Ranking kanałów zgłoszeniowych
OCENA I PORÓWNANIE STOSOWANYCH I DOSTĘPNYCH KANAŁÓW ZGŁOSZENIOWYCH
Podczas wdrożeń i szkoleń przeprowadzanych u naszych klientów, prosiliśmy o wypełnienie ankiety dotyczącej dostępnych i stosowanych rozwiązań umożliwiających przyjmowanie i obsługę zgłoszeń nieprawidłowości. Wzięliśmy pod lupę do oceny pięć różnych kanałów zgłoszeniowych:
Każda z cech, która podlegała ocenie, została objaśniona uczestnikom przed ankietą. Wybraliśmy do oceny te cechy, które decydują o akceptowalnym poziomem bezpieczeństwa sygnalisty i samego pracodawcy. Pytaliśmy o łatwość obsługi zgłoszenia, komunikację dwustronną, zapewnienie bezpieczeństwa przesyłanych danych i anonimowości sygnalisty. Pojawiły się również pytania dotyczące nadzoru nad zgłoszeniami, archiwizację, dostępnością danego rozwiązania oraz nakładów związanych z utrzymaniem systemu zgłaszania nieprawidłowości.
Szczegóły, co kryje się pod poszczególnymi cechami, zamieściliśmy w artykule, na blogu: Cechy kanałów zgłoszeniowych.
KANAŁY ZGŁOSZENIOWE. RANKING. DLACZEGO DOKONALIŚMY OCENY I PORÓWNANIA?
POSTANOWILIŚMY OCENIĆ STOSOWANE NA RYNKU ROZWIĄZANIA, PONIEWAŻ W USTAWODAWSTWIE KRAJOWYM POJAWIŁY SIĘ DWIE NIEZALEŻNE USTAWY, KTÓRE WSPOMINAJĄ O KONIECZNOŚCI UTWORZENIA WEWNĘTRZNYCH KANAŁÓW DO ZGŁASZANIA NIEPRAWIDŁOWOŚCI PRZEZ SYGNALISTĘ:
- ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, tzw. Ustawa AML (w Polsce już od 1 marca 2018 r., z późniejszymi nowelizacjami) oraz
- wymagana na podstawie Dyrektywy UE, czyli ustawa o ochronie sygnalistów.
Wyniki przedstawiono w poniższej tabeli.
Typ kanału zgłoszeniowego |
|||||
CECHA | Skrzynka fizyczna | Osobiste spotkanie | Dedykowany e-mail | Dedykowany telefon zaufania | Platforma, kanał zgłoszeniowy SYGNALISTA24.info |
Dostępność 24/7 | 3/10 | 1/10 | 10/10 | 5/10 | 10/10 |
Poziom bezpieczeństwa pod kątem wycieku danych, od strony sygnalisty | 7/10 | 9/10 | 3/10 | 5/10 | 10/10 |
Poziom bezpieczeństwa pod kątem wycieku danych, w tym danych osobowych, od strony podmiotu | 3/10 | 2/10 | 6/10 | 6/10 | 10/10 |
Szyfrowanie end-to-end | 1/10 | 1/10 | 5/10 | 1/10 | 10/10 |
Zapewnienie bezpieczeństwa danych zgodnie z wymaganiami RODO (poufność, dostępność, integralność) | 3/10 | 4/10 | 5/10 | 2/10 | 10/10 |
Zgodność zastosowanego rozwiązania z wymaganiami RODO (obowiązki wobec sygnalisty i osób wymienionych w zgłoszeniu) |
5/10 | 5/10 | 7/10 | 7/10 | 10/10 |
Zapewnienie sygnaliście poufności i anonimowości | 2/10 | 1/10 | 4/10 | 2/10 | 10/10 |
Przyjmowanie zgłoszeń anonimowych z jednoczesnym zachowaniem wymiany korespondencji | 1/10 | 1/10 | 5/10 | 1/10 | 10/10 |
Bezpieczna wymiana korespondencji z sygnalistą po zgłoszeniu | 1/10 | 1/10 | 4/10 | 3/10 | 10/10 |
Przekazanie przez sygnalistę dowodu w postaci dokumentu, filmu, pliku | 5/10 | 7/10 | 6/10 | 1/10 | 10/10 |
Pisemne potwierdzenie przekazania zgłoszenia wraz z dowodami | 1/10 | 5/10 | 8/10 | 1/10 | 10/10 |
Przekazanie sygnaliście pisemnej informacji zwrotnej | 1/10 | 7/10 | 7/10 | 1/10 | 10/10 |
Dostęp do historii działań związanych ze zgłoszeniem, w tym możliwość generowania pdf | 1/10 | 2/10 | 6/10 | 1/10 | 10/10 |
Bezpieczne przydzielanie zgłoszonej sprawy do członków zespołu wyznaczonych do wykonania działań następczych |
3/10 | 1/10 | 6/10 | 1/10 | 10/10 |
Przydzielanie i odbieranie uprawnień koordynatorowi w pojedynczej sprawie | 2/10 | 3/10 | 6/10 | 1/10 | 10/10 |
Automatyczna rejestracja zgłoszeń i ich archiwizacja zgodnie z wymaganiami | 1/10 | 1/10 | 1/10 | 1/10 | 10/10 |
