Zgodność z dyrektywą UE o ochronie sygnalistów #
EthicsPortal jest zbudowany tak, aby zapewnić zgodność Twojej organizacji z dyrektywą UE 2019/1937 i RODO. Każda funkcja odpowiada bezpośrednio wymogowi prawnemu — bez zbędnych dodatków, bez dosprzedaży.
Dyrektywa 2019/1937 — omówienie artykuł po artykule #
Kanały zgłoszeniowe (Art. 8) #
Organizacje zatrudniające 50 lub więcej pracowników muszą ustanowić bezpieczne wewnętrzne kanały zgłoszeniowe.
| Wymóg | Jak EthicsPortal go realizuje |
|---|---|
| Bezpieczny kanał zgłoszeniowy | Szyfrowany portal internetowy z unikalnym adresem URL dla każdej organizacji |
| Poufność tożsamości zgłaszającego | Pełne szyfrowanie wszystkich danych osobowych, brak logowania IP, automatyczne usuwanie metadanych z przesłanych plików |
| Dostępność dla wszystkich pracowników | Portal internetowy działa na każdym urządzeniu, nie wymaga instalacji aplikacji ani zakładania konta |
| Możliwość dostosowania do organizacji | Konfigurowalne kategorie, kolor marki i wiadomość powitalna |
Procedury zgłoszeniowe (Art. 9) #
| Wymóg | Artykuł | Jak EthicsPortal go realizuje |
|---|---|---|
| Wyznaczenie bezstronnej osoby lub działu | Art. 9(1)(a) | System przypisywania spraw z kontrolą dostępu opartą na rolach — tylko upoważnieni prowadzący widzą zgłoszenia |
| Potwierdzenie otrzymania w ciągu 7 dni | Art. 9(1)(b) | Automatyczne śledzenie terminów z powiadomieniami e-mail do prowadzących, gdy zbliża się lub mija 7-dniowy termin |
| Staranne działania następcze | Art. 9(1)(c) | Zarządzanie sprawami z przepływem statusów (otrzymano, potwierdzono, w trakcie badania, zamknięto), notatki wewnętrzne do współpracy prowadzących oraz pełny dziennik audytu |
| Poinformowanie zgłaszającego o ramach czasowych informacji zwrotnej | Art. 9(1)(d) | Portal wyświetla 3-miesięczny harmonogram informacji zwrotnej; zgłaszający mogą sprawdzać status w dowolnym momencie za pomocą kodu dostępu |
| Przekazanie informacji zwrotnej w ciągu 3 miesięcy | Art. 9(1)(f) | Automatyczne śledzenie 3-miesięcznego terminu z alertami o zaległościach dla wszystkich administratorów organizacji |
| Możliwość zgłoszenia ustnego (telefonicznie lub osobiście) | Art. 9(1)(e) | Konfigurowalny numer telefonu wyświetlany na portalu; prowadzący mogą rejestrować zgłoszenia telefoniczne, osobiste i listowne bezpośrednio w systemie |
| Poinformowanie o możliwości zgłoszenia zewnętrznego | Art. 9(1)(g) | Portal wyświetla informację o prawie zgłaszającego do kontaktu z właściwymi organami krajowymi, powołując się na dyrektywę 2019/1937 |
Zakres ochrony (Art. 4) #
Dyrektywa chroni nie tylko pracowników, ale także wykonawców, dostawców, udziałowców i inne osoby trzecie.
EthicsPortal wyświetla na portalu jasną informację, że zgłaszanie jest dostępne dla pracowników, wykonawców, dostawców i wszelkich innych osób trzecich.
Zakaz działań odwetowych (Art. 6, 19–21) #
Zgłaszający muszą być poinformowani, że działania odwetowe są zabronione prawem.
EthicsPortal wyświetla informację o zakazie działań odwetowych na każdej stronie portalu, powołując się na dyrektywę 2019/1937, przed wysłaniem zgłoszenia.
Poufność tożsamości (Art. 16) #
| Wymóg | Jak EthicsPortal go realizuje |
|---|---|
| Tożsamość nie jest ujawniana poza upoważnionym personelem | Kontrola dostępu oparta na rolach — tylko administratorzy i przypisany prowadzący mogą przeglądać zgłoszenie. Prowadzący niebędący administratorami widzą tylko sprawy im przypisane |
| Anonimowość prowadzącego wobec zgłaszającego | Sygnaliści widzą w wiadomościach „Osoba prowadząca sprawę", nigdy prawdziwe imię i nazwisko ani adres e-mail prowadzącego |
| Szyfrowanie danych wrażliwych | Imiona i nazwiska zgłaszających, dane kontaktowe, opisy zgłoszeń i treści wiadomości są szyfrowane w spoczynku przy użyciu szyfrowania niedeterministycznego |
Prowadzenie rejestrów (Art. 17–18) #
| Wymóg | Jak EthicsPortal go realizuje |
|---|---|
| Prowadzenie rejestrów każdego zgłoszenia | Kompletny dziennik audytu wszystkich akcji: zgłoszenia, zmiany statusu, wiadomości, przypisania i wyświetlenia zgłoszeń |
| Bezpieczne przechowywanie rejestrów | Wszystkie wrażliwe pola szyfrowane w spoczynku |
| Możliwość odtworzenia rejestrów | Pełny eksport sprawy do PDF, w tym metadane, wątek wiadomości, lista załączników i dziennik audytu. Raport zgodności na poziomie organizacji w formacie PDF dostępny dla audytorów — zawiera listę kontrolną dyrektywy, metryki SLA i podsumowanie ochrony danych bez ujawniania wrażliwych danych zgłoszeń |
| Usuwanie rejestrów, gdy nie są już potrzebne | Konfigurowalny okres przechowywania danych (12, 24, 36 lub 60 miesięcy) z automatycznym usuwaniem wygasłych zamkniętych zgłoszeń |
Zgodność z RODO #
| Wymóg | Artykuł | Jak EthicsPortal go realizuje |
|---|---|---|
| Podstawa prawna przetwarzania | Art. 6(1)(c) | Przetwarzanie jest niezbędne do spełnienia wymogów dyrektywy UE 2019/1937 |
| Informacja o przetwarzaniu danych | Art. 13/14 | Informacja o ochronie prywatności wyświetlana w formularzu zgłoszenia przed wysłaniem |
| Minimalizacja danych | Art. 5(1)(c) | Zbierane są tylko niezbędne dane; imię i nazwisko oraz dane kontaktowe zgłaszającego są opcjonalne |
| Ograniczenie przechowywania | Art. 5(1)(e) | Konfigurowalny okres przechowywania dla każdej organizacji z automatycznym usuwaniem |
| Integralność i poufność | Art. 5(1)(f) | Szyfrowanie w spoczynku dla wszystkich wrażliwych danych; brak logowania IP na trasach portalu; automatyczne usuwanie metadanych plików |
| Prawo do usunięcia | Art. 17 | Automatyczne usuwanie na podstawie okresu przechowywania; ręczne usuwanie dostępne dla administratorów |
Środki bezpieczeństwa #
| Środek | Szczegóły |
|---|---|
| Szyfrowanie w spoczynku | Wszystkie opisy zgłoszeń, imiona i nazwiska zgłaszających, dane kontaktowe i treści wiadomości są szyfrowane przy użyciu szyfrowania niedeterministycznego |
| Brak logowania IP | Adresy IP zgłaszających nigdy nie są przechowywane — limitowanie żądań wykorzystuje nieodwracalne jednokierunkowe hasze |
| Usuwanie metadanych plików | Dane EXIF (współrzędne GPS, model aparatu, informacje o autorze) są automatycznie usuwane z przesłanych zdjęć przed zapisem |
| Anonimowa tożsamość prowadzącego | Sygnaliści nigdy nie widzą prawdziwego imienia prowadzącego — wiadomości wyświetlają „Osoba prowadząca sprawę" |
| Limitowanie żądań | Publiczne endpointy portalu są objęte limitami zapobiegającymi nadużyciom |
| Kontrola dostępu | Uprawnienia oparte na rolach zapewniają, że tylko upoważnieni prowadzący mogą przeglądać zgłoszenia; prowadzący niebędący administratorami widzą tylko sprawy im przypisane |
| Dziennik audytu | Każda akcja jest rejestrowana ze znacznikiem czasu, tożsamością wykonawcy i typem akcji — niezmienny i zawsze dostępny do przeglądu regulacyjnego |
Co Twoja organizacja musi jeszcze zrobić #
EthicsPortal obsługuje wymagania techniczne. Twoja organizacja jest odpowiedzialna za:
- Wyznaczenie inspektora ds. zgłoszeń — przypisz co najmniej jedną osobę odpowiedzialną za obsługę zgłoszeń
- Politykę wewnętrzną — przyjmij politykę ochrony sygnalistów i zakomunikuj ją pracownikom
- Szkolenia — upewnij się, że wyznaczeni prowadzący rozumieją obowiązki zachowania poufności
- Egzekwowanie zakazu działań odwetowych — upewnij się, że kadra zarządzająca rozumie, że działania odwetowe stanowią naruszenie prawa
- Zgoda na ujawnienie tożsamości — jeśli tożsamość zgłaszającego musi zostać ujawniona poza upoważnionymi prowadzącymi (np. organom ścigania), należy najpierw uzyskać wyraźną zgodę zgłaszającego (Art. 16(2))
- Informowanie pracowników — udostępnij adres URL portalu pracownikom (EthicsPortal zapewnia link do udostępnienia i kod QR)
Pytania? #
Administratorzy mogą pobrać raport zgodności w formacie PDF bezpośrednio ze strony ustawień portalu. Zawiera on pełną listę kontrolną dyrektywy UE 2019/1937, metryki SLA, środki ochrony danych i podsumowanie dziennika audytu — gotowy do przekazania audytorowi bez ujawniania wrażliwych danych zgłoszeń.
Jeśli potrzebujesz pomocy w wykazaniu zgodności przed zespołem prawnym lub regulatorem, skontaktuj się z nami pod adresem [email protected].