Zgodność z Ustawą o ochronie sygnalistów i dyrektywą UE 2019/1937 #
Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów (zobacz w SIP LEX ) transponuje do polskiego prawa Dyrektywę UE 2019/1937 o ochronie osób zgłaszających naruszenia prawa. Ustawa obowiązuje od 25 września 2024 r.
EthicsPortal jest zbudowany tak, aby zapewnić zgodność Twojej organizacji z Ustawą o ochronie sygnalistów i RODO. Każda funkcja odpowiada bezpośrednio wymogowi prawnemu — bez zbędnych dodatków, bez dosprzedaży.
Niniejsza strona stanowi mapę wymóg-funkcjonalność: każdy artykuł dyrektywy jest powiązany z konkretną funkcją EthicsPortal, która go spełnia. W kwestii tego, jak EthicsPortal interpretuje niejednoznaczne przepisy tych artykułów — próg 50 pracowników, „należyte działania następcze", uzasadnienia okresów przechowywania, podstawa prawna RODO, pierwszeństwo prawa krajowego — zapoznaj się z odrębną metodologią .
Ostatnia aktualizacja: 2026-05-17.
§1. Specyfika polskiego prawa (Ustawa o ochronie sygnalistów) #
Polska ustawa wprowadza szereg istotnych przepisów:
- Sankcje karne — utrudnianie zgłoszenia grozi grzywną do 1 080 000 zł lub karą pozbawienia wolności do roku; działania odwetowe grożą karą pozbawienia wolności do 2 lat
- Procedury wewnętrzne — obowiązek wdrożenia procedur zgłoszeń wewnętrznych do 1 stycznia 2025 r. dla pracodawców z 50+ pracownikami
- Rzecznik Praw Sygnalistów — niezależny organ ochrony sygnalistów rozpocznie działalność 1 września 2025 r.
- Ujawnienie tożsamości — ujawnienie tożsamości sygnalisty grozi grzywną, ograniczeniem wolności lub pozbawieniem wolności do roku
§2. Kanały zgłoszeniowe (Art. 8) #
Organizacje zatrudniające 50 lub więcej pracowników muszą ustanowić bezpieczne wewnętrzne kanały zgłoszeniowe.
| Wymóg | Jak EthicsPortal go realizuje |
|---|---|
| Bezpieczny kanał zgłoszeniowy | Szyfrowany portal internetowy z unikalnym adresem URL dla każdej organizacji |
| Poufność tożsamości zgłaszającego | Pełne szyfrowanie wszystkich danych osobowych, brak logowania IP, automatyczne usuwanie metadanych z przesłanych plików |
| Dostępność dla wszystkich pracowników | Portal internetowy działa na każdym urządzeniu, nie wymaga instalacji aplikacji ani zakładania konta |
| Możliwość dostosowania do organizacji | Konfigurowalne kategorie, logo i wiadomość powitalna |
§3. Procedury zgłoszeniowe (Art. 9) #
| Wymóg | Artykuł | Jak EthicsPortal go realizuje |
|---|---|---|
| Wyznaczenie bezstronnej osoby lub działu | Art. 9(1)(c) | System przypisywania spraw z kontrolą dostępu opartą na rolach — tylko upoważnieni prowadzący widzą zgłoszenia |
| Potwierdzenie otrzymania w ciągu 7 dni | Art. 9(1)(b) | Automatyczne śledzenie terminów z powiadomieniami e-mail do prowadzących, gdy zbliża się lub mija 7-dniowy termin |
| Należyte działania następcze podejmowane przez wyznaczoną osobę | Art. 9(1)(d) | Zarządzanie sprawami z przepływem statusów (otrzymano, potwierdzono, w trakcie badania, zamknięto), notatki wewnętrzne do współpracy prowadzących oraz pełny dziennik audytu |
| Przekazanie informacji zwrotnej w ciągu 3 miesięcy | Art. 9(1)(f) | Automatyczne śledzenie 3-miesięcznego terminu z alertami o zaległościach dla wszystkich administratorów organizacji. Zgłaszający widzą harmonogram na portalu i mogą sprawdzać status w dowolnym momencie za pomocą kodu dostępu |
| Umożliwienie zgłoszeń ustnych (telefonicznie, przez pocztę głosową lub na spotkaniu na żądanie) | Art. 9(2) | Konfigurowalny numer telefonu wyświetlany na portalu; prowadzący mogą rejestrować zgłoszenia telefoniczne, osobiste i listowne bezpośrednio w systemie |
| Poinformowanie o możliwości zgłoszenia zewnętrznego | Art. 9(1)(g) | Portal wyświetla informację o prawie zgłaszającego do kontaktu z Rzecznikiem Praw Sygnalistów i innymi właściwymi organami, zgodnie z Ustawą o ochronie sygnalistów |
§4. Zakres ochrony (Art. 4) #
Dyrektywa chroni nie tylko pracowników, ale także wykonawców, dostawców, udziałowców i inne osoby trzecie.
