Loading
Sowa i PartnerzySowa i PartnerzySowa i Partnerzy

Ochrona sygnalistów – Ustawa, wdrożenie, od kiedy obowiązek?

ochrona sygnalistów od kiedy obowiązek

Wdrażamy procedury zgłoszeń wewnętrznych

Przeprowadzamy organizacje przez proces wdrożenia maksymalnie prosto i bezboleśnie. Mamy ogromne doświadczenie we wdrażaniu różnych procedur, dlatego potrafimy wyważyć różne interesy i zaproponować rozwiązania, które idealnie pasują do organizacji. Rozumiemy, że organizacje są niechętne do wdrażania skomplikowanych procedur dlatego oferujemy prosty, standardowy i bardzo solidny produkt, który zapewnia zgodność z przepisami prawa, a jednocześnie nie wywraca biznesu do góry nogami. 

Ochrona sygnalistów – podstawowe informacje

25 września 2024 r. wchodzi w życie Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. poz. 928). – dalej „Ustawa”.

Ustawa wdraża dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii – dalej „Dyrektywa”. Osoby zgłaszające naruszenia prawa Unii zostały nazwane przez polskiego ustawodawcę właśnie „sygnalistami”.

Kim jest sygnalista?

Ustawa definiuje sygnalistę w następujący sposób:

[Art. 4 ust. 1] Sygnalistą jest osoba fizyczna, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą (…).

Pozornie definicja wydaje się prosta, ale w rzeczywistości jest ona dużo bardziej skomplikowana niż to wygląda na pierwszy rzut oka. Ustawa wprowadza bowiem osobne definicje dla wyrażeń, które znajdują się w definicji samego sygnalisty, takich jak „informacja o naruszeniu prawa”, „naruszenie prawa”, czy „kontekst związany z pracą”.  Pisaliśmy o tym szczegółowo w tym wpisie Sygnalista – Kto to jest i jaką pełni funkcję w firmie (i nie tylko). Jest to dobre miejsce, jeżeli chcesz uzyskać wyczerpujące informacje na temat tego kto to jest sygnalista, jaka ochrona mu przysługuje i co może być przedmiotem zgłoszenia.

Na potrzeby tego wpisu warto zapamiętać, że sygnaliści to osoby, które w związku ze swoją działalnością zawodową (np. świadczeniem pracy lub usług) dowiadują się o zagrożeniach lub szkodach dla interesu publicznego (np. o korupcji, o wprowadzaniu na rynek produktu niebezpiecznego, ustawianiu przetargu, zagrożeniu dla środowiska) i decydują się na zgłoszenie informacji o tym zagrożeniu lub szkodzie bądź wewnątrz organizacji, bądź do odpowiednich organów, lub w określonych przypadkach ujawniają o tym informację publicznie.

Założenie legislacyjne, polegające na objęciu sygnalistów szczególną ochroną jest proste. Potencjalni sygnaliści często rezygnują ze zgłaszania swoich zastrzeżeń lub podejrzeń z obawy przed działaniami odwetowymi ze strony przełożonych, lub nawet innych kolegów i koleżanek z pracy (w tym przede wszystkim osób, których dotyczy zgłoszenie, np. dyrektora, który bierze łapówkę). W tym celu przygotowano szereg instrumentów prawnych, które mają zapewniać sygnalistom daleko idącą ochronę. Instrumenty polegają na zachowaniu daleko idącej poufności procesu zgłaszania naruszeń, zakazie stosowania działań odwetowych w stosunku do sygnalisty (i osób, które pomagają w dokonaniu zgłoszenia, a także osób powiązanych z sygnalistą, np. współpracowników, czy osoby najbliższej), czy nawet odpowiedzialności karnej dla osób, które nie wdrażają przepisów o ochronie sygnalistów, lub łamią zakaz stosowania działań odwetowych.  W określonych przypadkach sygnaliście będzie też przysługiwać prawo do odszkodowania.

