Kanał komunikacji dla osób chcących zgłosić nieprawidłowości w organizacji to jeden z kluczowych elementów systemów whistleblowingowych, które muszą wdrożyć podmioty państwowe i prywatne w ramach dyrektywy UE o ochronie sygnalistów. Dla większości z nich najbardziej optymalnym rozwiązaniem będzie wykorzystanie do tego celu rozwiązań informatycznych kupionych od zewnętrznych dostawców. Jak wybrać taki system, aby spełnił wymagania prawne, potrzeby organizacji i nie przysporzył w przyszłości problemów?
Dotychczas stosowane kanały komunikacji dla sygnalistów – takie jak skrzynki na listy, specjalne konta e-mail, infolinie czy zgłoszenia osobiste – w większości przypadków nie zapewniały ochrony prywatności osoby zgłaszającej i bezpieczeństwa danych osobowych. Ich wykorzystanie często było uciążliwe i przysparzało wiele dodatkowej pracy osobom odpowiedzialnym za przyjmowanie i przetwarzanie zgłoszeń. Z tego względu firmy coraz częściej sięgają po specjalnie zaprojektowane aplikacje, które wspierają proces zbierania i obsługi zgłoszeń od sygnalistów.
Jak wybrać odpowiednie rozwiązanie informatyczne do whistleblowingu?
Na rynku istnieje wiele zróżnicowanych rozwiązań, ale nie każde spełnia wymogi prawne, nie dając przy tym gwarancji, że dane wrażliwe są odpowiednio zabezpieczone. Przed wyborem konkretnego systemu warto dobrze go zweryfikować – sprawdzić specyfikację techniczną, zadać pytania dostawcy, a najlepiej poprosić o wsparcie lub chociaż skonsultować działanie poszczególnych aplikacji z działem IT.
Na pewno nie warto kupować pierwszego rozwiązania, na jakie natrafimy, bo taka decyzja może nieść za sobą poważne konsekwencje. W momencie, w którym np. dane z takiej aplikacji wypłyną na zewnątrz, organizacja naraża się na duże kłopoty, takie jak m.in. straty wizerunkowe, spadek zaufania pracowników, procesy sądowe i kary finansowe, a nawet spadek cen akcji.
Kupując gotowe rozwiązanie, warto przede wszystkim zwrócić uwagę na 2 czynniki:
-
Ochrona prywatności
Jedną z najważniejszych cech kanału komunikacji dla sygnalisty, o której mówi unijna dyrektywa, jest ochrona poufności tożsamości sygnalisty. W przypadku rozwiązań informatycznych kluczowe jest więc zaprojektowanie rozwiązania w taki sposób, aby:
- uniemożliwiało ujawnienie lub identyfikację tożsamości sygnalisty, np. poprzez automatyczne usuwanie plików cookies, danych IP nadawcy czy metadanych zapisanych w przesyłanych załącznikach (dane autora, komputera, historia zmian)
- ograniczało dostęp do danych tylko dla osób uprawnionych, np. poprzez indywidualne konta osób obsługujących system z logowaniem na podstawie uwierzytelnienia dwustopniowego (2FA)
- zapewniało ciągłość komunikacji między sygnalistą a osobą odbierającą zgłoszenia po stronie firmy – bez konieczności tworzenia kont i logowania, np. z wykorzystaniem unikalnych identyfikatorów
- umożliwiało składanie anonimowych zgłoszeń.
Warto zwrócić uwagę na tę ostatnią kwestię, bowiem według projektu polskiej ustawy implementującej dyrektywę, to od decyzji pracodawcy zależeć będzie, czy będzie on przyjmował zgłoszenia anonimowe, czy podpisane danymi sygnalisty. Uniwersalny system powinien umożliwiać informowanie w obu wariantach. Warto jednak zwrócić uwagę, że możliwość składania zgłoszeń anonimowych wynika także z oczekiwań samych pracowników, którzy w badaniu przeprowadzonym przez ARC Rynek i Opinia wskazali tę cechę jako kluczową dla efektywności systemu whistleblowingowego.
