https://ethicsportal.eu/pl/EthicsPortal is a secure, anonymous whistleblower reporting platform that helps organizations comply with EU Directive 2019/1937.pl-PLMon, 25 May 2026 01:23:26 +0000https://ethicsportal.eu/images/logo.svghttps://ethicsportal.eu/https://ethicsportal.eu/pl/whistleblower-laws/poland/Fri, 24 Apr 2026 00:00:00 +0000https://ethicsportal.eu/pl/whistleblower-laws/poland/Polska ustawa z 2024 r.: szerszy próg 50 osób, zewnętrzny kanał RPO i oficjalne terminy wdrożenia.<h1 id="prawo-o-ochronie-sygnalistów-w-polsce"> Prawo o ochronie sygnalistów w Polsce <a href="#prawo-o-ochronie-sygnalist%c3%b3w-w-polsce" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Polska transponowała dyrektywę UE 2019/1937 poprzez <strong>Ustawę z dnia 14 czerwca 2024 r. o ochronie sygnalistów</strong>. Polski model jest istotny dlatego, że stosuje szerszy próg <strong>50 osób wykonujących pracę zarobkową</strong>, a nie tylko prosty próg etatowy.</p> <h2 id="właściwa-ustawa"> Właściwa ustawa <a href="#w%c5%82a%c5%9bciwa-ustawa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20240000928/O/D20240928.pdf" rel="nofollow">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów — oficjalny tekst PDF</a> </li> <li><a href="https://bip.brpo.gov.pl/pl/sygnalisci" rel="nofollow">Rzecznik Praw Obywatelskich — sygnalisci</a> </li> </ul> <h2 id="kto-musi-wdrożyć-kanał-wewnętrzny"> Kto musi wdrożyć kanał wewnętrzny <a href="#kto-musi-wdro%c5%bcy%c4%87-kana%c5%82-wewn%c4%99trzny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Procedura zgłoszeń wewnętrznych jest obowiązkowa dla podmiotów prawnych, na rzecz których pracę zarobkową wykonuje <strong>co najmniej 50 osób</strong>. Obowiązki dotyczące zgłoszeń wewnętrznych obowiązują od <strong>25 września 2024 r.</strong></p> <h2 id="organ-zewnętrzny"> Organ zewnętrzny <a href="#organ-zewn%c4%99trzny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Zgłoszenia zewnętrzne przyjmuje <a href="https://bip.brpo.gov.pl/pl/sygnalisci" rel="nofollow">Rzecznik Praw Obywatelskich</a> , który dokonuje wstępnej weryfikacji i przekazuje sprawę do właściwego organu publicznego. Ten etap obowiązuje od <strong>25 grudnia 2024 r.</strong></p> <h2 id="organ-ochrony-danych"> Organ ochrony danych <a href="#organ-ochrony-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>W sprawach dotyczących przetwarzania danych osobowych w systemie dla sygnalistów właściwy jest <a href="https://uodo.gov.pl/pl/501/3485" rel="nofollow">Urząd Ochrony Danych Osobowych</a> .</p> <h2 id="najważniejsze-punkty-zgodności"> Najważniejsze punkty zgodności <a href="#najwa%c5%bcniejsze-punkty-zgodno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Próg obejmuje osoby wykonujące pracę zarobkową szerzej niż zwykły stan zatrudnienia.</li> <li>Jednostki samorządu terytorialnego mogą organizować wspólne procedury wewnętrzne w formule wspólnej obsługi.</li> <li>Polskie wdrożenie jest rozdzielone: najpierw procedury wewnętrzne, potem zgłoszenia zewnętrzne.</li> </ul> <h2 id="oficjalne-źródła"> Oficjalne źródła <a href="#oficjalne-%c5%bar%c3%b3d%c5%82a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20240000928/O/D20240928.pdf" rel="nofollow">Ustawa z 14 czerwca 2024 r. — oficjalny tekst PDF</a> </li> <li><a href="https://bip.brpo.gov.pl/pl/sygnalisci" rel="nofollow">RPO — sygnalisci</a> </li> <li><a href="https://bip.brpo.gov.pl/pl/content/ustawa-o-ochronie-sygnalistow-wchodzi-w-zycie" rel="nofollow">RPO — komunikat o wejściu ustawy w życie</a> </li> <li><a href="https://uodo.gov.pl/pl/501/3485" rel="nofollow">UODO — sygnalisci i ochrona danych</a> </li> </ul> <hr> <p><a href="/pl/pricing/">Wdróż swój kanał zgłaszania →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/whistleblower-software-is-a-form-and-a-database/Sun, 05 Apr 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/whistleblower-software-is-a-form-and-a-database/Co narzędzie do zgłaszania nieprawidłowości musi robić zgodnie z Dyrektywą UE 2019/1937 — i które funkcje naprawdę mają znaczenie.<h1 id="na-co-zwrócić-uwagę-przy-wyborze-oprogramowania-dla-sygnalistów"> Na co zwrócić uwagę przy wyborze oprogramowania dla sygnalistów <a href="#na-co-zwr%c3%b3ci%c4%87-uwag%c4%99-przy-wyborze-oprogramowania-dla-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Dyrektywa UE o ochronie sygnalistów wymaga od Twojej organizacji prowadzenia bezpiecznego wewnętrznego kanału zgłoszeniowego. Nie wszystkie narzędzia, które deklarują zgodność z Dyrektywą, faktycznie ją zapewniają.