Wiele pisaliśmy już o bardzo ważnej roli sygnalistów, jakie wymagania dla organizacji niesie za sobą dyrektywa UE oraz polska ustawa dotycząca ochrony osób zgłaszających nadużycia oraz jak sprawnie przeprowadzić implementację systemu whistleblowingowego w firmie. Nasze obserwacje pokazują jednak, że część podmiotów nie do końca radzi sobie z tym procesem. Dziś rozpoczynamy cykl krótkich artykułów, w których opiszemy najczęstsze błędy popełniane przy wdrażaniu whistleblowingu w organizacji i oczywiście doradzimy, jak temu zaradzić.
W poprzednim naszym poście pisaliśmy na temat kanału komunikacji służącego do celów zbierania zgłoszeń od wewnętrznych sygnalistów. Kanał ten powinien działać efektywnie, czyli jego stosowanie powinno maksymalnie upraszczać proces, zarówno po stronie sygnalisty, jak i komórki czy osoby odpowiedzialnej za obsługę zgłoszeń po stronie organizacji, pozwalać na dwustronną komunikację i być dostępny dla możliwie szerokiego grona pracowników. Wspominaliśmy też o kwestiach poufności sygnalisty i ochrony danych osobowych i dziś właśnie chcemy rozwinąć ten temat bowiem z naszych obserwacji wynika, że może ona stanowić pewien problem.
Zgłoszenia nie są przetwarzane zgodnie z RODO
Dane osobowe są nierozerwalnie związane z procesem sygnalizowania naruszeń. Wynika to z tego, że zgłoszenia dokonuje konkretna osoba, która opisuje w nim działania lub zaniechania danego pracownika, sama przy tym się ujawniając. W procesie mamy także do czynienia ze świadkami czy osobami wspierającymi zgłaszającego. Na etapie przyjęcia i przetwarzania zgłoszenia osoba odpowiedzialna za ten proces musi dochować szczególnej staranności, by wszelkie informacje w nim zawarte pozostały poufne, a dane muszą być procesowane zgodnie z RODO.
Zdaniem eksperta:
Ewa Żak-Lisewska, dyrektor ds. rozwoju braf.tech, ekspert w obszarze compliance.
– Dyrektywa UE i polska ustawa obligują organizacje, by przetwarzanie danych zawartych w zgłoszeniach było zgodne z RODO, bowiem ich obsługa będzie nowym procesem wymagającym ujęcia w procedurach ochrony danych osobowych. Warto też pamiętać, że na etapie przetwarzania zgłoszeń i działań następczych, czyli wyjaśniających, kluczowa jest ochrona danych osobowych. Aby proces był prowadzony zgodnie z przepisami ustawy, konieczne jest dochowanie poufności przez osoby zaangażowane w proces whistleblowingowy w firmie i niedopuszczenie do ujawnienia jakichkolwiek danych osobowych ze zgłoszenia. Druga kwestia to ochrona prywatności sygnalisty. Już na etapie tworzenia kanału komunikacji należy zadać sobie szereg pytań – czy w momencie zgłaszania tożsamość sygnalisty jest wystarczająco chroniona? Czy dostęp do zgłoszenie mają rzeczywiście tylko osoby ściśle do tego wyznaczone? Czy stosowane zabezpieczenia są skuteczne?
My oczywiście polecamy nasz system whiblo, bowiem już na etapie projektowania przyjęliśmy podejście privacy by design i privacy by default, które gwarantuje, że wszystkie procesy związane ze zgłoszeniem są zabezpieczone zgodnie z RODO. Ponadto stosowane są mechanizmy takie jak dwuskładnikowe uwierzytelnienia dla użytkowników-koordynatorów aplikacji po stronie firmy, dane osoby zgłaszającej i te zawarte w zgłoszeniu są szyfrowane, a sygnaliście przydzielany jest losowo generowany identyfikator. Aplikacja whiblo przeszła też testy bezpieczeństwa prowadzone przez zewnętrznych audytorów, a wszelkie dane są przechowywane w chmurze dostarczanej przez renomowanego dostawcę, co gwarantuję bardzo wysoki poziom bezpieczeństwa i dostępności.
Dowiedz się też więcej o błędach we wdrażaniu systemu whistleblowingowego z naszych kolejnych publikacji: Część 3.
