Komunikaty PR

Jak wybrać aplikację dla sygnalistów w organizacji?

2022-02-03  |  01:00
Biuro prasowe

17 grudnia 2021 r. weszła w życie Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 o ochronie sygnalistów, nakładająca na organizacje obowiązek tworzenia systemów whistleblowingowych, w tym m.in. kanałów do zgłaszania przypadków łamania prawa. Zarówno podmioty publiczne, jak i prywatne, często w tym celu korzystają z pomocy firm zewnętrznych, które dostarczają im gotowe rozwiązania informatyczne. Na rynku jest wiele z pozoru podobnych systemów, ale jak wybrać taki, który spełni wymagania prawne, zapewni bezpieczeństwo danych oraz nie przysporzy organizacji dodatkowych obowiązków w przyszłości?

Liczba organizacji, które zostały objęte przepisami dotyczącymi ochrony sygnalistów szacowana jest na kilkadziesiąt tysięcy podmiotów. Jednak duża część z nich wciąż wstrzymuje się z podejmowaniem konkretnych działań, oczekując na krajowe przepisy. W niedalekiej przyszłości czeka je jednak wzmożona praca przy tworzeniu i implementacji wewnętrznych procedur, a także w poszukiwaniu usług wspierających – m.in. systemów służących jako kanał komunikacji z sygnalistami.

- W ostatnich miesiącach na rynku pojawiło się wiele zróżnicowanych rozwiązań służących jako kanał komunikacji sygnalisty z firmą. Klienci mogą wybierać spośród systemów IT wspomagających procesy i zgodnych z OWASP (bezpieczeństwo systemów informatycznych), WCAG (dostępność dla osób niepełnosprawnych) czy ISO 27001 (bezpieczeństwo informacji), ale są też rozwiązania, które nie dają żadnej gwarancji, poza sloganami marketingowymi. Część przedsiębiorców zapewne kupi system, na który trafi w pierwszej kolejności, bez jego dokładnej weryfikacji. Problemy mogą pojawić się później. Jeżeli dane pochodzące z takich aplikacji wypłyną na zewnątrz, to firma narazi się na duże kłopoty, takie jak m.in. procesy ze strony sygnalistów, straty wizerunkowe, spadek cen akcji czy utratę zaufania kontrahentów – przestrzega Rafał Barański, CEO braf.tech, współtwórca aplikacji whiblo.

Jak więc wybrać odpowiednie rozwiązanie dla swojej organizacji? Poniżej prezentujemy najważniejsze cechy, jakie powinien spełniać system do komunikacji nadużyć w firmie, wynikające z dyrektywy oraz dobrych praktyk tworzenia systemów dla działów compliance:

Ochrona prywatności

Jedną z najważniejszych cech kanału komunikacji dla sygnalisty, o której mówi dyrektywa, jest ochrona poufności tożsamości sygnalisty. W kontekście poufności danych osobowych sygnalisty często w dyskusji pojawia się także pojęcie anonimowości, czyli sytuacji, w której nie jest możliwe wskazanie tożsamości sygnalisty. Dziś wiemy, że projekt polskiej ustawy implementującej założenia dyrektywy, decyzję o procesowaniu zgłoszeń anonimowych pozostawia w rękach pracodawców. Warto jednak zwrócić uwagę, że możliwość składania zgłoszeń anonimowych wynika z oczekiwań samych pracowników, którzy w badaniu przeprowadzonym przez ARC Rynek i Opinia[1] wskazali tę cechę jako kluczową dla efektywności systemu whistleblowingowego. W przypadku rozwiązań informatycznych kluczowe jest więc zaprojektowanie rozwiązania w taki sposób, aby dla obu powyższych sytuacji uniemożliwiało ono ujawnienie lub identyfikację tożsamości sygnalisty, ograniczało dostęp do danych, zapewniało możliwość ciągłości komunikacji między sygnalistą a osobą odbierającą zgłoszenia po stronie firmy. Z technicznego punktu widzenia konieczne jest więc np. automatyczne kasowanie plików ciasteczek, danych IP sygnalisty czy metadanych zaszytych w załącznikach przesłanych w procesie zgłoszenia. Ważne jest też, by system umożliwiał prowadzenie anonimowego dialogu między zgłaszającym i osobami przyjmującymi zgłoszenia w firmie, bez konieczności tworzenia kont użytkownika, np. poprzez nadawanie unikalnych identyfikatorów.