Sygnalista to nie żaden „kapuś”, „konfident”, „zdrajca”, „sprzedawczyk”, czy „donosiciel”, jak mogą sugerować występujące w obrocie opinie na ten temat. Sygnaliści działają w obronie dóbr społecznych (np. bezpieczeństwa transportu, transparentności systemu zamówień publicznych, ochrony prywatności, braku korupcji, itp.), poprawiają egzekwowanie prawa, a często zmierzają do tego, żeby było po prostu normalnie – czyli zgodnie z prawem. Ponadto często działają w interesie pracodawcy, który np. nie wie, że na niższych szczeblach w strukturze przedsiębiorstwa dochodzi do naruszeń prawa ze szkodą dla niego samego (a tak jest w bardzo dużej ilości przypadków). Sygnalizowanie w kontekście związanym z pracą kojarzy się źle przede wszystkim z uwagi na minione już czasy gospodarki uspołecznionej, gdzie powszechne były kradzieże mienia społecznego (państwowego, spółdzielczego, organizacji społecznych), które wiązało się z niezasłużoną a dość szeroką tolerancją, w odróżnieniu od kradzieży dóbr indywidualnych.  Używanie pogardliwych określeń w stosunku do sygnalisty może nie tylko naruszać jego dobra osobiste i skutkować odpowiedzialnością cywilnoprawną, ale w określonych sytuacjach może to być nawet uznane za stosowanie działań odwetowych i skutkować odpowiedzialnością karną.

Firma, urząd, szkoła… kogo dotyczą nowe przepisy?

Przede wszystkim sygnalistą może być każdy, niezależnie od wielkości i rodzaju podmiotu, w którym lub dla kogo pracuje, o ile oczywiście spełnione są warunki objęcia ochroną, o których mowa w Ustawie.

Istotne natomiast jest, że podmioty prawne, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób muszą wdrożyć procedurę zgłoszeń wewnętrznych (Art. 23 Ustawy).

Zatrzymajmy się tutaj na chwilę. Przez podmiot prawny należy rozumieć podmiot prywatny lub podmiot publiczny.

Zgodnie z Ustawą podmiotem prywatnym jest:

  • osoba fizyczna prowadząca działalność gospodarczą,
  • osoba prawna lub
  • jednostka organizacyjna nieposiadająca osobowości prawnej, której ustawa przyznaje zdolność prawną (np. spółka jawna, komandytowa, partnerska), lub
  • pracodawca,

jeżeli nie są podmiotami publicznymi.

Katalog podmiotów prywatnych jest zatem bardzo szeroki. Można powiedzieć, że jeżeli prowadzisz firmę, fundację, stowarzyszenie, itp. i zatrudniasz więcej niż 50 osób to masz obowiązek wdrożenia procedury zgłoszeń wewnętrznych.

Do liczby 50 osób wykonujących pracę zarobkową wlicza się pracowników w przeliczeniu na pełne etaty lub osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia. Inaczej mówiąc, do ilości pracowników wlicza się także osoby zatrudnione na umowach cywilnoprawnych (dzieło, zlecenie).

Podmiotem publicznym jest natomiast podmiot wskazany w art. 3 ustawy z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego (Dz. U. z 2023 r. poz. 1524). Katalog podmiotów, o których tam mowa jest również bardzo szeroki. Mowa tu będzie między innymi o jednostkach samorządu terytorialnego (gminy, powiaty, województwa), uczelniach publicznych, urzędach czy szkołach.

Istotne jest, że przepisów o procedurach wewnętrznych nie stosuje się do jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 000 mieszkańców. Jeżeli zatem szkoła podstawowa jest w gminie, która liczy mniej niż 10 000 mieszkańców, to taka szkoła nie ma obowiązku wprowadzania procedury. Jeżeli natomiast szkoła znajduje się w gminie, która co prawda liczy więcej niż 10 000 mieszkańców, ale szkoła zatrudnia mniej niż 50 osób, to wówczas także nie ma obowiązku wprowadzenia procedury zgłoszeń wewnętrznych.

Podsumowując – nowe przepisy mogą dotyczyć firm, szkół i urzędów, jeżeli zostaną przekroczone odpowiednie progi ustawowe. Jeżeli tak się stanie konieczne będzie wdrożenie procedury zgłoszeń wewnętrznych.

Na koniec warto zauważyć, że podmioty prawne prowadzące działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska mają obowiązek wprowadzenia procedury zgłoszeń wewnętrznych niezależnie od liczby osób wykonujących pracę zarobkową.

Co należy zrobić, żeby zapewnić zgodność z nowymi przepisami?

Tutaj musimy rozdzielić kilka spraw.

Zapewnienie zgodności z przepisami na gruncie Ustawy można rozpatrywać od strony podmiotu, który musi wdrożyć procedurę zgłoszeń wewnętrznych, albo od strony sygnalisty, który musi ocenić, czy to czego się dowiedział w kontekście związanym z pracą podlega zgłoszeniu w ramach kanałów dedykowanych dla sygnalistów i czy będzie mógł korzystać z należnej ochrony. Ponadto są jeszcze przepisy dotyczące tego jak postępować ze zgłoszeniami, jakich działań nie można podejmować względem sygnalistów i co muszą zrobić urzędy.

