• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Co powinien zawierać regulamin ochrony sygnalistów?

Spis treści

Regulamin ochrony sygnalistów to dokument określający zasady zgłaszania naruszeń prawa w organizacji oraz gwarantujący ochronę osobom dokonującym takich zgłoszeń – zgodnie z wymogami ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów.

Wraz z wejściem w życie tej ustawy na wielu pracodawców został nałożony nowy obowiązek – wdrożenie procedury wewnętrznej, która umożliwia bezpieczne i skuteczne sygnalizowanie nieprawidłowości. Kluczowym elementem tego procesu jest właśnie regulamin ochrony sygnalistów. Powinien być on nie tylko zgodny z obowiązującymi przepisami prawa, ale również czytelny, funkcjonalny i zrozumiały dla pracowników – tak, by wspierał kulturę zgłaszania nieprawidłowości i chronił osoby działające w interesie publicznym.

Co konkretnie powinien zawierać taki dokument? Poniżej przedstawiamy elementy, które warto ująć w regulaminie, by spełniał on zarówno wymogi ustawowe, jak i praktyczne potrzeby organizacji.

I. Cel i zakres regulaminu

Każdy regulamin ochrony sygnalistów powinien otwierać rozdział, który jasno definiuje cel dokumentu oraz jego zakres zastosowania. To fundament, który nie tylko porządkuje treść, ale również zapewnia zgodność z wymogami ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów oraz unijnej dyrektywy 2019/1937.

Co warto ująć w tej części?

1. Cel regulaminu

Należy wyraźnie wskazać, że celem regulaminu jest stworzenie procedury zgłaszania naruszeń prawa, zapewnienie ochrony sygnalistom oraz określenie działań następczych.

Warto również zaznaczyć, że dokument służy promowaniu kultury zgodności (compliance), budowaniu zaufania w organizacji oraz zapobieganiu nadużyciom.

2. Podstawy prawne

Wskazanie podstawy w postaci ustawy o ochronie sygnalistów z 2024 r., a także odniesienie do dyrektywy UE 2019/1937. Dodatkowo można wspomnieć o innych przepisach krajowych lub międzynarodowych oraz wewnętrznych standardach compliance, jeśli mają zastosowanie.
Takie wskazanie pokazuje, że regulamin opiera się nie tylko na wymogach prawnych, ale również na dobrych praktykach.

3. Zakres podmiotowy – kto podlega regulaminowi

W tym miejscu należy określić, kogo obejmuje procedura ochrony – co ważne, nie ogranicza się ona wyłącznie do obecnych pracowników.

Zgodnie z ustawą, regulamin powinien obejmować m.in.:

  • pracowników (obecnych i byłych),
  • osoby pracujące na podstawie umów cywilnoprawnych,
  • osoby samozatrudnione współpracujące z firmą,
  • członków organów, wspólników, akcjonariuszy,
  • kandydatów do pracy (na etapie rekrutacji),
  • praktykantów, stażystów, wolontariuszy,
  • osoby pomagające w zgłoszeniu i osoby powiązane z sygnalistą,
  • powiązane z sygnalistą podmioty prawne.

Taki szeroki katalog jest zgodny z ustawą i dyrektywą, a jego uwzględnienie zabezpiecza organizację przed zarzutem zbyt wąskiego stosowania przepisów ochronnych.

4. Zakres przedmiotowy – czego dotyczą zgłoszenia

W tej części można już delikatnie zasygnalizować (bez szczegółów – te znajdą się w kolejnych rozdziałach), że regulamin dotyczy zgłaszania naruszeń prawa, a nie np. subiektywnych skarg pracowniczych (jak mobbing czy konflikty interpersonalne, które mogą, ale nie muszą być naruszeniem prawa).

Dlaczego ten rozdział jest ważny?

Rozdział pierwszy nie jest jedynie formalnym wstępem – to ramy prawne i organizacyjne, które determinują późniejsze działanie całego systemu ochrony sygnalistów. Jasne określenie celu i zakresu ułatwia zrozumienie dokumentu, wspiera jego egzekwowanie i stanowi punkt odniesienia w przypadku ewentualnych wątpliwości interpretacyjnych.

Dla autora regulaminu to również miejsce, gdzie można wyraźnie zadeklarować intencje organizacji: ochronę osób działających w dobrej wierze, przeciwdziałanie nadużyciom oraz wspieranie zgodności z prawem jako wartości firmowej.

II. Definicje

Każdy regulamin ochrony sygnalistów powinien zawierać osobny rozdział z definicjami najważniejszych pojęć, które będą wykorzystywane w dalszej części dokumentu. Taki słowniczek nie tylko ułatwia zrozumienie treści, ale także zapewnia spójność interpretacyjną – szczególnie w przypadku tak złożonej tematyki, jak ochrona sygnalistów.

Po co tworzyć słownik pojęć?

  • Ujednolicenie terminologii – pozwala uniknąć rozbieżności w interpretacji pojęć (np. „działanie następcze” vs „działanie odwetowe”).
  • Zgodność z ustawą i dyrektywą – wiele definicji ma swoje źródła w przepisach prawa i powinny być zaczerpnięte lub odwzorowane z ustawą z dnia 14 czerwca 2024 r. o ochronie sygnalistów oraz z dyrektywy 2019/1937.
  • Przejrzystość dokumentu – definicje pomagają odbiorcom (pracownikom, zgłaszającym, osobom odpowiedzialnym za procedurę) w szybszym zrozumieniu zasad.

Co powinno znaleźć się w tej sekcji?

1. Kluczowe pojęcia z ustawy

W pierwszej kolejności warto odwołać się do definicji ustawowych i zawrzeć m.in.:

  • Sygnalista – z dokładnym zakresem podmiotów, które mogą nim być,
  • Zgłoszenie wewnętrzne i zewnętrzne – w tym różnice między nimi,
  • Ujawnienie publiczne – czyli kiedy informacja trafia do opinii publicznej,
  • Działanie odwetowe – z pełnym katalogiem form, zgodnie z art. 4 ustawy,
  • Działanie następcze – czyli co dzieje się po otrzymaniu zgłoszenia.
  • Naruszenie prawa- co to jest i jakie działania rozumie się przez naruszenie prawa.