</p> <p>Oto jak ocenić, co naprawdę ma znaczenie.</p> <hr> <h2 id="co-narzędzie-do-zgłaszania-nieprawidłowości-musi-robić"> Co narzędzie do zgłaszania nieprawidłowości musi robić <a href="#co-narz%c4%99dzie-do-zg%c5%82aszania-nieprawid%c5%82owo%c5%9bci-musi-robi%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wymagania Dyrektywy przekładają się na pięć kluczowych funkcji:</p> <ol> <li>Zgłaszający składa zgłoszenie przez bezpieczny kanał.</li> <li>Zgłoszenie jest przechowywane poufnie w zaszyfrowanym systemie.</li> <li>Wyznaczona osoba prowadząca przegląda je i odpowiada.</li> <li>System śledzi terminy potwierdzenia (7 dni) i informacji zwrotnej (3 miesiące).</li> <li>Każda czynność jest rejestrowana w dzienniku audytu tylko do dopisywania.</li> </ol> <p>Te pięć funkcji stanowi podstawę zgodności. Każde narzędzie, które oceniasz, powinno wykazać, jak realizuje każdą z nich.</p> <hr> <h2 id="funkcje-kluczowe-dla-zgodności"> Funkcje kluczowe dla zgodności <a href="#funkcje-kluczowe-dla-zgodno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Przy ocenie platform skup się na tym, czego Dyrektywa faktycznie wymaga:</p> <ul> <li><strong>Anonimowe zgłaszanie</strong> — Art. 6(1) wymaga poufności. Najlepsza implementacja oznacza brak logowania IP, brak śledzenia i automatyczne usuwanie metadanych plików (EXIF, GPS, autor).</li> <li><strong>Dwukierunkowa komunikacja</strong> — Art. 9(1)(b) wymaga kontaktu zwrotnego ze zgłaszającym. Oznacza to bezpieczną komunikację bez konieczności tworzenia konta.</li> <li><strong>Śledzenie terminów</strong> — Art. 9(1)(b) i 9(1)(f) wyznaczają terminy 7-dniowy i 3-miesięczny. Automatyczne śledzenie z powiadomieniami zapobiega naruszeniom.</li> <li><strong>Dziennik audytu</strong> — Art. 18 wymaga dokumentacji. Rejestr tylko do dopisywania wszystkich działań stanowi dowód oczekiwany przez regulatorów.</li> <li><strong>Rezydencja danych w UE</strong> — RODO dotyczy wszystkich danych ze zgłoszeń. Hosting w UE upraszcza zgodność.</li> <li><strong>Kontrola retencji danych</strong> — Art. 17(1)(d) wymaga określonych okresów przechowywania. Konfigurowalne automatyczne usuwanie zapewnia, że dane nie są przechowywane dłużej niż to konieczne.</li> </ul> <hr> <h2 id="funkcje-które-brzmią-imponująco-ale-nie-wynikają-z-dyrektywy"> Funkcje, które brzmią imponująco, ale nie wynikają z Dyrektywy <a href="#funkcje-kt%c3%b3re-brzmi%c4%85-imponuj%c4%85co-ale-nie-wynikaj%c4%85-z-dyrektywy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Niektóre platformy podkreślają możliwości wykraczające poza wymagania zgodności:</p> <ul> <li>„Ocena ryzyka oparta na AI"</li> <li>„Analiza sentymentu"</li> <li>„Predykcyjne panele analityczne"</li> <li>„Benchmarking na tle 10 000+ organizacji"</li> </ul> <p>Te funkcje mogą być przydatne dla dużych organizacji z rozwiniętymi programami zgodności. Ale nie są wymaganiami Dyrektywy, a ich obecność nie czyni narzędzia bardziej zgodnym.</p> <hr> <h2 id="przejrzystość-cenowa-jako-wskaźnik"> Przejrzystość cenowa jako wskaźnik <a href="#przejrzysto%c5%9b%c4%87-cenowa-jako-wska%c5%banik" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dyrektywa dotyczy organizacji o bardzo różnej wielkości. Wybrane narzędzie powinno pasować do Twojej skali.</p> <p>Niektóre platformy publikują cenniki otwarcie. Inne wymagają procesu sprzedażowego. Przejrzyste ceny pozwalają szybciej ocenić dopasowanie.</p> <hr> <h2 id="pytania-do-zadania-podczas-oceny"> Pytania do zadania podczas oceny <a href="#pytania-do-zadania-podczas-oceny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ol> <li><strong>Gdzie przechowywane są dane?</strong> Potwierdź hosting i rezydencję danych w UE.</li> <li><strong>Jak chronieni są zgłaszający?</strong> Zweryfikuj anonimizację IP i usuwanie metadanych.</li> <li><strong>Jak śledzone są terminy?</strong> Potwierdź automatyczne śledzenie z powiadomieniami.</li> <li><strong>Czy dziennik audytu jest tylko do dopisywania?</strong> Upewnij się, że wpisów nie można modyfikować po utworzeniu.</li> <li><strong>Co się dzieje po rezygnacji?</strong> Poznaj zasady eksportu i usuwania danych.</li> <li><strong>Czy dostępna jest umowa powierzenia danych?</strong> Wymagana dla zgodności z RODO.