Kim jest sygnalista i na czym polega ochrona sygnalistów?
Sygnalista to osoba fizyczna, która zgłasza naruszenia prawa lub ujawnia informacje o naruszeniu prawa uzyskane w kontekście związanym z pracą. Niezależnie od tego, czy pracuje w stosunku pracy czy świadczy usługi „na innej podstawie niż stosunek pracy” (np. zlecenie, B2B). Sygnalista musi mieć uzasadnione podstawy, by uznać informację o naruszeniu prawa za prawdziwą.
Zgłoszenie sygnalisty może obejmować różne sytuacje związane z informacją o naruszeniu prawa. Chodzi tu o realne sytuacje, w których ktoś dostrzega nieprawidłowości i postanawia je zgłosić, aby zapobiec potencjalnym szkodom.
Ochrona sygnalistów to zestaw gwarancji prawnych i organizacyjnych, które mają ograniczyć ryzyko działań odwetowych – od zwolnienia z pracy po szykanowanie, „zamrażanie” awansu czy przenoszenie na mniej korzystne stanowiska. Dzięki ustawie sygnaliści są chronieni przed wszelkimi działaniami odwetowymi ze strony pracodawcy lub innych osób.
Ochrona sygnalistów obejmuje również obowiązek zapewnienia poufności tożsamości osoby zgłaszającej.
Ważne:
Status sygnalisty łączy się z działaniem w interesie publicznym. Celem nie jest donos, lecz ochrona praw obywatelskich, konstytucyjnych wolności i praw oraz zdrowia i bezpieczeństwa innych osób.
Podstawa prawna: ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów
Polska przyjęła ustawę o ochronie sygnalistów dnia 14 czerwca 2024 r. (Dz.U. 2024 poz. 928). Ustawa ta implementuje dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937, która została przyjęta w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Jej celem jest stworzenie kompleksowego systemu ochrony osób zgłaszających nieprawidłowości. Dotyczy ona również ochrony osób, które zgłaszają naruszenia prawa Unii.
Przepisy ostatecznie weszły w życie 25 września 2024 r. i od tego dnia większość obowiązków jakie leżą po stronie pracodawców i instytucji zaczęła obowiązywać wprost. Dla biznesu i sektora publicznego oznacza to konieczność przygotowania i wdrożenia procedur „pod klucz”.
Część regulacji dotyczących zgłoszeń zewnętrznych – w tym rola Rzecznika Praw Obywatelskich – zaczęła działać 25 grudnia 2024 r. To ważna granica, bo od tego momentu kanały zewnętrzne uzupełniły system zgłaszania o alternatywę wobec dróg wewnętrznych.
Jakie obszary obejmuje ustawa – katalog naruszeń prawa
Zakres możliwych naruszeń prawa jest szeroki. Obejmuje m.in.: publicznoprawne zasady konkurencji, ochronę konsumentów, produkty i rynki finansowe, usług, produktów i rynków (w tym finansowych), ochronę środowiska, bezpieczeństwa żywności i pasz, bezpieczeństwa transportu, zdrowia publicznego, bezpieczeństwa sieci i systemów oraz ochrony prywatności i danych osobowych.
Przepisy odnoszą się także do obszarów compliance i regulacji sektorowych, np. przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, a pośrednio – do zagadnień opodatkowania osób prawnych, o ile naruszenia mieszczą się w definicji ustawowej „informacji o naruszeniach”. Ustawa jest pomyślana tak, by realnie chronić interes publiczny i ograniczać szkody systemowe.
W praktyce oznacza to, że sygnalista może podnieść alarm wszędzie tam, gdzie dostrzega istotne, bezprawne ryzyka – od bezpieczeństwa żywności, po produkty i rynki finansowe czy ochrony prywatności klientów.
Rodzaje zgłoszeń: wewnętrzne, zewnętrzne i ujawnienie publiczne
System przewiduje trzy ścieżki: zgłoszenie wewnętrzne, zgłoszenie zewnętrzne i ujawnienie publiczne. Sygnalista zgłasza lub ujawnia publicznie informacje o naruszeniach prawa, a wybór ścieżki zależy od okoliczności, dojrzałości organizacji i wagi naruszenia.
Zgłoszenie wewnętrzne składa się w firmie lub instytucji, której sprawa dotyczy. Procedura zgłoszeń wewnętrznych oraz ich przyjmowania musi spełniać wymogi prawne określone w ustawie, obejmując m.in. zasady ochrony sygnalistów i elementy wymagane przez nowe przepisy. To najszybsza droga do naprawy problemu i – w dojrzałych organizacjach – najskuteczniejsza w wygaszaniu ryzyk.
