Agent monitorowania zgodności HR - Equal-Pay-Index, sygnaliści | Gosign

Ustawa transponuje Dyrektywę UE 2019/1937 i wprowadza pięć fundamentalnych obowiązków. Po pierwsze: pracodawcy zatrudniający >=50 osób muszą prowadzić wewnętrzny kanał zgłoszeń od 25.09.2024 - anonimowy lub poufny, dostępny 24/7 w języku polskim oraz językach pracowników, szyfrowany E2E, z 7-dniowym potwierdzeniem zgłoszenia i 3-miesięcznym raportem zwrotnym o podjętych działaniach. Po drugie: ochrona przed działaniami odwetowymi (art. 12-15) - zakaz zwolnienia, zmiany warunków pracy, mobbingu, dyskryminacji, znieważania, ujawnienia tożsamości sygnalisty; czynności prawne odwetowe są nieważne, sygnalista ma prawo do odszkodowania min. 12-krotność minimalnego wynagrodzenia (2025: 55 992 zł). Po trzecie: zewnętrzny kanał AAI (Niezależna Autoritate Ochrony Sygnalistów), do którego sygnalista może zgłosić naruszenia bez wykorzystywania kanału wewnętrznego, jeśli ten nie istnieje lub jest nieskuteczny. Po czwarte: zakres przedmiotowy obejmuje naruszenia prawa: zamówienia publiczne, usługi finansowe, bezpieczeństwo produktów, transport, środowisko, zdrowie publiczne, prywatność i dane osobowe, bezpieczeństwo sieci i systemów informatycznych, podatki, ochrona finansowych interesów UE, rynek wewnętrzny, prawa pracownicze. Po piąte: sankcje - kary do 60 000 zł za brak kanału lub utrudnianie zgłoszeń, odpowiedzialność subsydiarna zarządu (KSH art. 233), zwolnienie z pracy w odwecie nullifikowane przez Sąd Pracy. Agent automatyzuje konfigurację kanału, anonimizację, terminy potwierdzeń, eskalacje do AAI, raportowanie.

EU AI Act 2024/1689 wprowadza cztery kategorie ryzyka: prohibited practices (zakazane od 2.08.2025 - emotion recognition w pracy/edukacji, social scoring, biometric categorization według rasy/orientacji, real-time biometric identification w przestrzeni publicznej), high-risk Annex III (od 2.08.2026 - rekrutacja/HR jako pkt 4: workforce management, decyzje o awansach, zwolnieniach, ocenie pracowniczej, alokacji zadań, monitoringu wydajności), limited-risk (chatboty - obowiązek transparentności), minimal-risk (filtry spam, gry). Dla high-risk Annex III HR pracodawca jako 'deployer' (art. 26) ma obowiązki: wewnętrzny zarząd i monitoring, ludzki nadzór (art. 14), reprezentatywność danych (art. 10), dokumentacja techniczna (art. 11), system zarządzania jakością (art. 17), monitoring post-market (art. 72), raportowanie incydentów (art. 73), Fundamental Rights Impact Assessment FRIA (art. 27 - obowiązkowa przed wdrożeniem, przy istotnej zmianie, każdorazowo). FRIA wymaga oceny: jakie prawa podstawowe są zagrożone (art. 18-3a KP, Konstytucja art. 32 równość, art. 47 prywatność), jaka kategoria osób jest dotknięta (kandydaci, pracownicy, mniejszości), jaki jest okres użytkowania, jakie środki minimalizacji ryzyka, jak konsultowano przedstawicieli pracowników. Sankcje art. 99: do 35 mln EUR/7% obrotu globalnego za prohibited, do 15 mln EUR/3% za high-risk violations, do 7,5 mln EUR/1,5% za niewłaściwą współpracę z organem. Agent generuje workflow FRIA z kwestionariuszami, identyfikacją ryzyk, oceną środków, dokumentacją konsultacji - decyzja końcowa przy zarządzie + CHRO + Compliance Officer + DPO + radca prawny.

