i art. 18³a KP (dyskryminacja).** Działania odwetowe wobec sygnalisty naruszające jego godność lub warunki pracy mogą jednocześnie stanowić mobbing lub dyskryminację w rozumieniu Kodeksu pracy, co otwiera dodatkową ścieżkę dochodzenia roszczeń przed sądem pracy (Sąd Rejonowy — Wydział Pracy i Ubezpieczeń Społecznych).

Procedury zgłoszeń wewnętrznych sygnalistów w Polsce zawierają szereg typowych błędów, które prowadzą do nieskuteczności systemu lub niezgodności z ustawą o ochronie sygnalistów.

**Zbyt wąski zakres podmiotowy.** Procedura obejmuje wyłącznie pracowników etatowych, pomijając osoby świadczące pracę na podstawie umów cywilnoprawnych (B2B, zlecenie, dzieło), stażystów, kandydatów do pracy i byłych pracowników. Ustawa o ochronie sygnalistów wprost rozciąga ochronę na wszystkie te kategorie (art. 4 ust. 1) — wąski zakres oznacza, że istotna część potencjalnych sygnalistów nie korzysta z ochrony i może nie korzystać z kanałów zgłoszeniowych.

**Brak bezstronnego koordynatora.** Procedura wskazuje jako koordynatora bezpośredniego przełożonego w hierarchii, któremu podlegają osoby mogące dokonywać zgłoszeń. Narusza to wymóg bezstronności z art. 25 ust. 1 pkt 3 ustawy — sygnalista, wiedząc, że zgłoszenie trafi do przełożonego, rezygnuje z korzystania z kanałów wewnętrznych i kieruje zgłoszenie do Rzecznika Praw Obywatelskich lub organów ścigania.

**Brak ochrony w fazie weryfikacji tożsamości.** Procedura wymaga podania danych osobowych sygnalisty w zgłoszeniu wysyłanym na ogólny adres e-mail firmy — bez systemu kontroli dostępu. Tożsamość sygnalisty może zostać ujawniona administratorowi systemu e-mail lub innym pracownikom — naruszenie art. 8 ustawy o ochronie sygnalistów i art. 32 RODO.

**Brak informacji dla pracowników i brak daty wejścia w życie.** Procedura istnieje w szufladzie zarządu, lecz nie została przekazana pracownikom. Ustawa o ochronie sygnalistów wymaga, by procedura weszła w życie po 7 dniach od jej przekazania pracownikom. System compliance istnieje jedynie formalnie, nie spełnia celu prewencyjnego i nie chroni przed sankcją za brak procedury z art. 58 ustawy.

**Stosowanie nieadekwatnych terminów.** Procedura przewiduje termin rozpatrzenia zgłoszenia „w ciągu 30 dni” lub „niezwłocznie”, pomijając bezwzględny ustawowy termin 7 dni na potwierdzenie przyjęcia i 3 miesięcy na informację o działaniach następczych z art. 28 ustawy o ochronie sygnalistów. Przekroczenie tych terminów to podstawa odpowiedzialności podmiotu.