Ocena i porównanie dostępnych kanałów zgłoszeniowych.
Każdorazowo po zakończeniu szkolenia i wdrożenia prosiliśmy naszych klientów o wypełnienie ankiety. Wyjaśniliśmy i przedstawiliśmy definicje opisujące każdą z wymienionych cech.
Wzięliśmy pod lupę do oceny pięć różnych kanałów zgłoszeniowych:
- skrzynka fizyczna
- osobiste spotkanie
- dedykowany e-mail
- dedykowany telefon zaufania
- kanał zgłoszeniowy w postaci platformy elektronicznej SYGNALISTA24.info.
Oceniliśmy następujące cechy kanałów zgłoszeniowych:
- Dostępność 24/7. Mowa o dostępie i możliwości dokonywania zgłoszeń w dowolnym czasie i miejscu. W związku z tym, że internet oraz dostęp do przeglądarek jest praktycznie nieograniczony na całym świecie, traktujemy go jako wyznacznik.
- Poziom bezpieczeństwa po kątem wycieku danych, od strony sygnalisty. Mowa o ochronie informacji przekazywanych przez sygnalistę, dostęp do jego korespondencji, zabezpieczenie danych przed ujawnieniem w otoczeniu sygnalisty.
- Poziom bezpieczeństwa po kątem wycieku danych, w tym danych osobowych, od strony podmiotu. Mowa o dostępie do kanału zgłoszeniowego tylko osób upoważnionych oraz zabezpieczenie danych przed ujawnieniem również pozostałym pracownikom.
- Szyfrowanie end-to-end. Narzędzie zabezpieczające informacje przed ujawnieniem w postaci zaszyfrowanej. Przed procesem szyfrowania wszelkie metadane są usuwane. Dostęp wyłącznie za pomocą indywidualnych i generowanych kluczy. Więcej na ten temat znajdziesz tutaj: Szyfrowania danych przez aplikację SYGNALISTA24.info.
- Zapewnienie bezpieczeństwa danych zgodnie z wymaganiami RODO (poufność, dostępność, integralność). Mowa o lokalizacji kont i danych. Warunek konieczny: nie mogą być umieszczone poza strefą Europejskiego Obszaru Gospodarczego. Dlatego część kont pocztowych czy przestrzeni dyskowych i znajdujących się na nich aplikacjach lub domenach (np. w Google) nie spełnia tego warunku.
- Zgodność zastosowanego rozwiązania z wymaganiami RODO (obowiązki wobec sygnalisty i osób wymienionych w zgłoszeniu). Należy spełnić kilka istotnych warunków wymaganych w RODO, w tym poinformowanie wskazanych osób o przetwarzaniu ich danych osobowych (obowiązkowo dostępna klauzula informacyjna).
- Zapewnienie sygnaliście poufności i anonimowości. Bardzo złożone zagadnienie, przedstawiane podczas szkoleń. Szerzej na ten temat: Ochrona danych osobowych sygnalisty.
- Przyjmowanie zgłoszeń anonimowych z jednoczesnym zachowaniem wymiany korespondencji. Istotna jest anonimowość i ciągła korespondencja z sygnalistą, z możliwością przekazania dowodów. W przypadku kilku kanałów jest to bardzo trudne do spełnienia bez ujawnienia tożsamości sygnalisty.
- Bezpieczna wymiana korespondencji z sygnalistą po zgłoszeniu. Ważne na każdym kroku, by nie ujawnić tożsamości oraz danych dotyczących przekazanego naruszenia. Istotne to zarówno dla pracodawcy, jak i sygnalisty.
- Przekazanie przez sygnalistę dowodu w postaci dokumentu, filmu, pliku. Nie wszystkie kanały zgłoszeniowe posiadają taką możliwość, co stanowi pewną trudność w wykonywaniu działań następczych.
- Pisemne potwierdzenie przekazania zgłoszenia wraz z dowodami. Wymóg stawiany przez ustawodawcę. Kilka wariantów kanałów nie ma takiej możliwości.
- Przekazanie sygnaliście pisemnej informacji zwrotnej. Wymóg stawiany przez ustawodawcę. Istotne, by nie ujawnić jego tożsamości osobom nieuprawnionym.
- Dostęp do historii działań związanych ze zgłoszeniem, w tym możliwość generowania pdf. Ułatwia to wykonywanie działań kontrolnych i następczych prac związanych z obsługą naruszeń.Bezpieczne przydzielanie zgłoszonej sprawy do członków zespołu wyznaczonych do wykonania działań następczych.
- Istotne w działaniach następczych prac komisji, zapewnia ochronę przed ujawnieniem dokumentów i tożsamości sygnalisty.
- Przydzielanie i odbieranie uprawnień koordynatorowi w pojedynczej sprawie. Ważne w przypadku kiedy główny administratura czy koordynator jest wymieniony w naruszeniu.
- Automatyczna rejestracja zgłoszeń i ich archiwizacja zgodnie z wymaganiami. Pomocna cecha kanału zgłoszeniowego, zwłaszcza, że należy przechowywać dane przez 5 lat, licząc od dnia zgłoszenia.
- Rejestr zgłoszeń wg wytycznych dla wewnętrznych i zewnętrznych kanałów zgłoszeniowych, do pobrania w pdf. Wymagany przez ustawodawcę w przypadku zewnętrznych kanałów zgłoszeniowych. Niezbędne do sprawozdania rocznego.
- Podpis uwierzytelniający pochodzenie dokumentu zgłoszenia i rejestru. Poświadczenie pochodzenia zgłoszenia i załączników, np. w sporze sądowym.
- Koszt utrzymania zastosowanego rozwiązania. Mowa o:
- przeznaczonym czasie, do pełnej obsługi nieprawidłowości ze strony upoważnionej osoby wraz z rejestrowaniem, gromadzeniem i przygotowywaniem zestawień,
- ponoszonych nakładów w zapewnienie bezpieczeństwa danych,
- koszcie wsparcia prawnego,
- czasie przeznaczonym na działania następcze komisji powołanej do rozpatrywania zgłoszeń,
- całkowitym koszcie poniesionych strat z tytułu ujawnionych nieprawidłowości (np. kradzieży, mobbingu),
- utracie wizerunku w przypadku otrzymania kar czy sankcji.
Wyniki ze 168 prawidłowo wypełnionych ankiet wraz z komentarzem znajdują się tutaj: Ranking kanałów zgłoszeniowych.
Ankietę przygotował i przeprowadził zespół Doering & Partnerzy