Sygnaliści w firmie – skrzynka e-mail, infolinia, a może aplikacja?

Kwestia dotycząca ochrony sygnalistów wynikająca z Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii wymaga, aby określone podmioty ustanowiły kanały komunikacji do informowania o nieprawidłowościach. Twórcy regulacji nie narzucają konkretnych form, jakie powinny stosować organizacje w celu odbierania i obsługi zgłoszeń od sygnalistów, jednak europejskie wytyczne wynikające z dyrektywy mocno zawężają wybór w firmach
i instytucjach.

Zapewnienie dwukierunkowej komunikacji między firmą a sygnalistą, mechanizmy gwarantujące ochronę prywatności osoby zgłaszającej oraz ochronę danych w zgodzie z RODO to główne wymogi dla wewnętrznych kanałów komunikacji wynikające z dyrektywy o ochronie sygnalistów. Dotychczas, jeśli w organizacji funkcjonował sposób komunikacji do zgłaszania nadużyć, to były to raczej proste, często analogowe rozwiązania - skrzynki na listy, infolinie czy specjalnie utworzone adresy e-mail. Zwłaszcza ta ostatnia forma jest popularna wśród organizacji, ale czy na pewno to dobre rozwiązanie? 

Proste rozwiązanie, ale czy zgodne z dyrektywą?

Konto e-mail jest traktowane przez wiele organizacji jako złoty środek – tanie, nie wymaga specjalistycznej wiedzy, a skonfigurować może je informatyk w firmie. Badanie przeprowadzone w 2021 r. przez ARC Rynek i Opinia
na zlecenie braf.tech pokazało, że tylko 45% firm posiadało kanał komunikacji do zgłaszania nieprawidłowości
i w przypadku 56% z nich była to właśnie skrzynka e-mail lub skrzynka na tradycyjne listy papierowe. Niestety, mimo łatwej i komfortowej obsługi, takie rozwiązanie niesie za sobą wiele wad i w większości nie spełnia wymagań dyrektywy i innych przepisów z nią powiązanych.

- Skrzynki e-mail są podatne na włamania i o ile nie są stosowane dodatkowe mechanizmy kontroli, np. logowanie dwuskładnikowe, to ciężko jest kontrolować, kto ma do nich dostęp. Dodatkowo, konto e-mail nie daje możliwości monitorowania przychodzących ani wychodzących wiadomości, przez co nigdy nie mamy pewności, czy nic nie zostało z niej usunięte przez osobę trzecią – wyjaśnia Rafał Barański, CEO braf.tech, współtwórca aplikacji whiblo.  

Inna kwestia, na którą warto zwrócić uwagę, to ochrona prywatności nadawcy i jego anonimowość – każda wiadomość elektroniczna zawiera w swoim nagłówku metadane pozwalające na namierzenie jej autora lub przynajmniej urządzenia, z którego ją nadał. Źródłem metadanych są także załączniki, takie jak zdjęcia czy dokumenty tekstowe, które pozwalają wskazać użytkownika komputera, smartfona, aparatu czy autora dokumentu. Poza brakiem gwarancji ochrony prywatności i anonimowości sygnalisty nie zawsze wiemy też, czy serwer poczty e-mail jest zlokalizowany w UE, a tego wymagają przepisy w zakresie RODO.

A może aplikacja komputerowa?

W przeciwieństwie do skrzynki e-mailowej rozwiązaniami, które nie mają powyższych ograniczeń, są specjalnie stworzone do tego celu systemy informatyczne, np. w formie aplikacji przeglądarkowej czy mobilnej. Powód jest prosty – budując taki system, jego twórcy jako podstawę przyjmują konieczność spełnienia założeń projektowych oraz norm bezpieczeństwa, w tym zgodności z konkretnymi przepisami na każdym etapie działania systemu czy przetwarzania danych. Projektując rozwiązania informatyczne, które wspierają procesy compliance w organizacji,
a takim procesem jest właśnie whistleblowing, zapewnienie zgodności z przepisami jest absolutnym priorytetem.
W tym konkretnym przypadku dostęp do wszelkich informacji przesyłanych za pomocą kanałów komunikacji musi być więc dokładnie zabezpieczony i udostępniony jedynie osobom do tego uprawnionym. Istotne jest też zapewnienie możliwości prowadzenia dialogu między firmą a sygnalistą w sposób, który będzie chronił jego prywatność – np. brak konieczności tworzenia profilu użytkownika na rzecz automatycznie nadawanych unikalnych identyfikatorów. Wspomniane wyżej metadane w przypadku aplikacji nie stanowią żadnego zagrożenia, bo dobrze zaprojektowany system może je automatycznie usuwać z załączników, co w przypadku skrzynki e-mail nie jest możliwe.

- Specjalne skrzynki e-mail, skrzynki na listy, infolinie czy kanały w popularnych komunikatorach biznesowych nie zapewniają odpowiedniej kontroli nad zgłoszeniem, nie dając gwarancji poufności danych sygnalisty i treści zgłoszeń. Wdrożenie takich rozwiązań jest oczywiście bardzo proste i tanie, ale nie spełnia ono swojej roli. Z drugiej strony mamy na rynku duży wybór specjalnie stworzonych do tego celu aplikacji, które zapewniają zgodność z dyrektywą i zabezpieczają proces zbierania zgłoszeń oraz późniejsze zarządzanie nimi. Są to m.in. rozwiązania chmurowe dostępne w modelu subskrypcyjnym - łatwe w implementacji i niedrogie w zakupie, ale też systemy serwerowe z jednorazową opłatą. Klienci mogą więc wybrać aplikację dostosowaną do swoich potrzeb i możliwości ­– dodaje Rafał Barański.

Procedury i kanał komunikacji to dopiero początek

Wdrożenie odpowiednich procedur i kanałów komunikacji do whistleblowingu to dopiero początek drogi, jaką muszą przejść organizacje. Najważniejszym krokiem są działania następcze – to, jak firma zachowa się po wpłynięciu zgłoszenia, czy przeprowadzi działania wyjaśniające, czy jednak będzie starała się wyciszyć sprawę i zamknąć usta sygnaliście. Historia zna wiele przypadków wielkich firm, jak np. Volkswagen, Enron, Siemens czy ostatnio Facebook, gdy wewnętrzne, nierozwiązane problemy ujrzały światło dzienne właśnie w wyniku działań sygnalistów. Przyczyniło się to do dużych kryzysów wizerunkowych i start finansowych liczonych w setkach milionów dolarów, a nawet bankructw przedsiębiorstw. Jednak do nieprawidłowości może dojść w każdym miejscu pracy, nie tylko
w wielkich korporacjach. Nadużycia finansowe, pranie pieniędzy, łamanie przepisów dot. zamówień publicznych
czy ochrony środowiska, zdrowia publicznego czy ochrony konsumentów – katalog spraw jest obszerny. Tylko od odpowiedniego podejścia pracodawcy zależy, czy takie problemy będą zgłaszane i rozwiązywanie wewnętrznie, czy jednak zostaną upublicznione, przyczyniając się do zwiększonego ryzyka poważnych problemów przedsiębiorstwa.