Zgłoszenie zewnętrzne kieruje się do właściwego organu władzy publicznej – centralnego (np. Rzecznika Praw Obywatelskich) albo sektorowego (np. UOKiK, KNF, PIP, UODO). Od 25 grudnia 2024 r. RPO prowadzi przyjmowanie zgłoszeń zewnętrznych obok organów branżowych. Zgłoszenia zewnętrznego dokonuje się jako alternatywy wobec zgłoszeń wewnętrznych, zgodnie z ustawą o ochronie sygnalistów.
Ujawnienie publiczne (np. w mediach) jest dopuszczalne w szczególnych sytuacjach. Ustawa określa zasady ujawnienia naruszenia prawa zgodnie z przepisami, w tym przesłanki, gdy nie jest wymagane uprzednie dokonanie zgłoszenia wewnętrznego (np. groźba nieodwracalnej szkody czy wysokie ryzyko odwetu). Ujawnieniem publicznym jest przekazanie informacji opinii publicznej, organizacjom lub mediom.
Moment objęcia ochroną: „od chwili dokonania zgłoszenia”
Status ochronny nie pojawia się dopiero po potwierdzeniu nieprawidłowości. Ustawa zakłada, że ochrona przysługuje od chwili dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem że sygnalista miał uzasadnione podstawy uznawać, iż informacja była prawdziwa w momencie dokonywania zgłoszenia. To kluczowa gwarancja bezpieczeństwa. Ochrona dotyczy także osób zgłaszających naruszenia w trakcie pracy lub innego stosunku prawnego.
Ta zasada działa „z góry”. Organizacja nie może wstrzymywać ochrony do czasu zakończenia weryfikacji. Dzięki temu zgłaszający, niezależnie od formy stosunku pracy lub innego, nie zostaje sam w najdelikatniejszej fazie sprawy.
Warto pamiętać, że sygnalista nie korzysta z parasola ochronnego w sytuacji ujawnienia publicznego nieprawdziwych informacji dokonanego w złej wierze.
Kogo obejmuje ustawa
Ustawa o ochronie sygnalistów dotyczy osób działających w kontekście związanym z pracą: pracowników, zleceniobiorców, samozatrudnionych, stażystów, wolontariuszy czy członków organu osoby prawnej. Obejmuje zatem relacje „w stosunku pracy lub innym stosunku”, także „na innej podstawie niż stosunek pracy”. Ustawa zapewnia ochronę osób zgłaszających naruszenia prawa, obejmując różne grupy pracowników oraz innych sygnalistów.
Co ważne, ochrona rozciąga się również na osoby pomagające w zgłoszeniu oraz powiązane z sygnalistą, jeśli mogą być narażone na odwet. Praktyka compliance powinna zatem uwzględniać szeroki krąg podmiotów.
Taki horyzont zwiększa szansę, że sygnał pojawi się wcześnie – zanim problem uderzy w reputację organizacji, jej klientów i udziałowców
Obowiązki firm i instytucji: kiedy trzeba wdrożyć kanały i procedury
Na podmioty prawne, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku pracę wykonuje co najmniej 50 osób, nałożono obowiązek ustanowienia procedury zgłoszeń wewnętrznych i mechanizmów podejmowania działań następczych. Ustanowienie procedury zgłoszeń wewnętrznych zgodnie z ustawą o sygnalistach jest kluczowe, ponieważ brak jej wdrożenia może skutkować sankcjami karnymi i finansowymi. Do limitu wlicza się nie tylko etaty, lecz również inne formy współpracy.
Wybrane sektory (np. finansowy, AML) mają obowiązki niezależnie od liczby osób zatrudnionych. Tu poziom ryzyka uzasadnia szczególną ostrożność i gotowość proceduralną.
Praktyczna wskazówka: jeżeli wahacie się, czy przekroczyliście próg, warto przeprowadzić audyt liczbowy i organizacyjny i wdrożyć minimum zgodne z ustawą zawczasu.
Kanały i procedury: jak prawidłowo zorganizować zgłoszenia wewnętrzne
Organizacja powinna określić sposoby przekazywania zgłoszeń wewnętrznych. Może dokonać tego pisemnie, ustnie, przez dedykowaną skrzynkę lub system IT, a także z opcją spotkania na wniosek sygnalisty. Procedura musi zapewniać poufność i przewidywać szybkie przyjmowanie zgłoszeń.