</li> </ol> <hr> <h2 id="jak-ethicsportal-odpowiada-na-te-wymagania"> Jak EthicsPortal odpowiada na te wymagania <a href="#jak-ethicsportal-odpowiada-na-te-wymagania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://ethicsportal.eu">EthicsPortal</a> jest zbudowany specjalnie pod zgodność z Dyrektywą UE 2019/1937:</p> <ul> <li>49 €/miesiąc, wszystkie funkcje w cenie</li> <li>Anonimowe zgłaszanie z anonimizacją IP i usuwaniem metadanych plików</li> <li>Bezpieczna dwukierunkowa komunikacja przez kod dostępu</li> <li>Automatyczne śledzenie terminów z powiadomieniami o przekroczeniu</li> <li>Dziennik audytu tylko do dopisywania i eksport spraw do PDF</li> <li>Hosting na Hetzner w Norymberdze, Niemcy — wszystkie dane pozostają w UE</li> </ul> <p>Zobacz naszą <a href="/pl/directive-coverage/">analizę zgodności artykuł po artykule</a> po szczegóły.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/if-employees-have-to-ask-you-dont-have-a-channel/Sat, 04 Apr 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/if-employees-have-to-ask-you-dont-have-a-channel/Prawo UE wymaga od pracodawcow informowania pracownikow o kanale zglaszania nieprawidlowosci. Ale jesli jego znalezienie wymaga pytania kogos, kanal jest juz skompromitowany.<h1 id="jesli-pracownicy-musza-pytac-gdzie-jest-kanal-zgloszeniowy-to-go-nie-masz"> Jesli pracownicy musza pytac, gdzie jest kanal zgloszeniowy, to go nie masz <a href="#jesli-pracownicy-musza-pytac-gdzie-jest-kanal-zgloszeniowy-to-go-nie-masz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Pracownik podejrzewa oszustwo. Chce to zglosic. Jego pierwszym krokiem nie powinno byc podejscie do dzialu HR i pytanie “czy mamy kanal do zglaszania nieprawidlowosci?”</p> <p>Sam akt pytania jest sygnalem. W dokladnie takim miejscu pracy, dla jakiego Dyrektywa istnieje — gdzie dochodza do nieprawidlowosci i ktos chce je zglosic — pytanie o kanal zgloszeniowy mowi ludziom, ze myslisz o zgloszeniu czegos. Zanim wpiszesz chocby jedno slowo, jestes juz zdemaskowany.</p> <hr> <h2 id="prawo-jest-jasne-musisz-poinformowac-pracownikow"> Prawo jest jasne: musisz poinformowac pracownikow <a href="#prawo-jest-jasne-musisz-poinformowac-pracownikow" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa o ochronie sygnalistow</a> i Dyrektywa UE 2019/1937 nie tylko wymagaja od organizacji utworzenia kanalu zgloszeniowego. Wymagaja, aby upewnily sie, ze pracownicy o nim wiedza.</p> <p><strong>Art. 9 ust. 1 lit. g)</strong> naklada obowiazek zapewnienia “jasnych i latwo dostepnych informacji” o procedurach zglaszania — zarowno wewnetrznych, jak i zewnetrznych. To nie jest opcjonalne. Jesli masz kanal zgloszeniowy, ale Twoi pracownicy nie wiedza o jego istnieniu, nie spelniasz wymagan Ustawy o ochronie sygnalistow.</p> <p>Krajowe transpozycje ida dalej:</p> <ul> <li><strong>Niemcy (HinSchG §13):</strong> Pracodawcy musza dostarczyc “jasne i latwo dostepne informacje o korzystaniu z wewnetrznego kanalu zgloszeniowego.”</li> <li><strong>Francja (Sapin II, Loi Waserman):</strong> Firmy musza informowac pracownikow o procedurach zglaszania i publikowac te informacje w dostepny sposob.</li> <li><strong>Polska (Ustawa o ochronie sygnalistow):</strong> Pracodawcy musza informowac pracownikow o procedurach zglaszania co najmniej raz w roku.</li> </ul> <p>Schemat jest wszedzie taki sam: utworzenie kanalu to polowa zadania. Poinformowanie o nim pracownikow to druga polowa.</p> <hr> <h2 id="problem-projektowy-o-ktorym-nikt-nie-mowi"> Problem projektowy, o ktorym nikt nie mowi <a href="#problem-projektowy-o-ktorym-nikt-nie-mowi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wiekszosc dyskusji o zgodnosci konczy sie na “poinformuj pracownikow” i zaklada, ze firmowy e-mail lub strona w intranecie rozwiazuje problem. Nie rozwiazuje.</p> <p>Pomysl, co faktycznie sie dzieje:</p> <p><strong>Scenariusz 1: Kanal jest w firmowym intranecie.</strong> Pracownik musi uzyc sluzbowego komputera, zalogowac sie do sieci korporacyjnej, przejsc do sekcji zgodnosci i kliknac do portalu zgloszeniowego. Kazdy krok zostawia cyfrowy slad na urzadzeniu kontrolowanym przez pracodawce. Dzial IT moze widziec, jakie strony odwiedzasz w intranecie.</p> <p><strong>Scenariusz 2: Kanal wymaga firmowej aplikacji.</strong> Pracownik musi pobrac aplikacje, byc moze przez korporacyjny system MDM (zarzadzanie urzadzeniami mobilnymi) i utworzyc konto. Sam fakt instalacji aplikacji do zglaszania nieprawidlowosci na sluzbowym telefonie jest juz deklaracja.</p> <p><strong>Scenariusz 3: Kanal jest wspomniany raz w podreczniku pracownika.</strong> Strona 47, sekcja 12.3, miedzy polityka parkingowa a dress code’em. Nikt nie pamietao jego istnieniu. Kiedy ktos go potrzebuje, musi zapytac. A pytanie jest problemem.