W tym momencie największe zainteresowanie budzą procedury zgłoszeń wewnętrznych, gdyż każdy przedsiębiorca zastanawia się, czy, jak i do kiedy musi wdrożyć takie procedury u siebie w organizacji. Samo wdrożenie nie jest bardzo skomplikowane, ale w praktyce trwa około miesiąca.

Trzeba mieć to na uwadze w kontekście planowania wdrożenia przed wejściem w życie Ustawy, gdyż czasu wcale nie jest dużo (zob. jednak niżej na informacje z Ministerstwa).

Opisujemy wdrożenie procedury zgłoszeń wewnętrznych krok po kroku tutaj: https://sowaip.pl/ochrona-sygnalistow/.

Procedura ochrony sygnalistów, regulamin ochrony sygnalistów, polityka ochrony sygnalistów… – co to są za dokumenty?

W obrocie występują takie nazwy jak procedura ochrony sygnalistów, regulamin ochrony sygnalistów, polityka ochrony sygnalistów i podobne. Wszystkie jednak dotyczą tego samego a mianowicie procedury zgłoszeń wewnętrznych.

Sygnalista może bowiem wybrać z trzech kanałów przekazania informacji. Sygnalista może dokonać tzw. zgłoszenia wewnętrznego, zgłoszenia zewnętrznego, lub ujawnienia publicznego.

  1. Zgłoszenie wewnętrzne to takie zgłoszenie, które jest adresowane do podmiotu, w którym ma lub może mieć miejsce naruszenie prawa.
  2. Zgłoszenie zewnętrzne to zgłoszenie przekazane Rzecznikowi Praw Obywatelskich lub organowi publicznemu.
  3. Ujawnienie publiczne jest to natomiast podanie informacji o naruszeniu do wiadomości publicznej.

Procedura zgłoszeń wewnętrznych dotyczy pierwszego z wyżej wymienionych kanałów, czyli zgłoszeń przekazywanych wewnątrz organizacji. Chodzi o ustanowienie procedury, która ureguluje szereg kwestii zmierzających do zapewnienia poufności, efektywności procesu, obiegu informacji, itp. Sygnalista musi wiedzieć do kogo się zwrócić, a osoba, do której się zwraca musi wiedzieć co z tą informacją zrobić, komu ją przekazać, jakie działania należy podjąć. Mając na względzie, że taka sprawa ma charakter delikatny zawsze powstają problemy związane z ochroną danych osobowych sygnalistów, osób których dotyczy zgłoszenie, innych osób które biorą udział w procesie. To co powinna zawierać procedura zostało określone w art. 25 Ustawy:

Zgodnie z powołanym przepisem procedura zgłoszeń wewnętrznych określa:

  1. wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, lub podmiot zewnętrzny, upoważnione przez podmiot prawny do przyjmowania zgłoszeń wewnętrznych;
  2. sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę wraz z jego adresem korespondencyjnym lub adresem poczty elektronicznej, zwanymi dalej “adresem do kontaktu”;
  3. bezstronną wewnętrzną jednostkę organizacyjną lub osobę w ramach struktury organizacyjnej podmiotu prawnego, upoważnione do podejmowania działań następczych, włączając w to weryfikację zgłoszenia wewnętrznego i dalszą komunikację z sygnalistą, w tym występowanie o dodatkowe informacje i przekazywanie sygnaliście informacji zwrotnej; funkcję tę może pełnić wewnętrzna jednostka organizacyjna lub osoba, o których mowa w pkt 1, jeżeli zapewniają bezstronność;
  4. tryb postępowania z informacjami o naruszeniach prawa zgłoszonymi anonimowo;
  5. obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie;
  6. obowiązek podjęcia, z zachowaniem należytej staranności, działań następczych przez wewnętrzną jednostkę organizacyjną lub osobę, o których mowa w pkt 3;
  7. maksymalny termin na przekazanie sygnaliście informacji zwrotnej, nieprzekraczający 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego lub – w przypadku nieprzekazania potwierdzenia, o którym mowa w pkt 5 – 3 miesięcy od upływu 7 dni od dnia dokonania zgłoszenia wewnętrznego, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać informację zwrotną;
  8. zrozumiałe i łatwo dostępne informacje na temat dokonywania zgłoszeń zewnętrznych do Rzecznika Praw Obywatelskich albo organów publicznych oraz – w stosownych przypadkach – do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.


