Dyrektywa 2019/1937 zwana powszechnie dyrektywą o ochronie praw sygnalistów wymaga, aby organizacje umożliwiły sygnalistom dokonywanie zgłoszeń poprzez kanały zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu.
Dyrektywa jednocześnie wymaga, by projektowane kanały zgłaszania nieprawidłowości umożliwiały sygnalistom dokonywanie zgłoszeń na piśmie, przekazywanie zgłoszeń drogą pocztową, za pośrednictwem fizycznych skrzynek na skargi lub na platform internetowych lub intranetowych, bądź dokonywanie zgłoszeń ustnie, za pośrednictwem gorącej linii lub innego systemu komunikacji głosowej.
To, które konkretne kanały zgłaszania nieprawidłowości wybierze Twoja organizacja zależy wyłącznie od Ciebie. Ale musisz pamiętać, że by sprawić żeby kanały zgłaszania nieprawidłowości były skuteczne musisz zapewnić wszystkim sygnalistom możliwość zgłoszenia nieprawidłowości. Oznacza to, że w pewnych przypadkach będziesz musiał ustanowić kanały zgłaszania nieprawidłowości pisemne, ustne i osobiste i w każdym z nich będziesz musiał chronić tożsamość sygnalisty.
W tworzeniu systemu ochrony sygnalistów masz do wyboru kilka kanałów zgłaszania nieprawidłowości. Są to m.in.
- osobiste powiadomienia osoby wewnątrz organizacji
- osobiste powiadomienia upoważnionego podmiotu trzeciego
- platformy internetowe
- wiadomości e-mail
- telefon – zgłoszenia ustne osobie fizycznej po drugiej stronie słuchawki
- telefon – zgłoszenia ustne z wykorzystaniem nagrywania
- telefon – z wykorzystaniem wiadomości SMS
- fizyczna skrzynka na skargi
- czat
Wybierając kanały zgłaszania nieprawidłowości musisz zastanowić się jaki ma być ich nadrzędny cel. Poszczególne parametry jakimi charakteryzują się kanały zgłaszania nieprawidłowości mogą zwiększać zaufanie sygnalistów (np. nieograniczony dostęp on-line), a niektóre mogą wywoływać u nich niepokój (np. bariera językowa, wątpliwości w zakresie utrzymania anonimowości, czy bezpieczeństwo przekazywanych danych).
Niewątpliwie platformy internetowe typu SaaS są obecnie uważane za najlepszy wybór z uwagi na bezpieczeństwo i zapewnienie anonimowości. Dodatkowo często nie wymagają żadnej interwencji w wewnętrzne systemy informatyczne organizacji. Dodatkowo jeśli wybierzesz te bardziej rozbudowane będziesz w stanie wypełnić obowiązki nakładane na Twoją organizację przez dyrektywę, a Twoje zadanie ograniczy się do przekazania dostępu do platformy upoważnionym osobom lub zespołom.
Wielu klientów pyta nas, czy mają jakieś obowiązki dotyczące anonimowego zgłaszania naruszeń. Dyrektywa stanowi, że państwa członkowskie mają możliwość zdecydowania o tym, czy organizacje mają mieć obowiązek przyjmowania anonimowych zgłoszeń naruszeń objętych zakresem stosowania dyrektywy i podejmowania w związku z nimi działań następczych. Wszystko w rękach ustawodawcy krajowego. Nie ma jednak żadnych wątpliwości, że bez uwzględnienia tego aspektu w systemie ochrony sygnalistów, system ten nie będzie kompletny – co więcej, umożliwienie anonimowego zgłaszania naruszeń zwiększy jego wiarygodność.
Masz pytania dotyczące wdrożenia systemu ochrony sygnalistów zgodnie z ISO 37002? Chętnie odpowiemy na Twoje pytania. Odezwij się do nas na office@ipsolegal.pl lub bezpośrednio z Błażejem Wągielem.
Poniżej znajdziesz przegląd wad i zalet najczęściej wykorzystywanych kanałów zgłaszania nieprawidłowości.