</p> <hr> <h2 id="co-naprawde-oznacza-latwo-dostepny"> Co naprawde oznacza “latwo dostepny” <a href="#co-naprawde-oznacza-latwo-dostepny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jesli powaznie traktujesz cel Dyrektywy — ochrone osob zglaszajacych nieprawidlowosci — to “latwo dostepny” oznacza:</p> <p><strong>Pracownik powinien moc uzyskac dostep do kanalu bez:</strong></p> <ul> <li>Uzywania sluzbowego urzadzenia</li> <li>Bycia w sieci firmowej</li> <li>Instalowania aplikacji</li> <li>Tworzenia konta</li> <li>Pytania kogokolwiek, gdzie go znalezc</li> <li>Pozostawiania jakiegokolwiek sladu, ze go szukal</li> </ul> <p>To znacznie zaweza opcje. Kanal musi byc <strong>publicznym adresem URL</strong>, ktory dziala w kazdej przegladarce na kazdym urzadzeniu — w tym na prywatnym telefonie na danych mobilnych, calkowicie poza infrastruktura pracodawcy.</p> <hr> <h2 id="jak-sprawic-by-kanal-byl-naprawde-dostepny"> Jak sprawic, by kanal byl naprawde dostepny <a href="#jak-sprawic-by-kanal-byl-naprawde-dostepny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>1. Publiczny adres URL, nie strona intranetu.</strong> Portal zgloszeniowy powinien byc dostepny z kazdej przegladarki, na kazdym urzadzeniu, bez uwierzytelniania. Pracownik w domu, na swoim prywatnym telefonie, o 23:00, powinien moc wpisac adres URL i rozpoczac zgloszenie. Bez VPN, bez logowania, bez firmowego e-maila.</p> <p><strong>2. Kody QR w prywatnych miejscach.</strong> Wydrukuj kod QR i umie sc go tam, gdzie ludzie moga go zeskanowac bez bycia obserwowanymi: kabiny toaletowe, pokoje socjalne, szatnie, tylna strona drzwi windy. Pracownik skanujacy kod QR na scianie toalety nie zostawia cyfrowego sladu i nie zwraca uwagi.</p> <p><strong>3. Fizyczne plakaty, nie tylko e-maile.</strong> Firmowy e-mail o kanale zgloszeniowym jest latwy do przeoczenia i trudny do znalezienia szesc miesiecy pozniej. Plakat na scianie kazdej kuchni biurowej z kodem QR i adresem URL jest zawsze tam, gdy ktos go potrzebuje.</p> <p><strong>4. Wspomnij o tym przy wdrazaniu kazdego nowego pracownika.</strong> Orientacja nowego pracownika powinna obejmowac adres URL portalu zgloszeniowego i wydrukowana karte z kodem QR. Nie ukryta w podreczniku. Wreczana bezposrednio.</p> <p><strong>5. Bez wymogu konta.</strong> Jesli narzedzie zgloszeniowe wymaga od pracownika utworzenia konta z adresem e-mail, aby zlozyc zgloszenie, nie jest anonimowe i nie jest bezpieczne. Zglaszajacy powinien moc przeslac zgloszenie bez podawania jakichkolwiek danych identyfikujacych i otrzymac kod dostepu, aby pozniej sprawdzic status.</p> <hr> <h2 id="tak-wlasnie-dziala-ethicsportal"> Tak wlasnie dziala EthicsPortal <a href="#tak-wlasnie-dziala-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kazda organizacja w EthicsPortal otrzymuje publiczny adres URL portalu zgloszeniowego. Dziala w kazdej przegladarce, na kazdym urzadzeniu. Bez aplikacji, bez konta, bez sieci firmowej.</p> <p>Portal generuje <strong>kod QR</strong>, ktory mozna wydrukowac i umie scic gdziekolwiek. Zeskanuj go, a jestes na stronie zgloszeniowej. Bez logowania, bez sladu.</p> <p>Zglaszajacy przesylaja zgloszenia anonimowo — bez imienia, bez e-maila, bez rejestrowania IP. Otrzymuja kod dostepu, aby sprawdzic aktualizacje. Cala interakcja odbywa sie w oknie przegladarki, ktore mozna zamknac, i nic nie pozostaje.</p> <p>Osoba rozpatrujaca nigdy nie widzi tozsamosci zglaszajacego. Zglaszajacy nigdy nie widzi imienia osoby rozpatrujacej. System odlicza do 7 dni, odlicza do 3 miesiecy i rejestruje wszystko.</p> <p>Tak wyglada “latwo dostepny”, gdy powaznie traktujesz Dyrektywe.</p> <hr> <p><em>Jesli kanal zglaszania nieprawidlowosci w Twojej organizacji wymaga od pracownikow pytania kogos, gdzie go znalezc, masz pole wyboru w audycie zgodnosci. Nie masz kanalu zgloszeniowego. <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Skonfiguruj prawdziwy w dziesiec minut.</a> </em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/top-whistleblower-software-eu-directive-2019-1937/Wed, 01 Apr 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/top-whistleblower-software-eu-directive-2019-1937/Ranking porownawczy platform dla sygnalistow spelniajacych wymagania Dyrektywy UE 2019/1937. Ocena pokrycia Art. 8-16, cen, hostingu w UE i szybkosci wdrozenia.