Warto przytoczyć te definicje wprost lub z lekkim uproszczeniem, ale nie zmieniać ich sensu.

2. Pojęcia organizacyjne specyficzne dla firmy

Regulamin może zawierać również terminy charakterystyczne dla konkretnej organizacji, takie jak:

  • Pełnomocnik ds. zgłoszeń sygnalistów – jeśli taka rola została wyznaczona,
  • Zespół ds. zgłoszeń – jeżeli ocena zgłoszeń dokonywana jest zespołowo,
  • Elektroniczny system zgłoszeń – jeśli firma korzysta z konkretnego rozwiązania IT.

Ważne, aby doprecyzować strukturę i odpowiedzialność, bez wprowadzania niejasnych nazw własnych bez wyjaśnienia.

  1. Podmioty powiązane z sygnalistą

Zgodnie z przepisami, ochronie podlegają nie tylko sami sygnaliści, ale także:

  • osoby pomagające w zgłoszeniu,
  • osoby powiązane (np. rodzina, współpracownicy),
  • podmioty prawne powiązane z sygnalistą (np. firma, w której pracuje).

W słowniku warto wskazać te kategorie i odnieść się np. do definicji z Kodeksu karnego lub RODO (np. definicji osoby fizycznej).

4. Pozostałe istotne terminy

W zależności od potrzeb organizacji, słownik może zawierać również takie pojęcia jak:

  • Informacja zwrotna,
  • Informacja o naruszeniu prawa (w tym uzasadnione podejrzenie),
  • Anonim (czyli zgłoszenie anonimowe),
  • Partner Biznesowy, Pracodawca, Pracownik, Podmiot prawny itp.

Niektóre z nich mogą być ujęte zgodnie z praktyką stosowaną w firmie, o ile nie są sprzeczne z ustawą.

Jak opisać definicje?

  • Zwięźle, ale precyzyjnie – unikaj wieloznaczności.
  • Z zachowaniem języka prawnego – zwłaszcza przy pojęciach zaczerpniętych z ustawy.
  • Bez skrótów myślowych – każda definicja powinna być zrozumiała bez konieczności szukania jej znaczenia w innych dokumentach.
  • Alfabetycznie lub według logiki regulaminu – np. najpierw pojęcia kluczowe, później organizacyjne.

Dobrze przygotowana sekcja definicji zdecydowanie ułatwia stosowanie całej procedury ochrony sygnalistów. Jasne definicje pomagają uniknąć nieporozumień, usprawniają proces przyjmowania zgłoszeń i wspierają transparentność wewnątrz organizacji.

regulamin ochrony sygnalistów

III. Zadania i odpowiedzialności

W tej części regulaminu należy jasno określić, jakie obowiązki mają poszczególne osoby i jednostki w organizacji w związku z przyjmowaniem, rozpatrywaniem i dokumentowaniem zgłoszeń sygnalistów. To tu definiuje się odpowiedzialność pracodawcy, osoby przyjmującej zgłoszenia, a także pracowników i osób zgłaszających naruszenia. Jasne przypisanie zadań wspiera skuteczność procedury, zapewnia przejrzystość działania oraz ułatwia egzekwowanie obowiązków wynikających z ustawy o ochronie sygnalistów.

Co powinno się znaleźć w tym rozdziale?

1. Obowiązki pracodawcy / spółki

Regulamin powinien wskazywać, że to pracodawca (lub inny podmiot zobowiązany):

  • ustanawia i utrzymuje kanały zgłaszania nieprawidłowości (np. formularze, adresy e-mail, telefon, spotkania osobiste),
  • przyjmuje zgłoszenia – wewnętrzne, a w miarę możliwości także anonimowe,
  • podejmuje działania następcze, tj. prowadzi postępowania wyjaśniające, podejmuje środki zaradcze, informuje o rezultatach,
  • zapewnia ochronę sygnalistom i innym osobom objętym ustawową ochroną (np. świadkom, osobom pomagającym),
  • prowadzi działania informacyjne i szkoleniowe, by wszyscy pracownicy znali swoje prawa i obowiązki.

Warto również jasno określić, że podmiot nie będzie podejmował żadnych działań odwetowych wobec sygnalistów, co powinno być literalnie powtórzone zgodnie z art. 23 ustawy.

2. Kto może być uznany za sygnalistę i kiedy podlega ochronie

To ważny punkt, który powinien wyjaśniać, że:

  • status sygnalisty przysługuje osobie, która działała w dobrej wierze i miała uzasadnione podstawy, by sądzić, że zgłoszenie dotyczy naruszenia prawa,
  • ochrona przysługuje nie tylko po zgłoszeniu wewnętrznym, ale również przy zgłoszeniu zewnętrznym oraz ujawnieniu publicznym (o ile spełnione są warunki z ustawy).

Regulamin powinien jasno odróżniać sytuacje zgłoszenia rzetelnego od sytuacji, w której zgłoszenie zawierało nieprawdziwe informacje w sposób świadomy i celowy – co może rodzić odpowiedzialność po stronie zgłaszającego.

3. Obowiązki pracowników i kandydatów

W tym miejscu należy określić, że:

  • pracownicy są zobowiązani do zgłaszania naruszeń prawa, jeżeli posiadają takie informacje,
  • zgłoszenia powinny być dokonywane w dobrej wierze, tj. na podstawie faktów i obiektywnych przesłanek,
  • świadome zgłaszanie nieprawdziwych informacji jest zakazane i może skutkować odpowiedzialnością porządkową (pracowniczą) oraz cywilną – w przypadku naruszenia dóbr osobistych lub wyrządzenia szkody.

Warto podkreślić, że to rozróżnienie nie ma na celu zniechęcania do zgłoszeń, ale ochronę przed nadużyciami systemu.

