Obowiązek ochrony sygnalistów już od kilku lat dotyczy podmiotów z sektora publicznego. W grudniu 2023 r. zacznie dotyczyć również wszystkich innych firm zatrudniających od 50 do 249 pracowników. Zatem jak spełnić wymogi nakładane przez przepisy unijne i właściwie zarządzać procesem anonimowego zgłaszania naruszeń?
Ochrona sygnalistów – na czym polega?
Zgodnie z definicją sygnalista to anonimowa osoba, która po wykryciu nieprawidłowości w działaniu firmy lub instytucji informuje o działaniach niezgodnych z prawem na podstawie obecnych regulacji. W zależności od sytuacji może to robić wewnętrznie, czyli powiadomić o naruszeniach pracodawcę, lub zewnętrznie, przekazując informację odpowiednim organom.
Sygnalista zgłasza więc wystąpienie nieprawidłowości w działaniach podejmowanych przez przedsiębiorstwo. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii nakłada na firmy zatrudniające 50 lub więcej pracowników obowiązek ochrony takich osób. Oznacza to, że należy wdrożyć proces anonimowego zgłaszania naruszeń. Musi on być zaprojektowany w taki sposób, aby osobie, która informuje o nieprawidłowościach, nie groziło żadne ryzyko. Nie może być narażona na konsekwencje służbowe czy osobiste – na przykład zerwanie umowy zatrudnienia czy szykany ze strony współpracowników.
Ochrona sygnalistów to jeden z obowiązków pracodawcy, dlatego rekomendowanym rozwiązaniem jest wdrożenie odpowiedniego systemu do obsługi zgłoszeń o nieprawidłowościach. Musi być zgodny z wytycznymi ABI RODO (administracji bezpieczeństwa informacji), czyli zapewniać pełną anonimowość osobom zgłaszającym naruszenia.
Ochrona sygnalistów – kogo obejmuje?
Jak wspomniano wyżej, sygnalistą jest anonimowa osoba, dlatego jej tożsamość nie może zostać ujawniona na żadnym etapie procesu. Nikt z osób postronnych – w tym zwierzchnik sygnalisty czy nawet właściciel firmy – nie powinien wiedzieć, kto zgłosił daną nieprawidłowość.
Kto może skorzystać z systemu do zgłaszania naruszeń? Im większa jest instytucja, tym dłuższa staje się lista takich osób. Właśnie dlatego ochrona sygnalistów musi mieć szeroki zasięg. Zgłaszającym może zostać:
- pracownik,
- samozatrudniony współpracownik,
- wspólnik,
- stażysta,
- wykonawca,
- dostawca towarów lub usług,
- były pracownik,
- osoba rekrutowana do firmy.
Takie osoby stają się sygnalistami w momencie informowania o naruszeniu. Zgodnie z przepisami od tej chwili przysługuje im pełna ochrona.
Systemowe zarządzanie zgłoszeniami – czego mogą one dotyczyć?
Dyrektywa unijna nakłada na potencjalnych sygnalistów (czyli de facto każdą osobę związaną z daną organizacją) obowiązek monitorowania i zgłaszania wszelkich uchybień. Stawia także wymóg przeciwdziałania naruszaniom w postępowaniu przedsiębiorstwa. Proces anonimowego zgłaszania naruszeń może dotyczyć uchybień w kwestiach finansowych lub publicznych, a także ochronie zdrowia, środowiska, danych wrażliwych i osobowych czy żywności. Należy również zgłaszać wszelkie uchybienia związane z cyberprzestępczością. System do obsługi zgłoszeń w firmie powinien umożliwiać informowanie o nich w każdym z wymienionych obszarów.
System do obsługi zgłoszeń – jak go wdrożyć i obsługiwać?
Systemowe zarządzanie zgłoszeniami musi przede wszystkim zapewniać ochronę sygnalistom poprzez zachowanie ich anonimowości. Wynika to bezpośrednio z dyrektywy unijnej. Jeśli ochrona sygnalistów nie zostanie wdrożona w sposób prawidłowy, w zgodzie z założeniami ABI RODO, nie tylko będzie to niezgodne z prawem, ale także pracownicy nie będą chcieli informować o nieprawidłowościach w obawie, że systemowe zgłoszenie naruszeń może ich narazić na przykre konsekwencje. Właśnie dlatego odpowiednio wdrożony system do obsługi naruszeń musi gwarantować anonimowość. Najlepiej, by pozwalał rozpocząć proces także poza siedzibą firmy. Taki właśnie jest program OXARI Sygnalista.
Narzędzie spełnia wszystkie wymogi nakładane na firmy przez dyrektywę europejską w zakresie ochrony sygnalistów. Zawiera gotowe scenariusze obsługi procesu anonimowego zgłaszania naruszeń i podejmowania działań następczych. Osoba zgłaszająca nieprawidłowości otrzymuje adres strony internetowej służący do dokonywania zgłoszeń oraz przesyłania informacji na temat danego naruszenia. Może to zrobić w miejscu pracy lub dowolnym innym miejscu – wystarczy urządzenie z dostępem do internetu. Po zalogowaniu do systemu OXARI sygnalista może wypełnić formularz zgłoszenia. Następnie sprawa otrzymuje unikalny numer, a sygnalista – token dostępowy, umożliwiający podgląd statusu zgłoszenia. System do obsługi zgłoszeń automatycznie wysyła mailowe powiadomienie do wyznaczonej osoby nadzorującej procedurę naruszeń.
Jeśli chodzi o samo wdrażanie systemu, OXARI Sygnalista można zainstalować bezpośrednio w siedzibie firmy lub za pośrednictwem usługi Cloud. W celu dodatkowego zwiększenia bezpieczeństwa i poufności danych sygnalisty narzędzie procesowe jest odseparowane od innych zasobów IT przedsiębiorstwa. Wyklucza to możliwość ingerencji oraz dotarcia do danych sygnalisty przez niepowołane osoby. System do obsługi zgłoszeń Sygnalista od OXARI pozwala firmom spełnić obowiązek wynikający z dyrektywy. Umożliwia także zadbanie o bezpieczeństwo pracowników.
Ochrona sygnalistów to nie wszystko, co ma do zaoferowania firma OXARI. W ofercie znajdziesz również wiele innych przydatnych narzędzi, takich jak programy do analizy zgodności z SLA, ewidencji umów cywilno-prawnych i nie tylko.