<h1 id="najlepsze-oprogramowanie-dla-sygnalistow-zgodne-z-dyrektywa-ue-20191937"> Najlepsze oprogramowanie dla sygnalistow zgodne z Dyrektywa UE 2019/1937 <a href="#najlepsze-oprogramowanie-dla-sygnalistow-zgodne-z-dyrektywa-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Dyrektywa UE 2019/1937 wymaga od kazdej organizacji zatrudniajacej 50 lub wiecej pracownikow prowadzenia bezpiecznego wewnetrznego kanalu zgloszeniowego. Dyrektywa precyzyjnie okresla, co taki kanal musi robic: przyjmowac zgloszenia pisemne i ustne, chronic poufnosc zglaszajacego, potwierdzac odbioru w ciagu 7 dni, przekazywac informacje zwrotna w ciagu 3 miesiecy i prowadzic rejestry bez ujawniania tozsamosci zglaszajacego.</p> <p>Oto co jest dziwne w tym rynku: zglaszanie nieprawidlowosci to proste narzedzie. Zglaszajacy przesyla zgloszenie. Osoba rozpatrujaca czyta je i odpowiada. System slledzi terminy i prowadzi dziennik audytu. To caly produkt.</p> <p>A jednak wiekszosc dostawcow ukrywa ceny za formularzami “skontaktuj sie po demo”, wymaga tygodniowych procesow sprzedazowych i wypelnia listy funkcji analityka opartha na AI, analiza sentymentu i innymi dodatkami, ktore nie maja nic wspolnego z tym, czego faktycznie wymaga Dyrektywa. Efekt jest taki, ze specjalista ds. zgodnosci w 100-osobowej firmie trafia na rozmowe sprzedazowa dotyczaca narzedzia, ktore powinno zajac dziesiec minut do skonfigurowania.</p> <p>Ten artykul klasyfikuje najlepsze oprogramowanie dla sygnalistow wedlug tego, jak dobrze kazda platforma spelnia wymogi prawne Dyrektywy — a nie wedlug rozpoznawalnosci marki, liczby funkcji AI czy efektownosci prezentacji sprzedazowej.</p> <hr> <h2 id="jak-ocenialismy"> Jak ocenialismy <a href="#jak-ocenialismy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kazda platforme oceniono pod katem szesciu podstawowych wymagan Dyrektywy 2019/1937:</p> <table> <thead> <tr> <th>Wymog</th> <th>Artykuly Dyrektywy</th> <th>Czego wymaga prawo</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal zgloszeniowy</td> <td>Art. 8</td> <td>Szyfrowany, dostepny dla wszystkich pracownikow, bez wymogu konta</td> </tr> <tr> <td>Poufnosc zglaszajacego</td> <td>Art. 16</td> <td>Tozsamosc nieujawniana bez zgody, dostep ograniczony do upowaznionych osob</td> </tr> <tr> <td>Potwierdzenie odbioru</td> <td>Art. 9 ust. 1 lit. b)</td> <td>Pisemne potwierdzenie w ciagu 7 dni</td> </tr> <tr> <td>Termin informacji zwrotnej</td> <td>Art. 9 ust. 1 lit. f)</td> <td>Merytoryczna informacja zwrotna w ciagu 3 miesiecy</td> </tr> <tr> <td>Dwukierunkowa komunikacja</td> <td>Art. 9 ust. 1 lit. b)</td> <td>Mozliwosc komunikacji ze zglaszajacym, w tym anonimowym</td> </tr> <tr> <td>Prowadzenie rejesstrow</td> <td>Art. 18</td> <td>Zgloszenia przechowywane bezpiecznie, zatrzymywane zgodnie z wymogami prawnymi, usuwane gdy nie sa juz potrzebne</td> </tr> </tbody> </table> <p>Uwzglednilismy rowniez czynniki praktyczne: przejrzystosc cen, rezydencje danych w UE, szybkosc wdrozenia i to, czy platforma wymaga rozmowy sprzedazowej, zeby zaczac.</p> <hr> <h2 id="ranking"> Ranking <a href="#ranking" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-ethicsportal--najlepszy-dla-msp-potrzebujacych-szybkiej-i-niedrogiej-zgodnosci"> 1. EthicsPortal — najlepszy dla MSP potrzebujacych szybkiej i niedrogiej zgodnosci <a href="#1-ethicsportal--najlepszy-dla-msp-potrzebujacych-szybkiej-i-niedrogiej-zgodnosci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Pokrycie Dyrektywy: pelne.</strong> EthicsPortal zostal zbudowany specjalnie dla Dyrektywy UE 2019/1937. Kazda funkcja odpowiada artykuowi.</p> <table> <thead> <tr> <th>Wymog Dyrektywy</th> <th>Jak EthicsPortal go realizuje</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal (Art. 8)</td> <td>Szyfrowany portal internetowy, unikalny URL dla kazdej organizacji, bez wymogu aplikacji</td> </tr> <tr> <td>Poufnosc (Art. 16)</td> <td>Brak rejestrowania IP, usuwanie metadanych plikow (EXIF, GPS, autor), szyfrowanie danych w spoczynku</td> </tr> <tr> <td>Potwierdzenie w 7 dni (Art. 9)</td> <td>Automatyczne sledzenie terminow z powiadomieniami dla osob rozpatrujacych</td> </tr> <tr> <td>Informacja zwrotna w 3 miesiace (Art. 9)</td> <td>Automatyczne sledzenie terminow z alertami o przekroczeniu</td> </tr> <tr> <td>Dwukierunkowa komunikacja (Art. 9)</td> <td>Anonimowy watek wiadomosci przez kod dostepu — imiona osob rozpatrujacych nigdy nie sa ujawniane</td> </tr> <tr> <td>Prowadzenie rejestrow (Art. 18)</td> <td>Dziennik audytu tylko do dopisywania, eksport PDF dla audytorow</td> </tr> </tbody> </table> <p><strong>Cena:</strong> 49 EUR/miesiac ryczaltowo. Bez oplat za pracownika, bez dodatkow. <strong>Hosting w UE:</strong> Tak — Hetzner, Norymberga, Niemcy. <strong>Czas wdrozenia:</strong> Minuty. Samodzielna rejestracja, bez rozmowy sprzedazowej.