4. Odpowiedzialność Pełnomocnika ds. zgłoszeń sygnalistów

Jeśli organizacja powołuje taką osobę lub zespół, należy precyzyjnie opisać ich zadania:

  • odbiór i rejestracja zgłoszeń,
  • prowadzenie postępowań wyjaśniających,
  • komunikacja z sygnalistą,
  • przygotowanie informacji zwrotnej,
  • zapewnienie poufności i bezstronności na każdym etapie procedury.

Pełnomocnik może być osobą wewnętrzną (np. z działu compliance), członkiem wyodrębnionej jednostki lub podmiotem zewnętrznym – to również należy jasno wskazać.

5. Obowiązki informacyjne spółki

Ustawa wymaga, aby regulamin był nie tylko sporządzony, ale również realnie wdrożony i zakomunikowany. Dlatego w tym rozdziale powinno znaleźć się:

  • zobowiązanie spółki do informowania wszystkich pracowników i innych osób objętych procedurą (np. stażystów, kandydatów),
  • obowiązek zapoznania się z regulaminem przed podjęciem pracy (np. poprzez podpisanie oświadczenia),
  • wskazanie, że wzór oświadczenia stanowi załącznik do regulaminu.

Na co szczególnie zwrócić uwagę?

  • Warto zadbać, by ten rozdział był czytelny i konkretne przypisywał odpowiedzialność – nie pozostawiając luk organizacyjnych.
  • Wskazanie działań, które są zakazane jako odwetowe, może znaleźć się tutaj lub w osobnym rozdziale (jeśli regulamin przewiduje).
  • Rozdział ten powinien być kompatybilny z systemem organizacyjnym firmy – np. uwzględniać rzeczywiste stanowiska, kanały komunikacji, zakres decyzyjności.

IV. Sposoby zgłaszania naruszeń

Ta część regulaminu określa, w jaki sposób osoby objęte procedurą mogą przekazywać informacje o naruszeniach – jakie kanały są dostępne, jak wygląda proces ich obsługi, jakie są wymagania formalne oraz jak zapewniana jest poufność zgłoszenia. Opisane rozwiązania powinny być zgodne z ustawą o ochronie sygnalistów, a jednocześnie dostosowane do możliwości organizacji – tak, by umożliwiały skuteczne i bezpieczne przyjmowanie zgłoszeń.

Jakie elementy powinna zawierać ta część regulaminu?

1. Obowiązek korzystania z kanałów wewnętrznych

Regulamin powinien wskazywać, że osoby objęte zakresem regulaminu (zgodnie z Rozdziałem I) mają obowiązek lub uprawnienie do korzystania z kanałów zgłoszeń, przy czym warto zadbać o rozróżnienie między obowiązkiem (np. dla pracowników) a uprawnieniem (np. dla kandydatów lub byłych współpracowników).

2. Rodzaje kanałów zgłoszeń

Organizacja powinna opisać co najmniej trzy podstawowe formy zgłoszeń:

  • Zgłoszenie elektroniczne – najczęściej przez dedykowany, szyfrowany system IT. Wymaga on zapewnienia poufności, rozliczalności (logowania zdarzeń), dwustronnej komunikacji i możliwości anonimowego kontaktu.
  • Zgłoszenie pisemne – np. w formie listu w zaklejonej kopercie z klauzulą „do rąk własnych”. Należy określić dokładny adres i procedurę przekazania.
  • Zgłoszenie ustne – poprzez spotkanie z Pełnomocnikiem ds. zgłoszeń. Warto wskazać, w jakim terminie spotkanie powinno się odbyć (np. 14 dni od złożenia wniosku) oraz jak jest dokumentowane (np. transkrypcja, nagranie).

Każdy z kanałów powinien być dostępny, bezpieczny i dostosowany do potrzeb sygnalistów.

3. Możliwość zgłoszeń anonimowych – czy i kiedy są dopuszczalne

Ustawa nie nakłada obowiązku przyjmowania zgłoszeń anonimowych, ale wiele organizacji dopuszcza taką możliwość. Regulamin musi jednoznacznie określić:

  • czy zgłoszenia anonimowe są przyjmowane,
  • w jakiej formie mogą być składane (np. tylko przez system elektroniczny),
  • czy mają wpływ na wszczęcie procedury wyjaśniającej.

Należy też wskazać, że w przypadku braku danych kontaktowych nie jest możliwe udzielenie informacji zwrotnej.

Warto dodać, że zgłoszenia anonimowe nie powinny być automatycznie odrzucane – nawet jeśli regulamin przewiduje możliwość ich nierozpatrywania, powinny być wstępnie analizowane.

4. Potwierdzenie przyjęcia zgłoszenia

Zgodnie z ustawą, jeśli sygnalista poda adres do kontaktu, organizacja powinna potwierdzić przyjęcie zgłoszenia w terminie 7 dni. W regulaminie należy opisać, w jakiej formie sygnalista otrzymuje potwierdzenie (np. automatyczny komunikat w systemie, wiadomość e-mail).

5. Zalecenia dotyczące treści zgłoszenia

Dla efektywnego rozpatrzenia zgłoszenia, warto w regulaminie wskazać, że każde zgłoszenie powinno zawierać m.in.:

  • datę i miejsce zdarzenia,
  • opis okoliczności,
  • wskazanie osób lub podmiotów, których dotyczy,
  • dane kontaktowe zgłaszającego (jeśli nie jest anonimowe).

Można też rekomendować korzystanie z określonego formularza zgłoszeniowego, ale nie można tego narzucać jako jedynej formy.

6. Warunki niedopuszczenia zgłoszenia do procedowania

Regulamin może przewidywać, że zgłoszenia nie będą rozpatrywane, jeśli:

  • są nieprecyzyjne, nie zawierają minimalnych danych,
  • stanowią powtórzenie wcześniej rozpatrzonych zgłoszeń bez nowych okoliczności,
  • mają charakter jawnie złośliwy lub nierzetelny.

W takim przypadku należy jednak zapewnić informację zwrotną o przyczynie odmowy wszczęcia postępowania wyjaśniającego – o ile sygnalista podał dane kontaktowe.

7. Zgłoszenia zewnętrzne i ujawnienia publiczne

Zgodnie z ustawą, sygnalista ma prawo dokonać:

  • zgłoszenia zewnętrznego – np. do RPO lub organu nadzorczego,
  • ujawnienia publicznego – np. do mediów, pod warunkiem spełnienia przesłanek.