DPIA (Ocena Skutków dla Ochrony Danych) jest obowiązkowa zgodnie z RODO art. 35 dla operacji wysokiego ryzyka. UODO publikuje listę operacji wymagających DPIA: monitoring elektroniczny pracowników (art. 22-1 KP - GPS, kamery, monitoring poczty/Internetu), dane biometryczne (linie papilarne, rozpoznawanie twarzy - tylko za zgodą lub dla kontroli dostępu), profilowanie pracowników i kandydatów, automatyczne decyzje wpływające na pracownika (RODO art. 22 - rekrutacja, awanse, zwolnienia bez ludzkiego udziału), AI w HR (rekrutacja, ocena, monitoring), dane szczególnie wrażliwe (zdrowie, religia, orientacja seksualna, członkostwo związkowe), big data analiza pracowników, rozpoznawanie emocji (zakazane przez AI Act od 2.08.2025), systemy oceny lojalności, dane biometryczne wykorzystywane do identyfikacji. Workflow DPIA: (1) opis operacji - cel, podstawa prawna, kategorie danych, kategorie osób, odbiorcy, transfery, retencja, środki bezpieczeństwa; (2) ocena niezbędności i proporcjonalności - czy cel można osiągnąć mniej inwazyjnym środkiem; (3) ocena ryzyka dla praw i wolności - prawdopodobieństwo i waga, scenariusze naruszenia (utrata poufności, integralności, dostępności); (4) środki minimalizacji ryzyka - techniczne (szyfrowanie, pseudonimizacja, kontrola dostępu), organizacyjne (polityki, szkolenia, audyt); (5) konsultacja z DPO + Radą Pracowników + Związkami Zawodowymi; (6) decyzja - akceptacja ryzyka lub konsultacja z UODO (art. 36 - residual high risk). Agent automatyzuje kwestionariusze, identyfikuje ryzyka, sugeruje środki, dokumentuje proces, generuje raport DPIA gotowy dla UODO; ostateczna walidacja przy DPO.

Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z 1.03.2018 nakłada obowiązki na 'instytucje obowiązane' (art. 2): banki, SKOK, ubezpieczyciele, TFI, domy maklerskie, kantory, doradcy podatkowi, biegli rewidenci, księgowi, kancelarie prawne, pośrednicy nieruchomości, dealerzy luksusu, kasyna, fundacje rodzinne, dostawcy usług wirtualnych walut. Główne obowiązki: (1) ocena ryzyka prania pieniędzy - aktualizowana minimum rocznie, klasyfikuje klientów na low/medium/high risk; (2) identyfikacja klienta i beneficjenta rzeczywistego (CRBR - Centralny Rejestr Beneficjentów Rzeczywistych prowadzony przez MF) - wszystkie spółki muszą zgłaszać swoich beneficjentów rzeczywistych, kary za brak zgłoszenia do 1 mln zł; (3) due diligence kontekstowy: standard (>15 000 EUR transakcje, każdy klient), enhanced (high-risk - PEPs, kraje wysokiego ryzyka, transakcje skomplikowane); (4) monitoring transakcji w czasie rzeczywistym - alarmy na progach (>15 000 EUR, >1 000 EUR cyfrowe, >10 000 EUR gotówka); (5) zgłoszenie transakcji podejrzanej do GIIF w ciągu 2 dni roboczych przez system EFE; (6) archiwizacja 5 lat dla wszystkich danych klienta, transakcji, dokumentów due diligence; (7) wewnętrzny system kontroli - AML Officer obowiązkowy, polityka AML, szkolenia obowiązkowe, niezależne audyty; (8) ochrona zgłaszającego (whistleblower) zgodnie z Ustawą z 14.06.2024. Sankcje: do 5 mln EUR lub 10% obrotu rocznego za naruszenia administracyjne, do 5 lat pozbawienia wolności za udział w praniu pieniędzy (Kodeks Karny art. 299), zakaz prowadzenia działalności. Agent automatyzuje ocenę ryzyka, monitoring transakcji z regułami progowymi, generowanie raportów EFE do GIIF, dokumentację due diligence, alarmy compliance dla AML Officera; integracja z bankowymi systemami (Comarch ERP, Symfonia, KSeF).

