Temat sygnalistów oraz budowania systemów przyjmowania zgłoszeń o naruszeniach jest od lat jednym z zagadnień z jakimi borykają się przedsiębiorstwa. Wszystko rozpoczęło się od wyjścia na światło spraw takich, jak Dieselgate, LuxLeaks, Panama Papers, Cambridge Analytica czy Danske Bank. Przy ich okazji zrozumiano jak istotne dla wykrywania naruszeń wewnątrz organizacji jest funkcjonowanie systemu, w którym każda osoba, która posiada o nich wiedzę może w bezpieczny sposób dokonać zgłoszenia.
Biorąc pod uwagę to, że praktycznie w każdym ze wspomnianych przypadków, osoby które miały odwagę zgłosić nadużycia były wpierw ignorowane, a gdy sprawa stała się publiczna, były poddawane różnego rodzaju represjom, unijny ustawodawca wprowadził przepisy (Dyrektywa (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa UE), mające na celu ochronę sygnalistów oraz określenie ram dla tworzenia systemów zgłaszania naruszeń wewnątrz organizacji.
Kim jest sygnalista?
Na gruncie unijnej dyrektywy „osobą dokonującą zgłoszenia”, czyli wspomnianym sygnalistą, jest osoba, która zgłasza lub ujawnia publicznie informacje na temat naruszeń uzyskane w kontekście związanym z wykonywaną przez nią pracą. Nie musi być to nasz pracownik, aczkolwiek powinien mieć on bezpośrednią wiedzę o danym naruszeniu.
Taka osoba ze względu na swoje relacje z firmą, w której miałoby dochodzić do naruszeń, z chwilą dokonania zgłoszenia (o ile czyni to w dobrej wierze) powinna być chroniona przed jakąkolwiek działalnością odwetową (m.in. rozwiązaniem z nią umowy, zastraszaniem, szkalowaniem, czy też nieuzasadnionym, niesprawiedliwym traktowaniem). Szczegółowe zasady przeciwdziałania odwetowi jak i kształt systemu zasady dokonywania zgłoszeń zapewniające bezpieczeństwo sygnaliście powinny być szczegółowo określone w specjalnej procedurze wdrażanej na potrzeby danej organizacji.
Pomimo, że z punktu widzenia firmy zostawienie sygnalistom możliwości wysłania maila lub listu może się wydawać najprostsze (i najtańsze), zgodnie z dyrektywą co najmniej jeden z kanałów powinien zapewnić poufność zgłoszenia, co wyklucza ograniczanie się do wspomnianych kanałów.
Co powinno znajdować się w takiej procedurze?
Przytaczana procedura powinna doprecyzowywać, kto może być zgłaszającym naruszenie, jakie naruszenia powinny być zgłaszane oraz przede wszystkim w jaki sposób można dokonać zgłoszenia (jakimi kanałami). Kanały zgłaszania nieprawidłowości, są w rzeczywistości formami w jakich sygnalista może złożyć firmie zawiadomienie, a z których sygnalista powinien skorzystać zanim postanowi ujawnić naruszenie na zewnątrz. Dopiero jeżeli wspomniane kanały nie funkcjonują lub nie można oczekiwać, że będą funkcjonowały, osoby zgłaszające mogą zgłosić nieprawidłowości właściwym organom administracji publicznej oraz – w ostateczności – ujawnić je opinii publicznej.
Tak ze wspomnianej Dyrektywy jak i z projektu polskiej ustawy, nie wynika jakie kanały należy wdrożyć. Każdy prywatny i publiczny podmiot ma być uprawniony do samodzielnego określania jaką drogą będzie przyjmował zgłoszenia. W przepisach wskazuje się na możliwość osobistego przyjmowania zgłoszeń, wysyłania zawiadomień drogą pocztową, umieszczania w firmie fizycznych skrzynek skarg, uruchamiania gorących linii do kontaktu telefonicznego, ale też stosowania platform internetowych (intranetowej lub internetowej), czy nawet outsourcingu wskazanej usługi do zewnętrznego podmiotu odpowiedzialnego za procesowanie zgłoszeń.