EthicsPortal wyświetla na portalu jasną informację, że zgłaszanie jest dostępne dla pracowników, wykonawców, dostawców i wszelkich innych osób trzecich.
§5. Zakaz działań odwetowych (Art. 6, 19–21) #
Zgłaszający muszą być poinformowani, że działania odwetowe są zabronione prawem.
EthicsPortal wyświetla informację o zakazie działań odwetowych na każdej stronie portalu, powołując się na Ustawę o ochronie sygnalistów, przed wysłaniem zgłoszenia.
§6. Poufność tożsamości (Art. 16) #
| Wymóg | Jak EthicsPortal go realizuje |
|---|---|
| Tożsamość nie jest ujawniana poza upoważnionym personelem | Kontrola dostępu oparta na rolach — tylko administratorzy, główny prowadzący oraz wprost dodani uczestnicy (np. dział prawny, HR) mogą przeglądać zgłoszenie. Prowadzący niebędący administratorami widzą tylko sprawy im przypisane lub te, do których zostali dodani jako uczestnicy |
| Anonimowość prowadzącego wobec zgłaszającego | Sygnaliści widzą w wiadomościach „Osoba prowadząca sprawę", nigdy prawdziwe imię i nazwisko ani adres e-mail prowadzącego |
| Szyfrowanie danych wrażliwych | Imiona i nazwiska zgłaszających, dane kontaktowe, opisy zgłoszeń i treści wiadomości są szyfrowane w spoczynku przy użyciu szyfrowania niedeterministycznego |
Brak przetwarzania treści zgłoszeń przez AI. Poufność wynikająca z Art. 16 obejmuje również to, które strony trzecie widzą zgłoszenie. EthicsPortal nie przesyła treści zgłoszeń, tożsamości sygnalistów ani korespondencji w sprawach do żadnego dużego modelu językowego ani usługi wnioskowania AI — ani w celu kategoryzacji, ani streszczenia, ani tłumaczenia. Żaden dostawca AI (OpenAI, Anthropic, Google, Mistral ani inny) nie jest podwykonawcą przetwarzania. To usuwa całą kategorię ujawnień dotyczących podwykonawców z Państwa umowy DPA oraz wyklucza rozważania wynikające z Art. 22 (zautomatyzowane podejmowanie decyzji) z Państwa oceny skutków (DPIA). Patrz lista podwykonawców i odpowiedni wpis.
Dwa dodatkowe powody, dla których jest to decyzja na poziomie poufności, a nie preferencja funkcjonalna:
- Brak halucynacji w łańcuchu dowodów zgodności. Duże modele językowe generują wynik probabilistyczny. Streszczenie mówiące „to zgłoszenie nie wydaje się pilne" jest prawdopodobieństwem, nie faktem, i nie da się go odtworzyć ani zweryfikować w toku audytu. EthicsPortal zapisuje wykonawcę, działanie i znacznik czasu w sposób deterministyczny — dziennik audytu jest dowodem, nie domysłem.
- Brak powierzchni ataku typu prompt injection na zgłoszenia. Dane wprowadzane przez sygnalistów są z definicji niezaufane. Przekazywanie ich do LLM tworzy nową klasę ataków, w której instrukcje ukryte w treści zgłoszenia mogą manipulować wynikiem widocznym dla prowadzących sprawy (proponowane odpowiedzi, streszczenia, kategoryzacja). EthicsPortal całkowicie eliminuje tę powierzchnię, ponieważ w ogóle nie wykonuje wnioskowania na treści zgłoszeń.
