Dołącz do grona naszych profesjonalnych Partnerów
FAQ
Wszystko co musisz wiedzieć.
Ogólne – sygnaliści i wymogi prawne
1. Sygnalista – co to znaczy, kto to taki?
Zgodnie z potoczną definicją, którą możemy znaleźć na stronie sygnalista.pl Fundacji Batorego, sygnalista to „Osoba, która działając w dobrej wierze, zgłasza lub ujawnia informacje o nieprawidłowościach godzących w interes publiczny, lub interes pracodawcy, a zachodzących w miejscu pracy”. Poprzez dobrą wiarę należy rozumieć przekonanie zgłaszającego co do prawdziwości swojego zgłoszenia.
Troszkę inaczej wygląda to z perspektywy dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Dyrektywa nie zawiera definicji „sygnalisty”, ale z jej zapisów można wywnioskować, że jest to osoba bezpośrednio lub pośrednio związana z organizacją, która w trybie określonym w dyrektywie (także prawie krajowym) dokonuje zgłoszenia określonej nieprawidłowości, posiadając uzasadnione przekonanie, że informacja o naruszeniu jest prawdziwa.
2. Kto może zostać sygnalistą?
Sygnalistą – w szerokim tego słowa znaczeniu – może zostać każda osoba, która jest bezpośrednim lub pośrednim świadkiem nieprawidłowości i dokonuje jej zgłoszenia za pośrednictwem poufnych lub anonimowych kanałów zgłoszeniowych. Natomiast z ochrony przewidzianej w dyrektywie o sygnalistach może skorzystać osoba bezpośrednio lub pośrednio związana z organizacją, która w trybie określonym w dyrektywie (i prawie krajowym) dokona zgłoszenia określonej nieprawidłowości, posiadając uzasadnione przekonanie, że informacja o naruszeniu jest prawdziwa.
3. Kogo dotyczy dyrektywa o sygnalistach?
To pytanie można rozpatrywać z dwóch perspektyw, tj. (1) podmiotu obowiązanego do wdrożenia wymogów dyrektywy o sygnalistach oraz (2) zgłaszającego. Zgodnie z dyrektywą o sygnalistach, jej wymogi powinny zostać wdrożone do 17 grudnia 2021 r. przez prywatne podmioty prawne, na rzecz których wykonuje pracę co najmniej 250 osób oraz przez wszystkie prawne podmioty publiczne, chyba że dany kraj członkowski UE zastosuje wyłączenia dopuszczone dyrektywą (możliwość wyłączenia gmin zatrudniających mniej niż 50 pracowników lub gmin posiadających poniżej 10 000 mieszkańców). Należy przy tym wspomnieć, że do połowy sierpnia 2022 r. Polska nie zaimplementowała jeszcze wymogów dyrektywy o sygnalistach.
Z perspektywy zgłaszającego, Dyrektywa dotyczy każdej osoby bezpośrednio lub pośrednio związanej z organizacją, która w trybie określonym w dyrektywie (także prawie krajowym) dokonuje zgłoszenia określonej nieprawidłowości, posiadając uzasadnione przekonanie, że informacja o naruszeniu jest prawdziwa.
Z perspektywy zgłaszającego, Dyrektywa dotyczy każdej osoby bezpośrednio lub pośrednio związanej z organizacją, która w trybie określonym w dyrektywie (także prawie krajowym) dokonuje zgłoszenia określonej nieprawidłowości, posiadając uzasadnione przekonanie, że informacja o naruszeniu jest prawdziwa.
4. Czy mogę zignorować wymogi dyrektywy o sygnalistach?
Teoretycznie tak, ale praktycznie jest to skrajnie nieodpowiedzialne i ryzykowne, w szczególności dla podmiotów obowiązanych. Po pierwsze, organizacja bez systemu whistleblowingowego jest mniej skuteczna w ujawnianiu zagrożeń, które mogą być dla niej bardzo niebezpieczne. Po drugie, podmiot obowiązany, który nie będzie się stosował do wymogów dyrektywy o sygnalistach, narażony jest na sankcje prawne, w tym karne.