Minimalne elementy jakie muszą być spełnione to m.in.: potwierdzenie odbioru w ustawowym terminie, rejestr zgłoszeń, jasne zasady walidacji i podejmowania działań następczych. Warto również zawrzeć mechanizmy feedbacku oraz ścieżki eskalacji, gdy zgłaszający nie ufa bezpośredniemu przełożonemu.
Rzetelna procedura zwiększa zaufanie. Dzięki temu więcej osób wybierze drogę wewnętrzną zamiast ujawnienia publicznego.
Przyjmowanie zgłoszeń zewnętrznych: rola organów i RPO
W systemie funkcjonują procedury przyjmowania zgłoszeń zewnętrznych. Sygnalista może je kierować do organów władzy publicznej właściwych dla danej sprawy (np. UOKiK, KNF, PIP, UODO). Rzecznik Praw Obywatelskich od 25 grudnia 2024 r. przyjmuje zgłoszenia jako organ centralny.
To nie wyklucza równoległego wykorzystania dróg sektorowych. Wybór kanału zewnętrznego bywa uzasadniony przy braku zaufania do drogi wewnętrznej lub w sprawach o znacznym ciężarze publicznym.
Dla organizacji oznacza to konieczność współpracy z organami i gotowość do szybkiego przekazywania dokumentów i informacji.
Kiedy i jak można ujawnić publicznie informacje o naruszeniach
Zasady ujawnienia publicznego informacji są restrykcyjne. Co do zasady ustawodawca promuje najpierw zgłoszenie wewnętrzne lub zewnętrzne. Wyjątkiem są sytuacje, w których istnieje np. nieuchronne zagrożenie poważną szkodą dla zdrowia publicznego czy bezpieczeństwa żywności i pasz, albo gdy istnieje wysokie ryzyko działań odwetowych.
Decyzję o ujawnieniu publicznym należy poprzedzić rzetelną oceną ryzyka, a jeżeli to możliwe wsparciem prawnika lub zaufanego inspektora compliance.
Pamiętaj:
Ustawa nie chroni publicznego ujawnienia nieprawdziwych informacji.
Dobrą praktyką jest zdefiniowanie w polityce firmowej check-listy dla zgłaszających oraz osób rozpatrujących zgłoszenia.
Co dzieje się po zgłoszeniu: działania następcze i terminy
Po otrzymaniu zgłoszenia organizacja powinna: potwierdzić przyjęcie, zweryfikować treść, ocenić ryzyko i wdrożyć podejmowania działań następczych – od audytu dokumentów po działania naprawcze. Ta sekwencja chroni nie tylko sygnalistę, ale i firmę.
Proces musi być udokumentowany. W rejestrze odnotowuje się kluczowe kroki – przy zachowaniu ochrony prywatności i danych. Brak dokumentowania utrudnia wykazanie należytej staranności i może zostać negatywnie oceniony przez organy władzy publicznej.
Transparentny status sprawy i komunikacja z sygnalistą ograniczają eskalację i skłonność do pójścia w kanały zewnętrzne.
Dane osobowe a rejestr zgłoszeń: RODO w praktyce
Administratorem danych osobowych zgromadzonych w rejestrze jest najczęściej podmiot prawny – pracodawca lub jednostka publiczna. Wymagana jest zgodność z RODO: minimalizacja zakresu danych, ograniczenie celu i okresu przetwarzania, kontrola dostępu.
W praktyce oznacza to wdrożenie polityki ochrony danych osobowych, klauzul informacyjnych, instrukcji dla osób przetwarzających i bezpiecznych narzędzi IT. Ważne jest też przeszkolenie zespołu na temat prywatności i danych osobowych.
Brak zgodności naraża organizację na ryzyko sankcji i utratę zaufania, co przekłada się na reputację i relacje z klientami.
Obowiązki w liczbach: progi, wyjątki i katalog podmiotów
Jak wskazałem wyżej, próg 50 osób (liczonych według stanu na 1 stycznia lub 1 lipca) uruchamia obowiązek procedur zgłaszania. Do progu zalicza się osoby zatrudnione w różnych formach – nie tylko na etat. Sektory wrażliwe (np. finansowy) mają obowiązki niezależnie od liczebności osób zatrudnionych.
W sektorze publicznym obowiązki dotyczą m.in. jednostki samorządu terytorialnego – od gminy po urząd marszałkowski, a także urzędy centralne i wyspecjalizowane inspekcje.