Procedura zgłoszeń wewnętrznych może dodatkowo objąć w szczególności:

  1. wskazanie dodatkowych naruszeń (spoza katalogu, o którym mowa w art. 3 Ustawy), jeżeli podmiot prawny przewidział możliwość zgłaszania takich naruszeń;
  2. wskazanie czynników ryzyka odpowiadających profilowi działalności podmiotu prawnego, sprzyjających możliwości wystąpienia określonych naruszeń prawa związanych w szczególności z naruszeniem obowiązków regulacyjnych lub innych obowiązków określonych w przepisach prawa lub z ryzykiem korupcji;
  3. wskazanie, że informacja o naruszeniu prawa może być w każdym przypadku zgłoszona również do Rzecznika Praw Obywatelskich albo organu publicznego z pominięciem procedury zgłoszeń wewnętrznych;
  4. określenie systemu zachęt do korzystania z procedury zgłoszeń wewnętrznych, w przypadku gdy naruszeniu prawa można skutecznie zaradzić w ramach struktury organizacyjnej podmiotu prawnego, a sygnalista uważa, że nie zachodzi ryzyko działań odwetowych.

Przepisy te są uszczegółowione w dalszej części Ustawy.

Ochrona danych osobowych w kontekście regulacji dotyczących ochrony sygnalistów.

Ustawa zawiera przepisy w zakresie ochrony danych osobowych sygnalistów (art. 9), Należy jednak mieć na względzie, że przepisy te nie wyłączają przepisów RODO. Stanowi o tym wprost motyw 83 Dyrektywy:

(83) Przetwarzanie danych osobowych zgodnie z niniejszą dyrektywą, w tym wymiana lub przekazywanie danych osobowych przez właściwe organy, powinno być dokonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 43  i dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/680 44

W praktyce Art. 9 budzi bardzo wiele wątpliwości, gdyż jest nieprecyzyjny i stwarza pole do różnych interpretacji w szczególności w zakresie wypełniania obowiązków informacyjnych i retencji danych. Jest to oczywiście duży kłopot, biorąc pod uwagę, że ochrona danych osobowych powinna zajmować centralne miejsce w systemie ochrony sygnalistów, tj. nie da wdrożyć się skutecznego i dobrego systemu ochrony sygnalistów bez jasnego uregulowania kwestii związanych z przetwarzaniem danych osobowych.

Zasadniczo jednak naczelna zasada brzmi, że:

Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości, nie podlegają ujawnieniu nieupoważnionym osobom, chyba że za wyraźną zgodą sygnalisty.

Zasada ta doznaje jednak kilku wyjątków określonych w Ustawie.

Jakie są kary za niewdrożenie przepisów o ochronie sygnalistów?

Brak wdrożenia procedury zgłoszeń wewnętrznych jest wykroczeniem.

Art. 58 Ustawy stanowi:

Kto, będąc odpowiedzialnym za ustanowienie procedury zgłoszeń wewnętrznych, wbrew przepisom ustawy procedury tej nie ustanawia lub ustanawia ją z istotnym naruszeniem wynikających z ustawy wymogów, podlega karze grzywny.

Grzywna może być wymierzona w wysokości od 20 do 5000 zł.

Można zatem powiedzieć, że za brak wdrożenia procedury Ustawa przewiduje karę stosunkowo niewielką. Na etapie prac legislacyjnych projekt ustawy przewidywał tutaj kary o wiele surowsze, w tym nawet karę pozbawienia wolności do lat 3. Ostatecznie jednak ustawodawca nie zdecydował się na wprowadzenie tak surowej odpowiedzialności, co wywołuje liczne kontrowersje. 

Należy jednak mieć na względzie, że brak procedury wewnętrznej będzie prowadził do tego, że sygnalista niejako będzie zmuszony do korzystania z innych kanałów zgłoszeń, np. kanału zgłoszeń zewnętrznych (tj. do Rzecznika Praw Obywatelskich lub organu publicznego). Zamiast zatem zaradzić naruszeniu w ramach organizacji sygnalista będzie zmuszony informować o naruszeniu podmioty zewnętrzne, które nie zawsze będą nastawione na pomoc dla podmiotu.

