Sygnato
Prawo i Compliance (Zgodność)

Jak wdrożyć system sygnalistów w grupie kapitałowej – jeden system dla wielu spółek czy każda osobno?

Sygnato
|

Holding z centralą w Warszawie i sześcioma spółkami córkami w całej Polsce. Razem zatrudniają 430 osób. Pytanie, które dostaje dział prawny holdingu brzmi: czy wystarczy jeden system zgłoszeń dla całej grupy, czy każda spółka musi mieć własny?

To jedno z najczęściej zadawanych pytań przez działy compliance grup kapitałowych – i jedno z tych, na które ustawa odpowiada niewystarczająco jasno.

Co mówi prawo – podmiot zobowiązany to spółka, nie grupa

Ustawa posługuje się pojęciem podmiot prawny jako jednostki zobowiązanej. Podmiotem prawnym jest spółka wpisana do KRS – nie holding ani grupa kapitałowa jako całość. Wniosek: każda spółka córka zatrudniająca co najmniej 50 pracowników musi samodzielnie spełnić wymogi ustawy.

Wspólny kanał zgłoszeń – czy to możliwe?

Ustawa dopuszcza korzystanie przez kilka podmiotów z jednego, wspólnego kanału zgłoszeń, pod warunkiem spełnienia wszystkich wymogów odrębnie dla każdego z nich. Motyw 52 Dyrektywy UE 2019/1937 wprost wskazuje, że podmioty z grupy mogą wspólnie korzystać z jednego kanału, jeśli jest on wyraźnie oznaczony jako dostępny dla każdego z podmiotów. System musi jednak:

  • pozwalać na złożenie zgłoszenia do konkretnej spółki (sygnalista musi wybrać, do której),
  • zapewniać izolację danych – zgłoszenia do spółki A nie mogą być dostępne dla osób obsługujących spółkę B,
  • gwarantować, że każda spółka ma odrębny rejestr zgłoszeń,
  • przewidywać odrębne osoby odpowiedzialne za obsługę zgłoszeń w każdej ze spółek.

Typowy błąd: Jeden formularz z jedną skrzynką dla grupy. Dział compliance holdingu odbiera wszystkie zgłoszenia bez wyrazu upoważnień. To naruszenie zasady izolacji i niezależności.

Trzy modele wdrożenia – porównanie

  • Model 1: Jeden system z izolowanymi instancjami. Każda spółka ma własną subdomenę, własny panel i własny rejestr. Dane są fizycznie izolowane. Compliance holding może mieć dostęp wyłącznie do zagregowanych statystyk.
    • Zalety: pełna zgodność z prawem, jasne przypisanie odpowiedzialności, centralne raportowanie.
    • Wady: wyższy koszt (płatność za każdą spółkę), potrzeba koordynacji procedur.
  • Model 2: Jeden wspólny system z jednym rejestrem. Wszystkie zgłoszenia trafiają do jednego miejsca.
    • Zalety: prostota, niższy koszt.
    • Wady: naruszenie zasady izolacji, ryzyko konfliktu interesów, problemy z RODO (brak umów powierzenia między podmiotami).
  • Model 3: Każda spółka osobno. Pełna autonomia, brak ryzyka izolacji.
    • Zalety: maksymalna niezależność.
    • Wady: najwyższy koszt, brak spójności, trudności z centralnym raportowaniem.

Umowa powierzenia przetwarzania danych – niezbędny element

Jeśli spółka dominująca lub zewnętrzny dostawca obsługuje zgłoszenia w imieniu spółek córek, musi zostać zawarta umowa powierzenia przetwarzania danych osobowych (art. 28 RODO). Brak takiej umowy to oddzielne naruszenie przepisów o ochronie danych.

Rekomendacja praktyczna

Dla grup kapitałowych o umiarkowanej złożoności (2-10 spółek, łącznie do kilkuset pracowników) najlepszym rozwiązaniem jest Model 1 z centralną koordynacją. Każda spółka ma własną instancję systemu i własny rejestr, ale procedury są ujednolicone na poziomie grupy, a compliance holding ma dostęp do zagregowanych danych.

Jedno oprogramowanie dla grupy – tak, pod warunkiem izolacji danych. Jeden rejestr dla całej grupy – nie. Jeden compliance officer bez upoważnień obsługujący wszystkie zgłoszenia – poważne ryzyko prawne.

O autorze

Sygnato

Zespół ekspertów Sygnato łączący świat prawa, HR i zaawansowanego cyberbezpieczeństwa. Naszą misją jest dostarczanie firmom i instytucjom publicznym niezawodnych narzędzi LegalTech, które automatyzują procesy compliance, chronią zarządy przed karami, a sygnalistom gwarantują 100% anonimowości.

Zgoda na pliki cookie Używamy cookies do obsługi strony, personalizacji treści i reklam. Polityka prywatności
O pliki cookies dba CookieBaner.pl