Telefon kontaktowy:

Numer telefonu (+48) 665 246 969

Email:

Adres e-mail

Godziny pracy:

8:00-16:00
Sygnaliści prawa ochrona obowiązki niebezpieczeństwa
pracownicy, prawo dla każdego, prawo polskie, przedsiębiorcy, sygnaliści

Przegląd artykułu

Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. 2024 poz. 928) wprowadziła do polskiego porządku prawnego nowe regulacje dotyczące ochrony osób zgłaszających naruszenia prawa, implementując dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937. Niniejszy artykuł omawia szczegółowo status prawny sygnalistów w Polsce, ich ochronę przed działaniami odwetowymi, procedury zgłaszania naruszeń oraz kluczowe aspekty związane z przetwarzaniem danych osobowych zgodnie z RODO. Analizujemy obowiązki podmiotów prawnych i organów publicznych, w tym Rzecznika Praw Obywatelskich (RPO), w zakresie przyjmowania zgłoszeń i zapewnienia poufności. Artykuł zawiera także sekcję FAQ z 15 najczęściej zadawanymi pytaniami, zmodyfikowaną zgodnie z uwagami, praktyczne wskazówki dla pracodawców oraz przykłady wdrożeń procedur w przedsiębiorstwach. Tekst jest zoptymalizowany pod kątem SEO z kluczowymi frazami, takimi jak „sygnaliści w Polsce”, „ochrona sygnalistów”, „RODO a sygnaliści” oraz „zgłoszenia wewnętrzne i zewnętrzne”, opierając się wyłącznie na zweryfikowanych źródłach, głównie przepisach ustawy i materiałach rządowych.

Definicja sygnalisty i zakres ochrony prawnej

Sygnalista, zgodnie z art. 4 ustawy o ochronie sygnalistów, to osoba fizyczna zgłaszająca lub ujawniająca publicznie informacje o naruszeniu prawa, uzyskane w kontekście związanym z pracą. Obejmuje to pracowników, osoby świadczące pracę na podstawie umów cywilnoprawnych, przedsiębiorców, wolontariuszy, a także osoby dokonujące zgłoszeń przed nawiązaniem lub po zakończeniu stosunku pracy. Ochrona przysługuje sygnaliście, jeśli działa w dobrej wierze, mając uzasadnione podstawy, by sądzić, że zgłaszane informacje są prawdziwe i dotyczą naruszenia prawa w dziedzinach określonych w ustawie, takich jak korupcja, zamówienia publiczne, ochrona środowiska, bezpieczeństwo transportu czy konstytucyjne prawa i wolności obywatelskie (art. 3 ust. 1). Ochrona sygnalistów obejmuje zakaz działań odwetowych, takich jak wypowiedzenie umowy o pracę, obniżenie wynagrodzenia, pominięcie przy awansie czy mobbing (art. 11). W przypadku naruszenia tych zasad, sygnalista ma prawo do odszkodowania w wysokości nie niższej niż przeciętne miesięczne wynagrodzenie w gospodarce narodowej w poprzednim roku, ogłaszane przez Prezesa GUS, lub zadośćuczynienia (art. 14). Przepisy te mają na celu zwiększenie transparentności w organizacjach i ochronę interesu publicznego poprzez umożliwienie bezpiecznego zgłaszania naruszeń.

Warunki objęcia ochroną

Aby sygnalista mógł skorzystać z ochrony, musi spełnić warunki określone w art. 4 i 5 ustawy. Kluczowe jest, aby zgłoszenie dotyczyło naruszenia prawa w obszarach objętych ustawą i było dokonane w dobrej wierze. Ochrona przysługuje od momentu zgłoszenia lub ujawnienia publicznego, niezależnie od tego, czy informacje ostatecznie okażą się prawdziwe, pod warunkiem że sygnalista miał uzasadnione podstawy do ich zgłoszenia. Przykładem może być sytuacja, w której pracownik banku zgłasza nieprawidłowości w procedurach przeciwdziałania praniu pieniędzy, opierając się na zaobserwowanych niezgodnościach w dokumentacji. Nawet jeśli zgłoszenie nie doprowadzi do stwierdzenia naruszenia, ochrona sygnalisty pozostaje aktywna, o ile działał w przekonaniu o prawdziwości informacji.