- Tworząc aplikację whistleblowingową, warto już na etapie projektowania zastosować odpowiednie podejście, np. privacy by design lub privacy by default, które gwarantuje ochronę danych i prywatności zgodną z RODO na każdym etapie przetwarzania informacji. Zapewnienie anonimowości to jednak również elementy takie jak ograniczenie dostępu do aplikacji przez osoby nieuprawnione, czyli indywidualne konta koordynatorów systemu i logowanie z uwzględnieniem 2FA (dwustopniowe uwierzytelnienie) – dodaje Rafał Barański.

Bezpieczeństwo danych

Równie ważnym warunkiem, jaki musi spełniać kanał komunikacji dla sygnalistów, jest ochrona danych pozyskanych w procesie zgłaszania nadużyć. W przypadku, gdy decydujemy się na rozwiązanie informatyczne, należy zabezpieczyć zarówno transmisję danych, jaki i proces ich przetwarzania, a potem przechowywania oraz sam dostęp do aplikacji. W tym celu stosuje się m.in. szyfrowanie danych algorytmami czy szyfrowanie transmisji danych protokołami bezpieczeństwa. Podstawą bezpieczeństwa jest jednak infrastruktura IT, na której oparta jest aplikacja. Najbezpieczniejszym rozwiązaniem jest zbudowanie systemu na technologii chmurowej. Renomowani dostawcy, tacy jak Microsoft czy Amazon, gwarantują najwyższy poziom zabezpieczenia przed atakami, ochrony prywatności i zgodności ze standardami oraz przepisami prawa.

- System dla sygnalistów i w zasadzie każde rozwiązanie stosowane w procesach compliance musi zapewniać najlepszą możliwą ochronę danych. To nie tylko zabezpieczenie przed niepowołanym dostępem czy atakami, ale również przed manipulacją danymi czy ich utratą bądź zniszczeniem. W obszarze whistleblowingu były dotychczas stosowane rozwiązania analogowe, jak skrzynki na listy, specjalnie do tego celu przeznaczone konta e-mail czy infolinie, które jednak nie wspierają podstawowych założeń dyrektywy – ochrony danych i tożsamości sygnalisty oraz są niepraktyczne z punktu widzenia osób odbierających zgłoszenia czy prowadzenia procedur wyjaśniających. Dobry system IT musi gwarantować bezpieczeństwo zarówno sygnaliście, jak i firmie – komentuje Ewa Żak-Lisewska, dyrektor ds. rozwoju w braf.tech, była dyrektor działów compliance, współtwórczyni aplikacji whiblo.

***

Dobry system nie musi być drogi, a jego wybór warto skonsultować z działem IT. Nie obawiajmy się też zadawać pytań dostawcy rozwiązania, bo to nasze prawo. W grę wchodzi przecież bezpieczeństwo naszych danych i danych sygnalistów, czyli kluczowy element w całym procesie zbierania i przetwarzania zgłoszeń. Niedopełnienie tego obowiązku może w przyszłości nieść za sobą bardzo poważne konsekwencje dla reputacji oraz finansów organizacji.

