Dzisiaj jest: 22.11.2024, imieniny: Cecylii, Jonatana, Marka

Bezpieczne i efektywne systemy zgłaszania nieprawidłowości w

Dodano: 03.03.2021 Czytane: 16

Należy pamiętać, że dyrektywa mówi o tzw. standardzie minimum, tj. określa minimalne obowiązki podmiotów obowiązanych. Jak ostatecznie będą wyglądały przepisy w zakresie ochrony sygnalistów w Polsce, dowiemy się dopiero wówczas, gdy polski ustawodawca zintegruje przedmiotową dyrektywę z polskim porządkiem prawnym.

W niniejszym artykule, autorzy wskazują na najistotniejsze elementy bezpiecznych i efektywnych kanałów zgłaszania nieprawidłowości, stanowiących jeden z fundamentów skutecznego systemu dla sygnalistów w każdej organizacji. Jest to o tyle ważne, że w przypadku braku w organizacji
skutecznego systemu dla sygnalistów lub jego pozorności, sygnalista – zgodnie z przepisami dyrektywy – może dokonać zgłoszenia nieprawidłowości poza organizację, do wyznaczonych do tego celu instytucji państwa lub np. do mediów. Nietrudno się domyślić, że zewnętrzne zgłoszenia mogą przynieść organizacji poważne problemy zarówno natury prawnej, jak i wizerunkowej.
Choć omawiana dyrektywa UE nie opisuje, jak takie kanały powinny wyglądać i jakie powinny posiadać funkcjonalności, to jednak daje nam pewne wskazówki w tym zakresie.

Rodzaje zgłoszeń

Dyrektywa wymaga od podmiotów obowiązanych wdrożenia kanałów umożliwiających dokonywanie zgłoszeń na piśmie lub ustnie. Zgłoszenia w formie ustnej można przekazywać np. poprzez wyznaczoną linię telefoniczną oraz – na wniosek osoby dokonującej zgłoszenia – bezpośrednio osobie, która została upoważniona przez organizację do przyjmowania takich zgłoszeń (np. pracownikowi ds. zgodności z przepisami, pracownikowi ds. etyki). Natomiast zgłoszenia pisemne można dostarczać np. za pośrednictwem poczty elektronicznej (e-mail), poczty tradycyjnej (np. list, przesyłka kurierska), formularza elektronicznego (np. platforma online), czy też skrzynki wrzutowej.

Anonimowość i poufność

Dyrektywa wymaga zapewnienia poufności osobom zgłaszającym oraz osobom wymienionym w zgłoszeniach. Co ciekawe, kwestię zapewnienia anonimowości sygnalistom dyrektywa pozostawia do rozwiązania krajom członkowskim, chyba że takie przepisy zostały już w danym państwie UE wdrożone (patrz np. wymogi w sektorze bankowym, finansowym). Na czym polega różnica między anonimowością a poufnością?

W omawianym przypadku poufność oznacza, że dane zidentyfikowanego sygnalisty nie powinny być udostępniane lub ujawniane nieuprawnionym osobom lub podmiotom. Natomiast w przypadku anonimowości niemożliwa jest identyfikacja tożsamości jednostki. Co więc lepiej chroni sygnalistów przed działaniami odwetowymi? W ocenie autorów anonimowość znacznie lepiej zabezpiecza zgłaszającego naruszenie m.in. przed represjami, ponieważ organizacja nie wie, kto dokonał zgłoszenia. Jest to tym istotniejsze, gdyż w naszej kulturze sygnalista jest często utożsamiany z donosicielem, a nie z bohaterem, który ujawnia nieprawidłowości zagrażające zarówno samej organizacji, jak i jej pracownikom.

W przypadku poufności cały ciężar odpowiedzialności za ochronę danych zidentyfikowanego sygnalisty spoczywa na barkach osób przyjmujących zgłoszenia i prowadzących czynności wyjaśniające w związku z przekazanymi informacjami. Co więcej, zgodnie z zapisami dyrektywy dopuszcza się możliwość ujawnienia tożsamości osoby dokonującej zgłoszenia wtedy, gdy takie ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z prawa Unii lub prawa krajowego w kontekście postępowań wyjaśniających prowadzonych przez organy lub w kontekście postępowań sądowych, w szczególności w celu zagwarantowania prawa do obrony osobom, których dotyczy zgłoszenie. Taki stan rzeczy może zniechęcić część osób przed dokonaniem zgłoszenia pod swoim nazwiskiem, co zwiększa ryzyko, że dana nieprawidłowość lub zagrożenie nie zostaną wykryte odpowiednio wcześnie.

