Unijna dyrektywa o ochronie sygnalistów z grudnia 2019 roku nakłada na organizacje, zarówno prywatne jak i publiczne, zatrudniające powyżej 50 pracowników lub generujące powyżej 10 mln EUR obrotu lub sumy bilansowej rocznie obowiązek wdrożenia bezpiecznego kanału sygnalistów.

Informacje na ten temat mogą wydawać się niejasne, a prawniczy język niezrozumiały. Przyjrzyjmy się im bliżej i wyjaśnijmy jakie wymogi musi spełniać bezpieczny kanał sygnalistów.

1. Poufność tożsamości sygnalisty

Co mówi dyrektywa?

“Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych obejmują kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu”

>> Na podstawie dokumentu: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Wymogi bezpiecznego kanału sygnalistów w praktyce:

Należy umożliwić anonimowe zgłaszanie nieprawidłowości i prowadzenie dialogu

  • Kanał anonimowego raportowania i dialogu jest niezbędny. Skorzystaj z systemu, który zapewni sygnalistom anonimowość zarówno w przypadku zgłaszania, jak i podczas późniejszego dialogu.
  • Skorzystaj z systemu dla sygnalistów z bezpiecznym narzędziem do obsługi zgłoszeń, za pomocą którego można będzie wyznaczać osoby upoważnione do odczytu otrzymanych zgłoszeń i podejmowania działań na ich podstawie.

2. Czas reakcji

Co mówi dyrektywa?

“Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych obejmują rozsądny termin na przekazanie informacji zwrotnych, nieprzekraczający trzech miesięcy od potwierdzenia otrzymania zgłoszenia lub, w przypadku niewysłania potwierdzenia do osoby dokonującej zgłoszenia, trzech miesięcy od upływu 7 dni od dokonania zgłoszenia”

>> Na podstawie dokumentu: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Wymogi bezpiecznego kanału sygnalistów w praktyce:

  • Należy zbudować dedykowany zespół do przyjmowania zgłoszeń oraz zespół do obsługi i przekazywania informacji zwrotnych sygnalistom w odpowiednim czasie.
  • Odbiorca zgłoszeń powinien zostać niezwłocznie powiadomiony o otrzymaniu zgłoszenia za pomocą wiadomości sms oraz poczty elektronicznej. Należy jednak ograniczyć korzystanie z poczty elektronicznej wyłącznie do powiadomień, a wszystkie wiadomości sygnalistów, które mogą zawierać dane wrażliwe lub osobowe, powinny być bezpiecznie szyfrowane i zarządzane w bezpiecznym systemie.
  • Jeśli organizacja otrzymuje wiele zgłoszeń, warto przygotować standardową wiadomość zwrotną automatycznie wysyłaną do sygnalisty.

3. Osoby kontaktowe

Co mówi dyrektywa?

“Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych obejmują wyznaczenie bezstronnej osoby lub bezstronnego wydziału właściwych do podejmowania działań następczych w związku ze zgłoszeniami (…) które będą komunikować się z osobą dokonującą zgłoszenia i w stosownych przypadkach zwracać się do osoby dokonującej zgłoszenia o dalsze informacje oraz przekazywać jej informacje zwrotne”

>> Na podstawie dokumentu: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Wymogi bezpiecznego kanału sygnalistów w praktyce:

Należy zadbać o odpowiedni system ochrony sygnalistów, umiejętności i procedury do prowadzenia dochodzeń.

  • Należy zbudować odpowiedni zespół składający się z osób z różnych części organizacji To wzmacnia integralność zespołu. Coraz powszechniejsze staje się również posiadanie w zespole przedstawicieli zarządu.
  • Należy upewnić się, że użytkowany system sygnałowania umożliwia dodawanie niezbędnych kompetencji do każdego osobnego przypadku.
  • Kanał dla sygnalistów powinien umożliwiać zgłaszającym dodawanie zdjęć, filmów, dokumentów tekstowych i innych formatów plików, jednocześnie umożliwiając usuwanie metadanych. Więcej o wymogach dotyczących technicznych aspektów anonimowości można znaleźć w naszym artykule: Anonimowość w bezpiecznym kanale sygnalistów

4. Działania następcze

Co mówi dyrektywa?

“Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych obejmują podejmowanie z zachowaniem należytej staranności działań następczych przez wyznaczoną osobę lub wyznaczony wydział, podejmowanie z zachowaniem należytej staranności działań następczych, jeżeli prawo krajowe przewiduje takie działania, w odniesieniu do zgłoszeń anonimowych oraz rozsądny termin na przekazanie informacji zwrotnych”

>> Na podstawie dokumentu: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Wymogi bezpiecznego kanału sygnalistów w praktyce:

Niezbędny jest solidny system zarządzania zgłoszeniami, który będzie podstawą dla rzetelnych działań następczych.

  • System zgłaszania nieprawidłowości powinien zawierać narzędzie do obsługi zgłoszeń, które jest zintegrowane z kanałem zgłaszania i umożliwia dialog z anonimowym lub nieanonimowym sygnalistą. Zapewni to optymalne i bezpieczne śledzenie i przetwarzanie spraw.
  • Jeśli organizacja działa międzynarodowo, należy wybrać system z bezpieczną obsługą tłumaczeń do komunikacji w dowolnym języku

5. Komunikacja i informacja

Co mówi dyrektywa?

“Procedury na potrzeby zgłoszeń wewnętrznych i działań następczych obejmują zapewnienie zrozumiałych i łatwo dostępnych informacji na temat procedur dokonywania zgłoszeń zewnętrznych do właściwych organów oraz, w stosownych przypadkach, do instytucji, organów lub jednostek organizacyjnych Unii.”

>> Na podstawie dokumentu: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Wymogi bezpiecznego kanału sygnalistów w praktyce:

Należy zrobić wszystko co możliwe, aby dać ludziom poczucie pewności bezpieczeństwa przy zgłaszaniu nieprawidłowości wewnętrznych.
Posiadanie własnego, godnego zaufania systemu dla sygnalistów, kompetentnych ludzi zajmujących się przetwarzaniem zgłoszeń oraz dokładnego procesu zwiększa prawdopodobieństwo zgłaszania nieprawidłowości oraz umożliwia odpowiednie reagowanie. Solidny system sygnalizowania to dobry sposób pokazania w praktyce etyki organizacji. Dzięki wewnętrznemu systemowi sygnałowania można oczywiście zapobiec wszelkim nieprawidłowościom.

6. RODO

Co mówi dyrektywa?

“Przetwarzanie danych osobowych zgodnie z niniejszą dyrektywą, w tym wymiana lub przekazywanie danych osobowych przez właściwe organy, powinno być dokonywane zgodnie z RODO”

>> Na podstawie dokumentu: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Wymogi bezpiecznego kanału sygnalistów w praktyce:

System sygnałowania musi zapewniać możliwość realizacji praw i obowiązków wynikających z RODO, są to m.in.:

  • Minimalizacja zakresu przetwarzanych danych
  • Minimalizacja okresu przetwarzania
  • Bezpieczeństwo danych osobowych
  • Realizacja praw osób, których dane dotyczą (np. wgląd do własnych danych i możliwość ich poprawienia)
  • Zapewnienie poufności, dostępności i integralności

7. Przechowywanie zgłoszeń

Co mówi dyrektywa?

“Państwa członkowskie zapewniają, aby podmioty prawne w sektorze prywatnym i publicznym oraz właściwe organy prowadziły rejestr wszystkich przyjętych zgłoszeń, zgodnie z wymogami w zakresie poufności. Zgłoszenia przechowuje się nie dłużej, niż jest to konieczne i proporcjonalne”

>> Na podstawie dokumentu: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii

Wymogi bezpiecznego kanału sygnalistów w praktyce:

Należy zamykać sprawy w ramach jednego zintegrowanego systemu zgłaszania nieprawidłowości. 

  • Warto upewnić się, że używany system dla sygnalistów prowadzi rejestr wszystkich spraw.
  • Oraz, że używany system zgłaszania nieprawidłowości umożliwia usuwanie danych osobowych zgodnie z zasadami RODO.

Co dalej?

Chcesz być jako pierwszy informowany o postępach prac nad ustawą i nowościach w temacie bezpiecznego systemu sygnałowania?

Zapisz się do naszego newslettera!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.