TL;DR
- Ustawa z 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928) weszła w życie 25 września 2024 r. i transponuje dyrektywę UE 2019/1937.
- Kogo dotyczy: każdy pracodawca zatrudniający co najmniej 50 osób (umowa o pracę + B2B + zlecenia, stan na 1 stycznia danego roku). Firmy z sektora finansowego, transportu morskiego, AML — bez progu zatrudnienia.
- Sygnalista = osoba zgłaszająca naruszenie prawa uzyskane w kontekście pracy (pracownik, B2B, zleceniobiorca, stażysta, były pracownik, kandydat, akcjonariusz, członek zarządu).
- Trzy kanały zgłoszeń: wewnętrzny (w firmie), zewnętrzny (do Rzecznika Praw Obywatelskich lub organu publicznego), ujawnienie publiczne (tylko gdy 2 poprzednie zawiodły).
- Obowiązki firmy: procedura zgłoszeń wewnętrznych, rejestr zgłoszeń, wyznaczenie podmiotu odbierającego zgłoszenia (osoba lub jednostka), poufność, zakaz odwetu.
- Kary: dla pracodawcy — grzywna do 240 stawek dziennych lub kara ograniczenia/pozbawienia wolności; dla sygnalisty doznającego odwetu — odszkodowanie nie niższe niż 12-krotność średniego miesięcznego wynagrodzenia (≈ 90-100 tys. zł w 2026 r.).
Skąd się wzięła ustawa
Tłem jest dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. o ochronie osób zgłaszających naruszenia prawa Unii — uchwalona po aferach Cambridge Analytica, LuxLeaks i serii skandali bankowych. Polska miała czas na transpozycję do 17 grudnia 2021 r., ale ostatecznie ustawa weszła dopiero 25 września 2024 r. — z trzyletnim opóźnieniem, za które Komisja Europejska wszczęła postępowanie naruszeniowe.
W okresie przejściowym (od grudnia 2021 do września 2024 r.) sądy stosowały dyrektywę bezpośrednio w sporach pracowniczych z udziałem podmiotów publicznych. Od września 2024 r. obowiązuje już pełna polska ustawa.
Kogo dotyczy obowiązek
Obowiązek wprowadzenia procedury zgłoszeń wewnętrznych ma:
- każdy pracodawca zatrudniający co najmniej 50 osób na dzień 1 stycznia danego roku — liczy się łączna liczba osób świadczących pracę zarobkową, niezależnie od formy (umowa o pracę, zlecenie, B2B, staż);
- niezależnie od liczby zatrudnionych — podmioty z sektorów: usługi finansowe, AML/CFT, transport morski i lotniczy, infrastruktura krytyczna, bezpieczeństwo żywności;
- jednostki sektora finansów publicznych (urzędy, agencje, samorządy) przy 50+ zatrudnionych.
Grupy kapitałowe mogą prowadzić jedną wspólną procedurę dla spółek zatrudniających poniżej 250 osób — pod warunkiem dostępności kanału dla pracowników każdej spółki w jej języku.
Kogo nie dotyczy
- Pracodawcy zatrudniający mniej niż 50 osób (poza sektorami specjalnymi).
- Osoby fizyczne zatrudniające pomoc domową lub opiekuna na umowę aktywizacyjną.
Kto jest sygnalistą
Sygnalista to osoba fizyczna, która zgłasza lub publicznie ujawnia informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą. Zakres jest bardzo szeroki:
| Status | Czy chroniony |
|---|---|
| Pracownik (umowa o pracę) | Tak |
| Zleceniobiorca, umowa o dzieło | Tak |
| Współpracownik B2B | Tak |
| Stażysta, praktykant, wolontariusz | Tak |
| Były pracownik / kandydat do pracy | Tak |
| Akcjonariusz, członek zarządu, rady nadzorczej | Tak |
| Pracownik podwykonawcy / dostawcy | Tak |
| Osoba postronna (np. klient) | Nie — chyba że uzyskała informację w kontekście pracy |
Co można zgłosić
Naruszenia prawa, które można zgłaszać jako sygnalista:
- Prawo Unii Europejskiej (rynek wewnętrzny, ochrona konsumentów, ochrona środowiska, AML, dane osobowe, ochrona finansów UE).