Oczywiście ochrona poufności nie powinna mieć zastosowania w przypadku, gdy osoba dokonująca zgłoszenia celowo ujawniła swoją tożsamość w kontekście ujawnienia publicznego. Nie wyłącza to jednak ochrony przed działaniami odwetowymi.

W kontekście anonimowości trzeba również zauważyć, że może zostać ona z różnych względów utracona przez sygnalistę. W takiej sytuacji, jeżeli dokonał on wcześniej anonimowego zgłoszenia lub anonimowego ujawnienia publicznego, zgodnie z wymogami dyrektywy, powinien być on objęty ochroną przed odwetem, a jego dane objęte poufnością, chyba że zostały upublicznione.
Podsumowując kwestie anonimowości i poufności, zdaniem autorów niniejszego artykułu w Polsce powinny być wprowadzane systemy zgłaszania nieprawidłowości, w tym naruszeń prawa, które zapewniają anonimowość, ponieważ jest to skuteczniejszy środek ochrony sygnalisty oraz dużo bardziej zachęca do przekazywania zgłoszeń.

Kanały zgłoszeniowe

Dyrektywa wymienia podstawowe wymogi w zakresie pozyskiwania i zarządzania zgłoszeniami od sygnalistów, z których większość ma istotne znaczenie w kontekście funkcjonalności kanałów zgłoszeniowych, tj.:

  • bezpieczne kanały zgłoszeniowe zarządzane przez upoważnione osoby, zapewniające poufność osobom zgłaszającym i innym osobom, których dotyczą zgłoszenia,
  • potwierdzenie zgłaszającemu przyjęcia zgłoszenia w terminie 7 dni od jego otrzymania,
  • przekazanie informacji zwrotnych sygnaliście (do 3 miesięcy od potwierdzenia otrzymania zgłoszenia),
  • rejestrowanie i retencja wszystkich zgłoszeń,
  • przetwarzanie danych osobowych zgodnie z RODO.

Zapewnienie bezpieczeństwa sygnalistom i przetwarzanym informacjom, w tym danym osobowym sygnalistów oraz innych osób wymienionych w zgłoszeniach, to fundament każdego skutecznego systemu dla sygnalistów. Niniejsze bezpieczeństwo obejmuje cały proces przetwarzania informacji (przyjęcie, wyjaśnianie i zakończenie zgłoszenia), w tym odnosi się do środków organizacyjnych, technologicznych, prawnych i kadrowych.

Każdy wdrożony przez organizację kanał zgłoszeniowy powinien zostać zweryfikowany w tym zakresie, m.in. w ramach DPIA (Data Protection Impact Assesment, czyli oceny skutków dla ochrony danych), co wynika z wytycznych Prezesa Urzędu Ochrony Danych Osobowych. Niezwykle istotna jest w tym zakresie kwestia dostępu do systemu i poszczególnych zgłoszeń. Należy rozważyć, czy wszyscy operatorzy systemu raportowania powinni mieć dostęp do wszystkich przychodzących zgłoszeń, np. czy inspektor ochrony danych poza zgłaszaniem incydentów bezpieczeństwa powinien zapoznawać się i rozpatrywać zgłoszenia dotyczące np. korupcji czy innych naruszeń prawa.

Kolejna kwestia, to zapewnienie poprzez kanały zgłoszeniowe dwustronnej komunikacji z sygnalistą, umożliwiającej:

  • przekazanie sygnaliście potwierdzenia przyjęcia zgłoszenia w ciągu 7 dni,
  • przekazanie informacji zwrotnej o podjętych działaniach w ciągu 3 miesięcy,
  • pozyskiwanie dodatkowych informacji istotnych dla efektywnego wyjaśniania zgłoszenia.

W przypadku systemu poufnego (dane sygnalisty są znane) komunikacja z osobą zgłaszającą nie powinna stanowić problemu, co nie będzie już takie proste w systemie zapewniającym anonimowość. W tym drugim przypadku najbardziej efektywne będą elektroniczne kanały zgłoszeniowe w postaci poczty elektronicznej oraz platform online, choć ten pierwszy kanał co do zasady nie zapewnia anonimowości.