8. Zasada poufności i rekomendacja zachowania dyskrecji

Choć nie można wymagać milczenia od sygnalisty, warto zalecać, by – w interesie efektywności postępowania wyjaśniającego – nie rozpowszechniał informacji o zgłoszeniu, chyba że zachodzi uzasadniona konieczność.

Regulamin powinien:

  • jasno wskazać, że prawa te nie są ograniczane,
  • zalecać w pierwszej kolejności skorzystanie z kanałów wewnętrznych (jeśli nie ma zagrożenia działań odwetowych),
  • wyjaśnić przesłanki ochrony prawnej przy zgłoszeniach zewnętrznych i ujawnieniu publicznym.

V. Tryb zgłaszania naruszeń prawa i prowadzenia działań następczych

W tej części regulaminu należy krok po kroku opisać, co dzieje się po dokonaniu zgłoszenia – od momentu jego wpływu, przez ocenę zasadności, działania wyjaśniające, aż po informację zwrotną i archiwizację dokumentacji. Rozdział ten porządkuje przebieg postępowania wewnętrznego i jasno przypisuje obowiązki osobom odpowiedzialnym za analizę zgłoszeń.

Co powinno zostać ujęte w tej części regulaminu?

1. Uruchomienie procedury po złożeniu zgłoszenia

Regulamin powinien wskazywać, że prawidłowe zgłoszenie – dokonane zgodnie z zasadami opisanymi w rozdziale IV – uruchamia tryb formalny. Oznacza to:

  • przyjęcie zgłoszenia przez uprawnioną osobę (najczęściej Pełnomocnika ds. zgłoszeń sygnalistów),
  • jego rejestrację,
  • ocenę formalną i merytoryczną,
  • podjęcie działań następczych,
  • zakończenie sprawy w formie raportu.

Warto też wskazać, że obowiązek podjęcia działań następczych powstaje w razie uzasadnionego podejrzenia naruszenia prawa, zgodnie z przepisami ustawy.

2. Role i standardy pracy Pełnomocnika ds. zgłoszeń sygnalistów

Należy szczegółowo opisać, jakimi zasadami kieruje się osoba rozpatrująca zgłoszenie:

  • rzetelność,
  • bezstronność,
  • poufność,
  • niezależność,
  • terminowość,
  • obiektywizm.

Warto zaznaczyć, że Pełnomocnik może samodzielnie analizować sprawę lub – w razie potrzeby – zawnioskować o powołanie Zespołu ds. zgłoszeń sygnalistów (wskazując, że decyzja należy do zarządu).

3. Zakres i przebieg postępowania wyjaśniającego

Regulamin powinien opisywać cały przebieg postępowania, w tym:

  • możliwość wysłuchania sygnalisty, osoby wskazanej w zgłoszeniu, świadków,
  • analizę dokumentów (e-maili, pism, zdjęć, logów, monitoringów),
  • przeprowadzanie rozmów wyjaśniających oraz ich protokołowanie,
  • przygotowanie raportu z oceną zasadności zgłoszenia i rekomendacjami dla zarządu.

Warto wskazać, że postępowanie może wymagać współpracy z innymi osobami w firmie (np. IOD, radcą prawnym, kierownikami działów) oraz że osoby wzywane do złożenia wyjaśnień są zwalniane z obowiązków służbowych na czas czynności – z zachowaniem prawa do wynagrodzenia.

4. Zakres dostępu do danych i dokumentów

Osoby prowadzące postępowanie powinny mieć możliwość weryfikacji informacji zawartych w zgłoszeniu poprzez:

  • dostęp do dokumentacji i baz danych,
  • dostęp do służbowych e-maili, telefonów, dysków,
  • analizę materiału dowodowego w różnych formach (zdjęcia, logi systemowe),
  • współpracę z odpowiednimi komórkami organizacyjnymi.

W regulaminie należy podkreślić, że te działania muszą być prowadzone z poszanowaniem prywatności i zgodnie z zasadami RODO.

5. Raport i rekomendacje

Po zakończeniu postępowania Pełnomocnik powinien przygotować raport, który zawiera:

  • status sprawy,
  • ogólny opis charakteru zgłoszenia,
  • ocenę zasadności,
  • analizę ryzyk,
  • środki zaradcze podjęte przez spółkę,
  • wnioski i rekomendacje dla zarządu.

Raport powinien być podstawą do podjęcia działań zaradczych lub naprawczych.

6. Informacja zwrotna dla sygnalisty

Regulamin powinien precyzować, że:

  • sygnalista otrzymuje informację zwrotną w terminie do 3 miesięcy od potwierdzenia przyjęcia zgłoszenia,
  • jeżeli potwierdzenie nie zostało przekazane, liczy się termin od 7. dnia po zgłoszeniu,
  • informacja zwrotna zawiera opis planowanych lub podjętych działań oraz uzasadnienie decyzji.

Wyjątek stanowi sytuacja, gdy zgłoszenie było anonimowe i nie zawierało danych kontaktowych.

7. Zasady archiwizacji i dostępności dokumentów

W regulaminie warto wskazać, że:

  • cała dokumentacja dotycząca zgłoszenia (protokoły, raporty, analiza) przechowywana jest w sposób zabezpieczony przed dostępem osób nieupoważnionych,
  • dokumenty są archiwizowane przez okres trzech lat od zakończenia działań następczych lub postępowań z nich wynikających.

Rozdział powinien również obejmować:

  • procedurę w przypadku, gdy zgłoszenie dotyczy członka zarządu – wtedy trafia ono do rady nadzorczej,
  • obowiązek prowadzenia rejestru zgłoszeń (ze wzorem jako załącznikiem),
  • możliwość dokumentowania zgłoszeń nieustnych na osobnym formularzu/protokole.