- Prawo krajowe wskazane w ustawie: korupcja, zamówienia publiczne, AML/CFT, bezpieczeństwo żywności, ochrona środowiska, prawo pracy (BHP, mobbing, dyskryminacja), prawo podatkowe.
- Wewnętrzne regulacje firmy — można zgłaszać, ale ochrona prawna nie ma zastosowania (chyba że firma rozszerzyła zakres procedury).
Trzy kanały zgłoszeń
1. Kanał wewnętrzny (w firmie)
To podstawowy kanał, który firma musi udostępnić. Sygnalista zgłasza naruszenie do wyznaczonego podmiotu (osoby, działu compliance, zewnętrznego operatora).
Wymagania:
- Procedura zgłoszeń wewnętrznych — pisemny dokument, opracowany po konsultacji z zakładową organizacją związkową lub przedstawicielami pracowników (termin konsultacji: 5-10 dni).
- Co najmniej dwa kanały — pisemny (e-mail, formularz online, system informatyczny) i ustny (spotkanie, infolinia).
- Możliwość zgłoszenia anonimowego lub jawnego (firma decyduje, czy przyjmuje anonimowe — ustawa nie wymaga).
- Potwierdzenie odbioru zgłoszenia w 7 dni, informacja zwrotna o działaniach w 3 miesiące.
- Rejestr zgłoszeń — prowadzony elektronicznie, przechowywany 3 lata po zakończeniu sprawy.
2. Kanał zewnętrzny (organ publiczny)
Sygnalista może zgłosić naruszenie bezpośrednio do:
- Rzecznika Praw Obywatelskich — koordynator zgłoszeń, rozdziela sprawy między właściwe organy.
- Państwowej Inspekcji Pracy (PIP) — naruszenia prawa pracy.
- Urzędu Ochrony Konkurencji i Konsumentów (UOKiK).
- Urzędu Ochrony Danych Osobowych (UODO).
- Komisji Nadzoru Finansowego (KNF), Generalnego Inspektora Informacji Finansowej (GIIF).
- Centralnego Biura Antykorupcyjnego (CBA), Prokuratury (przy podejrzeniu przestępstwa).
Organ ma 7 dni na potwierdzenie odbioru i 3 miesiące (z możliwością przedłużenia do 6 mies.) na informację zwrotną.
3. Ujawnienie publiczne (media, social media)
Najbardziej radykalny kanał — sygnalista może liczyć na ochronę prawną tylko jeśli:
- Wcześniej zgłosił sprawę kanałem wewnętrznym i zewnętrznym, a żaden nie zareagował, lub
- Istnieje bezpośrednie zagrożenie dla interesu publicznego (np. zagrożenie zdrowia, środowiska), lub
- Istnieje prawdopodobieństwo działań odwetowych lub zatuszowania sprawy.
Procedura zgłoszeń wewnętrznych — co musi zawierać
| Element | Opis |
|---|---|
| Podmiot wewnętrzny | Osoba/dział/zewnętrzny podmiot odbierający zgłoszenia |
| Kanały zgłoszeń | Co najmniej pisemny i ustny |
| Anonimowość | Czy firma akceptuje zgłoszenia anonimowe |
| Termin potwierdzenia | 7 dni od zgłoszenia |
| Termin informacji zwrotnej | 3 miesiące |
| Sposób weryfikacji | Procedura wewnętrznego dochodzenia, prawo do wysłuchania osoby wskazanej |
| Działania następcze | Wewnętrzne dochodzenie, zawiadomienie organu, rekompensata, zmiana procedur |
| Ochrona danych | Poufność tożsamości sygnalisty i osoby wskazanej; zgodność z RODO |
| Rejestr | Elektroniczny, przechowywany 3 lata |
| Kanały publiczne | Informacja o kanałach zewnętrznych (RPO, PIP, UOKiK itd.) |
Procedura musi być udostępniona wszystkim pracownikom (intranet, tablica ogłoszeń) i w toku rekrutacji kandydatom.