</p> <p><strong>Dlaczego zajmuje pierwsze miejsce:</strong> Zglaszanie nieprawidlowosci nie jest zlozonym problemem. Dyrektywa mowi dokladnie, co narzedzie musi robic, a EthicsPortal robi dokladnie to — nic wiecej, nic mniej. Bez analizy sentymentu AI, bez “oceny ryzyka”, bez funkcji istniejacych po to, by uzasadnic wyzsza cene. Pelna zgodnosc z Art. 8–18 za 49 EUR/miesiac, widoczne na stronie, bez wymogu rozmowy sprzedazowej.</p> <p>Kompromisem jest to, ze EthicsPortal jest nowszy i nie posiada jeszcze certyfikatu ISO 27001 ani uslugi telefonicznej infolinii.</p> <p>EthicsPortal to nasz produkt. Zaprojektowaliśmy go, aby zapewnić pełną zgodność z Dyrektywą z przejrzystym cennikiem i natychmiastowym wdrożeniem.</p> <hr> <h3 id="2-formalize-whistleblowersoftwarecom--najlepszy-dla-srednich-firm-chcacych-dopracowanego-produktu"> 2. Formalize (WhistleblowerSoftware.com) — najlepszy dla srednich firm chcacych dopracowanego produktu <a href="#2-formalize-whistleblowersoftwarecom--najlepszy-dla-srednich-firm-chcacych-dopracowanego-produktu" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Pokrycie Dyrektywy: pelne.</strong> Zbudowany w Danii z Dyrektywa UE jako glownym zalozeniem projektowym.</p> <table> <thead> <tr> <th>Wymog Dyrektywy</th> <th>Pokrycie</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal (Art. 8)</td> <td>Tak — portal internetowy z szyfrowaniem</td> </tr> <tr> <td>Poufnosc (Art. 16)</td> <td>Tak — kontrola dostepu, szyfrowanie danych</td> </tr> <tr> <td>Potwierdzenie w 7 dni (Art. 9)</td> <td>Tak — automatyczne sledzenie</td> </tr> <tr> <td>Informacja zwrotna w 3 miesiace (Art. 9)</td> <td>Tak — automatyczne sledzenie</td> </tr> <tr> <td>Dwukierunkowa komunikacja (Art. 9)</td> <td>Tak — anonimowa komunikacja</td> </tr> <tr> <td>Prowadzenie rejestrow (Art. 18)</td> <td>Tak — dziennik audytu</td> </tr> </tbody> </table> <p><strong>Cena:</strong> Wymagana indywidualna wycena. Wczesniej publikowane ceny za pracownika; juz nie sa publiczne. <strong>Hosting w UE:</strong> Tak — Dania. <strong>Czas wdrozenia:</strong> Dni — obejmuje proces demo/sprzedazy.</p> <p><strong>Dlaczego zajmuje to miejsce:</strong> Silna zgodnosc z Dyrektywa, certyfikaty ISO 27001 i ISAE 3000, 80+ jezykow. Formalize kiedys publikowal ceny na stronie — juz tego nie robi, co mowi cos o kierunku, w ktorym zmierza. Teraz musisz poprosic o wycene i przejsc przez proces sprzedazowy, zeby dowiedziec sie, ile to kosztuje. Jesli potrzebujesz certyfikatow i ekosystemu partnerow (PwC, Baker McKenzie), Formalize jest mocnym wyborem — ale przygotuj sie na negocjowanie cen, ktorych nie mozesz zobaczyc z gory.</p> <hr> <h3 id="3-hintbox--najlepszy-dla-rynkow-niemieckojezycznych"> 3. Hintbox — najlepszy dla rynkow niemieckojezycznych <a href="#3-hintbox--najlepszy-dla-rynkow-niemieckojezycznych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Pokrycie Dyrektywy: pelne.</strong> Niemiecka platforma z 1000+ klientami. Czesc pakietu lawcode.</p> <table> <thead> <tr> <th>Wymog Dyrektywy</th> <th>Pokrycie</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal (Art. 8)</td> <td>Tak — szyfrowany portal, hostowany na Hetzner (Niemcy)</td> </tr> <tr> <td>Poufnosc (Art. 16)</td> <td>Tak — usuwanie metadanych, 2FA, skanowanie wirusow</td> </tr> <tr> <td>Potwierdzenie w 7 dni (Art. 9)</td> <td>Tak — sledzenie terminow</td> </tr> <tr> <td>Informacja zwrotna w 3 miesiace (Art. 9)</td> <td>Tak — sledzenie terminow</td> </tr> <tr> <td>Dwukierunkowa komunikacja (Art. 9)</td> <td>Tak — anonimowa komunikacja, opcjonalny voice bot (+49 EUR/mies.)</td> </tr> <tr> <td>Prowadzenie rejestrow (Art. 18)</td> <td>Tak — dziennik audytu</td> </tr> </tbody> </table> <p><strong>Cena:</strong> Od 49 EUR/miesiac. Rosnie do 149+ EUR/miesiac wraz z liczba pracownikow. Dodatki: voice bot (+49 EUR/mies.), integracja e-mail (+29 EUR/mies.), wlasna domena (+29 EUR/mies.). <strong>Hosting w UE:</strong> Tak — Hetzner, Niemcy. Certyfikat ISO 27001. <strong>Czas wdrozenia:</strong> Dni.</p> <p><strong>Dlaczego zajmuje to miejsce:</strong> Dojrzaly produkt, duza baza klientow (Rewe, s.Oliver, FC Bayern), certyfikat ISO 27001. Ceny za pracownika i koszty dodatkow oznaczaja, ze efektywna cena jest znacznie wyzsza niz punkt startowy 49 EUR dla wiekszosci organizacji. Skoncentrowany na regionie DACH — ograniczona obecnosc poza rynkami niemieckojezycznymi.</p> <hr> <h3 id="4-faceup--najlepszy-dla-organizacji-wielojęzycznych"> 4. FaceUp — najlepszy dla organizacji wielojęzycznych <a href="#4-faceup--najlepszy-dla-organizacji-wieloj%c4%99zycznych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Pokrycie Dyrektywy: pelne.</strong></p> <table> <thead> <tr> <th>Wymog Dyrektywy</th> <th>Pokrycie</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal (Art. 8)</td> <td>Tak</td> </tr> <tr> <td>Poufnosc (Art. 16)</td> <td>Tak — kontrola dostepu</td> </tr> <tr> <td>Potwierdzenie w 7 dni (Art. 9)</td> <td>Tak — automatyczne</td> </tr> <tr> <td>Informacja zwrotna w 3 miesiace (Art. 9)</td> <td>Tak — automatyczne</td> </tr> <tr> <td>Dwukierunkowa komunikacja (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Prowadzenie rejestrow (Art. 18)</td> <td>Tak — dziennik audytu</td> </tr> </tbody> </table> <p><strong>Cena:</strong> Niepublikowana. Trzy plany (Starter, Professional, Enterprise), ale wszystkie wyswietlaja „Zapytaj o wycene" — brak cen widocznych na stronie. Cennik w USD. <strong>Hosting w UE:</strong> Tak — Czechy. <strong>Czas wdrozenia:</strong> Godziny.</p> <p><strong>Dlaczego zajmuje to miejsce:</strong> FaceUp obsluguje 113 jezykow — jedna z najwyzszych liczb na rynku — i oferuje aplikacje mobilna do zglaszania. Pierwotnie zbudowany dla szkol w Czechach, rozszerzyl sie na zgodnosc korporacyjna w ponad 70 krajach. Cennik jest w dolarach amerykanskich i niepublikowany — wszystkie trzy plany (Starter, Professional, Enterprise) wyswietlaja przyciski „Zapytaj o wycene" zamiast cen, co uniemozliwia budzetowanie bez rozmowy sprzedazowej.</p> <hr> <h3 id="5-whistlelink--najlepszy-dla-firm-nordyckich"> 5. Whistlelink — najlepszy dla firm nordyckich <a href="#5-whistlelink--najlepszy-dla-firm-nordyckich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Pokrycie Dyrektywy: pelne.</strong></p> <table> <thead> <tr> <th>Wymog Dyrektywy</th> <th>Pokrycie</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal (Art. 8)</td> <td>Tak</td> </tr> <tr> <td>Poufnosc (Art. 16)</td> <td>Tak</td> </tr> <tr> <td>Potwierdzenie w 7 dni (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Informacja zwrotna w 3 miesiace (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Dwukierunkowa komunikacja (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Prowadzenie rejestrow (Art. 18)</td> <td>Tak</td> </tr> </tbody> </table> <p><strong>Cena:</strong> Od 79 EUR/miesiac (rozliczenie roczne). Rosnie wg progow pracowniczych: 79 EUR → 99 EUR → 149 EUR → 199 EUR → 299 EUR/miesiac. Powyzej 1000 pracownikow: na zapytanie. <strong>Hosting w UE:</strong> Tak — Szwecja. <strong>Czas wdrozenia:</strong> Dni. 30-dniowy bezplatny okres probny.</p> <p><strong>Dlaczego zajmuje to miejsce:</strong> Solidna zgodnosc z Dyrektywa, 50+ jezykow i dobre zarzadzanie sprawami. Wszystkie plany cenowe obejmuja ten sam zestaw funkcji — bez ograniczania wg planu. Od 79 EUR/miesiac, cennik jest wyzszy niz najtansze opcje, ale przejrzysty. Silna regionalna obecnosc w krajach nordyckich.</p> <hr> <h3 id="6-speakup-people-intouch--najlepszy-dla-zleconej-obslugi-spraw"> 6. SpeakUp (People Intouch) — najlepszy dla zleconej obslugi spraw <a href="#6-speakup-people-intouch--najlepszy-dla-zleconej-obslugi-spraw" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Pokrycie Dyrektywy: pelne.</strong> Jedna z najdluzej dzialajacych europejskich platform dla sygnalistow (Holandia).</p> <table> <thead> <tr> <th>Wymog Dyrektywy</th> <th>Pokrycie</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal (Art. 8)</td> <td>Tak — zgloszenia przez internet + telefon</td> </tr> <tr> <td>Poufnosc (Art. 16)</td> <td>Tak</td> </tr> <tr> <td>Potwierdzenie w 7 dni (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Informacja zwrotna w 3 miesiace (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Dwukierunkowa komunikacja (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Prowadzenie rejestrow (Art. 18)</td> <td>Tak</td> </tr> </tbody> </table> <p><strong>Cena:</strong> Od okolo 3 000 EUR/rok dla firm do 1000 pracownikow. Indywidualnie dla wiekszych. <strong>Hosting w UE:</strong> Tak — Holandia. <strong>Czas wdrozenia:</strong> Dni.</p> <p><strong>Dlaczego zajmuje to miejsce:</strong> Unikalna propozycja wartosci: zlecona obsluga spraw przez przeszkolonych specjalistow. Jesli Twoja organizacja nie ma wewnetrznych zasobow do zarzadzania zgloszeniami, SpeakUp robi to za Ciebie. Kompromisem jest cena — placisz za ludzi-operatorow, nie tylko za oprogramowanie.</p> <hr> <h3 id="7-eqs-integrity-line--najlepszy-dla-duzych-przedsiebiorstw"> 7. EQS Integrity Line — najlepszy dla duzych przedsiebiorstw <a href="#7-eqs-integrity-line--najlepszy-dla-duzych-przedsiebiorstw" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Pokrycie Dyrektywy: pelne.