EU CSDDD (Dyrektywa 2024/1760) zobowiązuje duże firmy do due diligence praw człowieka i środowiska w łańcuchu dostaw. Cronograma: 2027 dla firm >5000 pracowników lub >1500 mln EUR obrotu globalnego, 2028 dla >3000/>900 mln, 2029 dla >1000/>450 mln. Obowiązki: (1) integracja due diligence z polityką korporacyjną; (2) identyfikacja rzeczywistych i potencjalnych negatywnych skutków w własnych operacjach, spółkach zależnych i 'łańcuchu wartości' (chain of activities) - dostawcy bezpośredni i pośredni; (3) zapobieganie i łagodzenie potencjalnych skutków przez plany działań, klauzule kontraktowe, monitoring dostawców; (4) usuwanie i łagodzenie rzeczywistych skutków przez naprawę, kompensacje, zerwanie kontraktów w ostateczności; (5) skuteczny mechanizm skarg (notification mechanism) dla osób dotkniętych; (6) monitoring efektywności due diligence; (7) komunikacja publiczna - roczny raport (zintegrowany z CSRD ESRS); (8) konsultacja z interesariuszami (pracownicy, związki, NGO, lokalne społeczności). Zakres skutków: prawa człowieka (Powszechna Deklaracja, Pakty MOP - praca przymusowa, dzieci, dyskryminacja, BHP, godziwe wynagrodzenie, wolność zrzeszania), środowisko (Konwencje Bazylejska, Sztokholmska, Minamata, Ramsar, Rio - emisje, woda, bioróżnorodność, odpady niebezpieczne). Sankcje: do 5% obrotu netto globalnego, odpowiedzialność cywilna za szkodę, wykluczenie z zamówień publicznych, publikacja decyzji o naruszeniu. Agent buduje rejestr dostawców z mapowaniem ryzyka geograficznego (kraje wysokiego ryzyka: Bangladesz, Mjanma, Erytrea, Korea Północna, Sudan, Wenezuela, Iran), klauzulami kontraktowymi (audyty SA8000, SMETA Sedex, BSCI, ISO 14001), workflow audytów, mechanizm skarg zintegrowany z kanałem sygnalistów Ustawy z 14.06.2024, raporty CSRD ESRS G1 + S1-16; decyzja o kontraktowaniu/zerwaniu pozostaje przy CFO + Procurement Director + Compliance Officer + zarząd.

Agent integruje się z polskim ekosystemem compliance przez API. Po stronie ERP/HR: Comarch ERP HR + Comarch Compliance + Comarch ESG (lider w MŚP, moduł polityki compliance, śledzenie zmian regulacyjnych, raporty PIP/UODO/GUS), Symfonia ERP HR + Symfonia Compliance + Symfonia GRC (Sage Symfonia, moduł DPIA dla RODO, integracja z Płatnikiem ZUS), enova365 Kadry i Płace + enova Compliance + enova RODO (Soneta - przemysł, ewidencja zgód, kanały sygnalistów, raporty CSRD), Asseco WAPRO HR + WAPRO Compliance (segment MŚP, RAT zgodny z RODO art. 30). Dla polskich oddziałów grup międzynarodowych: SAP SuccessFactors Polska Compliance + SAP GRC (Volkswagen Poznań, Stellantis Tychy, BMW Wrocław - polski moduł AI Act + RODO + FRIA), Workday HCM + Workday Risk Management, Personio Polska Compliance. Po stronie GRC dedykowane platformy: ServiceNow GRC Polska + ServiceNow IRM (Integrated Risk Management - lider audytowy, automatyzacja DPIA, FRIA, AI Act risk register), RSA Archer + MetricStream + LogicGate (enterprise GRC, polski customizing dla AML/RODO/AI Act). Po stronie kanałów sygnalistów zgodnych z Ustawą z 14.06.2024: EQS Group Polska + WhistleB Polska + Convercus (lider w Europie, anonimizacja, szyfrowanie E2E), NAVEX EthicsPoint Polska + NAVEX Lockpath (USA-Lider compliance/whistleblowing). Po stronie privacy/AI Governance: OneTrust Polska (lider RODO, automatyzacja DPIA, RAT, AI Governance moduł dla AI Act). Po stronie szkoleń: KnowBe4 Polska + KnowBe4 Compliance Plus (anty-phishing, RODO awareness, AML, anty-mobbing). Po stronie polskich startupów: Trafika Bezpieczeństwa + Cybea + Sealed Compliance Polska (lokalna obsługa, integracja, DPIA generator). Mapowanie danych jest dwukierunkowe: zmiana polityki compliance w GRC propaguje do macierzy reguł agenta, nowe orzecznictwo SN/wytyczne UODO/aktualizacja AI Act odświeża katalogi obowiązków, raporty ESRS S1-16 + S1-17 + G1 generowane są z danych incydentów z anonimizacją statystyczną (k-anonymity, n>=5). Dla kontroli organów: pakiet dowodowy gotowy w 4 godziny zamiast 3 tygodni.