Zakaz odwetu — co jest zabronione
Pracodawcy nie wolno podejmować wobec sygnalisty żadnych działań krzywdzących z powodu zgłoszenia. Ustawa wymienia kilkadziesiąt przykładowych form odwetu, m.in.:
- Rozwiązanie umowy o pracę (wypowiedzenie, dyscyplinarka).
- Niezawarcie umowy o pracę po stażu, niezawarcie kolejnej umowy.
- Obniżenie wynagrodzenia, premii, awansu.
- Zmiana miejsca pracy, godzin pracy, zakresu obowiązków na gorsze.
- Negatywna ocena pracy, postępowanie dyscyplinarne.
- Mobbing, dyskryminacja, zastraszanie.
- Nieprzekazanie informacji o szkoleniu, awansie.
- Wpisanie na "czarną listę" w branży.
Odwrócony ciężar dowodu: jeśli sygnalista wykaże, że pracodawca podjął wobec niego niekorzystne działanie po zgłoszeniu, to pracodawca musi udowodnić, że nie miało ono związku ze zgłoszeniem. To istotne — bo w postępowaniu sądowym domniemanie działa na korzyść sygnalisty.
Sankcje
Dla pracodawcy i osób działających w jego imieniu
| Czyn | Sankcja |
|---|---|
| Brak wdrożenia procedury zgłoszeń wewnętrznych | Grzywna do 240 stawek dziennych (≈ 24 tys. — 1,2 mln zł) |
| Utrudnianie dokonania zgłoszenia | Grzywna lub kara ograniczenia/pozbawienia wolności do 1 roku |
| Działania odwetowe | Kara ograniczenia/pozbawienia wolności do 2 lat |
| Ujawnienie tożsamości sygnalisty | Grzywna lub kara pozbawienia wolności do 1 roku |
Dla sygnalisty
Sygnalista, który zgłosi naruszenie świadomie nieprawdziwe, podlega:
- karze grzywny lub
- karze ograniczenia/pozbawienia wolności do 2 lat.
Ochrona prawna nie przysługuje, gdy zgłoszenie zostało dokonane w złej wierze (np. dla zemsty osobistej).
Odszkodowanie dla sygnalisty
Sygnalista, który doznał odwetu, ma prawo do odszkodowania w wysokości nie niższej niż 12-krotność przeciętnego miesięcznego wynagrodzenia (≈ 90-100 tys. zł w 2026 r.). Nie wyklucza to żądania zadośćuczynienia za krzywdę i przywrócenia do pracy.
Sygnalista a RODO
Procedura zgłoszeń wewnętrznych musi być zgodna z RODO (art. 6 ust. 1 lit. c — obowiązek prawny). Kluczowe wymogi:
- Poufność tożsamości sygnalisty i osoby wskazanej — dostęp tylko dla osób upoważnionych.
- Minimalizacja danych — przetwarzaj tylko to, co konieczne do weryfikacji zgłoszenia.
- Retencja — dane w rejestrze 3 lata po zakończeniu sprawy, potem usunięcie.
- Klauzula informacyjna dla sygnalisty i osoby wskazanej (art. 13/14 RODO) — opóźniona dla osoby wskazanej, jeśli wcześniejsze poinformowanie zagroziłoby skuteczności postępowania.
- Analiza ryzyka (DPIA) — wymagana, bo procedura przetwarza dane wrażliwe (zarzuty popełnienia naruszenia).
