Przewodnik zaktualizowany 2026

Przewodnik wdrożenia kanału zgłoszeń dla sygnalistów — Ustawa o ochronie sygnalistów

Ustawa o ochronie sygnalistów, obowiązująca od 25 września 2024 roku, nakłada na polskich pracodawców obowiązek utworzenia wewnętrznych kanałów zgłoszeń naruszeń prawa. Niniejszy przewodnik wyjaśnia krok po kroku, jak wdrożyć kanał zgłoszeń zgodny z wymogami ustawowymi, kto jest zobowiązany do jego posiadania, jakie sankcje grożą za brak zgodności oraz w jaki sposób platforma WhistleBox pomaga organizacjom spełnić wszystkie obowiązki prawne. Niezależnie od tego, czy reprezentujesz sektor prywatny, czy publiczny — znajdziesz tu praktyczne wskazówki dotyczące ochrony sygnalistów i budowania kultury przejrzystości w organizacji.

1. Kontekst prawny

Ustawa o ochronie sygnalistów (Dz.U. 2024 poz. 928) stanowi polską transpozycję Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Polska była jednym z ostatnich państw członkowskich, które dokonały transpozycji tej dyrektywy, co oznacza, że wiele organizacji musiało w krótkim czasie dostosować swoje procedury wewnętrzne do nowych wymogów. Ustawa o sygnalistach definiuje kompleksowe ramy prawne obejmujące zarówno kanały zgłoszeń wewnętrznych, jak i zewnętrznych, a także ujawnienia publiczne jako ostateczny mechanizm ochrony interesu publicznego.

Celem ustawy jest zapewnienie skutecznej ochrony sygnalistów — osób, które w dobrej wierze zgłaszają naruszenia prawa w kontekście związanym z pracą. Sygnalista to nie tylko pracownik etatowy. Ustawa obejmuje ochroną również zleceniobiorców, wykonawców umów B2B, stażystów, wolontariuszy, akcjonariuszy, członków organów zarządzających, a nawet kandydatów do pracy i byłych pracowników. Tak szerokie ujęcie definicji sygnalisty ma na celu eliminację luk prawnych, które wcześniej umożliwiały represjonowanie osób zgłaszających nieprawidłowości.

Ustawa obejmuje zgłoszenia dotyczące naruszeń w obszarach takich jak: zamówienia publiczne, usługi i produkty finansowe, bezpieczeństwo produktów, ochrona środowiska, zdrowie publiczne, ochrona konsumentów, ochrona danych osobowych, bezpieczeństwo sieci i systemów informatycznych, interesy finansowe Skarbu Państwa i Unii Europejskiej, a także prawo pracy. Dodatkowo podmioty mogą rozszerzyć katalog naruszeń objętych procedurą zgłoszeń wewnętrznych o regulacje wewnętrzne i standardy etyczne obowiązujące w organizacji.

Ważne: Obowiązek wdrożenia kanału zgłoszeń dotyczy wszystkich podmiotów zatrudniających co najmniej 50 osób. Rzecznik Praw Obywatelskich pełni funkcję organu centralnego przyjmującego zgłoszenia zewnętrzne. Brak wdrożenia procedury zgłoszeń wewnętrznych podlega sankcjom karnym, w tym karom grzywny. Organizacje, które dotychczas nie wdrożyły wymaganych procedur, powinny niezwłocznie podjąć działania dostosowawcze.

2. Kto jest zobowiązany

Ustawa o ochronie sygnalistów nakłada obowiązek ustanowienia wewnętrznych kanałów zgłoszeń na szeroką grupę podmiotów. Zakres podmiotowy obejmuje zarówno sektor prywatny, jak i publiczny, z uwzględnieniem specyficznych progów zatrudnienia i wyjątków.