Skutkiem pojawienia się unijnej dyrektywy było powstanie setek platform cyfrowych i aplikacji służących do wsparcia procesów sygnalizowania nieprawidłowości w organizacjach takich, jak np.: Whistleblower Software, AllVoices, FaceUp, NotMe Solutions, EQS Integrity Line, Sygnalista, Ethico, Whispli, Whiblo czy NAVEX One.
Pomimo, że z punktu widzenia firmy zostawienie sygnalistom możliwości wysłania maila lub listu może się wydawać najprostsze (i najtańsze), zgodnie z dyrektywą co najmniej jeden z kanałów powinien zapewnić poufność zgłoszenia, co wyklucza ograniczanie się do wspomnianych kanałów (które tego wymogu nie są w stanie spełniać), co stanowi oczywiste zaproszenie do stosowania odpowiednich rozwiązań technologicznych.
Wybór narzędzi dostosowanych do potrzeb
Skutkiem pojawienia się unijnej dyrektywy było powstanie setek platform cyfrowych i aplikacji służących do wsparcia procesów sygnalizowania nieprawidłowości w organizacjach takich jak Whistleblower Software, AllVoices, FaceUp, NotMe Solutions, EQS Integrity Line, Sygnalista, Ethico, Whispli, Whiblo, NAVEX One, Linia Etyki, Whistlelink czy też Vault Platform. Pomimo, że wszystkie są dedykowane do obsługi procesu przyjmowania zgłoszeń, każda z nich jest na swój sposób wyjątkowa.
Na rynku dostępne są zarówno rozwiązania on-premise, jak i rozwiązania chmurowe, w tym takie, które oferują możliwość ich umiejscowienia na prywatnej chmurze użytkownika. Różnią się one poziomem możliwości dostosowania pod potrzeby organizacji, zakresem funkcjonalności, ale też rodzajami kanałów zgłoszeń zarządzanych z poziomu danego systemu. Część z nich jest dostępna globalnie, ale też na poszczególnych rynkach lokalnych tworzone są rozwiązania dedykowane dla danego kraju.
Jak więc w tym morzu możliwości wybrać rozwiązanie, które najlepiej odpowie naszym potrzebom? Z pewnością należy zacząć od ustalenia, co taki system musi obejmować, a w dalszej kolejności, które z elementów powinien w sobie zawierać, aby odpowiadał on naszym indywidualnym potrzebom.
1. Bezpieczeństwo
Ochrona danych osobowych sygnalistów ma kluczowe znaczenie dla uniknięcia niesprawiedliwego traktowania lub nadszarpnięcie reputacji ze względu na ujawnienie danych osobowych. I tu pierwsze zaskoczenie – samo wdrożenie RODO w organizacji, nie jest wystarczającym spełnieniem wymogów określonych Dyrektywą. Dla ochrony sygnalistów, przedsiębiorcy obowiązani są wdrożyć odpowiednie procedury ochronne, skorelowane z wprowadzanymi przez siebie rozwiązaniami umożliwiającymi zgłaszanie naruszeń prawa, a także zapewnić od strony technicznej, że ich dane nie będą podlegały wyciekowi.
Pomimo, że dane sygnalisty nie są danymi szczególnie wrażliwymi na gruncie RODO, powinny być one traktowane z nie mniejszą starannością, ze względu na ryzyka jakie wiążą się dla sygnalistów z ich ujawnieniem osobom nieuprawnionym. System powinien podlegać regularnym przeglądom i aktualizacjom, także w zakresie eliminacji potencjalnych błędów, które mogłyby uzasadniać po stronie sygnalisty przekonanie, że wewnętrzny kanał nie funkcjonuje prawidłowo.