VI. Wyznaczenie osoby lub osób do przyjmowania zgłoszeń wewnętrznych naruszeń prawa lub prowadzenia działań następczych.

W tym rozdziale należy określić, kto formalnie odpowiada w organizacji za odbiór zgłoszeń sygnalistów oraz za prowadzenie postępowań wyjaśniających. Regulamin powinien zawierać zasady wyznaczania tych osób, ich uprawnienia, kryteria bezstronności, a także mechanizm zastępowania w przypadku konfliktu interesów lub powiązania z treścią zgłoszenia.

Jakie kwestie należy ująć w tej części regulaminu?

1. Kto przyjmuje zgłoszenia i kto prowadzi działania następcze

Regulamin powinien precyzować, że:

  • Zarząd powołuje Pełnomocnika ds. zgłoszeń sygnalistów oraz – opcjonalnie – Zespół ds. zgłoszeń sygnalistów, poprzez uchwałę lub inny akt wewnętrzny.
  • Osoby te działają na podstawie pisemnego upoważnienia, którego wzór stanowi załącznik do regulaminu.
  • W uzasadnionych przypadkach dopuszcza się powołanie eksperta zewnętrznego lub wewnętrznego – np. gdy zgłoszenie dotyczy skomplikowanego lub wrażliwego tematu wymagającego specjalistycznej wiedzy.

 

2. Wymogi kompetencyjne i organizacyjne

Pełnomocnik i członkowie zespołu powinni dysponować wiedzą z zakresu:

  • przepisów ustawy o ochronie sygnalistów,
  • procedur compliance,
  • ochrony danych osobowych,
  • przeprowadzania postępowań wyjaśniających.

Dobrą praktyką jest wskazanie, że osoby te powinny stosować ustalony plan działania, zabezpieczać dokumentację, ograniczać dostęp do informacji oraz korzystać z odpowiednich kanałów komunikacji.

3. Zasady bezstronności i wyłączenia z procedowania

Regulamin musi jasno wskazywać, że osoba rozpatrująca zgłoszenie nie może być osobiście powiązana z jego treścią. Oznacza to wyłączenie, jeżeli:

  • osoba rozpatrująca jest sygnalistą, osobą wskazaną w zgłoszeniu lub ich przełożonym,

  • pozostaje z nimi w relacji osobistej (małżeństwo, pokrewieństwo, powinowactwo, opieka, przysposobienie),
  • brała udział w zdarzeniu, którego dotyczy zgłoszenie,
  • istnieje inna okoliczność podważająca jej obiektywizm (np. relacja zawodowa lub finansowa).

W razie zaistnienia przesłanek wyłączenia, osoba rozpatrująca zgłoszenie ma obowiązek niezwłocznie poinformować o tym Zarząd, który podejmuje decyzję o dalszym procedowaniu.

4. Procedura wyłączenia i zastąpienia osoby uprawnionej

W przypadku stwierdzenia braku bezstronności, Zarząd powinien:

  • wyłączyć Pełnomocnika lub członka zespołu,
  • wyznaczyć inną osobę uprawnioną do przeprowadzenia procedury – z zachowaniem wszystkich wymogów ustawowych: poufności, bezstronności, obiektywizmu.

Dobrą praktyką jest zobowiązanie do podpisania oświadczenia o zachowaniu bezstronności, którego wzór również warto dołączyć jako załącznik.

5. Wsparcie merytoryczne i organizacyjne

Rozdział może przewidywać możliwość wsparcia postępowania przez:

  • Inspektora Ochrony Danych,
  • dział prawny,
  • specjalistów z działu BHP, IT lub HR – w zależności od charakteru sprawy.

Dzięki temu proces jest lepiej dopasowany do specyfiki naruszenia i pozwala na pełniejszą analizę okoliczności zgłoszenia.

6. Zakończenie procedury i dokumentacja

Po zakończeniu postępowania, Pełnomocnik (lub wyznaczona osoba) uzupełnia raport końcowy, który zawiera ocenę zasadności zgłoszenia, opis podjętych czynności, wnioski i rekomendacje. Raport powinien zostać przekazany Prezesowi Zarządu.

VII. Zasady poufności

Regulamin ochrony sygnalistów powinien zawierać jasne i szczegółowe zasady dotyczące poufności danych oraz przebiegu postępowania. Celem tej części jest określenie, kto i w jakim zakresie ma dostęp do informacji zawartych w zgłoszeniu oraz jak zabezpieczyć tożsamość sygnalisty, osób zaangażowanych oraz dokumentów przetwarzanych w toku procedury.

Co należy zawrzeć w tym rozdziale?

1. Zasada ogólna – poufność informacji z postępowania

Regulamin powinien wprost stanowić, że wszystkie informacje pozyskane w ramach zgłoszenia oraz w trakcie działań następczych są objęte poufnością. Obejmuje to m.in.:

  • treść zgłoszenia,
  • dane osobowe sygnalisty,
  • dane osób wskazanych w zgłoszeniu,
  • informacje dotyczące postępowania (czas, miejsce, przebieg spotkań),
  • wszelkie dokumenty i materiały zebrane podczas analizy sprawy.

Taka zasada powinna obowiązywać na wszystkich etapach procedury – od przyjęcia zgłoszenia, przez jego rozpoznanie, po archiwizację.

2. Obowiązek zachowania poufności przez uczestników procedury

W regulaminie należy wskazać, że:

  • każda osoba dopuszczona do udziału w postępowaniu (członkowie zespołu, pełnomocnik, świadkowie, strony, eksperci) jest zobowiązana do zachowania poufności,
  • obowiązek ten jest potwierdzany w formie pisemnego oświadczenia, którego wzór stanowi załącznik do regulaminu,
  • osoby te są informowane o obowiązku poufności przed rozpoczęciem udziału w procedurze.

Można dodać, że naruszenie tego obowiązku może skutkować odpowiedzialnością służbową lub dyscyplinarną.

3. Dostęp do informacji – kto i w jakim zakresie

Dostęp do akt sprawy oraz do danych osobowych sygnalisty powinna mieć wyłącznie osoba odpowiedzialna za prowadzenie postępowania – zwykle Pełnomocnik ds. zgłoszeń sygnalistów.

