Sygnaliści: firmy przyjęły procedury zgłoszeń, ale nie zawsze wiedzą, jak je w praktyce stosować

Zdecydowana większość firm opracowała procedury, ale często były to działania jedynie formalne, które miały wykazać spełnienie ustawowego obowiązku, a nie realne uruchomienie mechanizmu przyjmowania i rozpatrywania zgłoszeń od sygnalistów. Zdarza się też, że firmy ograniczają się do udostępnienia jedynie adresu e-mail, pod który można wysyłać zgłoszenia. Nie wprowadzają żadnych dodatkowych narzędzi, regulaminów czy nie wyznaczają osoby odpowiedzialnej za przyjmowanie spraw od sygnalistów.

Natomiast organizacje, które działają u pracodawcy, podeszły do tematu kompleksowo – zadbały o przeszkolenie pracowników, wdrożenie systemu raportowania i jasne zasady postępowania. Jednak tego typu rozwiązania spotyka się głównie w większych firmach, które wcześniej miały już doświadczenie w zarządzaniu zgodnością.

Na tym etapie trudno mówić o dominującym schemacie. Różnice są znaczne – zarówno w zakresie treści dokumentów, jak i faktycznego funkcjonowania systemów. Część firm wybiera podejście minimalistyczne, ograniczając się do spełnienia podstawowych wymogów ustawy o sygnalistach. W takim modelu pojawia się jedynie prosty kanał zgłoszeń, najczęściej bez szczegółowych procedur i bez przeszkolonego personelu. Z kolei inne firmy inwestują w bardziej rozbudowane systemy obejmujące narzędzia informatyczne, analizę ryzyka, szkolenia i przypisanie obowiązków wewnętrznym zespołom compliance.

Wybór strategii zależy zazwyczaj od wielkości firmy, wcześniejszych doświadczeń z zarządzaniem ryzykiem, ale także od oczekiwań inwestorów lub centrali grupy kapitałowej.

Dodatkową trudność sprawiają kwestie interpretacyjne, np. rozróżnienie, czy dane zgłoszenie dotyczy interesu publicznego, czy raczej sprawy indywidualnej. Jak należy je zakwalifikować – jako zgłoszenie w rozumieniu ustawy, czy może rozpatrywać w ramach regulacji prawa pracy? Jeszcze brakuje orzecznictwa, które mogłoby wyznaczyć wyraźne granice między tymi obszarami.

Najczęściej firmy stosują rozwiązania globalne, tj. platformy do zgłaszania nieprawidłowości, które zostały wcześniej wdrożone w całej grupie. Trzeba jednak pamiętać, że to nie wystarcza. Polska ustawa wymaga, aby procedura była dostosowana do lokalnych warunków – nie tylko pod względem językowym, lecz także merytorycznym. Samo przetłumaczenie dokumentów z centrali nie spełnia wymogów ustawy. Każda spółka działająca w Polsce musi zadbać o to, by procedura odpowiadała przepisom krajowym, które określają konkretne wymagania co do jej treści.

Tylko w określonych warunkach. Ustawa przewiduje możliwość powierzenia obsługi zgłoszeń podmiotowi zewnętrznemu, np. kancelarii prawnej lub wyspecjalizowanej firmie compliance, ale takie rozwiązanie musi być wyraźnie zapisane w procedurze.

W przypadku międzynarodowych grup kapitałowych odpowiedzialność za realizację obowiązków wynikających z ustawy pozostaje jednak po stronie polskiej spółki. Nawet jeśli zgłoszenie trafia przez wspólną platformę, to dalsze działania, w tym analiza czy reakcja na naruszenie, muszą zostać podjęte lokalnie i zgodnie z polskimi przepisami.

Jest jednym z częściej stosowanych. Firmy korzystają z globalnej platformy, która zapewnia spójność w grupie, a równolegle opracowują lokalną procedurę, która odpowiada polskim regulacjom. Taka procedura może funkcjonować jako osobny dokument lub jako aneks do dokumentacji globalnej. Istotne jest, aby była łatwo dostępna, zrozumiała i zatwierdzona przez zarząd. Powinna zostać skonsultowana z przedstawicielami pracowników oraz odpowiednio zakomunikowana załodze. Procedura musi precyzyjnie wskazywać osoby odpowiedzialne za przyjmowanie zgłoszeń, określać przebieg postępowania, terminy udzielania odpowiedzi oraz środki ochrony przysługujące sygnaliście.