Biorąc pod uwagę, że zgłoszenia będą zawierały dane osobowe zarówno sygnalistów, jak i potencjalnych sprawców i świadków naruszeń, system zgłoszeniowy musi umożliwiać skuteczne i zgodne z prawem zarządzanie danymi osobowymi, w tym ich anonimizację w przypadkach określonych przez RODO (tzw. dane wrażliwe, upływ okresu przetwarzania danych, ustanie celu przetwarzania danych). Co istotne, usuwanie danych osobowych nie powinno być jednoznaczne z usunięciem pozostałych treści zgłoszenia, które mogą być niezbędne do jego wyjaśnienia.
Mając na uwadze dobre praktyki i doświadczenie odnoszące się do systemów zgłaszania nieprawidłowości, powinny one także umożliwiać:

  • przekazywanie przez sygnalistów załączników z jednoczesnym usuwaniem z nich metadanych,
  • powiązywanie ze sobą zgłoszeń z uwagi na zbieżny podmiot lub przedmiot zainteresowania, co ułatwia analizę problemu i gromadzenie w tym zakresie informacji,
  • dokumentowanie prowadzonych przez operatorów systemu czynności wyjaśniających,
  • tworzenie raportów statystycznych obrazujących funkcjonowanie systemu i jego efektywność,
  • bezpieczne przetwarzanie informacji przez osoby, które udzielają operatorom systemu pomocy w ich wyjaśnianiu,
  • filtrowanie zgłoszeń z uwzględnieniem różnego typu danych (np. rodzaj zgłoszenia, status zgłoszenia, czas prowadzenia czynności itp.).

W przypadku wdrażania profesjonalnych platform zgłaszania nieprawidłowości online, które zapewniają największą skuteczność w zakresie efektywnego przetwarzania informacji pochodzących ze zgłoszeń od sygnalistów, należy także mieć na uwadze ich utrzymanie techniczne, w tym serwis oraz modyfikacje, uwzględniające np. zmieniające się otoczenie prawne (nowe funkcjonalności) czy też technologiczne (bezpieczeństwo informacji) oraz zwiększone potrzeby organizacji w zakresie skutecznego i bezpiecznego przetwarzania danych.

Czy warto?

Na wdrożenie wymogów dyrektywy dotyczącej ochrony sygnalistów pozostało jedynie kilkanaście miesięcy (w przypadku średnich przedsiębiorstw trzy lata), a w Polsce nie wiadomo nawet, jakie ministerstwo będzie za to odpowiedzialne. Bez względu na to autorzy niniejszego artykułu są przekonani, że wdrożenie w organizacji systemu dla sygnalistów powinno być podyktowane racjonalnym i odpowiedzialnym działaniem ukierunkowanym na zapewnienie organizacji bezpiecznego i stabilnego funkcjonowania. Przecież dobrze funkcjonujące systemy zgłaszanie nieprawidłowości pozwalają na wczesne wykrywanie naruszeń i zagrożeń, eliminując lub minimalizując tym samym szkody dla organizacji.

Jeżeli organizacja nie będzie traktowała wdrożenia systemu dla sygnalistów jako inwestycji w swoje bezpieczeństwo, a raczej jako kolejny narzucony prawem obowiązek generujący koszty, to zwiększa ryzyko, że taki system może stanowić zagrożenie dla organizacji (dokonywanie zgłoszeń zewnętrznych). Co więcej, dyrektywa wymaga od państw członkowskich ustanowienia skutecznych, proporcjonalnych i odstraszających sankcji wobec osób fizycznych lub prawnych, które:

  • utrudniają lub usiłują utrudniać dokonywanie zgłoszeń,
  • podejmują działania odwetowe wobec sygnalistów,
  • wszczynają uciążliwe postępowania przeciwko sygnalistom,
  • dopuszczają się naruszeń obowiązku zachowania poufności tożsamości sygnalistów.

Mając na uwadze stosunek ryzyka do korzyści wynikających z rzetelnego wdrożenia systemu dla sygnalistów, warto jak najszybciej i z uwagą pochylić się nad tym zagadnieniem.

Rafał Hryniewicz – prezes zarządu E-nform Sp. z o.o., ekspert w obszarze whistleblowingu, czyli informowania przez sygnalistów o nieprawidłowościach
Paweł Bronisław Ludwiczak – radca prawny w Kancelarii Radcy Prawnego Paweł Ludwiczak, ekspert m.in. w obszarze compliance, czyli zapewnienia działania w zgodności z przepisami
 

Polecane
Zapisz się do newslettera:
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingu usług i produktów partnerów właściciela serwisów.

Ta strona używa plików cookies. Korzystając z tej strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Jeżeli nie wyrażasz zgody - zmień ustawienia swojej przeglądarki. Dowiedz się więcej z naszej polityki prywatności.

Zamknij