-
Bezpieczeństwo danych
Drugą istotną cechą kanału whistleblowingowego jest ochrona danych pozyskanych w procesie zgłaszania nadużyć. W przypadku gdy decydujemy się na rozwiązanie informatyczne, należy zwrócić uwagę na to, czy system zabezpiecza dane przed ich przechwyceniem i odczytem przez osoby nieuprawnione, ale również przed uszkodzeniem albo ich utratą.
Dobry system powinien przede wszystkim gwarantować:
- zabezpieczenie danych zawartych w zgłoszeniach, np. za pomocą algorytmów szyfrujących, które umożliwiają odczyt jedynie osobom uprawnionym
- bezpieczną transmisję danych poprzez szyfrowanie protokołami komunikacyjnymi SSL
- wykorzystanie bezpiecznych i niezawodnych serwerów, na których przechowywane są dane, np. od dostawców z certyfikatami ISO 270001, z funkcjami backupu i disaster recovery plan na wypadek awarii.
Jeśli aplikacja, z której chcemy korzystać, jest rozwiązaniem działającym w zewnętrznej sieci i dostępnym dla wszystkich użytkowników Internetu, warto przede wszystkim zwrócić uwagę na oprogramowanie zbudowane w oparciu o technologię chmury obliczeniowej renomowanych dostawców, np. Microsoft Azure, Amazon AWS czy Google Cloud. Jej dostawcy są gwarancją najwyższego poziomu bezpieczeństwa infrastruktury, zgodności infrastruktury z prawnymi regulacjami (serwery zlokalizowane na terenie UE) oraz szeregiem mechanizmów i wewnętrznych rozwiązań, które dodatkowo wzmacniają ochronę dostępu np. przed włamaniami. Jednak najważniejszym wyznacznikiem bezpieczeństwa aplikacji powinny być testy klasyfikacji ryzyka, wykonywane przez niezależnych audytorów, które potwierdzą brak podatności na różne cyberzagrożenia.
Whiblo – prosta i efektywna aplikacja dla sygnalistów w Twojej firmie
Whiblo to aplikacja przeglądarkowa i mobilna, która służy do przesyłania i obsługi zgłoszeń o nieprawidłowościach w miejscu pracy. System został stworzony przez polską spółkę braf.tech, specjalizującą się w budowaniu produktów cyfrowych, które wspierają organizacje w obszarach zgodności i audytu. Autorami whiblo są eksperci w zakresie bezpieczeństwa danych i systemów informatycznych, eksperci ds. compliance oraz inżynierowie oprogramowania.
Aplikacja jest uniwersalna i można ją wdrożyć w każdej organizacji, niezależnie od branży, wielkości zatrudnienia czy kraju pochodzenia. Projektując whiblo, autorzy wykorzystali podejście privacy by design oraz privacy by default, które gwarantuje ochronę danych i ochronę prywatności zgodną z przepisami RODO na każdym etapie przetwarzania informacji.
Aplikacja została zbudowana w oparciu o normy OWASP (bezpieczeństwo systemów informatycznych), WCAG (dostępność dla osób niepełnosprawnych) oraz ISO 27001 (bezpieczeństwo danych). Oprogramowanie whiblo działa w środowisku chmury obliczeniowej Microsoft Azure, więc jego wdrożenie nie wymaga praktycznie zaangażowania działu IT oraz nie obciąża firmowej infrastruktury informatycznej. System pozwala na dostosowanie swoich funkcjonalności do indywidualnych potrzeb organizacji czy wyboru jednej z 4 wersji językowych – polskiej, angielskiej, niemieckiej lub czeskiej (istnieje możliwość implementacji kolejnych).
Aplikacja whiblo zapewnia zgodność m.in. z:
- Dyrektywą Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii (tzw. dyrektywa o ochronie sygnalistów)
- Ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML)
- Ustawą o ochronie danych osobowych (RODO)
- Wytycznymi UKNF dotyczącymi rozwiązań chmurowych dla sektora finansowego.
Jako twórcy systemu gwarantujemy, że każda zmiana w prawie skutkująca zmianą wymagań wobec kanału komunikacji zostanie błyskawicznie skorygowana i wdrożona w aplikacji.