Rodzaje zgłoszeń i ich procedury

Ustawa przewiduje trzy formy zgłaszania naruszeń: zgłoszenia wewnętrzne, zewnętrzne oraz ujawnienie publiczne. Zgłoszenie wewnętrzne polega na poinformowaniu podmiotu prawnego, z którym sygnalista jest związany, np. pracodawcy. Podmioty zatrudniające co najmniej 50 osób (z wyjątkiem gmin i powiatów poniżej 10 000 mieszkańców) są obowiązane do ustanowienia procedury zgłoszeń wewnętrznych (art. 23). Procedura ta powinna określać jednostkę lub osobę odpowiedzialną za przyjmowanie zgłoszeń, sposób ich przekazywania oraz podejmowanie działań następczych. Zgłoszenie zewnętrzne kierowane jest do organu publicznego lub Rzecznika Praw Obywatelskich, bez konieczności uprzedniego zgłoszenia wewnętrznego (art. 30 ust. 1). RPO odgrywa kluczową rolę w przyjmowaniu zgłoszeń zewnętrznych, ich wstępnej weryfikacji oraz przekazywaniu do właściwych organów lub rozpatrywaniu w zakresie konstytucyjnych praw i wolności (art. 31). Ujawnienie publiczne jest dopuszczalne, gdy zgłoszenia wewnętrzne lub zewnętrzne nie przyniosły efektów lub gdy sygnalista uzna, że istnieje pilna potrzeba ujawnienia informacji w interesie publicznym, pod warunkiem spełnienia przesłanek określonych w art. 6 ustawy, tj. z reguły po wcześniejszym zgłoszeniu wewnętrznym lub zewnętrznym, chyba że jest to niemożliwe z powodu pilności sprawy i ryzyka nieodwracalnej szkody. Przykład z życia: W dużej firmie produkcyjnej pracownik zgłosił wewnętrzną nieprawidłowość dotyczącą naruszenia przepisów ochrony środowiska poprzez niewłaściwe składowanie odpadów chemicznych. Firma, zgodnie z procedurą wewnętrzną, powołała zespół do weryfikacji zgłoszenia, który potwierdził uchybienia i wprowadził działania naprawcze. Dzięki temu sygnalista uniknął działań odwetowych, a firma poprawiła swoje procesy, minimalizując ryzyko kar administracyjnych.

Ochrona danych osobowych sygnalistów a RODO

Przetwarzanie danych osobowych w ramach procedur sygnalistycznych podlega rygorystycznym wymogom RODO, zgodnie z art. 17 dyrektywy 2019/1937. Podmioty prawne i organy publiczne, jako administratorzy danych, muszą zapewnić poufność tożsamości sygnalisty oraz osób wymienionych w zgłoszeniu, stosując odpowiednie środki techniczne i organizacyjne (art. 8 ustawy). Dane osobowe mogą być przetwarzane na podstawie art. 6 ust. 1 lit. c RODO (wypełnienie obowiązku prawnego) oraz art. 9 ust. 2 lit. g RODO dla danych szczególnych kategorii, takich jak zdrowie czy przekonania polityczne.

Ujawnianie danych sygnalisty

Dane osobowe sygnalisty nie mogą być ujawniane bez jego wyraźnej zgody, chyba że jest to konieczne i proporcjonalne w ramach postępowań wyjaśniających, przygotowawczych lub sądowych (art. 8 ust. 1). W takich przypadkach organ publiczny lub sąd powiadamia sygnalistę o powodach ujawnienia, chyba że zagroziłoby to postępowaniu. Przykładowo, w postępowaniu karnym dotyczącym korupcji, dane sygnalisty mogą zostać udostępnione na żądanie prokuratora, ale tylko w zakresie niezbędnym do zapewnienia prawa do obrony osoby, której dotyczy zgłoszenie.

Obowiązek informacyjny i klauzule RODO

Zgodnie z art. 13 i 14 RODO, administrator danych ma obowiązek poinformować osoby, których dane są przetwarzane, o celu, podstawie prawnej i okresie przechowywania danych. W przypadku sygnalistów klauzula informacyjna powinna być przekazana w momencie zgłoszenia, w sposób przejrzysty i dostosowany do kanału zgłoszeniowego (np. telefonicznego, elektronicznego). Ustawa wyłącza obowiązek informowania o źródle danych (art. 14 ust. 2 lit. f RODO) w sytuacji, gdy ujawnienie źródła mogłoby zagrozić ujawnieniem tożsamości sygnalisty. Wskazówka praktyczna: Pracodawcy powinni opracować warstwową klauzulę informacyjną – pierwsza warstwa zawiera podstawowe informacje (administrator, cel przetwarzania, prawa), a druga odsyła do szczegółów na stronie internetowej lub w regulaminie wewnętrznym. Przykładem może być firma z sektora finansowego, która wdrożyła dedykowaną platformę zgłoszeniową z automatycznym generowaniem klauzuli informacyjnej przy każdym zgłoszeniu.

Retencja danych

Dane osobowe związane ze zgłoszeniem wewnętrznym lub zewnętrznym są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub postępowania zainicjowane tymi działaniami (art. 10). Dane nieistotne dla zgłoszenia muszą być usuwane w ciągu 14 dni od stwierdzenia ich nieistotności. W przypadku włączenia danych do akt sądowych stosuje się odrębne przepisy o archiwizacji. Przykład z życia: W przedsiębiorstwie logistycznym pracownik zgłosił naruszenie przepisów bezpieczeństwa transportu. Po weryfikacji zgłoszenia stwierdzono, że niektóre dane (np. dane osobowe świadków nieistotnych dla sprawy) zostały zebrane przypadkowo. Firma usunęła je w ciągu 14 dni, zgodnie z ustawą, unikając naruszenia zasad minimalizacji danych RODO.

Obowiązki podmiotów prawnych

Podmioty prawne zatrudniające co najmniej 50 osób (z wyjątkiem wymienionych wcześniej gmin i powiatów) muszą ustanowić procedurę zgłoszeń wewnętrznych do 25 września 2024 r. Procedura powinna określać kanały zgłoszeniowe (np. dedykowana linia telefoniczna, platforma internetowa), osoby upoważnione do przyjmowania zgłoszeń oraz tryb działań następczych. Brak procedury lub jej niezgodność z ustawą może skutkować karą grzywny (art. 54). Wskazówka praktyczna: Przedsiębiorstwa powinny przeprowadzić ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO, aby zidentyfikować ryzyka związane z przetwarzaniem danych sygnalistów. DPIA jest obowiązkowe, gdy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób, a Urząd Ochrony Danych Osobowych w swoich komunikatach wskazuje, że procedury sygnalistyczne co do zasady generują takie ryzyko.

Rola Rzecznika Praw Obywatelskich

RPO pełni kluczową rolę w systemie ochrony sygnalistów, przyjmując zgłoszenia zewnętrzne, weryfikując je i przekazując do właściwych organów lub rozpatrując w zakresie konstytucyjnych praw i wolności. RPO prowadzi także rejestr zgłoszeń zewnętrznych i udziela porad prawnych sygnalistom. Zgłoszenia można składać listownie na adres: ul. Puławska 99a, 02-595 Warszawa, lub za pośrednictwem formularza internetowego.

Wyzwania i kontrowersje

Ustawa o ochronie sygnalistów budzi pewne kontrowersje, szczególnie w zakresie zgodności z RODO. Eksperci, tacy jak dr Dominik Lubasz, wskazują, że przepis art. 8 nie zapewnia wystarczającej podstawy prawnej do przetwarzania danych szczególnych kategorii, co może wymagać dodatkowych testów równowagi dla przesłanki uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO). Ponadto wyłączenie obowiązku informowania o źródle danych (art. 14 ust. 2 lit. f RODO) może utrudniać realizację prawa dostępu osoby, której dotyczy zgłoszenie, co rodzi ryzyko niezgodności z zasadami RODO. Przykład z życia: W firmie IT wdrożono procedurę sygnalistyczną, ale brakowało wyraźnej podstawy prawnej do przetwarzania danych o skazaniach. Po konsultacji z inspektorem ochrony danych firma wprowadziła dodatkowe zabezpieczenia, takie jak szyfrowanie zgłoszeń i ograniczenie dostępu do danych, aby zminimalizować ryzyko naruszeń.

Najczęściej zadawane pytania (FAQ)

Czy sygnalista może pozostać anonimowy?

Sygnalista może dokonać zgłoszenia anonimowo, choć ustawa nie nakłada obowiązku zapewnienia anonimowości. Podmioty prawne mogą umożliwić anonimowe zgłoszenia w ramach procedur wewnętrznych, np. przez dedykowane platformy online. Ochrona przewidziana w art. 4 ustawy przysługuje tylko wtedy, gdy spełnione są przesłanki dobrej wiary i uzasadnionych podstaw, a w przypadku zgłoszeń anonimowych ochrona zaczyna obowiązywać od momentu ujawnienia tożsamości sygnalisty w toku postępowania. Niektóre podmioty mogą dodatkowo chronić anonimowość sygnalisty nawet po ujawnieniu tożsamości, jeśli nie jest to konieczne do procedowania zgłoszenia.

Jak długo przechowuje się dane sygnalisty?

Dane osobowe związane ze zgłoszeniem wewnętrznym lub zewnętrznym przechowuje się przez 3 lata po zakończeniu roku kalendarzowego, w którym zakończono działania następcze lub postępowania zainicjowane zgłoszeniem (art. 10). Okres ten dotyczy również danych zgłoszeń bezzasadnych, o ile podjęto działania następcze. Dane nieistotne usuwa się w ciągu 14 dni od stwierdzenia ich nieistotności.

Czy każdy pracownik może być sygnalistą?

Tak, sygnalistą może być każda osoba fizyczna zgłaszająca naruszenia prawa w kontekście związanym z pracą, w tym pracownicy, zleceniobiorcy, wolontariusze, stażyści, osoby prowadzące działalność gospodarczą oraz osoby ubiegające się o zatrudnienie (art. 4).

Jakie naruszenia można zgłosić?

Zgłoszenie może dotyczyć naruszeń prawa w zamkniętym katalogu obszarów określonych w art. 3 ust. 1, takich jak korupcja, zamówienia publiczne, ochrona środowiska, bezpieczeństwo produktów, transport, ochrona konsumentów czy konstytucyjne prawa i wolności. Nie obejmuje to np. zwykłych sporów pracowniczych niezwiązanych z tymi dziedzinami.

Czy sygnalista jest chroniony przed zwolnieniem?

Tak, ustawa zakazuje działań odwetowych, w tym wypowiedzenia umowy o pracę (art. 11). W przypadku naruszenia tego zakazu sygnalista ma prawo do odszkodowania lub zadośćuczynienia (art. 14).

Czy zgłoszenie musi być najpierw wewnętrzne?

Nie, sygnalista może od razu dokonać zgłoszenia zewnętrznego do organu publicznego lub RPO, bez konieczności korzystania z kanału wewnętrznego (art. 30 ust. 1).

Jakie są konsekwencje dla pracodawcy za brak procedury zgłoszeń?

Brak procedury zgłoszeń wewnętrznych lub jej niezgodność z ustawą może skutkować karą grzywny za wykroczenie (art. 54), której wysokość określają przepisy Kodeksu wykroczeń w powiązaniu z ustawą. Podmioty zatrudniające co najmniej 50 osób muszą wdrożyć procedurę do 25 września 2024 r.

Czy ujawnienie publiczne jest dopuszczalne w określonych sytuacjach?

Ujawnienie publiczne jest dopuszczalne w określonych sytuacjach przewidzianych w art. 6 ustawy, np. gdy zgłoszenia wewnętrzne lub zewnętrzne nie przyniosły efektów lub gdy istnieje ryzyko nieodwracalnej szkody w interesie publicznym. Wymaga to spełnienia określonych warunków, takich jak wcześniejsze zgłoszenie wewnętrzne lub zewnętrzne, chyba że jest to niemożliwe z uwagi na pilność sprawy.

Jakie dane osobowe może przetwarzać pracodawca?

Pracodawca może przetwarzać dane sygnalisty i osób wymienionych w zgłoszeniu na podstawie art. 6 ust. 1 lit. c RODO oraz art. 9 ust. 2 lit. g RODO, ale tylko w zakresie niezbędnym do weryfikacji zgłoszenia i działań następczych (art. 8).

Czy sygnalista musi udowodnić naruszenie?

Nie, sygnalista nie musi udowadniać naruszenia. Wystarczy, że działa w dobrej wierze i ma uzasadnione podstawy, by sądzić, że informacje są prawdziwe (art. 4).

Jakie kanały zgłoszeniowe są wymagane?

Podmioty prawne muszą zapewnić co najmniej jeden kanał zgłoszeniowy, np. telefoniczny, pisemny lub elektroniczny, umożliwiający bezpieczne i poufne przekazywanie informacji (art. 23). Kanał ten musi być niezależny i autonomiczny od ogólnych kanałów komunikacji wewnętrznej.

Czy RPO może rozpatrywać wszystkie zgłoszenia?

RPO przyjmuje zgłoszenia zewnętrzne i rozpatruje je w zakresie konstytucyjnych praw i wolności lub przekazuje do właściwych organów (art. 31). Nie rozpatruje zgłoszeń, które nie mieszczą się w jego kompetencjach.