5. Jakie sankcje grożą za niewdrożenie wymogów dyrektywy o sygnalistach?
Konkretne sankcje za konkretne naruszenia wymogów dyrektywy będzie określało polskie prawo. Dyrektywa o sygnalistach wymaga od krajów członkowskich stosowania skutecznych i odstraszających sankcji za: (1) utrudnianie dokonywania zgłoszeń, (2) działania odwetowe wobec osób zgłaszających, (3) uciążliwe postępowania przeciwko zgłaszającym, (4) naruszanie obowiązku zachowania poufności tożsamości osób dokonujących zgłoszenia, (5) zgłoszenie lub ujawnienie publiczne nieprawdziwych informacji. Polski ustawodawca przewiduje także sankcje za brak ustanowienia wewnętrznej procedury zgłaszania naruszeń prawa lub ustanowienie procedury z naruszeniem wymogów prawnych w tym zakresie.
6. Kiedy powinienem wdrożyć wymogi dyrektywy?
Naszym zdaniem, możliwie jak najszybciej. Dlaczego? Po pierwsze, pamiętaj, że nieprawidłowości i zagrożenia nie czekają na przepisy o ochronie sygnalistów. Jeżeli chcesz szybko identyfikować naruszenia i zagrożenia, skutecznie wdrożony system dla sygnalistów (system whistleblowingowy) znacznie Ci to ułatwi. Po drugie, wdrożenie systemu to proces, w szczególności w kontekście budowania świadomości otoczenia wewnętrznego (pracownicy) i zewnętrznego (m.in. klienci, kontrahenci) Twojej organizacji. Kanały zgłoszeniowe oraz procedury można wdrożyć szybko, ale świadomość otoczenia i kulturę odpowiedzialności buduje się miesiącami, a nawet latami. Po trzecie, czekanie na ostatnią chwilę zwiększy ryzyko, że wdrożenie może być droższe, dłuższe i wątpliwe jakościowo.
7. Jaka jest różnica między systemem anonimowym a poufnym?
Dyrektywa o sygnalistach nie podaje definicji poufności i anonimowości, przez co zdarzają się nieporozumienia. Co do zasady, w systemie poufnym dane sygnalisty (zgłaszającego) są znane upoważnionym osobom (np. operatorom systemu zgłoszeniowego), które obowiązane są do ich ochrony przed dostępem osób nieupoważnionych. Natomiast w systemie anonimowym jego operatorzy nie znają tożsamości zgłaszającego, chyba że sam je ujawni.
8. Czy sygnalista może być anonimowy?
To zależy zarówno od samego sygnalisty, jak i również od organizacji. Po pierwsze to podmiot obowiązany do wdrożenia wymogów dyrektywy podejmuje decyzję czy ustanawia kanały poufne (sygnalista musi się zidentyfikować, by zgłoszenie było procedowane), anonimowe (sygnalista pozostaje nieznany dla organizacji), czy obydwa. Po drugie, to sygnalista decyduje, z jakiego korzysta kanału zgłoszeniowego, a jeżeli nie ma możliwości wyboru, to czy w ogóle zgłasza naruszenie.
9. Czy sygnalista otrzymuje wynagrodzenie?
Przepisy nie regulują kwestii wynagrodzenia sygnalisty za przekazane zgłoszenie, także w kontekście zgłoszeń do organów państwa. Każda organizacja, która wdraża system zgłaszania nieprawidłowości, może sama wprowadzić system nagród i zasady ich przyznawania sygnalistom, ale jest to kwestia dobrowolna.
10. Jak wdrożyć wymogi dyrektywy o ochronie osób zgłaszających naruszenia prawa?
Skuteczny system zgłaszania naruszeń wymaga wielopłaszczyznowych działań, w tym: skutecznej edukacji i komunikacji, zaangażowania kierownictwa i pracowników, podziału kompetencji wśród osób odpowiedzialnych za system na różnych jego poziomach, skutecznych i bezpiecznych kanałów zgłoszeniowych, życiowych procedur, analizy ryzyka, etc. Jeżeli chcesz dowiedzieć się więcej – przeczytaj na Blogu nasz artykuł pt. „Fundamenty skutecznego systemu dla sygnalistów”.
