Agent szkoleń compliance HR - BHP, sygnaliści, AML, AI Act | Gosign

Inspektor PIP siedzi w sali konferencyjnej. Pyta o dowód, że 47 pracowników magazynu przeszło okresowe szkolenie BHP zgodnie z Rozporządzeniem Ministra Gospodarki i Pracy z 27.07.2004. Specjalista ds. compliance otwiera arkusz Excel, przewija, szuka, znajduje 31 wpisów. Pozostałe 16? Nie wiadomo. Może przeszkoleni, ale nie udokumentowani. Może udokumentowani, ale w innym folderze. Może zapomniani. To nie jest najgorszy scenariusz - to jest wtorek. PIP może za brak dokumentacji szkolenia BHP nałożyć kary do 30 000 zł na podstawie art. 281 Kodeksu Pracy, a w skrajnym wypadku - jeśli jutro w magazynie dojdzie do wypadku przy pracy bez udokumentowanego szkolenia - prokurator postawi członkom zarządu zarzut z art. 220 Kodeksu Karnego: narażenie pracownika na bezpośrednie niebezpieczeństwo, kara pozbawienia wolności do 3 lat.

Kodeks Pracy art. 207-211 + RODO art. 39 + Ustawa o sygnalistach + AML + AI Act: pięć kategorii obowiązkowych szkoleń

Kodeks Pracy nakłada bezwzględny obowiązek szkoleń BHP zgodnie z art. 207-211 i Rozporządzeniem Ministra Gospodarki i Pracy z 27.07.2004. Trzy kategorie: szkolenie wstępne przed dopuszczeniem do pracy (instruktaż ogólny + stanowiskowy art. 2373 KP), szkolenie stanowiskowe przy zmianie roli, szkolenia okresowe co 1-6 lat zależnie od grupy zawodowej (administracyjno-biurowi 6 lat, robotnicy 3 lata, kierownicy 5 lat, służba BHP 5 lat). Akredytacja jednostek przez CIOP-PIB, dokumentacja w aktach osobowych. Szkolenie antymobbingowe wynika z art. 94-3 KP - orzecznictwo SN II PK 13/19 wymaga regularnych szkoleń niezależnie od konkretnego zgłoszenia, jako element obowiązku przeciwdziałania.

RODO art. 39 nakłada na IODO obowiązek uświadamiania i szkolenia pracowników uczestniczących w operacjach przetwarzania danych osobowych. Szkolenie RODO musi poprzedzać dopuszczenie do przetwarzania danych pracowniczych (art. 22-1 KP - katalog zamknięty), klientów, pacjentów. Sankcje art. 83 RODO: do 4% obrotu globalnego lub 20 mln EUR.

Ustawa o ochronie sygnalistów z 14.06.2024 wprowadza dwa obowiązki szkoleniowe od 25.09.2024. Personel obsługujący kanał (art. 24 ust. 4) musi znać procedury, terminy 7-dniowego potwierdzenia i 3-miesięcznego raportu zwrotnego, ochronę przed odwetem. Wszyscy pracownicy muszą znać prawo do anonimowego zgłaszania, zakres naruszeń, ochronę. AAI prowadzi rejestr i kontrole, kary do 60 000 zł.

Ustawa AML z 1.03.2018 art. 52 wymaga regularnych szkoleń pracowników instytucji obowiązanych (banki, ubezpieczyciele, kancelarie, biegli rewidenci, doradcy podatkowi, pośrednicy nieruchomości, kasyna, dostawcy usług wirtualnych walut). Program: identyfikacja beneficjenta rzeczywistego (CRBR), due diligence kontekstowy, monitoring transakcji, zgłoszenia do GIIF w 2 dni. AML Officer obowiązkowy z certyfikacją CAMS. Sankcje GIIF do 5 mln EUR/10% obrotu, do 5 lat pozbawienia wolności za udział w praniu pieniędzy.

EU AI Act 2024/1689 wprowadza dwa nowe obowiązki. Article 4 (AI literacy od 2.02.2025) wymaga zapewnienia odpowiedniego poziomu wiedzy o AI wśród wszystkich pracowników korzystających z systemów AI. Article 26 (deployerzy high-risk od 2.08.2026) - osoby nadzorujące rekrutację, ocenę pracowniczą, awanse i zwolnienia (Annex III pkt 4) muszą mieć kompetencje do ludzkiego nadzoru (art. 14). Sankcje art. 99: do 15 mln EUR/3% za high-risk violations, do 35 mln EUR/7% za prohibited.

Dyrektywa NIS2 + Ustawa o krajowym systemie cyberbezpieczeństwa (transpozycja do 17.10.2024) wymaga regularnych szkoleń cyberbezpieczeństwa dla operatorów usług kluczowych (energia, transport, bankowość, infrastruktura cyfrowa, zdrowie, woda, sektor publiczny). Sankcje do 10 mln EUR/2% obrotu globalnego.