Rozszerzenie obowiązków realnie podnosi standardy compliance w skali całej gospodarki.
Organy zewnętrzne: kto przyjmie zgłoszenie
Właściwość rzeczowa organów bywa rozproszona. W praktyce zgłoszenia zewnętrzne mogą kierować się do: Rzecznika Praw Obywatelskich (centralny punkt), Prezesa UOKiK (np. publicznoprawnych zasad konkurencji, ochrony konsumentów), KNF (np. produktów i rynków finansowych), UODO (np. ochrony danych osobowych), PIP (prawa pracy), GIS (np. bezpieczeństwa żywności), czy – zależnie od problemu – innych organów władzy publicznej.
W określonych obszarach właściwe mogą być też wyspecjalizowane urzędy i inspekcje – zgodnie z przepisami szczególnymi – a w ramach administracji rządowej i statystyki publicznej mieści się także sfera zadań Prezesa Głównego Urzędu Statystycznego.
Zanim wyślesz zgłoszenie, sprawdź właściwość merytoryczną organu i materiał dowodowy – przyspieszy to weryfikację i zwiększy skuteczność.
Najczęstsze błędy firm: gdzie organizacje tracą ochronę i reputację
Pierwszy błąd to brak formalnego ustanowienia procedury zgłoszeń wewnętrznych i rozpoznawalnych sposobów przekazywania zgłoszeń wewnętrznych. Bez nich sygnaliści idą w kanały zewnętrzne.
Drugi błąd to brak poufności – zbyt szeroki dostęp do rejestru, niekontrolowane e-maile, brak standardów rozmowy. Takie praktyki eskalują ryzyka prawne i reputacyjne.
Trzeci błąd to ignorowanie zgłoszeń „trudnych” lub anonimowych. Ustawa zachęca do merytorycznej weryfikacji, nawet jeśli informacje wydają się niepełne.
Odpowiedzialność i sankcje: czego należy unikać
Ustawa przewiduje sankcje m.in. za działania odwetowe wobec sygnalisty, naruszenie poufności czy utrudnianie zgłoszeń. To ryzyko nie tylko prawne, ale i biznesowe.
Jeśli jesteś odbiorcą zgłoszenia to stosuj dobre praktyki: wprowadź politykę „zero odwetu”, wpisz ją w KPI menedżerów i przełóż wszystko na szkolenia. Włącz dział prawny lub compliance do każdej istotnej weryfikacji.
Pamiętaj, że nadużycia (np. ujawnienia publicznego nieprawdziwych informacji) nie korzystają z ochrony. Ten balans zabezpiecza obie strony.
Sygnaliści a cyberbezpieczeństwo: bezpieczeństwo sieci i systemów
Współczesne zgłoszenia często dotyczą tematyki IT: incydentów, naruszeń dostępów, wycieków danych. Kanał przepływu informacji dla sygnałów dotyczący bezpieczeństwa sieci i systemów powinien być szyfrowany i dostępny z urządzeń prywatnych pracownika, co nie często się zdarza w dużych organizacjach.
Zespół IT i IOD (Inspektor Ochrony Danych) powinni mieć wspólną matrycę reakcji. Od izolacji zdarzenia po analizę logów i zgłoszenie naruszenia do UODO (Urząd Ochrony Danych Osobowych), jeśli dotyczy danych osobowych.
Takie połączenie skraca czas reakcji i ogranicza koszty operacyjne.
Sygnaliści a łańcuch dostaw: bezpieczeństwa żywności i pasz, transport i środowisko
W branżach regulowanych zgłoszenia często dotyczą bezpieczeństwa żywności i pasz oraz bezpieczeństwa transportu. Tu liczy się czas. Sprawna ścieżka wewnętrzna może zapobiec wpadkom w mediach i uniknąć szkód dla zdrowia publicznego.
Wątki ochrony środowiska występują coraz częściej – od utylizacji odpadów po emisje. Procedura musi uwzględniać szybkie pobranie próbek, zabezpieczenie dowodów i komunikację kryzysową.
Pamiętaj o lokalnych uwarunkowaniach i współpracy z inspekcjami.
AML, finanse i podatki: finansowaniu terroryzmu oraz produkty i rynki finansowe
W obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu funkcja sygnalisty jest elementem systemu kontroli wewnętrznej. Zgłoszenia AML warto łączyć z matrycą ryzyk i scenariuszami eskalacji.
