E-mail nie chroni Sygnalisty i nie spełnia wymogów Dyrektywy
Dlaczego e-mail nie chroni Sygnalisty? Dedykowana skrzynka email jest powszechnym kanałem służącym pracownikom do zgłaszania nieprawidłowości lub niepokojących zdarzeń w firmie. Takie rozwiązanie przestanie być wystarczające w momencie, gdy wejdą w życie postanowienia Dyrektywy o ochronie sygnalistów. Dlaczego? Skrzynka nie chroni tożsamości zgłaszającego, a tym samym nie spełnia wymogów Dyrektywy.
Sygnalista – dyrektywa o ochronie
Sygnalista (ang. whistleblower) to osoba ujawniająca niezgodne z prawem zdarzenia czy procedury w miejscu pracy. Określenie whistleblowing oznacza w wolnym tłumaczeniu „bicie na alarm”, „dmuchanie w gwizdek”.
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii Europejskiej (potocznie zwana Dyrektywą o ochronie sygnalistów) dąży do objęcia ochroną przed działaniami odwetowymi osoby, które zgłaszając nieprawidłowości w miejscu pracy. Obliguje ona firmy do wdrożenia wewnętrznego kanału do przyjmowania zgłoszeń, który musi chronić tożsamość sygnalisty przed ujawnieniem: zakłada poufność komunikacji ze zgłaszającym (komunikacja musi być dwustronna), planowanie czynności wyjaśniających w taki sposób, aby nie naprowadzić osób trzecich na źródło informacji oraz bezpieczne przechowywanie, archiwizowanie zgłoszeń i dokumentacji.
Dyrektywa zacznie obowiązywać już w tym roku i obejmie wszystkie przedsiębiorstwa zatrudniające powyżej 250 pracowników. W kolejnych latach – firmy zatrudniające powyżej 50 osób.
Warto nadmienić, że obowiązek wdrożenia takiego kanału nakłada na wszystkie instytucje finansowe Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.
Dlaczego e-mail nie chroni Sygnalisty? Dyrektywa o Sygnaliście
Dedykowana skrzynka email nie spełnia wymogów Dyrektywy, ponieważ tożsamość nadawcy można w prosty sposób ustalić na podstawie IP. W jaki sposób? Adres IP nadawcy możemy pozyskać od administratora serwera pocztowego (jest to możliwe do ustalenia dzięki posiadanej dacie i godzinie wysłania listu). Ta informacja pomaga nam ustalić dostawcę usługi internetowej, a dostawcę wystarczy zapytać, do kogo należy wskazany adres IP.
Zwróćmy uwagę, że wymogów Dyrektywy nie spełnia również tzw. „firmowa czarna skrzynka”, w której można umieścić informacje o ewentualnych nieprawidłowościach (taka skrzynka nie pozwala na dwustronną komunikację pomiędzy stronami).
Anonimowy kanał wewnętrzy z pożytkiem dla firm
Anonimowy kanał wewnętrzy będzie wartościowy dla organizacji, które chcąc tworzyć przyjazne środowisko pracy i umożliwić komfortową komunikację pracownik-pracodawca.
Narzędzie chroniące tożsamość zgłaszającego pomoże pokonać barierę strachu. Pracownicy nie chcą zgłaszać nieprawidłowości, ponieważ boją się działań odwetowych ze strony przełożonego. Taka sytuacja nie służy nikomu. Po pierwsze pracodawca nie wie, co dzieje się w jego organizacji. Po drugie pracownik zamiast załatwić sprawę wewnętrznie, opisuje ją na forach internetowych, w mediach społecznościowych lub od razu kieruje się do Państwowej Inspekcji Pracy albo prasy/telewizji. Dlatego to w interesie pracodawcy jest stworzenie sprzyjających warunków do swobodnej komunikacji opartej na zaufaniu i dobrej wierze.
Jeżeli taka wizja nie jest dla firmy interesująca, należy rozważyć straty.
Nie wprowadzenie kanału wewnętrznego do przyjmowania zgłoszeń od sygnalistów przez podmioty zatrudniające powyżej 250 pracowników będzie skutkowało karami finansowymi i wizerunkowymi.
Dodatkowo warto wspomnieć, że także instytucje finansowe, które nie wdrożyły odpowiedniego kanału powinny mieć na uwadze kary administracyjne wynikające z Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Są to nie tylko kary finansowe, ale także cofnięcie koncesji lub zezwolenia albo wykreślenie z rejestru działalności regulowanej).
Sygnalista – jak Sygnanet chroni jego tożsamość?
Sygnanet to proste, bezpieczne, w pełni anonimowe narzędzie do przyjmowania zgłoszeń od sygnalistów. Nie tylko pozwala na dwustronną komunikację, ale także archiwizowanie wiadomości i dokumentacji w szyfrowanej postaci.
W jaki sposób Sygnanet chroni tożsamość Sygnalisty?
- Sygnanet używa serwer proxy anonimizujący kontakty z serwisem. Nie tworzy logów kontaktów czyli nie rejestruje danych o transmisji do niego i anonimizuje przekazane dane czyli usuwa dane identyfikujące nadawcę.
- Serwer SYGNANET nie rejestruje danych o odbieranych oraz wysyłanych transmisjach i podmienia IP na inny.
- Nie pobiera żadnych danych od sygnalisty.
- Zgłoszenie sygnalisty jest przekazywane na serwer i dopiero tam tworzona jest widomość wysyłana do firmy.
- Treść zgłoszenia wraz z załącznikami jest szyfrowana i w takiej formie wysyłana do odbiorcy zgłoszeń. Później archiwizowana na koncie firmowym.
- Wiadomość od firmy jest wysyłana na serwer, a nie bezpośrednio do sygnalisty, dlatego możliwa jest dalsza komunikacja pomiędzy stronami bez ujawniania tożsamości sygnalisty.
- Wszystkie dane na serwerze są haszowane i nie można ich odszyfrować bez klucza zabezpieczonego hasłem, a klucz posiada tylko odbiorca zgłoszeń.
autor: Miłka Wojtkowiak
Sprawdź: https://www.netcomplex.pl/sygnanet-platforma-dla-sygnalistow
Zapraszamy do kontaktu: biuro@www.netcomplex.pl