Bardzo dziękuje, że tak liczna grupa osób wzięła udział w webinarze, który miałem okazję poprowadzić tydzień temu. Zobacz nagranie z tego spotkania.

Zaczynamy dzisiejszy odcinek! ⬇ 

💻 Oto moje 5 wniosków i wskazówek, które przekazałem podczas webinarium: 

1️⃣ Ustal powody, dla których chcesz wdrożyć kanały do zgłaszania nieprawidłowości oraz mierzalny cel, który chcesz osiągnąć – zakomunikuj swoją strategię, aby była znana interesariuszom. 

2️⃣ Etyka to coś więcej niż prawo – czy wraz z wejściem w życie polskich przepisów otrzymamy regulację bardziej konkretną niż postanowienia dyrektywy? Moim zdaniem nie i już teraz z powodzeniem można wdrażać rozwiązania oparte na dyrektywie i innych regulacjach, zachęcające do zgłaszania naruszeń i budować kulturę opartą na zaufaniu i otwartości. 

3️⃣ Dokonaj oceny, jakiej regulacji potrzebujesz i jak ją będziesz w praktyce realizował. Analiza ryzyka i profilu prowadzonej działalności pozwoli na opracowanie materiałów adekwatnych i odpowiednio dopasowanych, a przez to rosną szanse na uniknięcie dodatkowych kosztów. 

4️⃣ Nie zaczynaj wdrożenia ochrony sygnalistów od zakupu systemu IT! I tak ktoś musi obsługiwać zgłoszenia i komunikować się z sygnalistą. 

5️⃣ Dopasuj zasoby. Nie wszystkie firmy, zwłaszcza te mniejsze, będą miały możliwość zatrudnienia dodatkowych osób do obsługi zgłoszeń. Właściwe zrealizowanie pkt 3 pozwoli Ci znaleźć rozwiązanie, aby wdrożyć rozwiązania adekwatne i jednocześnie zoptymalizować koszty. 

❓ Czy kanały do zgłaszania naruszeń mają być anonimowe? 

Pytania w tym kontekście pojawiały się wielokrotnie podczas ostatniego webinaru. 

Rozwinę ten temat w odrębnym, dużym wpisie. Dziś jednak zasygnalizuję rzecz oczywistą, która jednak nie powinna umknąć. Dyrektywa nie wymaga, aby kanały do zgłaszania nieprawidłowości gwarantowały anonimowość sygnaliście. Powinny one być zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób, zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i, co równie ważne, osoby trzeciej wymienionej w zgłoszeniu oraz w sposób uniemożliwiający uzyskiwanie do nich dostępu nieupoważnionym osobom. 

Przekonanie, że kanały do dokonywania zgłoszeń naruszeń powinny gwarantować anonimowość, wynika w mojej ocenie z dwóch kwestii. 

1️⃣ Pierwsza, to poczucie bezpieczeństwa osoby zgłaszającej – chodzi o to, by dokonując anonimowego zgłoszenia, sygnalista uniknął działań odwetowych – z doświadczenia wiemy, że jest takie ryzyko. 

2️⃣ Druga kwestia, która wpływa na to, że powinniśmy budować kanały gwarantujące anonimowość, ma swoje źródła w obowiązujących przepisach, wspomnianych przeze mnie dwa tygodnie temu. Zobowiązują one określone podmioty do wdrożenia wewnętrznej procedury do anonimowego zgłaszania nieprawidłowości (por. art. 53 ustawy z dnia 1 marca 2018 o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu). 

Innymi słowy kanały muszą być przede wszystkim poufne i mogą być anonimowe. To od sygnalisty zależy, czy chce dokonać zgłoszenia w sposób anonimowy, czy też ujawni swoją tożsamość. 

Jest jednak jedno ale. Motyw 34 oraz art. 6 ust. 2 Dyrektywy pozostawia krajom unijnym uprawnienie do decydowania o tym, czy podmioty prawne w sektorze prywatnym lub publicznym będę zobowiązane do przyjmowania anonimowych zgłoszeń naruszeń. O tym co to może oznaczać w kolejnych wpisach, na które już teraz zapraszam. 

❓ Sesja Q&A 

Dziś przedstawiam odpowiedzi na pytania, które wpłynęły na moją skrzynkę po poprzednim wydaniu newslettera.  

Pytanie #1: Czy skrzynka postawiona na korytarzu w firmie może pełnić rolę kanału do zgłaszania naruszeń? 

Odpowiedź: Chciałoby by się rzec – to zależy. A że unikam wymijających odpowiedzi – odpowiem – może. 

Czy taki kanał będzie gwarantował bezpieczeństwo danych osobowych oraz ochronę poufności dokonującego zgłoszenia oraz osoby, której ono dotyczy i czy osoby nieupoważnione nie uzyskają dostępu do tych danych? Jeśli odpowiedź na to pytanie będzie twierdząca, to taka skrzynka może pełnić rolę kanału do zgłaszania naruszeń. 

Kanały do dokonywania zgłoszenia naruszeń nieuchronnie związane są z problematyką ochrony danych osobowych oraz bezpieczeństwem informacji, o czym nie można zapominać i kwestie te powinny być także brane pod uwagę podczas wdrożenia. 

Pytanie #2: Czy można wynagradzać sygnalistów? 

Odpowiedź: Problem ten nie jest w żaden sposób uregulowany przepisami i to, czy wynagradzać sygnalistę, czy nie, ma tylu zwolenników, co przeciwników. Podmiot, którego dotyczy zgłoszenie może samodzielnie podjąć decyzję, czy nagradzać sygnalistę, a jeśli tak, to w jaki sposób. 

Ciekaw jestem Waszych opinii i pomysłów. 

Pytanie #3: W jaki sposób należy prowadzi rejestr dokonanych zgłoszeń? 

Odpowiedź: Zarówno sposób zorganizowania, jak i forma rejestru dokonanych zgłoszeń nie będzie regulowana przepisami. Przynajmniej mam taką nadzieję. Dyrektywa również tego nie reguluje. 

Nie można wykluczyć jednak, że przepisy implementujące będą przewidywały jakąś sankcję za brak rejestru lub jego nierzetelne prowadzenie. Jeśli zwrócimy uwagę na cele Dyrektywy, to rejestr powinien w moim przekonaniu spełniać następujące kryteria: 

🔹 istnieć faktycznie, a nie jedynie na papierze, powinien być wdrożony, prowadzony i na bieżąco aktualizowany na zasadzie rozliczalności w przypadku kontroli; 

🔹 powinien być prowadzony w sposób bezpieczny, gwarantujący poufność danych w nim zgromadzonych i chroniący przed dostępem osób nieuprawnionych, a także zapewniający integralność danych i właściwe ich przetwarzanie z punktu widzenia przepisów o ochronie danych osobowych; 

🔹 dane w nim zgromadzone powinny być kompletne i umożliwiać prawidłową realizację zgłoszenia, komunikację z sygnalistą oraz wskazywać, jakie działania i przez kogo zostały w sprawie podjęte; 

🔹 dostęp do danych zgromadzonych w rejestrze powinien być ograniczony i monitorowany, a sam proces uwzględniony także w rejestrze czynności przetwarzania danych.