W sektorze finansowym nieprawidłowości dotyczą także missellingu (nieuczciwych praktyk sprzedaży), nieuprawnionych opłat, błędów operacyjnych. Tu ważna jest współpraca z KNF i wewnętrznym audytem.
Elementem krajobrazu jest również sfera opodatkowania osób prawnych, o ile zachowania wypełniają definicję ustawowej „informacji o naruszeniach”, na przykład w kontekście oszustw i obejść prawa.
Anonimowość i poufność: jak chronić prywatność sygnalisty
Choć ustawa kładzie nacisk na poufność, warto ocenić, czy organizacja dopuści anonimowe zgłoszenia wewnętrzne. Zwiększa to liczbę sygnałów, ale wymaga jeszcze lepszego procesu walidacji.
Zasada „need to know” powinna obowiązywać wszystkich zaangażowanych. Ochrony prywatności i danych nie da się pogodzić z wysyłaniem wrażliwych treści zwykłą pocztą e-mail bez szyfrowania.
Dobrym standardem jest regularny audyt uprawnień i dzienników dostępowych.
Minimalne elementy procedury: co napisać i jak wdrożyć
Procedura powinna jasno opisywać przyjmowanie zgłoszeń, tryb rejestrowania, weryfikacji i podejmowania działań następczych. Możesz dołączyć do swoich dokumentów instrukcję dla zgłaszającego i menedżera, a także zasady komunikacji zwrotnej.
Ustal „ownerów” procesu – zwykle IOD/Compliance/HR – wraz z zastępstwami. Zdefiniuj ścieżki kolizyjne, gdy sprawa dotyczy top managementu.
Pamiętaj o testach praktycznych: „fałszywy użytkownik” sprawdza, czy kanał działa, a zgłoszenie trafia do właściwych osób.
Rejestr zgłoszeń: praktyka zgodności i dowodowa
Rejestr to nie tylko lista. To narzędzie prawne i podejmowania działań. Zadbaj o kryteria klasyfikacji naruszeń (np. naruszenie prawa uzyskaną informacją), terminy i statusy.
Zachowaj minimalizm danych i retencję tak długo, jak to konieczne. To zasada zarówno compliance, jak i RODO.
Pamiętaj o regularnych raportach do zarządu i właścicieli.
Jednostki publiczne i JST: specyfika sektora publicznego
W sektorze publicznym dochodzą wymogi przejrzystości, dostępności i raportowania. Jednostka samorządu terytorialnego musi mieć procedurę, kanały i przeszkolony personel pierwszej linii.
Dodatkowo w grze są przepisy sektorowe (np. zamówienia publiczne, statystyka publiczna), co może angażować różne organy – od inspekcji branżowych po urzędy centralne.
Warto zbudować ponadwydziałowy zespół i jasną mapę odpowiedzialności.
Komunikacja i szkolenia: jak budować kulturę zaufania
Nawet najlepsza procedura „na półce” nie zadziała, jeśli ludzie nie wiedzą, jak z niej korzystać. Szkolenia powinny obejmować liderów i pracowników, z naciskiem na rozpoznawanie konfliktów interesów.
W komunikacji postaw na prosty przekaz: „zgłaszasz – chronimy; odwet – zero tolerancji”. To redukuje obawy i zwiększa gotowość do działania.
Wzmocnij przekaz polityką antyretorsyjną i realnymi przykładami działań naprawczych.
FAQ dla biznesu: krótkie odpowiedzi na najczęstsze pytania
Czy muszę mieć procedurę, jeśli mam 47 osób?
Ustawa nakłada obowiązek powyżej 50 osób (liczonych szeroko), ale w sektorach wrażliwych wymóg istnieje niezależnie. Dla pewności przeprowadź audyt stanu na 1 stycznia lub 1 lipca.
Kiedy sygnalista jest chroniony?
Od chwili dokonania zgłoszenia lub ujawnienia publicznego, jeśli miał uzasadnione podstawy uważać, że informacja jest prawdziwa i dotyczy naruszenia prawa.
Czy zawsze najpierw zgłoszenie wewnętrzne?
Co do zasady tak, ale ustawa przewiduje wyjątki pozwalające pominąć ten krok – w określonych, poważnych sytuacjach.
Check-lista wdrożeniowa: od analizy do działania
Po pierwsze, diagnoza: audyt ryzyk i luk w procedurach. Zmapuj procesy, obszary regulowane i punkty wrażliwe (dane, IT, bezpieczeństwo operacyjne).