Praktyczne kroki dla firmy zatrudniającej 50+
- Konsultacja procedury z zakładową organizacją związkową lub przedstawicielami pracowników (termin: 5-10 dni od przedstawienia projektu).
- Wydanie aktu wewnętrznego — zarządzenie/regulamin/polityka zgłoszeń wewnętrznych.
- Wyznaczenie podmiotu odbierającego zgłoszenia (osoba z compliance, prawnik wewnętrzny, zewnętrzny operator). Osoba ta nie może być narażona na konflikt interesów — np. członek zarządu odpowiedzialny za sprzedaż nie powinien rozpatrywać zgłoszeń o nadużyciach handlowych.
- Wdrożenie kanałów — formularz online, dedykowany e-mail (np.
compliance@firma.pl), numer infolinii, możliwość spotkania z podmiotem wewnętrznym. - Rejestr zgłoszeń — system informatyczny lub uporządkowany rejestr w arkuszu (Excel jest dopuszczalny, ale niezalecany ze względu na poufność).
- Szkolenie pracowników — informacja o procedurze, kanałach i ochronie sygnalisty.
- Aktualizacja regulaminu pracy i wewnętrznych regulacji o klauzule antyodwetowe.
- Audit zgodności RODO — DPIA, klauzule informacyjne, polityka retencji.
FAQ
Czy procedura musi być pisemna?
Tak. Forma dokumentowa nie wystarczy — musi to być akt wewnętrzny o charakterze pisemnym (zarządzenie zarządu, regulamin), przekazany pracownikom.
Czy mogę zlecić obsługę zgłoszeń firmie zewnętrznej?
Tak — popularne rozwiązanie wśród MŚP, gdzie HR nie ma kompetencji do prowadzenia dochodzeń wewnętrznych. Pamiętaj o umowie powierzenia przetwarzania (art. 28 RODO) i zachowaniu poufności tożsamości sygnalisty.
Czy mogę odmówić rozpatrzenia zgłoszenia anonimowego?
Tak, jeśli twoja procedura nie przewiduje zgłoszeń anonimowych. Ustawa nie wymaga ich akceptacji, ale wymaga jasnej deklaracji w procedurze. Pamiętaj, że anonimowy sygnalista, którego tożsamość zostanie później ustalona, też podlega ochronie.
Czy były pracownik może zgłosić naruszenie?
Tak — ochrona przysługuje również byłemu pracownikowi (np. zgłaszającemu naruszenie, którego dowiedział się w czasie zatrudnienia). Termin nie jest ograniczony, ale po latach trudniej będzie wykazać kontekst pracy.
Czy zgłoszenie mobbingu to zgłoszenie sygnalistowskie?
Tak — mobbing wchodzi w zakres naruszeń prawa pracy. Ale ustawa nie wyklucza równoległej procedury antymobbingowej (z art. 94[3] Kodeksu pracy). Wiele firm prowadzi obie ścieżki łącznie.
Jakie są koszty wdrożenia procedury?
Dla małej firmy (50-100 osób) — 3-10 tys. zł za przygotowanie dokumentacji prawniczej i szkolenie. Dla większych — koszt rośnie wraz z liczbą oddziałów, języków i potrzebą wsparcia zewnętrznego operatora (od 500 zł/mc za podstawową obsługę).
Czy sygnalistę chroni także prawo karne?
Tak. Działania odwetowe są przestępstwem (do 2 lat pozbawienia wolności), a ujawnienie tożsamości sygnalisty — odrębnym przestępstwem (do 1 roku). Postępowanie karne uruchamia prokurator z urzędu lub na wniosek pokrzywdzonego.
Co się stanie, jeśli nie wdrożę procedury jako firma 51-osobowa?
Najpierw PIP wystosuje wezwanie do usunięcia naruszenia. Brak reakcji → wniosek o ukaranie do sądu (grzywna do 240 stawek dziennych). Dodatkowo — odpowiedzialność cywilna i karna członków zarządu za zaniedbanie.