Rejestr zgłoszeń wg wytycznych dla wewnętrznych i zewnętrznych kanałów zgłoszeniowych, do pobrania w |
1/10 | 1/10 | 3/10 | 1/10 | 10/10 |
Podpis uwierzytelniający pochodzenie dokumentu zgłoszenia i rejestru | 1/10 | 1/10 | 6/10 | 1/10 | 10/10 |
Koszt utrzymania zastosowanego rozwiązania | 9/10 | 6/10 | 8/10 | 7/10 | 9/10 |
Skala: | 1-4 | 5-7 | 8-10 |
Próba: 168 ankiet Badanie w okresie 2.11.-24.02.2022
Porównanie i ocena kanałów zgłoszeniowych. Komentarz do rankingu
Zastosowaliśmy skalę od 1 do 10 punktów, gdzie ilość <5 jest nieakceptowana dla danej cechy. Przedstawione wyniki wskazują na kilka prawidłowości, które wynikają z zagrożeń dotyczących poufności oraz zabezpieczenia danych i ochrony sygnalisty. Wybór kanału zgłoszeniowego zadecyduje czy osiągniemy cel w postaci przyjaznego miejsca pracy z możliwością jego ciągłej poprawy, czy też ze względu na brak lub niedostateczną ochronę sygnalista przekaże posiadane informacje kanałem zewnętrznym do wyznaczonych podmiotów publicznych.
Warte podkreślenia są następujące cechy kanałów zgłoszeniowych:
- zapewnienie stawianych wymagań przez ustawodawcę, a więc:
- anonimowość i poufność,
- bezpieczeństwo danych m.in. pod kątem RODO,
- potwierdzenie przyjęcia zgłoszenia (do 7 dni) i odpowiedź sygnaliście w wymaganym 3 miesięcznym terminie,
- rejestr naruszeń wymagany m.in. do sprawozdań rocznych;
- dostępność, łatwość obsługi przy jednoczesnym zapewnieniu poufności sygnaliście;
- łatwość obsługi od strony podmiotu , a więc:
- zapewnienie pełnej dwustronnej korespondencji,
- możliwość potwierdzenia otrzymania/doręczenia korespondencji’
- dołączenie dowodów w postaci załączników,
- administrowanie danymi w momencie rozpatrywania potencjalnego naruszenia;
- faktyczny koszt utrzymania system:
- czas pełnej obsługi nieprawidłowości ze strony upoważnionej osoby/podmiotu wraz z rejestrowaniem, gromadzeniem i przygotowywaniem zestawień,
- ponoszone stałe nakłady w zapewnienie bezpieczeństwa danych,
- koszt wsparcia prawnego,
- czas przeznaczony na działania następcze komisji powołanej do rozpatrywania zgłoszeń,
- całkowity koszt poniesionych strat z tytułu ujawnionych nieprawidłowości,
- utrata wizerunku;
- zagrożenia dot. ewentualnych wycieków informacji o nieprawidłowościach oraz danych osobowych sygnalisty.
Przedstawione cechy nie posiadają takiej samej wagi, jednakże ich dobór i ważność jest podyktowana wskazanymi w projekcie polskiej ustawy ewentualnymi sankcjami. Jakie to sankcje? Pierwsza, za utrudnianie dokonywania zgłoszeń poprzez brak udostępnienia kanału zgłoszeniowego lub udostępnienie kanału, który niedostatecznie chroni tożsamość sygnalisty. Druga, za działania odwetowe w postaci kar czy też wynikające z ujawnienia danych sygnalisty. Trzecia, za brak jasnych procedur i regulaminów, brak konsultacji ze związkami, przedstawicielami pracowników czy brak szkoleń pracowniczych. Więcej na ten temat znajdziesz tutaj: Ustawa o sygnalistach. Kary i sankcje za brak wdrożenia przepisów o ochronie sygnalistów.
Co można zrobić, aby wybrać odpowiedni kanał zgłoszeniowy?
Nie warto zwlekać z wyborem odpowiedniego narzędzia do ochrony sygnalistów. Możesz przyjrzeć się naszej ofercie i zdecydować, która opcja byłaby najbardziej przystępna. Warto przeczytać, jakie kwestie są istotne przy wdrażaniu rozwiązania, które powinno wspierać sygnalistów. Przy wdrożeniu kanału zgłoszeniowego należy pamiętać o przeprowadzeniu szkolenia w zakresie ochrony sygnalisty, które wytłumaczy, na czym polega obowiązek ochrony sygnalisty.