Zespół centralny może pełnić funkcję wspierającą, np. doradczą lub ekspercką. Jednak decyzje proceduralne, analiza sprawy, kontakt z sygnalistą i prowadzenie postępowania wyjaśniającego muszą być realizowane przez podmiot lokalny. Pracodawca w Polsce nie może zrzec się tej odpowiedzialności, ponieważ to na nim ciąży obowiązek zapewnienia działania systemu zgłoszeń zgodnie z krajowym prawem.

To złożona sytuacja, zarówno pod względem organizacyjnym, jak i prawnym. Polskie przepisy nie przewidują wspólnego postępowania w takich przypadkach. Zgodnie z ustawą każda jednostka prawna zatrudniająca co najmniej 50 pracowników ma obowiązek zapewnić własny kanał zgłoszeń oraz odrębne procedury. Oznacza to, że każde przedsiębiorstwo, którego dotyczy zgłoszenie, musi formalnie przeanalizować sprawę we własnym zakresie i udokumentować podjęte działania, nawet jeśli fakty ustalane są wspólnie.

Polska ustawa nie wskazuje wprost, przez jaki czas należy przechowywać zgłoszenia. Nakłada jednak obowiązek dokumentowania spraw i prowadzenia rejestru. W praktyce oznacza to konieczność uwzględnienia ogólnych przepisów o ochronie danych osobowych oraz najlepszych praktyk compliance.

Najczęściej przyjmuje się, że dane dotyczące zgłoszeń bezzasadnych można przechowywać przez okres do trzech lat, w przypadku zgłoszeń skutkujących działaniami wewnętrznymi – do pięciu lat, a spraw, które doprowadziły do postępowań sądowych, administracyjnych lub karnych – do zakończenia sprawy i jeszcze przez kilka lat po jej zamknięciu.

Tak, zdecydowanie. Dobrą praktyką jest uregulowanie zasad przechowywania zgłoszeń w polityce retencji danych, najlepiej z rozróżnieniem kategorii zgłoszeń i przypisaniem odpowiedzialności za ich usuwanie. Takie podejście nie tylko porządkuje cały proces, lecz także zabezpiecza firmę na wypadek kontroli – czy to ze strony Państwowej Inspekcji Pracy, czy organów ochrony danych osobowych.

Tak, powinny być w nim ujęte wszystkie zgłoszenia, nawet te, które finalnie nie zostały rozpatrzone lub okazały się oczywiście nieprawdziwe. Część firm stosuje podział na kategorie, co ułatwia zarządzanie danymi, np. rozróżnia zgłoszenia rozpatrzone, nierozpatrzone z przyczyn formalnych oraz odrzucone. To także pomaga określić, kiedy dane należy usunąć.

Zgodnie z RODO dane sygnalisty, osoby wskazanej w zgłoszeniu oraz osoby prowadzącej postępowanie mogą być przetwarzane tylko tak długo, jak jest to niezbędne do realizacji celu, w którym zostały zebrane. Jeśli zgłoszenie zostało rozpatrzone i nie wywołało żadnych skutków prawnych, dane należy usunąć lub zanonimizować. Zbyt długie ich przechowywanie, bez odpowiedniego uzasadnienia, może zostać uznane za naruszenie prawa.

Coraz częściej tak. Dobrym rozwiązaniem jest wprowadzenie okresowych przeglądów rejestru zgłoszeń, które pozwalają ocenić, które dane należy usunąć lub zanonimizować. Przedsiębiorstwa decydują się również na dokumentowanie tych działań, np. poprzez wewnętrzne audyty danych zgromadzonych w ramach systemu sygnalistycznego.

Najczęściej jest to dział compliance, choć w zależności od struktury może to być również dział prawny lub HR. W grupach kapitałowych część obowiązków bywa delegowana do struktur centralnych, ale zgodnie z przepisami to lokalny pracodawca odpowiada za zgodność systemu z polskim prawem.

Z formalnego punktu widzenia za brak wdrożenia procedury grozi grzywna do 5 tys. zł. W praktyce większym zagrożeniem są jednak roszczenia cywilne, np. za naruszenie dóbr osobistych sygnalisty, błędne rozpatrzenie zgłoszenia albo podjęcie działań odwetowych. W pewnych przypadkach w grę mogą wchodzić również kary za naruszenie przepisów dotyczących przetwarzania danych osobowych. Te ryzyka są znacznie poważniejsze niż sama kara finansowa przewidziana w ustawie.