  • Dokumenty gromadzone w sprawie (protokoły, korespondencja, raporty) powinny być przechowywane w sposób zabezpieczony (np. zaszyfrowany system, zamknięta szafa).
  • Uwierzytelnione kopie dokumentów mogą być dołączane w formie zanonimizowanej, tj. uniemożliwiającej identyfikację sygnalisty.
  • Dane osobowe powinny być przechowywane wyłącznie w aktach sprawy, bez równoległego gromadzenia ich w innych zbiorach.

 

4. Zasady ochrony tożsamości sygnalisty

Regulamin powinien przewidywać, że:

  • dane sygnalisty nie są udostępniane żadnym osobom postronnym ani uczestnikom postępowania, o ile nie jest to niezbędne dla jego przeprowadzenia,
  • identyfikacja sygnalisty jest możliwa wyłącznie w ramach działań następczych i wyłącznie przez osoby upoważnione,
  • spółka zapewnia ochronę również w fazie przechowywania i archiwizacji dokumentów, przez okres niezbędny do dochodzenia roszczeń lub wywiązania się z obowiązków prawnych.

 

5. Poufność danych osoby wskazanej w zgłoszeniu i jej prawa

Ważne jest, by regulamin zapewniał równowagę między ochroną sygnalisty a prawami osoby, której zgłoszenie dotyczy:

  • ta osoba również korzysta z zasady poufności swojej tożsamości,
  • ma prawo do bycia wysłuchaną, zapoznania się z materiałem, odniesienia się do zarzutów – z poszanowaniem tożsamości sygnalisty,
  • regulamin powinien jasno opisywać, że prawa tej osoby nie mogą prowadzić do ujawnienia danych osoby zgłaszającej, chyba że jest to konieczne z mocy prawa.

 

Dobre praktyki do uwzględnienia:

  • ograniczenie grona osób mających dostęp do danych z postępowania do absolutnego minimum,
  • wykorzystanie bezpiecznych kanałów komunikacji i przechowywania danych (np. systemy szyfrowane),
  • przypominanie o poufności na każdym etapie współpracy z osobami trzecimi (np. biegli, IOD, prawnicy),
  • prowadzenie oddzielnych rejestrów zgłoszeń w sposób uniemożliwiający identyfikację sygnalistów (w przypadku zgłoszeń anonimowych lub pseudonimizowanych).

VIII. Rejestr zgłoszeń wewnętrznych

Rejestr zgłoszeń wewnętrznych to dokumentacja, w której ewidencjonuje się każde przyjęte zgłoszenie dotyczące naruszenia prawa. W regulaminie należy określić zasady jego prowadzenia, zakres gromadzonych danych, czas przechowywania oraz środki ochrony informacji zawartych w rejestrze – zgodnie z ustawą o ochronie sygnalistów i przepisami RODO.

Co powinno zostać opisane w tej części regulaminu?

1. Obowiązek rejestrowania zgłoszeń

Regulamin powinien wprost wskazywać, że każde zgłoszenie wewnętrzne, które wpłynęło do organizacji i zostało przyjęte do rozpatrzenia, musi zostać wpisane do rejestru – niezależnie od jego formy (ustna, pisemna, elektroniczna) i treści (zasadne, niezasadne, nierozpatrzone).

2. Forma prowadzenia rejestru

Warto wskazać, że rejestr prowadzony jest:

  • w formie elektronicznej, w bezpiecznym systemie informatycznym,
  • przez wyznaczoną osobę – zazwyczaj Pełnomocnika ds. zgłoszeń sygnalistów.

W regulaminie należy wyraźnie określić, kto ma dostęp do rejestru i w jakim zakresie – z zachowaniem zasady minimalizacji danych.

3. Zakres danych zawartych w rejestrze

Rejestr powinien zawierać co najmniej:

  • numer zgłoszenia,
  • przedmiot naruszenia (krótki opis lub kategoria naruszenia),
  • dane identyfikacyjne sygnalisty oraz osoby, której dotyczy zgłoszenie (jeśli dotyczy),
  • adres do kontaktu z sygnalistą,
  • datę dokonania zgłoszenia,
  • informację o podjętych działaniach następczych,
  • datę zakończenia sprawy.

Regulamin powinien też przewidywać, że dane niemające znaczenia dla sprawy nie są zbierane, a jeżeli zostaną zebrane przypadkowo, muszą zostać usunięte nie później niż w ciągu 14 dni od stwierdzenia ich zbędności.

4. Okres przechowywania danych

Zgodnie z przepisami, dane w rejestrze zgłoszeń powinny być przechowywane przez:

  • 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze,
  • lub do momentu zakończenia postępowań, które zostały zainicjowane na podstawie zgłoszenia.

Warto zaznaczyć, że okres ten musi być zgodny z polityką retencji danych obowiązującą w organizacji oraz z zasadami wynikającymi z RODO.

5. Administrator danych osobowych

Regulamin powinien wskazywać, że administratorem danych osobowych zawartych w rejestrze zgłoszeń jest podmiot wdrażający procedurę. Należy też dopilnować, by obowiązek informacyjny wobec sygnalistów i osób wskazanych w zgłoszeniu był realizowany w sposób zgodny z art. 13 i 14 RODO – najlepiej w odrębnym dokumencie (np. klauzula informacyjna).

XIX. Odpowiedzialność osób zgłaszających naruszenia

Regulamin ochrony sygnalistów powinien jasno wskazywać, że ochrona prawna nie przysługuje automatycznie każdej osobie dokonującej zgłoszenia. Przepisy ustawy o ochronie sygnalistów warunkują przyznanie ochrony od spełnienia konkretnych przesłanek – w szczególności dobrej wiary i uzasadnionego przekonania, że zgłaszane informacje są prawdziwe.

Co należy zawrzeć w tym rozdziale?

1. Odpowiedzialność za zgłoszenie dokonane z naruszeniem warunków ustawowych

Regulamin powinien wskazywać, że jeśli osoba zgłaszająca nie spełnia warunków z art. 6 ustawy, a mimo to dokonuje zgłoszenia lub ujawnienia publicznego, może ponosić odpowiedzialność prawną, m.in. za:

  • naruszenie dóbr osobistych,
  • zniesławienie,
  • naruszenie przepisów o ochronie danych osobowych (RODO),
  • ujawnienie tajemnicy przedsiębiorstwa lub innej prawnie chronionej informacji,
  • naruszenie praw autorskich lub tajemnicy zawodowej.

