Kanał do zgłaszania informacji o nieprawidłowościach to jeden z najważniejszych elementów systemu whistleblowingowego. Zarówno podmioty publiczne, jak i prywatne, często w tym celu wykorzystują systemy informatyczne dostarczane przez zewnętrznych dostawców. Jak wybrać taki, który spełni wymagania prawne, zapewni bezpieczeństwo danych oraz nie przysporzy organizacji dodatkowych obowiązków czy nawet kłopotów w przyszłości?
Na rynku jest wiele z pozoru podobnych systemów służących jako kanał komunikacji sygnalisty z firmą. Organizacje mogą wybierać spośród rozwiązań IT wspomagających procesy i zgodnych z OWASP (bezpieczeństwo systemów informatycznych), WCAG (dostępność dla osób z niepełnosprawnościami) czy ISO 27001 (bezpieczeństwo informacji), ale są też rozwiązania, które nie dają żadnej gwarancji, poza sloganami marketingowymi. Część przedsiębiorców zapewne kupi system, na który trafi w pierwszej kolejności, bez jego dokładnej weryfikacji. Problemy mogą pojawić się później – jeżeli dane pochodzące z takich aplikacji wypłyną na zewnątrz to firma narazi się na duże kłopoty, takie jak m.in. procesy ze strony sygnalistów, straty wizerunkowe, spadek cen akcji czy utratę zaufania kontrahentów.
Jak więc wybrać odpowiednie rozwiązanie dla swojej organizacji? Poniżej prezentujemy najważniejsze cechy, jakie powinien spełniać system do komunikacji nadużyć w firmie, wynikające z dyrektywy oraz dobrych praktyk tworzenia systemów dla działów compliance:
Ochrona prywatności
Jedną z najważniejszych cech kanału komunikacji dla sygnalisty, o której mówi dyrektywa, jest ochrona poufności tożsamości sygnalisty. W kontekście poufności danych osobowych sygnalisty często w dyskusji pojawia się także pojęcie anonimowości, czyli sytuacji, w której nie jest możliwe wskazanie tożsamości sygnalisty. Dziś wiemy, że projekt polskiej ustawy implementującej założenia dyrektywy decyzję o procesowaniu zgłoszeń anonimowych pozostawia w rękach pracodawców. Warto jednak zwrócić uwagę, że możliwość składania zgłoszeń anonimowych wynika z oczekiwań samych pracowników, którzy w badaniu przeprowadzonym przez ARC Rynek i Opinia wskazali tę cechę jako kluczową dla efektywności systemu whistleblowingowego. W przypadku rozwiązań informatycznych kluczowe jest więc zaprojektowanie rozwiązania w taki sposób, aby dla obu powyższych sytuacji uniemożliwiało ono ujawnienie lub identyfikację tożsamości sygnalisty, ograniczało dostęp do danych, zapewniało możliwość ciągłości komunikacji między sygnalistą a osobą odbierającą zgłoszenia po stronie firmy. Z technicznego punktu widzenia konieczne jest więc np. automatyczne kasowanie plików ciasteczek, danych IP sygnalisty czy metadanych zaszytych w załącznikach przesłanych w procesie zgłoszenia. Ważne jest też, by system umożliwiał prowadzenie anonimowego dialogu między zgłaszającym i osobami przyjmującymi zgłoszenia w firmie, bez konieczności tworzenia kont użytkownika, np. poprzez nadawanie unikalnych identyfikatorów. Ochrona prywatności to jednak również elementy takie jak ograniczenie dostępu do aplikacji przez osoby nieuprawnione, czyli indywidualne konta koordynatorów systemu i logowanie z uwzględnieniem 2FA (dwustopniowe uwierzytelnienie).
Bezpieczeństwo danych
Równie ważnym warunkiem, jaki musi spełniać kanał komunikacji dla sygnalistów, jest ochrona danych pozyskanych w procesie zgłaszania nadużyć. W przypadku, gdy decydujemy się na rozwiązanie informatyczne, należy zabezpieczyć zarówno transmisję danych, jaki i proces ich przetwarzania, a potem przechowywania oraz sam dostęp do aplikacji. W tym celu stosuje się m.in. szyfrowanie danych algorytmami czy szyfrowanie transmisji danych protokołami bezpieczeństwa. Podstawą bezpieczeństwa jest jednak infrastruktura IT, na której oparta jest aplikacja. Najbezpieczniejszym rozwiązaniem jest zbudowanie systemu na technologii chmurowej. Renomowani dostawcy, tacy jak Microsoft, Google czy Amazon, gwarantują najwyższy poziom zabezpieczenia przed atakami, ochrony prywatności i zgodności ze standardami oraz przepisami prawa, np. lokalizacja serwerów na terenie UE.
***
Aplikacja do whistleblowingu, która spełnia wymagania prawne, usprawni prace firmy i zapewni ochronę danych nie musi być droga, ale na pewno jej wybór warto skonsultować z działem IT. Nie obawiajmy się też zadawać pytań dostawcy rozwiązania, bo to nasze prawo. W grę wchodzi przecież bezpieczeństwo naszych danych i danych sygnalistów, czyli kluczowy element w całym procesie zbierania i przetwarzania zgłoszeń. Niedopełnienie tego obowiązku może w przyszłości nieść za sobą bardzo poważne konsekwencje dla reputacji oraz finansów organizacji.