Po drugie, projekt: napisz procedury zgłoszeń wewnętrznych, wybierz narzędzie, zdefiniuj role, przygotuj klauzule RODO i wzory potwierdzeń.
Po trzecie, wdrożenie i testy: uruchom kanały, zrób pilotaż, przeprowadź szkolenia i komunikację do zespołu.
Jeśli potrzebujesz pomocy w zakresie analizy, check-listy lub/i przygotowania odpowiednich dokumentów i procedur, napisz.
Przykładowe polityki i dokumenty, które warto mieć
- Polityka zgłoszeń wewnętrznych – opis kanałów, terminów, ról, podejmowania działań następczych.
- Instrukcja dla przyjmujących zgłoszenia – scenariusze, standard rozmowy, matryca decyzji.
- Klauzule i rejestr RODO – kto jest administratorem danych osobowych zgromadzonych, jak długo i na jakiej podstawie.
- Polityka zero odwetu – jasne konsekwencje naruszeń.
Zestaw uzupełnij o wzory powiadomień i standardy bezpieczeństwa informacji.
Red flags: kiedy zgłoszenie wymaga natychmiastowej reakcji
Sygnały o zagrożeniu zdrowia publicznego, bezpieczeństwa żywności i pasz lub bezpieczeństwa transportu wymagają eskalacji „tu i teraz”. Zabezpiecz dowody, wstrzymaj proces i powiadom właściwy organ.
W obszarze IT natychmiast reaguj na naruszenia bezpieczeństwa sieci i systemów. Izoluj incydent, zmień hasła uprzywilejowane, rozważ zgłoszenie do UODO.
W finansach i AML włącz tryb eskalacyjny zgodny z ustawą sektorową i wewnętrzną procedurą.
Rola liderów: jak zarząd powinien wspierać system
Zarząd i top management powinni modelować kulturę bezpieczeństwa: „zgłaszanie to norma, nie donos”. Wpisz wskaźniki compliance do celów rocznych kadry kierowniczej.
Włącz sygnalistów w system zarządzania ryzykiem. To nie osobna wyspa w organizacji, lecz element operacyjnej odporności.
Regularnie analizuj raporty z procedury zgłoszeń i wprowadzaj korekty w oparciu o wnioski.
Dobre praktyki komunikacyjne: język, kanały, dostępność
Komunikuj prosto i empatycznie: „Masz wątpliwości? Zgłoś – chronimy prywatność i dane.” Pokaż realne przykłady napraw.
Zapewnij dostępność kanałów – również osobom z niepełnosprawnościami i osobom spoza biura (teren, zmiany, łańcuch dostaw).
Zadbaj o wielokanałowość: skrzynka, formularz, infolinia, spotkanie – tak, aby każdy miał wygodną ścieżkę.
Podsumowanie: zgodność, zaufanie i przewaga konkurencyjna
Ustawa o ochronie sygnalistów z dnia 14 czerwca 2024 r. to nie tylko obowiązek, lecz szansa na budowę kultury odpowiedzialności. Dzięki sprawnym procedurom zgłoszeń organizacja szybciej wykrywa ryzyka, chroni ludzi i biznes oraz wzmacnia reputację.
Pamiętaj o trzech filarach: jasne kanały zgłoszenia wewnętrznego, bezpieczne drogi do zgłoszeń zewnętrznych i zrozumiałe zasady ujawnienia publicznego – spójne z prawem i praktyką.
Jeżeli potrzebujesz wsparcia w audycie, zaprojektowaniu procedur lub szkoleniach dla zespołu – jako doradca biznesowy pomogę zaplanować i wdrożyć system zgodny z ustawą, a zarazem przyjazny dla ludzi i procesów.
Podstawa prawna i wybrane daty (dla Twojej wygody)
- Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928).
- Wejście w życie większości przepisów: 25 września 2024 r. (zobacz więcej informacji na stronie rządowej TUTAJ)
- Zgłoszenia zewnętrzne – uruchomienie kompetencji RPO i wybrane przepisy rozdz. 4: 25 grudnia 2024 r.
- Obowiązek procedur m.in. dla podmiotów, na rzecz których według stanu na 1 stycznia lub 1 lipca danego roku pracę wykonuje co najmniej 50 osób.
Przeczytaj również poprzedni artykuł na blogu pt. „Kontrole KNF: Jak Przygotować się na Audyt Instytucji Finansowych?”
Znajdziesz go TUTAJ.