Czego nie pokażą arkusze Excel - macierz 5 regulacji szkoleniowych równocześnie

W większości działów HR praca wygląda tak: szkolenia BHP raz na 3-6 lat zależnie od grupy zawodowej, szkolenia RODO ad hoc przy zatrudnieniu, antymobbingowe raz na rok bez egzaminu, AML w działach finansowych z certyfikatami w innym systemie, AI literacy “kiedyś zaczniemy”, NIS2 “to dla IT”. Nikt nie ma całego obrazu - każdy specjalista pilnuje swojego silosa, zarząd ufa, że “ktoś to robi”. Po 25.09.2024 (sygnaliści), 17.10.2024 (NIS2), 2.02.2025 (AI literacy), 2.08.2025 (AI Act prohibited) i 2.08.2026 (AI Act high-risk) ten model umiera: wszystkie regulacje wymagają udokumentowanego programu z ewidencją ukończeń, akredytacją jednostek i raportem kompletności.

Dla średniej firmy 1500 pracowników z 80 stanowiskami daje to: 6 kategorii szkoleń obowiązkowych x 1500 pracowników = 9 000 indywidualnych obowiązków szkoleniowych rocznie. Każdy z własnym terminem (BHP wstępne przed dopuszczeniem, BHP okresowe co 1-6 lat, RODO przy istotnych zmianach, antymobbingowe rocznie, AML rocznie, AI literacy rocznie po 2.02.2025), własną akredytacją (CIOP-PIB dla BHP, AML Officer CAMS, EQS/WhistleB dla sygnalistów), własnym progiem zaliczenia testu wiedzy (typowo 70-80%), własną retencją w aktach osobowych (BHP 10 lat po 1.01.2019, AML 5 lat, RODO 5 lat). Excel skaluje do 50 pracowników, przy 500 gubi sens, przy 5000 staje się ryzykiem prawnym. Dane branżowe pokazują: organizacje ze wskaźnikiem realizacji szkoleń poniżej 70 procent mają 3,5-krotnie wyższe ryzyko sankcji compliance.

Co zmienia agent

Agent nie rozwiązuje problemu lepszymi listami. Rozwiązuje go inną architekturą: zamiast reaktywnej administracji - proaktywne sterowanie zgodne z Decision Layer, gdzie każda decyzja jest oparta na regułach, wspierana przez AI lub przypisana człowiekowi.

Macierz wymagań z mapowaniem na polskie statuty. Silnik reguł wyprowadza z profilu pracownika (stanowisko, dział, lokalizacja, dostęp do danych osobowych, klasyfikacja systemów AI, sektor) pełną macierz szkoleń: BHP wstępne/okresowe/stanowiskowe wg art. 207-211 KP + Rozporządzenia 27.07.2004, antymobbingowe art. 94-3 KP, RODO art. 39, AML art. 52 dla instytucji obowiązanych, AI literacy art. 4 AI Act, NIS2 cyber, AI Act art. 26 dla deployerów. Compliance Officer + Service BHP + DPO + AML Officer walidują przekład regulacji na maszynowo weryfikowalne reguły z numerem wersji.

Obliczanie terminów re-szkoleń. Każde szkolenie ma konkretny termin obliczony z polskich statutów: BHP okresowe wg Rozporządzenia 27.07.2004 (administracyjno-biurowi 6 lat, robotnicy 3 lata, kierownicy 5 lat), antymobbingowe rocznie wg orzecznictwa SN II PK 13/19, RODO przy istotnych zmianach prawa minimum co 2 lata, AML rocznie art. 52, AI literacy rocznie po 2.02.2025. Eskalujący harmonogram przypomnień: 90/60/30/14/7/1 dni przed terminem dla krytycznych BHP/RODO/AML, 60/30/7 dla pozostałych. Przy przekroczeniu BHP - automatyczne zawieszenie od pracy zgodnie z art. 2374 KP.

Automatyczne przypisanie z weryfikacją autentyczności. System zapisuje pracownika w LMS (Comarch Szkolenia, Symfonia LMS, enova Szkolenia, Cornerstone Polska, KnowBe4 KSAT, SAP SF Learning, Workday Learning) z terminem, generuje powiadomienia. Po ukończeniu agent weryfikuje autentyczność certyfikatu przez ekstrakcję AI z dokumentu - data, identyfikator pracownika, hash certyfikatu, podpis instruktora, numer egzaminu - i porównuje z danymi LMS. Confidence score, przy <90% przekierowanie do walidacji ręcznej HR.

Eskalacja niezgodności i pakiet dowodowy. Reguły eskalacji: dzień +1 do pracownika, +7 do przełożonego, +14 do oficera compliance/HR, +30 do zarządu (KSH art. 233). Dla kontroli PIP (do 30 000 zł), UODO (do 4%/20 mln EUR), GIIF (do 5 mln EUR/10%), KNF (do 21 mln zł), AAI (do 60 000 zł), AI Office (do 15 mln EUR/3%), NIS2 (do 10 mln EUR/2%): pakiet dowodowy gotowy w 4 godziny zamiast 3 tygodni - z certyfikatami, programami, listami uczestników, testami wiedzy, ankietami efektywności i ścieżką audytu zmian.