Jakie środki techniczne zapewniają poufność?

Ustawa wymaga stosowania odpowiednich środków technicznych i organizacyjnych, takich jak szyfrowanie danych, ograniczenie dostępu do zgłoszeń oraz dedykowane platformy (np. Sygnalista24.info), choć nie narzuca konkretnych narzędzi (art. 8).

Czy sygnalista może zgłosić naruszenie po zakończeniu pracy?

Tak, ochrona przysługuje także osobom dokonującym zgłoszeń po zakończeniu stosunku pracy, jeśli informacje uzyskano w kontekście związanym z pracą (art. 4).

Jakie prawa ma osoba, której dotyczy zgłoszenie?

Osoba, której dotyczy zgłoszenie, ma prawo do informacji o przetwarzaniu jej danych (art. 14 RODO), z wyjątkiem źródła danych, jeśli mogłoby to ujawnić tożsamość sygnalisty (art. 8 ust. 1).

Wskazówki dla pracodawców

a) wdrożenie procedury: Opracuj regulamin zgłoszeń wewnętrznych, uwzględniając kanały zgłoszeniowe, upoważnienia dla osób obsługujących zgłoszenia oraz klauzule informacyjne RODO. b) szkolenia: Przeprowadź szkolenia dla pracowników i kadry zarządzającej na temat zasad zgłaszania naruszeń i ochrony sygnalistów. c) bezpieczeństwo danych: Zastosuj szyfrowanie i inne środki techniczne, np. platformy takie jak Sygnalista24.info, aby zapewnić poufność danych. d) DPIA: Wykonaj ocenę skutków dla ochrony danych przed wdrożeniem systemu zgłaszania naruszeń. e) monitoring zgodności: Regularnie aktualizuj procedury i weryfikuj zgodność z RODO, szczególnie w zakresie retencji danych i obowiązku informacyjnego.

Podsumowanie

Ustawa o ochronie sygnalistów z 14 czerwca 2024 r. wprowadza kompleksowe regulacje chroniące osoby zgłaszające naruszenia prawa w Polsce, implementując dyrektywę UE 2019/1937. Kluczowe aspekty to zakaz działań odwetowych, procedury zgłoszeń wewnętrznych i zewnętrznych oraz ochrona danych osobowych zgodnie z RODO. Podmioty prawne zatrudniające co najmniej 50 osób muszą wdrożyć procedury zgłoszeniowe do 25 września 2024 r., zapewniając poufność i minimalizację danych. RPO odgrywa istotną rolę w przyjmowaniu zgłoszeń zewnętrznych i wsparciu sygnalistów. Sekcja FAQ, zmodyfikowana zgodnie z uwagami, odpowiada na kluczowe pytania, takie jak możliwość anonimowości czy okres przechowywania danych. Pracodawcy powinni skupić się na zgodności z RODO, przeprowadzeniu DPIA i szkoleniach, aby skutecznie chronić sygnalistów i uniknąć kar za naruszenia.

W przypadku jakichkolwiek pytań w sprawach związanych z sygnalistami zapraszamy do kontaktu pod adresem e-mail kontakt@kancelaria-pozniak.pl lub pod numerem telefonu +48 665 246 969.

Szanowni Państwo,

niniejszym uprzejmie informujemy, że w dniach 01.08.2025 r. – 18.08.2025 r. kancelaria będzie nieczynna z uwagi na przerwę urlopową.
Zapewniamy, iż wszystkie powierzone nam sprawy pozostają pod stałym nadzorem i są realizowane zgodnie z ustalonym harmonogramem.
Na Państwa wiadomości odpowiemy niezwłocznie po naszym powrocie do pracy. W przypadku pilnych spraw prosimy o kontakt przed rozpoczęciem wskazanego okresu.

Dziękujemy za Państwa wyrozumiałość i zaufanie.

Dear Sir or Madam,

We wish to inform you that our Chambers will be closed from 1 August 2025 until 18 August 2025 (inclusive) for the purposes of the annual summer recess.

Please be assured that all matters presently under our conduct remain under continuous supervision and are being progressed in accordance with the agreed timetable. Correspondence received during this period will be attended to promptly upon our resumption of business.

Should you anticipate any urgent issues arising during the above-mentioned interval, we would kindly request that you contact us prior to the commencement of the recess.

We are grateful for your understanding and continued confidence in our services.