Dlaczego audyty procedur i systemów chroniących sygnalistę są ważne?

Zgodnie z ustawą o ochronie sygnalistów z dnia 14 czerwca 2024 r., można dokonywać zgłoszeń m.in. przy pomocy środków komunikacji elektronicznej. Daje także możliwość zgłoszenia naruszenia poprzez rozmowę, czy też wysłanie korespondencji papierowej.  Jednostki muszą wdrożyć procedury, które jasno będą określać wykorzystywane w organizacjach metody dokonywania zgłoszeń naruszeń.

Z tego wszystkiego nachodzą kolejne wnioski. Czy tak jak Jednostki poddają audytowi m.in. System Zarządzania Bezpieczeństwem Informacji, to czy procedury odnośnie ochrony sygnalistów też będą musiały być weryfikowane? Z pewnością będą musiały być sprawdzone pod kątem, czy funkcjonują one prawidłowo, zgodnie z założeniami określonymi w procedurze firmy. Jakie rzeczy powinny być poddane w posiadanej procedurze podczas audytu? Więcej o tym poniżej.

Audyt Procedur Ochronnych: Kluczowe Kroki w Zapewnieniu Bezpieczeństwa Sygnalistów

W obliczu rosnącej liczby regulacji prawnych i standardów dotyczących ochrony sygnalistów oraz zarządzania ryzykiem, firmy muszą dostosować swoje procedury, aby sprostać nowym wymaganiom. Dyrektywa Parlamentu Europejskiego z 2019 roku razem z ustawą z dnia 14 czerwca 2024 r. o ochronie sygnalistów, która wejdzie w życie 25 września 2024 roku, oraz norma ISO 37002 wyznaczają nowe standardy w tym zakresie. Skuteczna ochrona tożsamości sygnalistów oraz weryfikacja działalności pracowników stały się nieodzownymi elementami zapewnienia zgodności, bezpieczeństwa i etycznego zarządzania w organizacjach.

Norma ISO 37002:2021 określa standardy dla systemów zarządzania sygnalizowaniem nieprawidłowości, zapewniając bezpieczne i poufne kanały zgłaszania naruszeń. Zawiera wytyczne pomagające w tworzeniu systemu zarządzania zgłoszeniami od sygnalistów, który powinien być oparty na zasadach zaufania między pracodawcą i pracownikiem, bezstronności w rozstrzyganiu zgłoszeń i ochrony sygnalisty.

Ocena Polityk i Procedur Ochrony Sygnalistów

Audyt procedur chroniących pracodawcę przed wyciekiem tożsamości sygnalisty i przekazanych informacji obejmuje szereg działań mających na celu ocenę i weryfikację skuteczności istniejących mechanizmów ochronnych. Kluczowe elementy tego audytu obejmują ocenę polityk i procedur, która polega na przeglądzie istniejących polityk oraz procedur dotyczących ochrony sygnalistów uwzględniając analizę ich zgodności z obowiązującymi przepisami prawa oraz najlepszymi praktykami branżowymi.

Kolejnym istotnym aspektem jest bezpieczeństwo technologiczne, które wiąże się z weryfikacją stosowanych technologii w celu zapewnienia odpowiedniego poziomu ochrony danych sygnalistów, obejmującą ocenę systemów informatycznych, zabezpieczeń sieciowych oraz mechanizmów szyfrowania; świadomość i szkolenia, czyli ocenę programów szkoleniowych dla pracowników w zakresie ochrony danych sygnalistów.

Czy potrzebuję polityki dotyczącej sygnalistów?

Do wprowadzenia wewnętrznej procedury zgłaszania naruszeń zobowiązane są podmioty prawne, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Do tej liczby wlicza się pracowników w przeliczeni na pełne etaty lub osoby świadczące pracę zarobkową za wynagrodzeniem na innej podstawie niż stosunek pracy oraz osoby nieotrzymujące wynagrodzenia (jak np. wolontariusz).

Szkolenia oraz Weryfikacja Mechanizmów Zgłaszania Nieprawidłowości

Do tych szkoleń zalicza się również sprawdzenie, czy pracownicy są świadomi procedur oraz czy regularnie uczestniczą w szkoleniach dotyczących bezpieczeństwa informacji. Ponadto, audyt obejmuje weryfikację mechanizmów zgłaszania nieprawidłowości, takich jak infolinie, skrzynki e-mail czy platformy online, oraz sprawdzenie, czy te mechanizmy są odpowiednio zabezpieczone. Istotnym elementem audytu jest również monitorowanie i reakcja na incydenty, co polega na ocenie mechanizmów monitorowania i reagowania na potencjalne wycieki danych oraz naruszenia bezpieczeństwa informacji sygnalistów, w tym analizę procedur dotyczących zarządzania incydentami oraz systemów wykrywania naruszeń. 

Jeśli chcesz zobaczyć, jak rozkłada się ranking pod kątem bezpieczeństwa w poszczególnych typach kanału zgłoszeniowego, możesz zapoznać się z rankingiem kanałów zgłoszeniowych.

Jaka jest najlepsza praktyka, jeśli chodzi o zapewnienie skutecznego mechanizmu sygnalizowania nieprawidłowości?

Organizacja przy zapewnieniu skutecznego mechanizmu sygnalizowania nieprawidłowości zawsze musi wykorzystać szereg najskuteczniejszych praktyk. Procedury wewnętrzne w podmiocie powinny być proste i jasne oraz łatwo dostępne dla każdego powiązanego z organizacją w kontekście pracy. Podmiot powinien zapewnić odpowiedni kanał zgłoszeniowy, z których najbardziej bezpiecznym jest platforma do zgłaszania naruszeń. Organizacja powinna również dbać o anonimowość i poufność zgłoszeń co zapewni sygnaliście ochronę przed represjami w podmiocie. Zaleca się również przeprowadzanie szkoleń w celu poszerzenia znajomości roli sygnalisty i procedury zgłaszania naruszeń.

Sygnalista24.info – wsparcie audytorskie pod kątem weryfikacji systemów

Nasza firma specjalizuje się w przeprowadzaniu audytów systemu zarządzania bezpieczeństwem informacji, dostosowując nasze usługi do najnowszych regulacji prawnych, w tym m.in. do ustawy o ochronie sygnalistów oraz normy ISO 3700. Korzystając z naszej platformy Sygnalista24.info, zapewniamy skuteczne kanały zgłaszania nieprawidłowości, które gwarantują bezpieczeństwo. Regularne audyty przeprowadzane przez naszych ekspertów pozwalają na identyfikację potencjalnych zagrożeń i wdrażanie skutecznych środków zapobiegawczych, co w efekcie minimalizuje ryzyko wycieku danych oraz zwiększa zaufanie pracowników do systemów ochrony danych w miejscu pracy.

Pamiętaj! Nie każdy pracodawca tworzy poufny kanał zgłoszeniowy lub ma dobrze przygotowane procedury chroniące sygnalistów.

Jeśli uznasz, że system dotyczący sygnalistów nie wyznaczył stosownych procedur lub stworzone kanały zgłoszeniowe nie są bezpieczne i grozi Ci odwet, możesz przestępstwo zgłosić również na policję lub do prokuratury.

Autor: Fatma Oukal

Zostaw swój numer, skontaktujemy się z Tobą


Przejdź do góry