Integracja z polskim ekosystemem: Comarch Szkolenia, Symfonia LMS, KnowBe4, EQS Training

Logika agenta integruje się z polskimi systemami przez API. Po stronie ERP/HR z modułem szkoleń: Comarch ERP HR + Comarch Szkolenia + Comarch Compliance jako lider w MŚP, Symfonia ERP HR + Symfonia LMS + Symfonia Szkolenia (Sage Symfonia - moduł BHP zgodny z Rozporządzeniem 27.07.2004), enova365 Kadry i Płace + enova Szkolenia + enova Kompetencje (Soneta - przemysł, raporty CSRD ESRS S1-13), Asseco WAPRO HR + WAPRO Szkolenia (segment MŚP). Dla polskich oddziałów grup międzynarodowych: SAP SuccessFactors Polska Learning + SAP SF Compliance Training (Volkswagen Poznań, Stellantis Tychy, BMW Wrocław, Bosch Wrocław, Procter & Gamble), Workday Learning Polska, Cornerstone OnDemand Polska (lider LMS w Europie), Personio Polska Learning. Po stronie cyber-security awareness: KnowBe4 Polska + KnowBe4 KSAT (lider w Security Awareness, moduł NIS2 phishing simulation, RODO awareness, AML, anty-mobbing). Po stronie kanałów sygnalistów: EQS Group Polska Training + WhistleB Training (zgodne z Ustawą 14.06.2024), NAVEX EthicsPoint Polska Training. Po stronie polskich startupów LMS: Tetka HR Szkolenia + JoinPro Polska Learning + Pracuj Talent. Po stronie dostawców treści szkoleniowych: eLearning24 + e-akademia + Mediasi Onyx Szkolenia (akredytowane przez CIOP-PIB). Po stronie polskich startupów compliance: Sealed Compliance Training + Cybea Compliance Training + Trafika Bezpieczeństwa.

Mapowanie danych dwukierunkowe: zmiana wymagań szkoleniowych w macierzy reguł agenta propaguje do LMS (przypisanie kursów), zmiana statusu ukończenia w LMS aktualizuje dashboard agenta (raport kompletności), nowe orzecznictwo SN i wytyczne UODO odświeżają katalogi obowiązków. Wsparcie wniosku o dofinansowanie z Krajowego Funduszu Szkoleniowego (KFS prowadzony przez ZUS przez PUE ZUS) - dla pracowników 45+, kobiet, niepełnosprawnych i sektorów priorytetowych dofinansowanie do 80% kosztów. Agent identyfikuje pracowników kwalifikujących się, generuje wniosek z dokumentami; decyzja o priorytetyzacji budżetu pozostaje przy HR Business Partner + zarząd przy wartości >50 000 zł.

Infrastruktura, która niesie dalej niż szkolenia

Silnik zarządzania szkoleniami compliance - macierz wymagań z mapowaniem na statuty, obliczanie terminów re-szkoleń, automatyczne przypisanie w LMS, weryfikacja autentyczności certyfikatów, eskalacja zaległości, pakiet dowodowy dla organów - to nie izolowany moduł. Ten sam wzorzec architektoniczny zasila Certification Tracking Agent, Training Needs Analysis Agent, Training Effectiveness Agent oraz Onboarding Agent (struktura compliance training jako fundament dla nowych pracowników). Każdy z tych agentów polega na ramach kompletności szkoleniowej ustanowionej przez Compliance Training Agent: udokumentowanym programie szkoleń, akredytowanych jednostkach, ewidencji ukończeń z hashem certyfikatu, raportach kompletności dla biegłego rewidenta CSRD ESRS S1-13.

Przez setki cykli szkoleń powstaje obraz danych, którego żadne arkusze Excel nie dostarczą: które szkolenia są systematycznie odkładane, które lokalizacje chronicznie poniżej celu kompletności, którzy kierownicy nie reagują na eskalacje, które kategorie pracownicze mają najwyższe wskaźniki niezdanych testów wiedzy. Dla zarządu (KSH art. 233 - business judgement rule, art. 299 odpowiedzialność subsydiarna; art. 220 Kodeksu Karnego przy wypadku BHP) i biegłego rewidenta CSRD ESRS S1-13: raport gotowy do badania, z certyfikacją ISO 37301 + 37001 jako dowód należytej staranności, audytami TÜV/Bureau Veritas/DEKRA co 3 lata - bez 3-tygodniowego pośpiechu i ryzyka kar PIP do 30 000 zł, sankcji UODO do 4% obrotu, kar GIIF do 5 mln EUR, kar AAI do 60 000 zł, kar AI Act do 15 mln EUR/3% za high-risk, kar NIS2 do 10 mln EUR/2%. Pytanie nie brzmi, czy firmy muszą zbudować program szkoleń compliance zgodny z 6 regulacjami równocześnie - terminy są ustalone na 25.09.2024 (sygnaliści), 17.10.2024 (NIS2), 2.02.2025 (AI literacy), 2.08.2025 (AI Act prohibited), 2.08.2026 (AI Act high-risk). Pytanie brzmi, czy w momencie kontroli PIP/UODO/GIIF/AAI/AI Office dane będą wiarygodne, audytowalne i zgodne z polskim prawem pracy oraz prawem unijnym.