§7. Prowadzenie rejestrów (Art. 18) #
| Wymóg | Jak EthicsPortal go realizuje |
|---|---|
| Prowadzenie rejestrów każdego zgłoszenia | Kompletny dziennik audytu wszystkich akcji: zgłoszenia, zmiany statusu, wiadomości, przypisania i wyświetlenia zgłoszeń |
| Bezpieczne przechowywanie rejestrów | Wszystkie wrażliwe pola szyfrowane w spoczynku |
| Możliwość odtworzenia rejestrów | Pełny eksport sprawy do PDF, w tym metadane, wątek wiadomości, lista załączników i dziennik audytu. Raport zgodności na poziomie organizacji w formacie PDF dostępny dla audytorów — zawiera listę kontrolną dyrektywy, metryki SLA i podsumowanie ochrony danych bez ujawniania wrażliwych danych zgłoszeń |
| Usuwanie rejestrów, gdy nie są już potrzebne | Konfigurowalny okres przechowywania danych (12, 24, 36 lub 60 miesięcy) z automatycznym usuwaniem wygasłych zamkniętych zgłoszeń |
§8. Zgodność z RODO #
| Wymóg | Artykuł | Jak EthicsPortal go realizuje |
|---|---|---|
| Podstawa prawna przetwarzania | Art. 6(1)(c) | Przetwarzanie jest niezbędne do spełnienia wymogów dyrektywy UE 2019/1937 |
| Informacja o przetwarzaniu danych | Art. 13/14 | Informacja o ochronie prywatności wyświetlana w formularzu zgłoszenia przed wysłaniem |
| Minimalizacja danych | Art. 5(1)(c) | Zbierane są tylko niezbędne dane; imię i nazwisko oraz dane kontaktowe zgłaszającego są opcjonalne |
| Ograniczenie przechowywania | Art. 5(1)(e) | Konfigurowalny okres przechowywania dla każdej organizacji z automatycznym usuwaniem |
| Integralność i poufność | Art. 5(1)(f) | Szyfrowanie w spoczynku dla wszystkich wrażliwych danych; brak logowania IP na trasach portalu; automatyczne usuwanie metadanych plików |
| Prawo do usunięcia | Art. 17 | Automatyczne usuwanie na podstawie okresu przechowywania; ręczne usuwanie dostępne dla administratorów |
§9. Środki bezpieczeństwa #
| Środek | Szczegóły |
|---|---|
| Szyfrowanie w spoczynku | Wszystkie opisy zgłoszeń, imiona i nazwiska zgłaszających, dane kontaktowe i treści wiadomości są szyfrowane przy użyciu szyfrowania niedeterministycznego |
| Brak logowania IP | Adresy IP zgłaszających nigdy nie są przechowywane — limitowanie żądań wykorzystuje nieodwracalne jednokierunkowe hasze |
| Usuwanie metadanych plików | Dane EXIF (współrzędne GPS, model aparatu, informacje o autorze) są automatycznie usuwane z przesłanych zdjęć przed zapisem |
| Anonimowa tożsamość prowadzącego | Sygnaliści nigdy nie widzą prawdziwego imienia prowadzącego — wiadomości wyświetlają „Osoba prowadząca sprawę" |
| Limitowanie żądań | Publiczne endpointy portalu są objęte limitami zapobiegającymi nadużyciom |
| Kontrola dostępu | Uprawnienia oparte na rolach zapewniają, że tylko upoważnieni prowadzący mogą przeglądać zgłoszenia; prowadzący niebędący administratorami widzą tylko sprawy im przypisane lub te, do których zostali dodani jako uczestnicy |
| Dziennik audytu | Każda akcja jest rejestrowana ze znacznikiem czasu, tożsamością wykonawcy i typem akcji — tylko do dopisywania i zawsze dostępny do przeglądu regulacyjnego |
§10. Co Twoja organizacja musi jeszcze zrobić #
EthicsPortal obsługuje wymagania techniczne. Twoja organizacja jest odpowiedzialna za:
- Wyznaczenie inspektora ds. zgłoszeń — przypisz co najmniej jedną osobę odpowiedzialną za obsługę zgłoszeń
- Politykę wewnętrzną — przyjmij politykę ochrony sygnalistów i zakomunikuj ją pracownikom
- Szkolenia — upewnij się, że wyznaczeni prowadzący rozumieją obowiązki zachowania poufności
- Egzekwowanie zakazu działań odwetowych — upewnij się, że kadra zarządzająca rozumie, że działania odwetowe stanowią naruszenie prawa
- Zgoda na ujawnienie tożsamości — jeśli tożsamość zgłaszającego musi zostać ujawniona poza upoważnionymi prowadzącymi (np. organom ścigania), należy najpierw uzyskać wyraźną zgodę zgłaszającego (Art. 16(2) )
- Informowanie pracowników — udostępnij adres URL portalu pracownikom (EthicsPortal zapewnia link do udostępnienia i kod QR)
Pytania? #
Administratorzy mogą pobrać raport zgodności w formacie PDF bezpośrednio ze strony ustawień portalu. Zawiera on pełną listę kontrolną Ustawy o ochronie sygnalistów i Dyrektywy UE 2019/1937, metryki SLA, środki ochrony danych i podsumowanie dziennika audytu — gotowy do przekazania audytorowi bez ujawniania wrażliwych danych zgłoszeń.
Szczegółowe informacje o polskim prawie znajdziesz na naszej stronie poświęconej polskiej legislacji .
W kwestii tego, jak EthicsPortal interpretuje niejednoznaczne przepisy dyrektywy (próg 50 pracowników, „należyte działania następcze", uzasadnienia okresów przechowywania, podstawa prawna RODO), zapoznaj się z metodologią .
Jeśli potrzebujesz pomocy w wykazaniu zgodności przed zespołem prawnym lub regulatorem, skontaktuj się z nami pod adresem legal@ethicsportal.eu .
Ostatnia aktualizacja: