Kogo obowiązuje ustawa? Liczy się stan zatrudnienia

Zgodnie z ustawą, obowiązek wdrożenia wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych ciąży na podmiotach prawnych, na rzecz których wykonuje pracę zarobkową co najmniej 50 osób.

Należy bezwzględnie pamiętać, że do tego progu wlicza się nie tylko pracowników na umowie o pracę (w przeliczeniu na pełne etaty), ale również osoby świadczące pracę na podstawie umów cywilnoprawnych (np. B2B, umowa zlecenie), o ile nie zatrudniają do tego podwykonawców. Próg 50 osób nie dotyczy podmiotów z sektora finansowego oraz podmiotów podlegających przepisom o praniu pieniędzy (AML) – te firmy muszą wdrożyć procedury niezależnie od wielkości.

Ustanowienie kanału zgłoszeń za pomocą zwykłego adresu e-mail to proszenie się o kłopoty. Taki kanał z reguły nie zapewnia wymaganej ustawowo poufności tożsamości zgłaszającego. Administratorzy IT mają dostęp do logów serwera pocztowego, co stanowi bezpośrednie złamanie przepisów. Należy stosować dedykowane, szyfrowane platformy.

Restrykcyjne terminy – na co firma musi być gotowa?

Ustawa nie daje pracodawcy dowolności w tempie procesowania zgłoszeń. Wymusza ona żelazną dyscyplinę czasową, z której zarząd będzie musiał się rozliczyć. Brak reakcji w terminie to naruszenie obowiązków ustawowych.

Wymagane terminy w procesie obsługi sygnalisty

przewiń →

Czynność Maksymalny termin ustawowy
Potwierdzenie przyjęcia zgłoszenia 7 dni od daty otrzymania zgłoszenia
Przekazanie informacji zwrotnej sygnaliście 3 miesiące od potwierdzenia przyjęcia zgłoszenia
Przechowywanie danych w rejestrze zgłoszeń 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania

Czego najczęściej dotyczą zgłoszenia?

Mitem jest, że sygnaliści będą zgłaszać wyłącznie wielomilionowe oszustwa finansowe. Praktyka rynkowa pokazuje, że najwięcej naruszeń dotyczy codziennego funkcjonowania organizacji, zwłaszcza w obszarze zarządzania ludźmi i bezpieczeństwa danych.

przewiń →

Obszary naruszeń najczęściej zgłaszane przez sygnalistów (%)
Aby zminimalizować ryzyko eskalacji problemu do organów publicznych (tzw. zgłoszenie zewnętrzne), firma powinna zadbać o kulturę zaufania. Pracownik, który wie, że jego zgłoszenie wewnętrzne zostanie potraktowane poważnie i nie spotkają go za to działania odwetowe, znacznie rzadziej idzie z problemem do prokuratury czy mediów.

Sankcje karne – to nie są zwykłe mandaty

Polski ustawodawca potraktował kwestię ochrony sygnalistów niezwykle surowo. Odpowiedzialność za brak wdrożenia procedur lub za represjonowanie zgłaszających ma charakter odpowiedzialności karnej, a nie tylko administracyjnej. Grozi za to odpowiedzialność osobista (np. członków zarządu lub osób wyznaczonych do obsługi zgłoszeń).

  • Brak procedury wewnętrznej: podlega karze grzywny.
  • Podejmowanie działań odwetowych (np. zwolnienie, degradacja sygnalisty): podlega karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (a w przypadku uporczywości – do lat 3).
  • Ujawnienie tożsamości sygnalisty: podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do roku.
Podstawa prawna: Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. z 2024 r. poz. 928). Przepisy weszły w życie po odpowiednim vacatio legis pod koniec 2024 roku, co oznacza, że w 2026 roku organy ścigania bezwzględnie weryfikują działanie tych systemów w firmach.