Ogólne – system e-nform
1. Czym jest e-nform i jak działa?
e-nform to aplikacja webowa, która umożliwia użytkownikowi korzystającemu z przeglądarki internetowej wysłanie anonimowego lub poufnego zgłoszenia m.in. o nieprawidłowości. Użytkownik po wejściu na dedykowaną domenę (adres udostępniony przez daną organizację) wypełnia formularz zgłoszeniowy, a po jego skutecznym wysłaniu, otrzymuje indywidualny identyfikator i PIN zgłoszenia. Identyfikator i PIN umożliwiają użytkownikowi dostęp do swojego zgłoszenia bez ujawniania swoich danych.
2. Czy e-nform jest zgodny z wymogami dyrektywy?
Tak, system e-nform jest zgodny z wymogami dyrektywy o sygnalistach, co potwierdzają także zewnętrzne audyty. Co więcej, udzielana przez firmę E-nform licencja na aplikację zobowiązuje
E-nform do dostosowywania aplikacji do bieżących wymogów prawnych.
3.W jakich wariantach jest dostępny system e-nform i jakie są opcje jego instalacji?
System e-nform dostępny jest w 3 wariantach, tj. SILVER, GOLD i PLATINUM. Wersje SILVER I GOLD są wariantami ustandaryzowanymi (standardowe formularze zgłoszeniowe), instalowanymi wyłącznie na serwerach E-nform (SaaS) i mają ograniczony zakres personalizacji. Na warianty SILVER i GOLD udzielana jest wyłącznie licencja terminowa (abonament).
Wersja PLATINUM jest wariantem dedykowanym, umożliwiającym znacznie szerszą personalizację systemu e-nform (m.in. własne formularze zgłoszeniowe) oraz instalację na serwerach wskazanych przez klienta (on-premise). Na wariant PLATINUM może być udzielona zarówno licencja terminowa (abonament), jak i bezterminowa (wieczysta).
Wersja PLATINUM jest wariantem dedykowanym, umożliwiającym znacznie szerszą personalizację systemu e-nform (m.in. własne formularze zgłoszeniowe) oraz instalację na serwerach wskazanych przez klienta (on-premise). Na wariant PLATINUM może być udzielona zarówno licencja terminowa (abonament), jak i bezterminowa (wieczysta).
4. Jaki są ceny platformy e-nform i od czego zależą?
Ceny poszczególnych wariantów systemu e-nform są opisane w zakładce „O e-nform” oraz na stronie głównej. Dla każdego z wariantów SILVER i GOLD jest określona jednolita cena, niezależna od wielkości organizacji oraz liczby użytkowników. Dodatkowo płatne są opcjonalne moduły zgłoszeniowe.
Cena wariantu PLATINUM uzależniona jest od wielkości organizacji (liczba pracowników), miejsca instalacji e-nform oraz dodatkowych opcji (np. integracja z LDAP).
Cena wariantu PLATINUM uzależniona jest od wielkości organizacji (liczba pracowników), miejsca instalacji e-nform oraz dodatkowych opcji (np. integracja z LDAP).
5. Jak przebiega proces wdrożenia e-nform i ile czasu zajmuje?
Przykładamy dużą wagę do procesu wdrożenia naszej aplikacji, ponieważ może to mieć istotny wpływ na skuteczność obsługi zgłoszeń. Zazwyczaj wdrożenie systemu trwa od 2 do 3 tygodni i składa się z następujących elementów: (1) przekazanie przez Klienta danych konfiguracyjnych dostarczonych według ustandaryzowanego formularza E-nform, (2) instalacja i konfiguracja systemu, (3) instruktaż dla koordynatorów systemu, (4) kilkudniowe testy systemu, (5) wyczyszczenie bazy danych ze zgłoszeń testowych, (6) odbiór system i rozpoczęcie okresu licencyjnego.