Tak, choć liczba zgłoszeń na razie nie jest duża. Najczęściej dotyczą one kwestii finansowych – nieprawidłowości w zakresie zamówień, nadużyć przy rozliczeniach, niewłaściwego traktowania kontrahentów. Zdecydowanie rzadziej pojawiają się sygnały dotyczące ochrony prywatności czy danych osobowych. Warto jednak obserwować, jak te proporcje będą się zmieniać w miarę upowszechniania wiedzy o systemie.

Nie są to jeszcze kontrole zakrojone na szeroką skalę, ale pytania o funkcjonowanie systemu sygnalistycznego już się pojawiają – zwłaszcza przy okazji inspekcji dotyczących przestrzegania przepisów bhp. Kontrolerzy mogą zażądać okazania procedury, wskazania osoby odpowiedzialnej za jej realizację, potwierdzeń zapoznania pracowników z zasadami oraz dowodów na to, że system działa.

Zgodnie z ustawą procedura musi określać zasady dokonywania zgłoszeń, terminy udzielania odpowiedzi, przebieg działań następczych, sposób ochrony tożsamości zgłaszającego, zakaz działań odwetowych oraz zasady przetwarzania danych osobowych. Praktyka pokazuje również, że warto wskazać sposób prowadzenia rejestru, nawet jeśli firma dopuszcza zgłoszenia anonimowe.

Tak, część firm decyduje się na dobrowolne rozszerzenie zakresu działania procedury sygnalistycznej o możliwość zgłaszania naruszeń z obszaru prawa pracy, takich jak mobbing czy dyskryminacja. Zdarza się, że tworzą dwa osobne kanały – jeden ustawowy, drugi wewnętrzny. Niekiedy są one zintegrowane na jednej platformie, ale podlegają różnym ścieżkom rozpatrywania. Taka decyzja wymaga jasnej komunikacji i precyzyjnego określenia kompetencji, ponieważ linia między naruszeniem prawa pracy a naruszeniem interesu publicznego bywa cienka.

Najczęściej przez dokumentowanie wszystkich działań podejmowanych wobec pracownika – zarówno formalnych, jak i mniej sformalizowanych. Chodzi o to, aby w razie sporu móc wykazać, że decyzje kadrowe, takie jak przeniesienie do innego działu, zmiana stanowiska, pominięcie przy awansie czy udzielenie nagany, nie były związane ze zgłoszeniem, lecz wynikały z innych, obiektywnych przyczyn. Dotychczas było to standardem głównie w dobrze zorganizowanych działach HR. Teraz jednak, w kontekście ustawy o sygnalistach, ta staranność musi być jeszcze większa, bo to na pracodawcy spoczywa ciężar dowodu.

Warto przypomnieć, że działania odwetowe nie ograniczają się do rozwiązania umowy o pracę. Obejmują również każdą niekorzystną zmianę warunków zatrudnienia motywowaną faktem zgłoszenia, której sygnalista może doświadczyć. Jednocześnie nie każda negatywna decyzja kadrowa wobec zgłaszającego będzie automatycznie traktowana jako odwet, jeśli firma potrafi wykazać, że była ona uzasadniona i niezależna od faktu dokonania zgłoszenia. Dlatego tak ważna jest spójność między procedurami kadrowymi, polityką compliance i zasadami przetwarzania danych.

Technicznie – tak. Większość dostępnych na rynku narzędzi informatycznych umożliwia pełne zachowanie anonimowości, łącznie z funkcją tzw. anonimowego dialogu, czyli prowadzenia komunikacji z osobą zgłaszającą bez ujawniania jej tożsamości. Można dzięki temu dopytać o szczegóły sprawy, poprosić o dowody czy przekazać informację zwrotną – bez łamania zasady poufności.

Problem pojawia się jednak po stronie organizacyjnej i kulturowej. Nawet najlepiej zaprojektowany system nie będzie skuteczny, jeśli osoby obsługujące zgłoszenia nie są świadome ryzyka niezamierzonej identyfikacji sygnalistów, np. na podstawie stylu wypowiedzi, charakteru sprawy czy kontekstu. Dlatego przeszkolenie zespołu odpowiedzialnego za przyjmowanie i analizę zgłoszeń ma kluczowe znaczenie. Równie ważne jest to, czy pracownicy rzeczywiście wierzą, że anonimowość jest respektowana – bez zaufania system po prostu nie będzie wykorzystywany.

