Procedury zgłoszeniowe i ochrona sygnalistów – jak wdrożyć to bezpiecznie?
Ustawa o ochronie sygnalistów weszła w życie, a na Twoim biurku wylądował kolejny obowiązek, który budzi niepokój w całej firmie? Zarząd pyta: „Czy musimy?”, pracownicy szepczą o „donosicielach”, a Ty zastanawiasz się, jak pogodzić wymogi prawne z kulturą organizacyjną, nie paraliżując przy tym pracy działu HR. Rozumiem ten stres. W tym artykule rozłożymy procedurę zgłoszeń wewnętrznych na czynniki pierwsze, abyś zyskał pewność, że Twoja firma jest bezpieczna, a Ty masz sytuację pod kontrolą.
1. Kim jest sygnalista w rozumieniu ustawy?
Wielu pracodawców błędnie zakłada, że sygnalistą może być tylko obecny pracownik zatrudniony na umowę o pracę. Jako Dyrektor HR musisz wiedzieć, że ustawa definiuje to pojęcie znacznie szerzej. To kluczowe dla właściwego zaprojektowania kanałów zgłoszeń i oceny ryzyka.
Sygnalistą jest osoba fizyczna, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą. Oznacza to, że ochroną objęci są nie tylko Twoi „etatowcy”, ale także:
- Współpracownicy B2B i osoby na umowach cywilnoprawnych.
- Kandydaci do pracy (którzy dowiedzieli się o nieprawidłowościach w trakcie rekrutacji).
- Byli pracownicy.
- Stażyści, wolontariusze i praktykanci.
- Podwykonawcy, dostawcy oraz członkowie organów spółki (np. zarządu czy rady nadzorczej).
Z Twojej perspektywy oznacza to jedno: procedura zgłoszeń wewnętrznych nie może być zamknięta tylko w intranecie dostępnym dla osób z firmowym adresem e-mail. Musisz zapewnić dostępność kanału zgłoszeń również dla osób z zewnątrz, jeśli mają one kontakt z Twoją organizacją w kontekście zawodowym.
2. Kanały zgłoszeń wewnętrznych – wymogi techniczne
Twoim zadaniem jest stworzenie kanałów, które gwarantują poufność tożsamości sygnalisty oraz osoby, której zgłoszenie dotyczy. Zwykła skrzynka na biurku podpisana „Skargi i wnioski” czy ogólny e-mail biuro@firma.pl to prosta droga do naruszenia ustawy.
Zgodnie z przepisami, musisz umożliwić zgłoszenia:
- Ustne – może to być dedykowana linia telefoniczna (nawet nagramy komunikat na automatycznej sekretarce, pod warunkiem, że dostęp ma tylko upoważniona osoba) lub możliwość bezpośredniego spotkania na wniosek sygnalisty (w terminie 14 dni).
- Pisemne – dedykowany adres e-mail (np. etyka@firma.pl) obsługiwany przez wąskie grono osób, tradycyjna poczta (z dopiskiem „Do rąk własnych – poufne”) lub specjalistyczna platforma online do obsługi zgłoszeń (whistleblowing software).
⚠️ HR Alert – Uważaj na te błędy
- Brak upoważnień: Najczęstszy błąd to dopuszczenie do obsługi zgłoszeń osób bez pisemnego upoważnienia. Jeśli informatyk ma dostęp do skrzynki „sygnalista”, a nie jest upoważniony – łamiesz prawo.
- Ignorowanie RODO: Przechowywanie danych o zgłoszeniach na dysku sieciowym dostępnym dla całego działu HR to proszenie się o kłopoty.
- Brak potwierdzenia: Masz obowiązek potwierdzić przyjęcie zgłoszenia w ciągu 7 dni. Brak takiego automatu lub procedury to ryzyko mandatu.
3. Rejestr zgłoszeń i działania następcze
Samo przyjęcie zgłoszenia to dopiero początek. Jako opiekun procesu, musisz zadbać o to, co dzieje się później. Ustawa nakłada na pracodawcę obowiązek prowadzenia Rejestru Zgłoszeń Wewnętrznych.
Rejestr ten musi zawierać konkretne dane, w tym:
- Numer sprawy.
- Przedmiot naruszenia.
- Dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie (jeśli je podano).
- Adres do kontaktu sygnalisty.
- Datę dokonania zgłoszenia.
- Informację o podjętych działaniach następczych.
- Datę zakończenia sprawy.
Działania następcze to serce procedury. Masz obowiązek zweryfikować prawdziwość zgłoszenia i podjąć kroki w celu przeciwdziałania naruszeniu. Co ważne, masz maksymalnie 3 miesiące (od potwierdzenia przyjęcia zgłoszenia) na przekazanie sygnaliście informacji zwrotnej o tym, co ustalono i co zrobiono w sprawie.
