Przepisy związane z ochroną sygnalistów (Dyrektywa UE i projekt polskiej ustawy) umożliwiają stosowanie różnych kanałów komunikacji dla sygnalistów, ale muszą one spełniać pewne założenia. Dotychczas, jeśli w firmie czy instytucji funkcjonował jakiś sposób komunikacji do zgłaszania nadużyć, to były to raczej proste rozwiązania – skrzynki pocztowe, infolinie, zgłoszenia osobiste czy skrzynki e-mail. Mogłoby się wydawać, że ta ostatnia forma jest tanim i praktycznym rozwiązaniem. Ma jednak ono kilka wad – naszym zdaniem dyskwalifikujących tę formę.
Specjalna skrzynka e-mail jest dość popularną formą kanału do zgłaszania nadużyć w organizacjach, oczywiście jeśli mówimy o podmiotach, które jakikolwiek kanał do tego celu posiadają. To tanie i łatwe we drożeniu rozwiązanie, z którym poradzi sobie każdy informatyk w firmie. Niestety posiada ono kilka istotnych wad i nie spełnia wymagań dyrektywy czy innych przepisów z nią powiązanych.
Zagrożenia wykorzystywania skrzynki e-mail jako kanału dla sygnalistów
Przede wszystkim konto e-mail jest podatne na włamania i ciężko realnie kontrolować, kto ma do niego dostęp. Oczywiście można wykorzystać mechanizm autoryzacji wieloskładnikowej, której stosowanie powinno być standardem, ale nasza praktyka pokazuje coś innego. Dodatkowo w skrzynce e-mailowej nie ma możliwości monitorowania przychodzących ani wychodzących wiadomości, przez co nigdy nie mamy pewności czy cała korespondencja albo przynajmniej załączone pliki lub zdjęcia nie zostały usunięte. Kolejna kwestia to ochrona prywatności nadawcy i jego anonimowość – bardzo łatwo można namierzyć nadawcę wiadomości poprzez metadane zawarte w nagłówku maila. Wspomniane wcześniej załączniki to również zbiór metadanych osoby lub przynajmniej użytkownika komputera, aparatu, smartfonu, który je wykonał. Poza brakiem zagwarantowanej ochrony prywatności i anonimowości sygnalisty, nie zawsze wiemy też czy serwer poczty e-mail jest zlokalizowany w UE, a tego wymagają choćby przepisy RODO.
Korzystniejsze alternatywy tego rozwiązania
Jako alternatywę i naszym zdaniem najlepsze rozwiązanie sugerujemy specjalnie do tego celu zaprojektowane aplikacje, takie jak whiblo. Powód jest prosty – budując taki system, jego twórcy jako podstawę przyjmują pewne założenia projektowe oraz normy bezpieczeństwa, które mają na celu zabezpieczenie i zagwarantowanie zgodności z przepisami na każdym etapie przetwarzania danych. Dostęp do wszelkich informacji przesyłanych za pomocą kanałów komunikacji musi być dokładnie zabezpieczony i udostępniony jedynie dla osób do tego uprawnionych. Istotne jest też zapewnienie możliwości prowadzenia dialogu między firmą a sygnalistą w sposób, który będzie chronił jego prywatność – np. brak konieczności tworzenia profilu użytkownika na rzecz automatycznie nadawanych unikalnych identyfikatorów. Wspomniane wyżej metadane w przypadku aplikacji nie muszą stanowić żadnego zagrożenia, bo przemyślany system może je automatycznie usuwać z załączników, co w przypadku skrzynki e-mail nie jest technicznie możliwe. Aplikacja informatyczna dla sygnalistów nie musi być też drogim rozwiązaniem – na rynku bez problemu znajdziecie aplikacje SaaS dostępne w modelu subskrypcyjnym, z różnymi planami cenowymi.
Na co zwracać uwagę przy wyborze kanału dla sygnalistów?
Przy wyborze kanału dla sygnalistów w swojej organizacji warto pomyśleć też nad jego praktyczną stroną. Dobra aplikacja może służyć nie tylko do komunikacji z osobą zgłaszającą nadużycia, ale stanowić narzędzie do obsługi całego procesu – zarządzania zgłoszeniami, tworzenia notatek, przechowywania, raportowania czy archiwizacji po określonym czasie. Wszystko w zgodzie z RODO i znacznie bezpieczniej, niż w przypadku skrzynki e-mail.