6. Gdzie e-nform został już wdrożony - jakie branże, w ilu podmiotach?
System e-nform został już wdrożony w dziesiątkach organizacji zarówno sektora prywatnego jak i publicznego. Logotypy i referencje wybranych klientów znajdziesz na głównej stronie oraz w zakładce „O nas”. Warto podkreślić, że e-nform – z uwagi m.in. na swoje rozbudowane funkcjonalności i bezpieczeństwo – jest wdrażany w dużych, wymagających spółkach oraz grupach kapitałowych.
7. Czy mogę przetestować system przed podjęciem decyzji o jego zakupie?
Tak, jest możliwość darmowego testowana systemu e-nform przez 14 lub 30 dni, jednakże wymaga to podpisania umowy licencji testowej (jest to związane z ochroną know-how producenta oraz wymogami RODO.
8. Czy pracownicy E-nform mają wgląd do danych, które są w moim systemie?
Nie, pracownicy E-nform obsługujący system (asysta serwisowa i rozwojowa) nie mają dostępu ani do rejestru zgłoszeń, ani do treści zgłoszeń.
9. Czy e-nform posiada wielojęzyczny interfejs?
Tak, system e-nform dostępny jest standardowo w 11 językach obcych. Do systemu można zaimplementować także inne języki obce.
10. Czy e-nform zapewnia wsparcie wdrożeniowe i powdrożeniowe?
Tak. Zasady takiego wsparcia opisane są zarówno w ofercie jak i umowie licencyjnej.
11. Czy oprócz samej aplikacji, firma E-nform oferuje dodatkowe usługi?
Tak, firma E-nform pomaga swoim klientom w profesjonalnym wdrożeniu systemu zgłaszania naruszeń na wielu płaszczyznach. Szczegóły znajdziesz w zakładce „Produkty i usługi”.
e-nform od strony zgłaszającego
1. Jak dokonać zgłoszenia w aplikacji e-nform?
To bardzo proste. Wystarczy wejść na dedykowaną stronę www (może być zakładka albo hiperłącze na stronie www organizacji), wypełnić wybrany formularz zgłoszeniowy oraz zapisać gdzieś dane dostępowe do swojego zgłoszenia (identyfikator i PIN). Dzięki Identyfikatorowi i PIN-owi można w każdej chwili zobaczyć swoje zgłoszenie i nawiązać dialog z koordynatorem systemu.
2. Czy mogę dokonać zgłoszenia bez podawania danych osobowych?
W systemie anonimowym zgłaszający nie musi podawać jakichkolwiek danych, chyba że tego chce.
3.Czy zgłaszający musi posiadać konto w systemie, aby dokonać zgłoszenia?
Nie. Zgłaszający może wysłać zgłoszenie zarówno bez zakładania konta, jak również w ramach założonego konta (także anonimowego).
4. Co w przypadku, kiedy zgłaszający zapomni Identyfikatora lub PIN-u do zgłoszenia?
W systemie anonimowym utrata ID lub PIN-u zgłoszenia powoduje utratę dostępu do niego. W takim przypadku można ponownie dokonać tego samego zgłoszenia, by nawiązać dialog z koordynatorem systemu, który może połączyć drugie zgłoszenie z tym pierwszym.
5. Czy sygnalista może edytować swoje zgłoszenie przed wysłaniem?
Tak. Natomiast po wysłaniu zgłoszenia, osoba zgłaszająca może – po wejściu na swoje zgłoszenie za pomocą ID i PIN-u – wysyłać kolejne wiadomości oraz dodawać załączniki.
6. Czy sygnalista może dodać załączniki do swojego zgłoszenia?
Tak, zgłaszający może dodać załącznik zarówno w momencie wysyłania zgłoszenia, jak również po jego wysłaniu.
e-nform od strony zarządzającego zgłoszeniami
1. Ilu maksymalnie koordynatorów może obsługiwać zgłoszenia?
Liczna koordynatorów zależy od wariantów systemu. W wariancie SILVER jest ich 3. z dostępem do wszystkich zgłoszeń, w GOLD – 10. z dostępem do typów zgłoszeń określonych przez administratora, w PLATINUM nie ma ograniczeń.
2. Czy koordynator musi mieć założone konto w aplikacji e-nform?
Tak.