 


[1] https://whiblo.pl/blog/ochrona-sygnalistow-w-firmach-w-polsce/

Więcej informacji
Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.
Ostatnio dodane
komunikaty PR z wybranej przez Ciebie kategorii
Oprogramowanie BRAK ZDJĘCIA
2023-11-03 | 09:30

SAP przedstawia nowe narzędzia dla programistów

Podczas konferencji SAP TechEd, SAP ogłosił szereg innowacji związanych z generatywną sztuczną inteligencją. Celem jest umożliwienie programistom maksymalnego wykorzystania możliwości AI w ramach ich pracy. "Dynamiczny
Oprogramowanie Nowa technologia w inwentaryzacji hotelu
2023-05-29 | 08:04

Nowa technologia w inwentaryzacji hotelu

W dzisiejszych czasach technologia odgrywa kluczową rolę w efektywnym zarządzaniu inwentaryzacją w hotelu.  Dlaczego warto zrezygnować z tradycyjnych papierowych kartotek
Oprogramowanie Zwiększenie sprzedaży priorytetem dla MŚP
2023-04-19 | 11:30

Zwiększenie sprzedaży priorytetem dla MŚP

Jednym z największych wyzwań małych i średnich przedsiębiorstw oraz start-upów, działających zwłaszcza w sektorze B2B, jest skuteczność działań sprzedażowych. Wobec rosnących

Kalendarium

Więcej ważnych informacji

Jedynka Newserii

Jedynka Newserii

Venture Cafe Warsaw

Firma

Polski rynek IT cierpi na niedobór specjalistów od cyberbezpieczeństwa. Podnoszenie kompetencji cyfrowych kobiet mogłoby częściowo zaradzić tym brakom

Branża IT, która cierpi na niedobór pracowników, wciąż ma słabą reprezentację kobiet. 40 proc. respondentek podkreśla, że ich firmy w ogóle nie zatrudniają kobiet w działach IT, a tylko 15,5 proc. wskazuje, że kobiety zajmują w nich stanowiska kierownicze lub zarządzające – wynika z badania „Wyzwania kobiet w zakresie cyfryzacji i bezpieczeństwa cyfrowego”. Czynnikiem, który mógłby zwiększyć udział kobiet na tym rynku jest podnoszenie ich kompetencji cyfrowych i szkolenia umożliwiające przebranżowienie. Bez tego trudno będzie spełnić cel z rządowego programu, by do końca dekady co trzeci pracownik na rynku ICT był kobietą. Szczególnie ważnym obszarem takich działań powinno być cyberbezpieczeństwo.

Nauka

Prognozy bólu powiązanego z pogodą byłyby pożyteczną innowacją. Osoby wrażliwe na zmiany aury mogłyby się lepiej do nich przygotować

Ponad 70 proc. osób cierpiących na migrenę zależną od warunków pogodowych chętnie skorzystałoby z narzędzia prognozującego wystąpienie u nich bólu. Niemal połowa z nich uważa, że taka wiedza pozwoliłaby im podjąć działania w celu uniknięcia przykrych dolegliwości lub ograniczenia aktywności we wskazanym czasie. Do takich wniosków doszli naukowcy z Uniwersytetu Georgii w Athens. Skutecznego narzędzia prognostycznego jeszcze nie wynaleziono. Z meteopatią zmaga się nawet co trzeci człowiek na świecie, a 10 proc. ludzi doświadcza natomiast migreny.

Konsument

Rozwój technologii nie idzie w parze ze świadomością użytkowników i regulacjami prawnymi. To zagrożenie dla ochrony danych osobowych

Użytkownicy różnych aplikacji, systemów czy urządzeń nie zawsze są świadomi, czy i w jakim stopniu, przez kogo i do jakich celów będą gromadzone i wykorzystywane dane na ich temat. Nierzadko nawet nie zdają sobie sprawy z tego, że ktoś w ogóle takimi danymi zaczął administrować. Zdaniem ekspertów to efekt z jednej strony szybkiego rozwoju technologii, która pozwala coraz większe zbiory danych gromadzić na coraz mniejszych urządzeniach, a z drugiej – braku kampanii informacyjnej o prawach związanych z tymi danymi. Za zmianami nie nadąża też system prawny. Choć RODO działa już od niemal sześciu lat, to wciąż nie funkcjonuje tak jak zakładano. W międzyczasie powstają nowe regulacje, a przed rządem stoi wyzwanie wdrożenia ich do polskiego systemu prawnego oraz opracowania norm krajowych.

Szkolenia

Akademia Newserii

Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a  także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.