👁️ Okiem Praktyka
Z mojego doświadczenia wynika, że HR-owcy boją się lawiny fałszywych zgłoszeń. W praktyce jednak, w firmach, które wdrażałem, 90% zgłoszeń dotyczy realnych problemów, o których Zarząd nie miał pojęcia (np. kradzieże paliwa, mobbing ze strony „niezatapialnego” menedżera). Nie traktuj sygnalisty jak wroga. Potraktuj to jako darmowy audyt wewnętrzny. Lepiej, żeby pracownik zgłosił nieprawidłowość Tobie, niż od razu poszedł do Państwowej Inspekcji Pracy lub mediów.
4. Zakaz działań odwetowych wobec sygnalisty
To jest ten moment, w którym Twoja rola jako strażnika bezpieczeństwa prawnego firmy jest najważniejsza. Ustawa wprowadza bezwzględny zakaz działań odwetowych. Co to oznacza w praktyce HR-owej?
Nie możesz wobec sygnalisty (ani osób mu pomagających):
- Wypowiedzieć umowy o pracę (ani nie przedłużyć umowy na czas określony).
- Obniżyć wynagrodzenia.
- Wstrzymać awansu.
- Przenieść na niższe stanowisko.
- Stosować mobbingu lub dyskryminacji.
- Nałożyć kary porządkowej.
Kluczowe: W przypadku sporu sądowego, to na pracodawcy spoczywa ciężar dowodu, że podjęte działanie (np. zwolnienie) nie miało związku z dokonanym zgłoszeniem. Dlatego tak ważna jest dokumentacja każdego ruchu kadrowego.
5. Ochrona danych osobowych w procesie zgłaszania
Procedura whistleblowingowa to pole minowe w kontekście RODO. Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia muszą być chronione na najwyższym poziomie.
Jako Administrator Danych Osobowych (pracodawca), musisz pamiętać o:
- Upoważnieniach: Dostęp do danych mają tylko osoby pisemnie upoważnione.
- Retencji danych: Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych przechowuje się przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze.
- Minimalizacji: Nie zbieraj danych, które nie są niezbędne do rozpatrzenia sprawy. Dane nadmiarowe należy usunąć (zanonimizować) niezwłocznie.
💼 Gotowiec dla Zarządu
Prezes pyta, po co inwestować w system dla sygnalistów? Użyj tych argumentów:
- Bezpieczeństwo finansowe: Za brak procedury grozi grzywna, a za działania odwetowe – nawet do 2 lat pozbawienia wolności dla osób decyzyjnych.
- Kontrola informacji: Wdrożenie procedury wewnętrznej sprawia, że problemy rozwiązujemy „w domu”. Bez tego pracownik ma prawo zgłosić sprawę bezpośrednio do organu publicznego (Rzecznik Praw Obywatelskich) lub dokonać zgłoszenia zewnętrznego, co grozi kryzysem wizerunkowym.
- Oszczędność: Wykrycie nadużyć (np. kradzieży czy korupcji) na wczesnym etapie to realne pieniądze, które zostają w firmie.
❓ Częste pytania (FAQ)
Czy mała firma musi mieć sygnalistów?
Obowiązek utworzenia wewnętrznych kanałów zgłoszeń dotyczy podmiotów, na rzecz których pracę wykonuje zarobkowo co najmniej 50 osób (według stanu na 1 stycznia lub 1 lipca). Są jednak wyjątki (np. branża finansowa, AML), gdzie próg zatrudnienia nie ma znaczenia.
Jak wdrożyć procedurę whistleblowing?
Proces składa się z 3 kroków: 1. Konsultacje z przedstawicielami pracowników lub związkami zawodowymi (trwają od 5 do 10 dni). 2. Ogłoszenie procedury (wejście w życie po 7 dniach od ogłoszenia). 3. Techniczne uruchomienie kanałów i wyznaczenie osób odpowiedzialnych.
Czy sygnalista może być anonimowy?
Ustawa o ochronie sygnalistów daje pracodawcy wybór. Możesz w regulaminie zapisać, że przyjmujesz zgłoszenia anonimowe, ale nie masz takiego obowiązku. Jeśli jednak zdecydujesz się na przyjmowanie anonimów, a tożsamość sygnalisty zostanie później ujawniona, przysługuje mu pełna ochrona prawna.
Potrzebujesz wsparcia we wdrożeniu?
Wdrożenie procedury o ochronie sygnalistów nie musi być koszmarem. Jeśli potrzebujesz gotowych wzorów dokumentów, regulaminu skrojonego pod Twoją branżę lub szkolenia dla zespołu, który będzie obsługiwał zgłoszenia – skontaktuj się ze mną. Pomogę Ci zabezpieczyć firmę i Twoje stanowisko.