W regulaminie warto wyjaśnić, że działania w złej wierze nie korzystają z ochrony ustawowej, a osoba zgłaszająca odpowiada za ich skutki – w tym w trybie cywilnym lub karnym.

2. Odpowiedzialność karna

Świadome zgłoszenie nieprawdy (gdy zgłaszający wie, że do naruszenia nie doszło) stanowi przestępstwo i jest zagrożone:

  • grzywną,
  • karą ograniczenia wolności,
  • lub karą pozbawienia wolności do 2 lat.

W regulaminie warto zacytować ten przepis lub do niego się odwołać, aby jasno zasygnalizować granice dopuszczalnego działania sygnalisty.

3. Odpowiedzialność odszkodowawcza i cywilna

Jeżeli wskutek fałszywego zgłoszenia lub nadużycia procedury osoba trzecia poniesie szkodę – np. zostanie bezpodstawnie pomówiona lub naruszone zostaną jej dobra osobiste – może domagać się:

  • odszkodowania za realną szkodę majątkową,
  • zadośćuczynienia za krzywdę niemajątkową (np. naruszenie reputacji),
  • publicznych przeprosin lub innej formy naprawienia skutków.

Warto dodać, że osoba zgłaszająca ponosi odpowiedzialność osobiście, niezależnie od tego, że działała w ramach procedury wewnętrznej.

XX. Ochrona sygnalisty oraz zakaz działań odwetowych.

Ten rozdział powinien precyzyjnie określać, w jaki sposób organizacja zapewnia ochronę osobom, które dokonują zgłoszeń zgodnie z ustawą i regulaminem. Zawiera on zapisy mające kluczowe znaczenie dla budowania zaufania do całej procedury – w tym definicję działań odwetowych, zasady odpowiedzialności Spółki oraz uprawnienia sygnalisty.

Co powinno znaleźć się w tej części regulaminu?

1. Bezwzględny zakaz działań odwetowych

Regulamin powinien potwierdzać, że sygnalista nie może być narażony na żadne negatywne konsekwencje z tytułu prawidłowego zgłoszenia – nawet jeśli ostatecznie okaże się ono bezzasadne, o ile było dokonane w dobrej wierze. Zakaz obejmuje m.in.:

  • rozwiązanie lub nieprzedłużenie umowy,
  • pominięcie przy awansie,
  • obniżenie wynagrodzenia,
  • pogorszenie warunków pracy lub zatrudnienia,
  • mobbing, szykanowanie, wykluczenie,
  • inne działania o charakterze odwetu.

Warto wskazać, że groźba podjęcia takich działań również jest zakazana.

2. Zakres ochrony – kto podlega ochronie

Poza sygnalistą, ochrona obejmuje także:

  • osoby pomagające w dokonaniu zgłoszenia (np. zbierające dokumentację),
  • osoby powiązane z sygnalistą (np. członek rodziny zatrudniony w tej samej firmie),
  • osoby uczestniczące w przyjmowaniu i rozpatrywaniu zgłoszeń (np. pełnomocnik ds. sygnalistów),
  • inne osoby zaangażowane w działania następcze.

 

3. Zgłoszenia anonimowe a ochrona

Regulamin powinien wskazywać, że ochrona nie przysługuje w pełni w przypadku zgłoszeń anonimowych, jeśli tożsamość sygnalisty nie została ujawniona – np. nie da się wtedy przeciwdziałać działaniom odwetowym. Warto zachęcać do podania kontaktu w zaufanym i bezpiecznym formacie.

4. Domniemanie działań odwetowych – ciężar dowodu

Spółka powinna mieć świadomość, że zgodnie z ustawą to ona musi wykazać, że podjęte działania wobec sygnalisty nie były odwetem. Oznacza to konieczność gromadzenia dokumentacji i uzasadniania wszelkich decyzji kadrowych dotyczących osób objętych ochroną.

5. Odszkodowanie i zadośćuczynienie dla sygnalisty

W przypadku, gdy mimo ochrony doszło do działań odwetowych, sygnalista ma prawo do:

  • odszkodowania w minimalnej wysokości określonej ustawowo (co najmniej przeciętne wynagrodzenie z poprzedniego roku),
  • zadośćuczynienia za naruszenie dóbr osobistych, stres lub inne negatywne skutki,
  • innych roszczeń zgodnych z przepisami prawa pracy i cywilnego.

 

6. Zakaz dalszej współpracy z osobami stosującymi działania odwetowe

Regulamin może zawierać zapis, że osoby, wobec których potwierdzono działania odwetowe, nie będą ponownie zatrudniane ani angażowane we współpracę z firmą – w jakiejkolwiek formie (etat, kontrakt, umowa cywilnoprawna, członkostwo w organach).

7. Ograniczenia odpowiedzialności sygnalisty

Podkreślenia wymaga również, że:

  • zgłoszenie dokonane w dobrej wierze nie może być podstawą odpowiedzialności, nawet jeśli okaże się błędne co do faktów,
  • sygnalista nie odpowiada cywilnie, dyscyplinarnie ani karnie, o ile działał zgodnie z ustawą i miał uzasadnione podstawy do zgłoszenia,
  • uzyskanie informacji potrzebnych do zgłoszenia nie stanowi podstawy odpowiedzialności, jeśli nie wiązało się z popełnieniem przestępstwa.

XXI. Raportowanie

Raportowanie to nie tylko obowiązek wynikający z wewnętrznych procedur, ale także istotne narzędzie oceny skuteczności systemu ochrony sygnalistów. Odpowiednio opracowany raport pozwala organizacji monitorować, analizować i usprawniać procesy związane z przyjmowaniem i rozpatrywaniem zgłoszeń.

Co powinien zawierać rozdział dotyczący raportowania?