Sektor prywatny

Wszystkie podmioty prywatne zatrudniające co najmniej 50 osób są zobowiązane do ustanowienia wewnętrznego kanału zgłoszeń naruszeń prawa. Przy obliczaniu progu zatrudnienia uwzględnia się pracowników zatrudnionych na podstawie umowy o pracę, a także osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają one do tego rodzaju pracy innych osób. Podmioty działające w sektorze finansowym — takie jak banki, fundusze inwestycyjne, zakłady ubezpieczeń, instytucje płatnicze i firmy inwestycyjne — podlegają obowiązkowi niezależnie od liczby zatrudnionych osób. Ta zasada odzwierciedla szczególne ryzyko naruszeń prawa w sektorze finansowym oraz potrzebę wzmocnionego nadzoru w tym obszarze.

Sektor publiczny

Podmioty publiczne, w tym jednostki samorządu terytorialnego, urzędy administracji rządowej, podmioty prawa publicznego oraz inne jednostki organizacyjne sektora finansów publicznych, są zobowiązane do wdrożenia kanału zgłoszeń. W przypadku gmin liczących poniżej 10 000 mieszkańców ustawa przewiduje możliwość wspólnego ustanowienia procedury zgłoszeń przez kilka jednostek. Wszystkie organy publiczne zatrudniające 50 lub więcej osób muszą posiadać w pełni funkcjonalny kanał zgłoszeń wewnętrznych. Podmioty publiczne powinny zapewnić, że procedura zgłoszeń jest łatwo dostępna dla wszystkich osób objętych ochroną, w tym dla osób współpracujących z danym podmiotem na podstawie umów cywilnoprawnych.

3. Wymagania dotyczące kanału zgłoszeń

Kanał zgłoszeń wewnętrznych musi spełniać szereg wymagań określonych w ustawie o ochronie sygnalistów. Poniżej przedstawiamy kluczowe wymogi, które każda organizacja musi uwzględnić przy projektowaniu i wdrażaniu systemu przyjmowania zgłoszeń od sygnalistów.

  • Poufność tożsamości sygnalisty — kanał zgłoszeń musi gwarantować ochronę tożsamości osoby dokonującej zgłoszenia oraz osób, których zgłoszenie dotyczy. Dostęp do danych identyfikacyjnych sygnalisty powinien być ściśle ograniczony do wyznaczonych osób upoważnionych do obsługi zgłoszeń.
  • Możliwość zgłoszeń anonimowych — ustawa nakłada obowiązek przyjmowania zgłoszeń anonimowych. Organizacja musi zapewnić techniczne i organizacyjne warunki umożliwiające dokonanie zgłoszenia bez ujawniania tożsamości sygnalisty, jeżeli taka jest jego wola.
  • Wielokanałowość — kanał zgłoszeń powinien umożliwiać dokonywanie zgłoszeń co najmniej w formie ustnej i pisemnej. Zgłoszenia ustne mogą być przyjmowane telefonicznie lub za pośrednictwem innych systemów komunikacji głosowej, a na wniosek sygnalisty — podczas bezpośredniego spotkania.
  • Potwierdzenie przyjęcia zgłoszenia — podmiot jest zobowiązany do potwierdzenia przyjęcia zgłoszenia w terminie 7 dni od daty jego wpłynięcia. Potwierdzenie powinno zawierać informację o dalszych krokach procedury.
  • Informacja zwrotna — sygnalista musi otrzymać informację zwrotną dotyczącą podjętych lub planowanych działań następczych w terminie nie dłuższym niż 3 miesiące od daty potwierdzenia przyjęcia zgłoszenia.
  • Wyznaczenie osoby lub komórki odpowiedzialnej — organizacja musi wyznaczyć bezstronną osobę lub komórkę organizacyjną odpowiedzialną za przyjmowanie zgłoszeń, komunikację z sygnalistą i podejmowanie działań następczych. Alternatywnie, obsługę zgłoszeń można powierzyć podmiotowi zewnętrznemu na podstawie umowy.
  • Prowadzenie rejestru zgłoszeń — podmiot jest zobowiązany do prowadzenia rejestru wszystkich zgłoszeń wewnętrznych. Rejestr powinien zawierać numer zgłoszenia, przedmiot naruszenia, datę zgłoszenia, informację o podjętych działaniach następczych oraz wynik postępowania wyjaśniającego. Dane w rejestrze przechowuje się przez 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze.
  • Konsultacja z przedstawicielami pracowników — procedura zgłoszeń wewnętrznych musi być ustalona po konsultacji z zakładową organizacją związkową lub, w przypadku jej braku, z przedstawicielami pracowników wyłonionymi w trybie przyjętym u danego pracodawcy. Procedura wchodzi w życie po upływie 7 dni od dnia podania jej do wiadomości osób wykonujących pracę.

4. Terminy ustawowe

DziałanieTermin
Wejście ustawy w życie25 września 2024 r.
Obowiązek wdrożenia kanału zgłoszeń — podmioty 250+ pracowników25 września 2024 r.
Obowiązek wdrożenia kanału zgłoszeń — podmioty 50–249 pracowników25 grudnia 2024 r.
Potwierdzenie przyjęcia zgłoszenia7 dni od wpłynięcia zgłoszenia
Informacja zwrotna dla sygnalistyMaksymalnie 3 miesiące od potwierdzenia przyjęcia
Przechowywanie danych w rejestrze zgłoszeń3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze
Wejście w życie procedury po konsultacji7 dni od podania do wiadomości pracowników

Podmioty, które nie wdrożyły kanału zgłoszeń w wymaganym terminie, narażają się na sankcje karne. Zalecamy niezwłoczne podjęcie działań dostosowawczych i skorzystanie z platformy WhistleBox, która umożliwia uruchomienie w pełni zgodnego kanału zgłoszeń w ciągu jednego dnia roboczego.

5. Sankcje za nieprzestrzeganie

Kary przewidziane ustawą:

  • Brak ustanowienia procedury zgłoszeń wewnętrznych lub ustanowienie procedury niezgodnej z ustawą — kara grzywny.
  • Utrudnianie dokonania zgłoszenia — kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat 2.
  • Podejmowanie działań odwetowych wobec sygnalisty — kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat 2.
  • Ujawnienie tożsamości sygnalisty osobom nieuprawnionym — kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat 2.
  • Dokonanie zgłoszenia lub ujawnienia publicznego nieprawdziwych informacji — sygnalista, który świadomie zgłasza nieprawdziwe informacje, podlega karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
  • Naruszenie obowiązku zachowania poufności — osoby upoważnione do obsługi zgłoszeń, które naruszą obowiązek zachowania poufności danych sygnalisty, podlegają odpowiedzialności karnej.

Sankcje dotyczą zarówno osób fizycznych odpowiedzialnych za wdrożenie procedur, jak i osób podejmujących działania odwetowe. Odpowiedzialność karna obejmuje członków zarządu, dyrektorów i inne osoby, na których ciąży obowiązek zapewnienia zgodności z ustawą o ochronie sygnalistów.

6. Ochrona sygnalisty

Ustawa o ochronie sygnalistów zapewnia kompleksową ochronę osobom zgłaszającym naruszenia prawa. Ochrona przysługuje sygnaliście od momentu dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem że miał uzasadnione podstawy, by sądzić, że informacja będąca przedmiotem zgłoszenia jest prawdziwa w momencie dokonywania zgłoszenia.

  • Zakaz działań odwetowych — pracodawca nie może podejmować wobec sygnalisty żadnych działań odwetowych, w tym: wypowiedzenia lub rozwiązania umowy, obniżenia wynagrodzenia, wstrzymania awansu, zmiany warunków pracy na mniej korzystne, nałożenia kary dyscyplinarnej, mobbingu, dyskryminacji, wykluczenia lub ostracyzmu w środowisku pracy.
  • Ochrona przed zwolnieniem — wypowiedzenie lub rozwiązanie umowy z sygnalistą z powodu dokonania zgłoszenia jest nieważne. Sygnalista może dochodzić odszkodowania lub przywrócenia do pracy na drodze sądowej.
  • Odwrócony ciężar dowodu — w postępowaniu sądowym dotyczącym działań odwetowych to pracodawca musi udowodnić, że podjęte działanie nie było motywowane zgłoszeniem sygnalisty. To kluczowe ułatwienie procesowe dla osób korzystających z ochrony.
  • Środki tymczasowe — sąd może na wniosek sygnalisty zastosować środki tymczasowe, w tym przywrócenie do pracy lub wstrzymanie wykonania decyzji pracodawcy do czasu prawomocnego rozstrzygnięcia sprawy.
  • Ochrona osób pomagających — ochrona rozciąga się również na osoby pomagające sygnaliście w dokonaniu zgłoszenia oraz na osoby powiązane z sygnalistą, które mogłyby doświadczyć działań odwetowych w kontekście związanym z pracą.
  • Prawo do odszkodowania — sygnalista, wobec którego podjęto działania odwetowe, ma prawo do odszkodowania w wysokości nie niższej niż przeciętne miesięczne wynagrodzenie w gospodarce narodowej lub prawo do zadośćuczynienia.
  • Poufność tożsamości — tożsamość sygnalisty jest chroniona i nie może być ujawniona osobom nieuprawnionym bez wyraźnej zgody sygnalisty, z wyjątkiem sytuacji przewidzianych w ustawie.

Ochrona sygnalisty ma charakter bezwzględny — żadne postanowienie umowy o pracę, regulaminu ani innego aktu wewnętrznego nie może wyłączyć ani ograniczyć praw sygnalisty przewidzianych w ustawie. Wszelkie klauzule ograniczające prawo do zgłoszenia naruszenia są z mocy prawa nieważne.

7. Wdrożenie krok po kroku

1

Krok 1: Audyt stanu obecnego

Przeprowadź analizę istniejących procedur zgłaszania nieprawidłowości w organizacji. Zidentyfikuj luki w stosunku do wymogów ustawy o ochronie sygnalistów. Oceń, czy obecne kanały komunikacji spełniają wymagania dotyczące poufności, anonimowości i wielokanałowości. Sporządź raport z audytu wskazujący obszary wymagające dostosowania.

2

Krok 2: Konsultacja z przedstawicielami pracowników

Przedstaw projekt procedury zgłoszeń wewnętrznych zakładowej organizacji związkowej lub przedstawicielom pracowników. Konsultacja jest obowiązkowym elementem procesu wdrożenia — pominięcie tego kroku skutkuje niezgodnością procedury z ustawą. Uwzględnij uwagi zgłoszone podczas konsultacji i udokumentuj cały proces.

3

Krok 3: Wybór i konfiguracja kanału zgłoszeń

Wybierz platformę technologiczną zapewniającą poufność, anonimowość, szyfrowanie danych i zgodność z RODO. WhistleBox oferuje gotowe rozwiązanie spełniające wszystkie wymogi ustawy, z możliwością uruchomienia w ciągu jednego dnia roboczego. Skonfiguruj kanał zgłoszeń uwzględniając formularz zgłoszeniowy, komunikację zwrotną z sygnalistą oraz rejestr zgłoszeń.

4

Krok 4: Wyznaczenie osób odpowiedzialnych

Wyznacz bezstronną osobę lub komórkę organizacyjną odpowiedzialną za przyjmowanie i obsługę zgłoszeń. Zapewnij, że wyznaczone osoby posiadają odpowiednie kompetencje i przeszkolenie w zakresie procedury zgłoszeń, ochrony danych osobowych i zasad zachowania poufności. Rozważ powierzenie obsługi zgłoszeń podmiotowi zewnętrznemu, jeżeli organizacja nie dysponuje odpowiednimi zasobami wewnętrznymi.