Niezależnie od tego, czy administrujemy systemem instalując go na naszej infrastrukturze, czy korzystamy z rozwiązania zewnętrznego dostawcy, powinien on spełniać wymogi bezpieczeństwa. Za standard przyjmuje się (1) szyfrowanie komunikacji przy użyciu procedury klucza publicznego i prywatnego, (2) szyfrowanie samych danych, (3) regularne testowanie systemu pod kątem występowania w nim luk (z wykorzystaniem testów penetracyjnych), czy też (4) stosowanie odpowiednich procedur backupu danych, najlepiej w odrębnej fizycznie instancji. Dobrym wskaźnikiem spełniania wymogów bezpieczeństwa, jest odnoszone się do standardów określonych normą ISO 27001. Jako, że to na nas, jako administratorze danych osobowych sygnalistów, spoczywa obowiązek zapewnienia wskazanego bezpieczeństwa.
Odpowiednio skonfigurowane oprogramowanie dla przyjmowania zgłoszeń sygnalistów jest w stanie zautomatyzować ten proces, przekazując osobie dokonującej zgłoszenie, informację o każdej aktywności jaka podejmowana jest w związku z zawiadomieniem (np. informację o przyjęciu zgłoszenia czy zamknięciu postępowania).
2. Poufność
Poufność na którą wskazuje się w Dyrektywie, polega na udostępnianiu skarg jedynie osobom upoważnionym. To oznacza, że rozwiązanie IT powinno zawierać nie tylko możliwość dostosowania uprawnień użytkowników, ale też automatyczny moduł przypisywania zgłoszeń do odpowiednich osób (aby wyłączyć ryzyko dostarczenia skargi do osoby, której ona dotyczy). Ciekawym rozwiązaniem stosowanym przez część dostawców jest zapewnienie funkcjonalności, w której ramach osoba zgłaszająca może wskazać w czasie zgłoszenia, do kogo nie powinno ono trafić. Powinno to skutkować automatycznym wyłączeniem dostarczenia wiadomości do (w tym wypadku) niepożądanego odbiorcy.
3. Komunikacja
Jednym z praw przysługujących sygnaliście jest prawo do rozpoznania zgłoszenia bez zbędnej zwłoki oraz prawo do uzyskania informacji zwrotnej dotyczącej rozpatrzenia zgłoszenia. Bazując na treści ustawy, firma wdrażająca regulacje dotyczące sygnalistów, będzie miała obowiązek potwierdzenia zgłaszającemu wpłynięcia zgłoszenia w terminie 7 dni pod rygorem odpowiedzialności związanej z wadliwie funkcjonującym systemem.
Odpowiednio skonfigurowane oprogramowanie jest w stanie zautomatyzować ten proces, przekazując osobie dokonującej zgłoszenie, informację o każdej aktywności jaka podejmowana jest w związku z zawiadomieniem (informację o przyjęciu zgłoszenia, przekazania go do wyznaczonego pracownika, czy też o zamknięciu postępowania).
Tam gdzie w systemie zaimplementowano rozwiązania oparte o AI, aplikacja może wręcz, z wykorzystaniem chatbota – po otrzymaniu zgłoszenia – rozpocząć samodzielną komunikację z osobą zawiadamiającą, zbierając od niej niezbędne dane potrzebne do rozpoznania sprawy (np. odpytując o fakty i dowody). Może to zdecydowanie przyspieszyć proces oraz odciążyć od tej aktywności osobę zajmującą się rozpatrywaniem poszczególnych spraw.
Czy system musi zapewniać anonimowość zgłoszeń?
Zgodnie z przepisami zapewnianie anonimowości w procesie sygnalizacji nieprawidłowości nie jest bezwzględnym obowiązkiem. To po stronie danej firmy będzie stać decyzja, czy będzie ona przyjmować anonimowe zgłoszenia czy też nie. Pomimo obaw jakie może wywoływać przyjmowanie tego typu zawiadomień (ze względu na zwiększone ryzyko wpływu większej liczby fałszywych zgłoszeń), dopuszczenie tego typu rozwiązania może zachęcić część sygnalistów do podzielenia się z organizacją posiadaną przez nich wiedzą o naruszeniach.
Nie da się ukryć, że w przypadku anonimowych zgłoszeń przyjmowanych poza systemem IT (np. drogą pocztową lub przez skrzynkę skarg) spełnienie tak wymogu informacji zwrotnej, jak i zapewnienie bieżącej komunikacji nie tylko będzie znacznie utrudnione, ale wręcz może się okazać niemożliwe. I tu właśnie rozwiązania technologiczne stają się niezastąpione.
Same zalety, czy też kilka wad?
Cyfrowe kanały zgłaszania naruszeń mają przewagę nad tradycyjnymi formami w wielu obszarach. Za ich pośrednictwem można dokonać zgłoszenia w każdym czasie, w każdym momencie i w każdym języku. Pozwalają nie tylko przyjąć zgłoszenia, ale też nimi administrować. Pozwalają zarządzać anonimowymi zgłoszeniami, jak i automatyzować proces zgłoszeń. Niemniej jednak z pewnością nie są one pozbawione wad oraz potencjalnych ryzyk.
Największym zagrożeniem jest kwestia potencjalnego wycieku tajemnicy przedsiębiorstwa. Z pewnością informacje o możliwych naruszeniach są szczególnie poufne, co mogłoby czynić ewentualny wyciek danych szczególnie dotkliwym. Z tego względu, abstrahując od wcześniej wspomnianego upewnienia się, że system jest bezpieczny pod kątem cyberbezpieczeństwa, korzystając z oprogramowania dostarczanego przez zewnętrznego dostawcę, należy: (1) zweryfikować go pod kątem wiarygodności, (2) zabezpieczyć się pod kątem przestrzegania tajemnicy przedsiębiorstwa, zastrzegając odpowiednią karę umowną, a tam gdzie będzie to możliwe (3) zapewnić mechanizmy szyfrowania, uniemożliwiające odczytanie treści zgłoszeń innym osobom, niż wskazane przez samą organizację.
Nie sposób w tym miejscu też nie wspomnieć o ryzyku awarii. Biorąc pod uwagę, że oprogramowanie do przyjmowania zgłoszeń od sygnalistów może stać się elementem krytycznym dla zapewnienia prawidłowości procesu przyjmowania i administrowania zawiadomieniami (także z innych kanałów), warto rozważyć ustalenie z dostawcą krótkich terminów napraw i/lub zastosowania rozwiązań zastępczych umożliwiających zapewnienie w tym procesie ciągłości biznesowej. Brak zastosowania tego typu bezpieczników, może doprowadzić do czasowego wstrzymania przyjmowania zgłoszeń, co z kolei może skutkować pociągnięciem podmiotu obowiązanego do przyjmowania zgłoszeń, odpowiedzialnością za brak zapewnienia odpowiednich kanałów określonych Dyrektywą i Ustawą.
Jeżeli o wskazanych ryzykach pomyśli się zawczasu, z pewnością tego typu oprogramowanie może stać się istotnym sprzymierzeńcem przy zapewnianiu zgodności, tak w zakresie sygnalizacji nadużyć, jak i w innych obszarach, chociażby przyjmowania zgłoszeń HR Compliance (dotyczących mobbingu, dyskryminacji lub innych naruszeń z obszaru prawa pracy). Jeżeli będziemy je wdrażać bezrefleksyjnie, kierując się chociażby wyłącznie kryterium ceny, nie tylko może przynieść korzyści, ale może wręcz stanowić dla nas zagrożenie.
Michał Kibil, Senior Partner, współzałożyciel kancelarii DGTL Kibil Piecuch i Wspólnicy
Lena Murawska, Junior Associate w kancelarii DGTL Kibil Piecuch i Wspólnicy