1. Obowiązek corocznego raportu

Regulamin powinien jasno określać, że Pełnomocnik ds. zgłoszeń sygnalistów raz do roku przygotowuje raport zbiorczy obejmujący wszystkie zgłoszenia przyjęte w danym roku kalendarzowym. Raport ten powinien być dokumentem wewnętrznym – dostępnym dla zarządu lub innego wskazanego organu nadzorczego.

2. Zakres danych statystycznych

Raport powinien zawierać wyłącznie dane zbiorcze – bez ujawniania danych osobowych, informacji wrażliwych czy objętych tajemnicą przedsiębiorstwa. W typowym raporcie uwzględnia się m.in.:

  • łączną liczbę zgłoszeń,
  • daty wpływu zgłoszeń (bez danych osobowych),
  • statusy zgłoszeń (np. zakończone, w toku, przekazane dalej),
  • ogólny opis charakteru zgłaszanych naruszeń,
  • informacje o działaniach następczych (np. podjęcie dochodzenia wewnętrznego, wdrożenie środków zaradczych),
  • identyfikację ryzyk dla organizacji, które pojawiły się w związku ze zgłoszeniami.

 

3. Cel i funkcja raportu

Celem raportu jest:

  • ocena skuteczności przyjętej procedury zgłoszeń,
  • identyfikacja powtarzających się problemów systemowych,
  • planowanie szkoleń lub działań naprawczych,
  • wykazanie, że organizacja działa zgodnie z przepisami i zapewnia ochronę sygnalistom,
  • budowanie kultury zgodności i zaufania w organizacji.

Warto, by regulamin zawierał również odniesienie do możliwości wykorzystania raportu w ramach audytów wewnętrznych lub raportów ESG, jeżeli organizacja je sporządza.

4. Forma i struktura raportu

Raport powinien mieć określoną formę i strukturę. Dobrym rozwiązaniem jest przygotowanie wzoru raportu (np. jako załącznik do regulaminu), który ułatwia standaryzację treści i zapewnia spójność raportowania w kolejnych latach.

5. Poufność i dostępność raportu

Należy precyzyjnie wskazać, że raport nie zawiera danych osobowych, ani informacji umożliwiających identyfikację sygnalistów lub osób wskazanych w zgłoszeniach. Regulamin może określać, kto ma dostęp do raportu i jakie są zasady jego przechowywania.

XXII. Postanowienia końcowe

Ostatni rozdział regulaminu pełni funkcję porządkującą – wskazuje, jakich aktów prawnych używa się pomocniczo, kto administruje danymi osobowymi oraz w jaki sposób regulamin zaczyna obowiązywać. To także miejsce na uzupełniające zasady dotyczące ochrony danych oraz technicznej organizacji postępowań.

Co powinien zawierać ten rozdział?

1. Odesłanie do ustawy i RODO

Regulamin jasno wskazuje, że w sprawach nieuregulowanych stosuje się ustawę o ochronie sygnalistów z dnia 14 czerwca 2024 r.. Dodatkowo, na gruncie ochrony danych i dokumentacji – zastosowanie mają przepisy RODO, w tym zwłaszcza art. 5 i art. 9 dotyczące zasad przetwarzania danych oraz szczególnych kategorii danych osobowych.

2. Administrator danych osobowych

W rozdziale powinien znaleźć się zapis, że administratorem danych osobowych w związku z procedurą zgłoszeniową jest np. spółka „Adminx” – a więc podmiot, który ustala cele i sposoby przetwarzania danych sygnalisty, osób wskazanych w zgłoszeniu i innych uczestników.

Dobrą praktyką jest również wskazanie:

  • że dane przetwarzane są na podstawie upoważnień wewnętrznych,
  • że obowiązują konkretne klauzule informacyjne (załączniki),
  • że dane mogą być ujawnione jedynie z zachowaniem warunków legalności, proporcjonalności i konieczności, np. na żądanie sądu.

3. Ochrona tożsamości sygnalisty

Zgodnie z przepisami ustawy i RODO, rozdział powinien gwarantować, że:

  • tożsamość sygnalisty nie jest ujawniana bez jego zgody,
  • ujawnienie danych osobowych sygnalisty jest dopuszczalne tylko w przypadkach wymaganych przez prawo, np. dla ochrony prawa do obrony osoby, której dotyczy zgłoszenie.

Te zapisy wzmacniają ochronę prawną osób zgłaszających naruszenia i stanowią jeden z filarów procedury.

4. Zdalne procedowanie i bezpieczeństwo informacji

Współczesne procedury dopuszczają spotkania online i elektroniczny obieg dokumentów, ale regulamin powinien określać:

  • że takie działania są dopuszczalne tylko przy zachowaniu zasad bezpieczeństwa informacji,
  • że dokumenty zawierające szczególne kategorie danych osobowych powinny być szyfrowane,
  • że dotyczy to zwłaszcza danych mogących naruszyć prawa i wolności osób.

To szczególnie istotne dla firm korzystających z narzędzi typu Teams, Zoom czy OneDrive w ramach wewnętrznych działań compliance.

5. Wejście regulaminu w życie

Zamknięciem rozdziału jest wskazanie, że regulamin wchodzi w życie po 7 dniach od podania go do wiadomości.

Podsumowanie

Ochrona sygnalistów w organizacji wymaga precyzyjnych procedur, rzetelności podczas wykonywanych działań oraz zgodności z przepisami ustawy z 14 czerwca 2024 r. Dobry regulamin powinien jasno wskazywać, jak dokonać zgłoszenia, kto je rozpatruje, jak wygląda postępowanie wyjaśniające, jakie prawa przysługują sygnalistom, a także w jaki sposób chronione są dane osobowe i jak organizacja przeciwdziała działaniom odwetowym.

Prawidłowy i wyczerpująco skonstruowany regulamin ochrony sygnalistów to wyraz dojrzałości organizacyjnej i budowania kultury zgodności oraz zaufania. Zbiór zasad dostosowany do specyfiki firmy może stać się skutecznym narzędziem zapobiegania nadużyciom. Warto poświęcić czas na jego rzetelne przygotowanie – lub aktualizację – zanim pojawi się pierwsze zgłoszenie.

Udostępnij wpis: