Na co zwrócić uwagę przy wyborze oprogramowania dla sygnalistów #

Dyrektywa UE o ochronie sygnalistów wymaga od Twojej organizacji prowadzenia bezpiecznego wewnętrznego kanału zgłoszeniowego. Nie wszystkie narzędzia, które deklarują zgodność z Dyrektywą, faktycznie ją zapewniają.

Oto jak ocenić, co naprawdę ma znaczenie.

Co narzędzie do zgłaszania nieprawidłowości musi robić #

Wymagania Dyrektywy przekładają się na pięć kluczowych funkcji:

1. Zgłaszający składa zgłoszenie przez bezpieczny kanał.
2. Zgłoszenie jest przechowywane poufnie w zaszyfrowanym systemie.
3. Wyznaczona osoba prowadząca przegląda je i odpowiada.
4. System śledzi terminy potwierdzenia (7 dni) i informacji zwrotnej (3 miesiące).
5. Każda czynność jest rejestrowana w niezmiennym dzienniku audytu.

Te pięć funkcji stanowi podstawę zgodności. Każde narzędzie, które oceniasz, powinno wykazać, jak realizuje każdą z nich.

Funkcje kluczowe dla zgodności #

Przy ocenie platform skup się na tym, czego Dyrektywa faktycznie wymaga:

• Anonimowe zgłaszanie — Art. 6(1) wymaga poufności. Najlepsza implementacja oznacza brak logowania IP, brak śledzenia i automatyczne usuwanie metadanych plików (EXIF, GPS, autor).
• Dwukierunkowa komunikacja — Art. 9(1)(b) wymaga kontaktu zwrotnego ze zgłaszającym. Oznacza to bezpieczną komunikację bez konieczności tworzenia konta.
• Śledzenie terminów — Art. 9(1)(b) i 9(1)(f) wyznaczają terminy 7-dniowy i 3-miesięczny. Automatyczne śledzenie z powiadomieniami zapobiega naruszeniom.
• Dziennik audytu — Art. 18 wymaga dokumentacji. Niezmienny rejestr wszystkich działań stanowi dowód oczekiwany przez regulatorów.
• Rezydencja danych w UE — RODO dotyczy wszystkich danych ze zgłoszeń. Hosting w UE upraszcza zgodność.
• Kontrola retencji danych — Art. 17(1)(d) wymaga określonych okresów przechowywania. Konfigurowalne automatyczne usuwanie zapewnia, że dane nie są przechowywane dłużej niż to konieczne.

Funkcje, które brzmią imponująco, ale nie wynikają z Dyrektywy #

Niektóre platformy podkreślają możliwości wykraczające poza wymagania zgodności:

• „Ocena ryzyka oparta na AI"
• „Analiza sentymentu"
• „Predykcyjne dashboardy analityczne"
• „Benchmarking na tle 10 000+ organizacji"

Te funkcje mogą być przydatne dla dużych organizacji z rozwiniętymi programami compliance. Ale nie są wymaganiami Dyrektywy, a ich obecność nie czyni narzędzia bardziej zgodnym.

Przejrzystość cenowa jako wskaźnik #

Dyrektywa dotyczy organizacji o bardzo różnej wielkości. Wybrane narzędzie powinno pasować do Twojej skali.

Niektóre platformy publikują cenniki otwarcie. Inne wymagają procesu sprzedażowego. Przejrzyste ceny pozwalają szybciej ocenić dopasowanie.

Pytania do zadania podczas oceny #

1. Gdzie przechowywane są dane? Potwierdź hosting i rezydencję danych w UE.
2. Jak chronieni są zgłaszający? Zweryfikuj anonimizację IP i usuwanie metadanych.
3. Jak śledzone są terminy? Potwierdź automatyczne śledzenie z powiadomieniami.
4. Czy dziennik audytu jest niezmienny? Upewnij się, że logów nie można edytować ani usuwać.
5. Co się dzieje po rezygnacji? Poznaj zasady eksportu i usuwania danych.
6. Czy dostępna jest umowa powierzenia danych? Wymagana dla zgodności z RODO.

Jak EthicsPortal odpowiada na te wymagania #

EthicsPortal jest zbudowany specjalnie pod zgodność z Dyrektywą UE 2019/1937:

• 49 €/miesiąc, wszystkie funkcje w cenie
• Anonimowe zgłaszanie z anonimizacją IP i usuwaniem metadanych plików
• Bezpieczna dwukierunkowa komunikacja przez kod dostępu
• Automatyczne śledzenie terminów z powiadomieniami o przekroczeniu
• Niezmienny dziennik audytu i eksport spraw do PDF
• Hosting na Hetzner w Norymberdze, Niemcy — wszystkie dane pozostają w UE

Zobacz naszą analizę zgodności artykuł po artykule po szczegóły.