Obowiązek ochrony sygnalistów wynikający z Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 wymaga, aby określone podmioty wdrożyły i stosowały wewnętrzne procedury i kanały komunikacji do informowania o naruszeniach prawa. Twórcy regulacji nie narzucają konkretnych form, jakie powinny stosować organizacje w celu odbierania i obsługi zgłoszeń od sygnalistów, ale nie wszystkie z dotychczas stosowanych spełnią swoją rolę w tym samym stopniu.
Zapewnienie dwustronnej komunikacji między firmą a sygnalistą, mechanizmy gwarantujące ochronę prywatności osoby zgłaszającej oraz ochronę danych w zgodzie z RODO to główne wymogi dla wewnętrznych kanałów komunikacji wynikające z tzw. dyrektywy o ochronie sygnalistów oraz projektu polskiej ustawy wprowadzającej założenia dyrektywy do krajowego systemu prawnego. Jeśli w organizacji funkcjonował dotychczas kanał komunikacji przeznaczony do zgłaszania nadużyć, to były to raczej bardzo tradycyjne rozwiązania – rozmowy osobiste, skrzynki na listy, infolinie czy specjalnie utworzone adresy e-mail. Popularna jest zwłaszcza ta ostatnia forma, jednak ma ona wiele wad.
Proste rozwiązanie, ale czy zgodne z dyrektywą?
Konto e-mail jest traktowane przez wiele organizacji jako złoty środek – tanie, nie wymaga specjalistycznej wiedzy, a skonfigurować może je nawet osoba bez specjalistycznej wiedzy. Jak pokazało badanie przeprowadzone wiosną 2021 r. przez ARC Rynek i Opinia na zlecenie braf.tech, tylko 45% firm posiadało kanał komunikacji do zgłaszania nieprawidłowości i w przypadku 56% z nich była to właśnie skrzynka e-mail lub skrzynka na tradycyjne listy papierowe. Niestety, mimo łatwej i komfortowej obsługi, takie rozwiązanie niesie za sobą wiele wad i w większości nie spełnia wymagań dyrektywy i innych przepisów z nią powiązanych. Przede wszystkim konta e-mail są podatne na włamania i o ile nie są stosowane dodatkowe mechanizmy kontroli, np. logowanie dwuskładnikowe, to ciężko jest sprawdzić, kto ma do nich dostęp. Dodatkowo skrzynka e-mail nie daje możliwości monitorowania przychodzących ani wychodzących wiadomości, przez co nigdy nie mamy pewności, czy nic nie zostało z niej usunięte przez osobę trzecią. Inna kwestia, na którą warto zwrócić uwagę, to ochrona prywatności nadawcy i jego anonimowość – każda wiadomość elektroniczna zawiera w swoim nagłówku metadane pozwalające na namierzenie jej autora lub przynajmniej urządzenia, z którego ją nadał. Źródłem metadanych są także załączniki, takie jak zdjęcia czy dokumenty tekstowe, które pozwalają wskazać użytkownika komputera, smartfona, aparatu fotograficznego czy autora dokumentu. Poza brakiem gwarancji ochrony prywatności i anonimowości sygnalisty, nie zawsze wiemy też, czy serwer poczty e-mail jest zlokalizowany w UE, a tego wymagają przepisy o ochronie danych osobowych.
A może aplikacja komputerowa?
W przeciwieństwie do skrzynki e-mailowej rozwiązaniami, które nie mają powyższych ograniczeń, są specjalnie stworzone do tego celu systemy informatyczne, np. w formie aplikacji przeglądarkowej czy mobilnej. Powód jest prosty – budując taki system, jego twórcy jako podstawę przyjmują konieczność spełnienia założeń oraz norm bezpieczeństwa, w tym zgodności z konkretnymi przepisami na każdym etapie działania systemu czy przetwarzania danych. Projektując rozwiązania informatyczne, które wspierają procesy compliance w organizacji, a takim procesem jest właśnie whistleblowing, zapewnienie zgodności z przepisami jest absolutnym priorytetem. W tym konkretnym przypadku dostęp do wszelkich informacji przesyłanych za pomocą kanałów komunikacji musi być więc dokładnie zabezpieczony i umożliwiony jedynie osobom do tego uprawnionym. Istotne jest też zapewnienie możliwości prowadzenia dialogu między firmą a sygnalistą w sposób, który będzie chronił jego prywatność – np. brak konieczności tworzenia profilu użytkownika na rzecz automatycznie nadawanych unikalnych identyfikatorów. Wspomniane wyżej metadane w przypadku aplikacji nie stanowią żadnego zagrożenia, bo dobrze zaprojektowany system może je automatycznie usuwać z załączników, co w przypadku skrzynki e-mail nie jest możliwe.
Procedury i kanał komunikacji to dopiero początek
Wdrożenie odpowiednich procedur i kanałów komunikacji do whistleblowingu to dopiero początek drogi, jaką muszą przejść organizacje. Najważniejszym krokiem są działania następcze – to, jak firma zachowa się po wpłynięciu zgłoszenia, czy przeprowadzi działania wyjaśniające, czy jednak będzie starała się wyciszyć sprawę i zamknąć usta sygnaliście. Historia zna wiele przypadków wielkich firm, jak np. Volkswagen, Enron, Siemens czy ostatnio Facebook, gdy wewnętrzne, nierozwiązane problemy ujrzały światło dzienne właśnie w wyniku działań sygnalistów. Przyczyniło się to do dużych kryzysów wizerunkowych i start finansowych liczonych w setkach milionów dolarów, a nawet bankructw przedsiębiorstw. Jednak do nieprawidłowości może dojść w każdym miejscu pracy. Nadużycia finansowe, łamanie przepisów BHP, przepisów środowiskowych, niewłaściwe traktowanie konsumentów – katalog spraw jest obszerny. Tylko od odpowiedniego podejścia pracodawcy zależy, czy takie problemy będą zgłaszane i rozwiązywanie wewnętrznie, czy jednak zostaną upublicznione, przyczyniając się do poważnych problemów przedsiębiorstwa.
Autorzy:
- Rafał Barański, ceo braf.tech, współtwórca aplikacji dla sygnalistów whiblo, ekspert w obszarze bezpieczeństwa IT i rozwiązań wspierających procesy compliance w organizacji
- Ewa Żak-Lisewska, dyrektor ds. rozwoju braf.tech, współtwórczyni aplikacji dla sygnalistów whiblo, ekspertka w obszarze compliance, była dyrektor działów compliance w korporacjach z sektora energetycznego