Ustawa o sygnalistach nie nakłada takiego obowiązku, ale też go nie zabrania. W praktyce wiele firm – szczególnie tych, które korzystają z rozbudowanych narzędzi speak-up – decyduje się na umożliwienie anonimowych zgłoszeń. Jednocześnie mają świadomość, że anonimowość bywa problematyczna przy prowadzeniu postępowań, zwłaszcza jeśli konieczne jest uzupełnienie informacji. Dlatego dobre systemy sygnalistyczne zawierają funkcję komunikacji zwrotnej, np. poprzez generowanie indywidualnego kodu dostępowego, który pozwala sygnaliście wracać do zgłoszenia i odczytywać wiadomości od firmy.

System zgłoszeń powinien być nie tylko funkcjonalny, ale też bezpieczny – zarówno od strony technologicznej, jak i prawnej. Przedsiębiorstwa, które korzystają z platform zewnętrznych, muszą upewnić się, że dane nie są przekazywane do państw trzecich bez odpowiednich zabezpieczeń. Konieczne jest zawarcie umów powierzenia danych, ograniczenie dostępu do informacji, stosowanie szyfrowania i środków technicznych adekwatnych do ryzyka. Coraz częściej firmy tworzą też scenariusze awaryjne – na wypadek naruszenia ochrony danych – oraz przeprowadzają audyty dostawców systemów zgłosze niowych.

Tak, to bezwzględny wymóg. Pracodawca musi prowadzić rejestr zgłoszeń zawierający podstawowe informacje – datę przyjęcia, przedmiot sygnału, opis działań następczych. To nie tylko narzędzie wewnętrznej kontroli, lecz także obowiązek w świetle ustawy, który może zostać zweryfikowany podczas kontroli. Należy przy tym pamiętać o zasadzie minimalizacji danych – rejestr nie powinien zawierać informacji ponad to, co konieczne.

Zdecydowanie tak. Kontrola może objąć zarówno dokumentację, jak i sposób funkcjonowania systemu. Inspektorzy mają prawo sprawdzić, czy procedura rzeczywiście działa, czy zgłoszenia są przyjmowane, rozpatrywane i odpowiednio dokumentowane. Dlatego wdrożenie ustawy o sygnalistach nie powinno być traktowane jako jednorazowy projekt, ale jako proces wymagający bieżącej aktualizacji i nadzoru.

Z moich obserwacji wynika, że kluczowe jest właściwe rozumienie pojęcia działania odwetowego. Często utożsamia się je wyłącznie ze zwolnieniem z pracy, tymczasem może obejmować również obniżenie premii, nieuwzględnienie przy awansie, pozbawienie dostępu do projektów czy nieuzasadnione zmiany warunków pracy. Każde z tych działań może zostać uznane za odwet, jeśli wystąpi w następstwie zgłoszenia i nie zostanie właściwie uzasadnione okolicznościami niedotyczącymi samego zgłoszenia. Firmy powinny zatem nie tylko dokumentować decyzje kadrowe, ale też regularnie weryfikować, czy są one spójne z wewnętrzną polityką oraz zgodne z przepisami ustawy i RODO.

Ustawa chroni wyłącznie tych sygnalistów, którzy działają w dobrej wierze. Jeśli pracodawca potrafi wykazać, że zgłoszenie było nieprawdziwe i miało na celu wyrządzenie szkody innej osobie lub firmie, może dochodzić roszczeń cywilnych, a w niektórych przypadkach pracownik działający w złej wierze może odpowiadać karnie, np. zarówno na podstawie ustawy o sygnalistach, jak i np. kodeksu karnego, z tytułu pomówienia. Trzeba jednak podkreślić, że to pracodawca musi udowodnić brak dobrej wiary po stronie zgłaszającego, a to wcale nie jest proste zadanie.

Z perspektywy kilku miesięcy obowiązywania ustawy widać, że samo wdrożenie procedury to dopiero początek. O skuteczności systemu ochrony sygnalistów decyduje nie dokument, lecz jego realne działanie – sprawne kanały, przeszkoleni pracownicy, gotowość do reagowania i kultura organizacyjna oparta na zaufaniu. Firmy, które potraktują te obowiązki jako element codziennego zarządzania ryzykiem, a nie tylko jako formalność, zyskają więcej niż ochronę przed sankcją – zbudują bezpieczniejsze środowisko pracy i przewagę w relacjach z otoczeniem. ©℗