System whistleblowingowy to ogół działań organizacji na płaszczyźnie organizacyjnej, prawnej, technologicznej i kadrowej służących do pozyskiwania i zarządzania informacją o nadużyciach. Głównym celem takiego systemu jest możliwie jak najszybsza identyfikacja naruszeń oraz zagrożeń w tym zakresie i podjęcie stosownych działań wykrywczych, naprawczych, monitorujących i nierzadko także zapobiegawczych. Informacja o naruszeniu nie jest informacją łatwo dostępną, która – mówiąc kolokwialnie – leży na ziemi i czeka, by ją podnieść. Taka informacja co do zasady ma charakter ekskluzywny, bowiem jest skrzętnie chroniona przez sprawców nadużyć, kamuflujących swoje działania oraz niechętnie ujawniana przez ewentualnych świadków procederu, którzy boją się o swoje bezpieczeństwo oraz komfort pracy. Jeżeli organizacja chce skutecznie docierać do takich cennych informacji, to musi stworzyć środowisko przyjazne potencjalnym sygnalistom, czyli zapewniające bezpieczeństwo nie tylko im samym, ale także przekazywanym przez nich wrażliwym informacjom, w szczególności w zakresie:
- poufności (dostęp do informacji posiadają jedynie osoby upoważnione i kompetentne);
- dostępności (zapewnienie, że informacja jest osiągalna i użyteczna dla upoważnionej osoby);
- integralności (zapewnienie, że informacja jest kompletna i dokładna),
- rozliczalności (zapewnienie, że każde działanie z informacją można przypisać określonej osobie fizycznej w określonym czasie).
Żeby efektywnie i bezpiecznie zarządzać pozyskaną w ramach systemu whistleblowingowego informacją, należy poznać, zrozumieć i zabezpieczyć cały cykl życia tej informacji w organizacji (począwszy od jej pozyskania, a na trwałym usunięciu kończąc) oraz poszczególne procesy jej przetwarzania, w tym pozyskiwanie, rejestrowanie, przechowywanie, analizowanie, dystrybuowanie, generowanie, archiwizowanie i usuwanie. Ale zanim się to uczyni powinno się przede wszystkim poszukać odpowiedzi na następujące pytania:
1. Czy i jakie są wymogi w zakresie przetwarzania informacji? (np. RODO, dyrektywa UE dot. ochrony sygnalistów, wymogi branżowe, etc.).
2. Jaki może być charakter przetwarzanych informacji? (np. dane osobowe zwykłe, szczególne kategorie danych osobowych, tajemnica przedsiębiorstwa, etc.).
3. W jaki sposób, w jakiej formie i w jakim czasie informacja trafia o organizacji? (proces przepływu informacji od sygnalisty do organizacji będzie determinowany wybranym kanałem lub kanałami zgłaszania naruszeń).
4. Gdzie i w jaki sposób jest przetwarzana informacja? (sposób przechowywania informacji będzie uzależniony między innymi od jej formy czy posiadanych środków przetwarzania).
5. Kto, na jakich zasadach i w jakim celu przetwarza informację? (ustalenie ról uczestników procesu przetwarzania, uwzględniających między innymi osoby dokonujące zgłoszeń, osoby przyjmujące zgłoszenia i prowadzące działania następcze, decydentów, interesariuszy zewnętrznych).
Zapraszamy do sprawdzenia naszej aplikacji dla sygnalistów, która umożliwia anonimowe zgłoszenia naruszeń w organizacjach.