17 grudnia 2021 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 o ochronie sygnalistów, nakładająca na organizacje obowiązek tworzenia systemów whistleblowingowych, w tym m.in. kanałów do zgłaszania przypadków łamania prawa. Zarówno podmioty publiczne, jak i prywatne, często w tym celu korzystają z pomocy firm zewnętrznych, które dostarczają im gotowe rozwiązania informatyczne. Na rynku jest wiele z pozoru podobnych systemów, ale jak wybrać taki, który spełni wymagania prawne, zapewni bezpieczeństwo danych oraz nie przysporzy organizacji dodatkowych obowiązków w przyszłości?
Liczba organizacji, które zostały objęte przepisami dotyczącymi ochrony sygnalistów szacowana jest na kilkadziesiąt tysięcy podmiotów. Jednak duża część z nich wciąż wstrzymuje się z podejmowaniem konkretnych działań, oczekując na krajowe przepisy. W niedalekiej przyszłości czeka je jednak wzmożona praca przy tworzeniu i implementacji wewnętrznych procedur, a także w poszukiwaniu usług wspierających – m.in. systemów służących jako kanał komunikacji z sygnalistami.
– W ostatnich miesiącach na rynku pojawiło się wiele zróżnicowanych rozwiązań służących jako kanał komunikacji sygnalisty z firmą. Klienci mogą wybierać spośród systemów IT wspomagających procesy i zgodnych z OWASP (bezpieczeństwo systemów informatycznych), WCAG (dostępność dla osób niepełnosprawnych) czy ISO 27001 (bezpieczeństwo informacji), ale są też rozwiązania, które nie dają żadnej gwarancji, poza sloganami marketingowymi. Część przedsiębiorców zapewne kupi system, na który trafi w pierwszej kolejności, bez jego dokładnej weryfikacji. Problemy mogą pojawić się później. Jeżeli dane pochodzące z takich aplikacji wypłyną na zewnątrz, to firma narazi się na duże kłopoty, takie jak m.in. procesy ze strony sygnalistów, straty wizerunkowe, spadek cen akcji czy utratę zaufania kontrahentów – przestrzega Rafał Barański, CEO braf.tech, współtwórca aplikacji whiblo.
Jak więc wybrać odpowiednie rozwiązanie dla swojej organizacji? Poniżej prezentujemy najważniejsze cechy, jakie powinien spełniać system do komunikacji nadużyć w firmie, wynikające z dyrektywy oraz dobrych praktyk tworzenia systemów dla działów compliance:
Ochrona prywatności
Jedną z najważniejszych cech kanału komunikacji dla sygnalisty, o której mówi dyrektywa, jest ochrona poufności tożsamości sygnalisty. W kontekście poufności danych osobowych sygnalisty często w dyskusji pojawia się także pojęcie anonimowości, czyli sytuacji, w której nie jest możliwe wskazanie tożsamości sygnalisty. Dziś wiemy, że projekt polskiej ustawy implementującej założenia dyrektywy, decyzję o procesowaniu zgłoszeń anonimowych pozostawia w rękach pracodawców. Warto jednak zwrócić uwagę, że możliwość składania zgłoszeń anonimowych wynika z oczekiwań samych pracowników, którzy w badaniu przeprowadzonym przez ARC Rynek i Opinia[1] wskazali tę cechę jako kluczową dla efektywności systemu whistleblowingowego. W przypadku rozwiązań informatycznych kluczowe jest więc zaprojektowanie rozwiązania w taki sposób, aby dla obu powyższych sytuacji uniemożliwiało ono ujawnienie lub identyfikację tożsamości sygnalisty, ograniczało dostęp do danych, zapewniało możliwość ciągłości komunikacji między sygnalistą a osobą odbierającą zgłoszenia po stronie firmy. Z technicznego punktu widzenia konieczne jest więc np. automatyczne kasowanie plików ciasteczek, danych IP sygnalisty czy metadanych zaszytych w załącznikach przesłanych w procesie zgłoszenia. Ważne jest też, by system umożliwiał prowadzenie anonimowego dialogu między zgłaszającym i osobami przyjmującymi zgłoszenia w firmie, bez konieczności tworzenia kont użytkownika, np. poprzez nadawanie unikalnych identyfikatorów.
– Tworząc aplikację whistleblowingową, warto już na etapie projektowania zastosować odpowiednie podejście, np. privacy by design lub privacy by default, które gwarantuje ochronę danych i prywatności zgodną z RODO na każdym etapie przetwarzania informacji. Zapewnienie anonimowości to jednak również elementy takie jak ograniczenie dostępu do aplikacji przez osoby nieuprawnione, czyli indywidualne konta koordynatorów systemu i logowanie z uwzględnieniem 2FA (dwustopniowe uwierzytelnienie) – dodaje Rafał Barański.
Bezpieczeństwo danych
Równie ważnym warunkiem, jaki musi spełniać kanał komunikacji dla sygnalistów, jest ochrona danych pozyskanych w procesie zgłaszania nadużyć. W przypadku, gdy decydujemy się na rozwiązanie informatyczne, należy zabezpieczyć zarówno transmisję danych, jaki i proces ich przetwarzania, a potem przechowywania oraz sam dostęp do aplikacji. W tym celu stosuje się m.in. szyfrowanie danych algorytmami czy szyfrowanie transmisji danych protokołami bezpieczeństwa. Podstawą bezpieczeństwa jest jednak infrastruktura IT, na której oparta jest aplikacja. Najbezpieczniejszym rozwiązaniem jest zbudowanie systemu na technologii chmurowej. Renomowani dostawcy, tacy jak Microsoft czy Amazon, gwarantują najwyższy poziom zabezpieczenia przed atakami, ochrony prywatności i zgodności ze standardami oraz przepisami prawa.
– System dla sygnalistów i w zasadzie każde rozwiązanie stosowane w procesach compliance musi zapewniać najlepszą możliwą ochronę danych. To nie tylko zabezpieczenie przed niepowołanym dostępem czy atakami, ale również przed manipulacją danymi czy ich utratą bądź zniszczeniem. W obszarze whistleblowingu były dotychczas stosowane rozwiązania analogowe, jak skrzynki na listy, specjalnie do tego celu przeznaczone konta e-mail czy infolinie, które jednak nie wspierają podstawowych założeń dyrektywy – ochrony danych i tożsamości sygnalisty oraz są niepraktyczne z punktu widzenia osób odbierających zgłoszenia czy prowadzenia procedur wyjaśniających. Dobry system IT musi gwarantować bezpieczeństwo zarówno sygnaliście, jak i firmie – komentuje Ewa Żak-Lisewska, dyrektor ds. rozwoju w braf.tech, była dyrektor działów compliance, współtwórczyni aplikacji whiblo.
Dobry system nie musi być drogi, a jego wybór warto skonsultować z działem IT. Nie obawiajmy się też zadawać pytań dostawcy rozwiązania, bo to nasze prawo. W grę wchodzi przecież bezpieczeństwo naszych danych i danych sygnalistów, czyli kluczowy element w całym procesie zbierania i przetwarzania zgłoszeń. Niedopełnienie tego obowiązku może w przyszłości nieść za sobą bardzo poważne konsekwencje dla reputacji oraz finansów organizacji.
[1] https://whiblo.pl/blog/ochrona-sygnalistow-w-firmach-w-polsce/