5

Krok 5: Szkolenie i komunikacja

Przeprowadź szkolenia dla wszystkich pracowników i współpracowników objętych procedurą zgłoszeń. Poinformuj o możliwości dokonywania zgłoszeń, dostępnych kanałach, gwarancjach poufności i ochronie przed działaniami odwetowymi. Procedura wchodzi w życie po upływie 7 dni od podania jej do wiadomości osób wykonujących pracę. Zapewnij stały dostęp do informacji o procedurze zgłoszeń — na przykład w intranecie, regulaminie pracy lub na dedykowanej stronie internetowej.

6

Krok 6: Monitoring i doskonalenie

Regularnie monitoruj funkcjonowanie kanału zgłoszeń. Analizuj statystyki zgłoszeń, czas reakcji, jakość działań następczych oraz poziom satysfakcji sygnalistów z procesu obsługi zgłoszeń. Przeprowadzaj okresowe przeglądy procedury i aktualizuj ją w odpowiedzi na zmiany prawne, organizacyjne lub technologiczne. WhistleBox dostarcza panel analityczny umożliwiający bieżący monitoring wszystkich kluczowych wskaźników zgodności.

8. Dlaczego WhistleBox

WhistleBox to platforma zaprojektowana specjalnie z myślą o wymogach Ustawy o ochronie sygnalistów oraz Dyrektywy UE 2019/1937. Nasze rozwiązanie łączy pełną zgodność prawną z intuicyjnym interfejsem użytkownika, zaawansowanym szyfrowaniem danych i elastyczną konfiguracją dopasowaną do potrzeb organizacji każdej wielkości. Wybierając WhistleBox, zyskujesz pewność, że Twój kanał zgłoszeń spełnia wszystkie wymogi ustawowe dotyczące ochrony sygnalistów.

Pełna zgodność z Ustawą o ochronie sygnalistów i Dyrektywą UE 2019/1937 — platforma spełnia wszystkie wymogi prawne dotyczące kanału zgłoszeń wewnętrznych.
Gwarancja anonimowości — sygnalista może dokonać zgłoszenia bez ujawniania tożsamości, a dwukierunkowa komunikacja odbywa się przez zaszyfrowany kanał bez identyfikacji nadawcy.
Szyfrowanie end-to-end — wszystkie dane zgłoszeniowe są szyfrowane zarówno w trakcie przesyłania, jak i przechowywania, co zapewnia najwyższy poziom ochrony poufności.
Wdrożenie w ciągu jednego dnia — konfiguracja platformy jest prosta i intuicyjna, co pozwala uruchomić w pełni funkcjonalny kanał zgłoszeń w ciągu kilku godzin.
Automatyczne potwierdzenia i powiadomienia — system automatycznie potwierdza przyjęcie zgłoszenia w terminie wymaganym przez ustawę i przypomina o zbliżających się terminach informacji zwrotnej.
Wbudowany rejestr zgłoszeń — platforma prowadzi rejestr zgłoszeń zgodny z wymogami ustawy, z możliwością eksportu danych i generowania raportów.
Wielojęzyczny interfejs — platforma obsługuje język polski, angielski, rumuński i inne języki europejskie, co jest istotne dla organizacji międzynarodowych.
Zgodność z RODO — przetwarzanie danych osobowych odbywa się zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych, z uwzględnieniem zasad minimalizacji danych i ograniczenia przechowywania.
Elastyczna konfiguracja kategorii naruszeń — administrator może dostosować kategorie zgłoszeń do specyfiki organizacji, rozszerzając katalog naruszeń o regulacje wewnętrzne i kodeksy etyczne.
Wsparcie techniczne i prawne — zespół WhistleBox zapewnia pomoc przy wdrożeniu, konfiguracji oraz bieżącej obsłudze platformy, w tym konsultacje dotyczące zgodności z ustawą o ochronie sygnalistów.
Załóż darmowe kontoUmów demonstrację