3. Czy mogę samodzielnie dodać lub usunąć konto nowego koordynatora?
Tak, ale tylko w wariancie GOLD i PLATINUM.
4. Co w przypadku, gdy koordynator zapomni danych do logowania?
Koordynator może w każdej chwili zresetować swoje hasło lub poprosić administratora o wygenerowanie nowego hasła.
5. Czy mogę zintegrować system z innymi kanałami dokonywania zgłoszeń?
Tak, system e-nform można zintegrować z adresem mailowym, służącym do przekazywania zgłoszeń. Należy się jednak zastanowić, czy jest sens utrzymywać dwa odrębne kanały elektroniczne.
6. Czy mam dostęp do statystyk i czy mogę pobierać raporty?
Tak.
7. Czy mogę usunąć ze zgłoszenia dane osobowe?
Tak, ale jest to czynność wymagająca dodatkowych uprawnień i ścisłe audytowana przez system.
8. Czy mogę udostępniać pliki zgłaszającemu?
Tak.
9. Jak mogę komunikować się ze zgłaszającym?
Za pośrednictwem czatu dostępnego dla każdego zgłoszenia.
10. Czy mogę grupować zgłoszenia?
Tak, można powiązywać zgłoszenia ręcznie lub w sposób zautomatyzowany.
11. Czy mogę udzielić dostępu do zgłoszenia np. osobie spoza organizacji (ekspert, radca prawny)?
Tak, system daje taką możliwość na ściśle określonych zasadach, które także powinny być sformalizowane w organizacji.
12. Czy system automatycznie przypomina np. o czasie na udzielenie odpowiedzi sygnaliście?
Aplikacja posiada wiele różnych notyfikacji (powiadomień) systemowych pomagających koordynatorowi w zgodnym z prawem zarządzaniu zgłoszeniami. System wysyła powiadomienia na adres mailowy podany przy zakładaniu konta koordynatora.
Bezpieczeństwo i prywatność
1. Gdzie zlokalizowane są serwery e-nform?
Serwery, na których zainstalowany jest e-nform zlokalizowane są na terenie Europy Zachodniej.
2. W jaki sposób e-nform chroni anonimowość zgłaszającego?
System nie gromadzi numerów IP oraz innych metadanych urządzeń, które nawiązują połączenie z serwerem aplikacji. Aplikacja przechowuje jedynie tymczasowe dane, aby uniemożliwić enumerację danych dostępowych (zapobieganie atakom słownikowym brute-force). System nie udostępnia koordynatorom metadanych dotyczących autora zgłoszenia. Ponadto, z załączników dodawanych do systemu przez zgłaszającego usuwane są metadane.
3. Czy dokonano oceny DPIA systemu?
Tak. Wyciąg z DPIA aplikacji udostępniany jest Klientom E-nform.
4. Czy e-nform generuje indywidualne kody dostępu do zgłoszeń?
Tak, zgłaszający otrzymuje do każdego swojego zgłoszenia indywidualny identyfikator i kod PIN.
5. Jak wygląda szyfrowanie zgłoszeń?
Treść zgłoszeń, wiadomości i załączniki są szyfrowane po stronie serwera aplikacji (AES-256 – metoda zatwierdzona przez U.S. National Institute of Standards and Technology (NIST)). Transfer danych pomiędzy klientem a serwerem jest szyfrowany za pomocą SSL (po protokole HTTPS).
6. Czy e-nform posiada aktualny certyfikat bezpieczeństwa?
Tak. System e-nform poddawany jest każdego roku audytowi obejmującemu m.in.: (1) bezpieczeństwo aplikacji w zakresie przetwarzania danych (testy penetracyjne systemu), (2) zapewnienie anonimowości zgłaszającemu, (3) zgodność z RODO, (4) zgodność z dyrektywą o sygnalistach.
7. Czy system usuwa metadane z załączników?
Tak.
8. Czy system posiada ochronę przed złośliwym oprogramowaniem?
Tak.
9. Czy e-nform posiada dwuetapową autentykację?
Tak, dwuetapowa autentykacja jest dostępna dla każdego użytkownika konta założonego w systemie (administrator, koordynator, ekspert, zgłaszający, który założył konto).