Innymi słowy, rzeczywista kara za brak procedury zgłoszeń wewnętrznych może być zatem dużo wyższa, zależna od rodzaju naruszenia i organu, który zajmie się sprawą,

Specjalne systemy ochrony sygnalistów – czy muszę je kupić?

Nie. Procedurę ochrony sygnalistów można oprzeć w całości na istniejących systemach i infrastrukturze, chyba że nie spełnia odpowiednich standardów bezpieczeństwa. Z punktu widzenia ochrony sygnalistów najważniejsze są rozwiązania organizacyjne, które zapewnią poszanowanie praw osób, których dotyczy procedura zgłoszeń wewnętrznych.  

Gdzie mogę znaleźć ustawę o ochronie sygnalistów?

Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. poz. 928) jest dostępna pod linkiem https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928.

Gdzie mogę znaleźć dyrektywę o ochronie sygnalistów?

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii jest dostępna w języku polskim pod linkiem https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32019L1937.

Nowe informacje z Ministerstwa – do kiedy należy się przygotować?

Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. poz. 928) wchodzi w życie z dniem  25 września 2024 r.

Ustawa nie przewiduje żadnych okresów przejściowych. W związku z tym słusznie uznawano, że na dzień każdy podmiot, do którego stosuje się przepisy o konieczności wdrożenia procedur zgłoszeń wewnętrznych musi wdrożyć te procedury najpóźniej do 25 września 2024 r.

Ministerstwo Rodziny, Pracy i Polityki Społecznej opublikowało jednak komunikat, z którego wynika, że system zgłoszeń wewnętrznych dla sygnalistów trzeba wdrożyć dopiero po 1 stycznia 2025 r.. Z czego wynika taka zmiana?

Ministerstwo uznało, że skoro ilość pracowników zgodnie z Ustawą szacuje się na dzień 1 stycznia lub 1 lipca danego roku, to znaczy to, że przed tą datą nie można oszacować ilu pracowników pracuje dla podmiotu, a przez to że nie można ocenić, czy podmiot ma obowiązek wdrożenia procedury zgłoszeń wewnętrznych. Idąc tokiem rozumowania Ministerstwa, nawet jeżeli dla podmiotu pracuje 5000 osób w dacie wejścia w życie Ustawy to nie ma to znaczenia, dlatego że pierwsze oszacowanie ma nastąpić dopiero w styczniu 2025 r.  

Eksperci jednak są zgodni, że takie stanowisko Ministerstwa jest co najmniej kontrowersyjne. To przepisy prawa powszechnie obowiązującego określają, kiedy powstają określone obowiązki a nie komunikaty urzędów centralnych. Nie można zatem bezpiecznie zakładać, że obowiązki o których mowa w komunikacie rzeczywiście powstaną dopiero w styczniu 2025 r, skoro ustawa nie przewiduje tutaj żadnego okresu przejściowego. Może się zatem okazać – np. w wypadku zgłoszenia przez pracownika po 25 września 2024 r., że podmiot nie ma wdrożonej procedury, że zostaną nałożone określone sankcje, wbrew temu co twierdzi Ministerstwo. Rekomendujemy zatem aby nie czekać z wdrożeniem procedur.

Ochrona sygnalistów – doradztwo prawne

Nasza Kancelaria świadczy kompleksowe usługi prawne związane z regulacjami dotyczącymi ochrony sygnalistów. Na co dzień wdrażamy procedury zgłoszeń wewnętrznych, doradzamy przy podejmowaniu decyzji dotyczących zgłoszeń, pomagamy przy prowadzeniu działań następczych. Zdajemy sobie sprawę z tego, że często przepisy są niejednoznaczne i mogą budzić wątpliwości przy zastosowaniu ich w praktyce. Jeżeli masz pytania skontaktuj się z nami.

Wdrażamy procedury zgłoszeń wewnętrznych

Przeprowadzamy organizacje przez proces wdrożenia maksymalnie prosto i bezboleśnie. Mamy ogromne doświadczenie we wdrażaniu różnych procedur, dlatego potrafimy wyważyć różne interesy i zaproponować rozwiązania, które idealnie pasują do organizacji. Rozumiemy, że organizacje są niechętne do wdrażania skomplikowanych procedur dlatego oferujemy prosty, standardowy i bardzo solidny produkt, który zapewnia zgodność z przepisami prawa, a jednocześnie nie wywraca biznesu do góry nogami. 

Skontaktuj się z nami!

Możesz ocenić naszą stronę.
[Wszystkich ocen: 1 Średnia ocena: 5]

1 Comment

Comments are closed.