</strong> Europejski standard korporacyjny.</p> <table> <thead> <tr> <th>Wymog Dyrektywy</th> <th>Pokrycie</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal (Art. 8)</td> <td>Tak — 70+ jezykow</td> </tr> <tr> <td>Poufnosc (Art. 16)</td> <td>Tak — kontrola dostepu na poziomie korporacyjnym</td> </tr> <tr> <td>Potwierdzenie w 7 dni (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Informacja zwrotna w 3 miesiace (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Dwukierunkowa komunikacja (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Prowadzenie rejestrow (Art. 18)</td> <td>Tak — integracja z pakietami GRC</td> </tr> </tbody> </table> <p><strong>Cena:</strong> Niepublikowana. Szacunkowo 2 000+ EUR/miesiac. Wymaga procesu sprzedazowego. <strong>Hosting w UE:</strong> Tak. <strong>Czas wdrozenia:</strong> Tygodnie.</p> <p><strong>Dlaczego zajmuje to miejsce:</strong> Jesli jestes bankiem, ubezpieczycielem lub spolka gieldowa z 5 000+ pracownikow, EQS jest bezpiecznym wyborem dla duzych przedsiebiorstw. Dla wszystkich innych placisz za funkcje i skale, ktorych nie potrzebujesz. Wdrozenie trwa tygodnie, nie minuty.</p> <hr> <h3 id="8-navex-global--najlepszy-dla-amerykanskich-korporacji-z-operacjami-w-ue"> 8. NAVEX Global — najlepszy dla amerykanskich korporacji z operacjami w UE <a href="#8-navex-global--najlepszy-dla-amerykanskich-korporacji-z-operacjami-w-ue" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Pokrycie Dyrektywy: pelne, ale zgodnosc z UE wyglada na dobudowana.</strong></p> <table> <thead> <tr> <th>Wymog Dyrektywy</th> <th>Pokrycie</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanal (Art. 8)</td> <td>Tak — internet + infolinia telefoniczna</td> </tr> <tr> <td>Poufnosc (Art. 16)</td> <td>Tak</td> </tr> <tr> <td>Potwierdzenie w 7 dni (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Informacja zwrotna w 3 miesiace (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Dwukierunkowa komunikacja (Art. 9)</td> <td>Tak</td> </tr> <tr> <td>Prowadzenie rejestrow (Art. 18)</td> <td>Tak — rozbudowana analityka</td> </tr> </tbody> </table> <p><strong>Cena:</strong> Indywidualna. Zazwyczaj 5 000+ EUR/rok. Wymaga procesu sprzedazowego. <strong>Hosting w UE:</strong> Dostepny jako opcja, nie domyslnie. <strong>Czas wdrozenia:</strong> Tygodnie.</p> <p><strong>Dlaczego zajmuje to miejsce:</strong> NAVEX to dominujaca amerykanska platforma do zarzadzania zgodnoscia z dziesiecioleciami historii i tysiacami klientow. Ich produkt EthicsPoint pokrywa Dyrektywe, ale platforma byla projektowana przede wszystkim dla amerykanskich ram regulacyjnych. Hosting w UE jest dostepny, ale nie domyslny. Ceny korporacyjne i dlugie cykle wdrozenia stawiaja ja poza zasiegiem MSP.</p> <hr> <h2 id="ktora-platforme-powinienes-wybrac"> Ktora platforme powinienes wybrac? <a href="#ktora-platforme-powinienes-wybrac" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Twoja sytuacja</th> <th>Najlepszy wybor</th> </tr> </thead> <tbody> <tr> <td>MSP lub startup, potrzebujesz szybkiej zgodnosci, ograniczony budzet</td> <td><strong>EthicsPortal</strong> (49 EUR/mies., konfiguracja w minuty)</td> </tr> <tr> <td>Srednia firma, chcesz certyfikatow i ekosystemu partnerow</td> <td><strong>Formalize</strong> (indywidualna cena, certyfikat ISO)</td> </tr> <tr> <td>Rynek niemieckojezyczny, potrzebujesz ISO 27001</td> <td><strong>Hintbox</strong> (49+ EUR/mies., ISO 27001)</td> </tr> <tr> <td>Potrzebujesz 113 jezykow lub mobilnej aplikacji do zgloszen</td> <td><strong>FaceUp</strong> (na zapytanie, USD)</td> </tr> <tr> <td>Firma nordycka, preferujesz regionalnego dostawce</td> <td><strong>Whistlelink</strong> (79+ EUR/mies.)</td> </tr> <tr> <td>Potrzebujesz zleconej obslugi spraw</td> <td><strong>SpeakUp</strong> (ok. 3 000 EUR/rok)</td> </tr> <tr> <td>Duze przedsiebiorstwo (500+ pracownikow), pelny pakiet GRC</td> <td><strong>EQS Integrity Line</strong> (indywidualna cena)</td> </tr> <tr> <td>Amerykanska korporacja z filia w UE</td> <td><strong>NAVEX Global</strong> (indywidualna cena)</td> </tr> </tbody> </table> <hr> <h2 id="dlaczego-wiekszosc-platform-jest-za-droga-w-stosunku-do-tego-co-oferuje"> Dlaczego wiekszosc platform jest za droga w stosunku do tego, co oferuje <a href="#dlaczego-wiekszosc-platform-jest-za-droga-w-stosunku-do-tego-co-oferuje" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kazda platforma na tej liscie pokrywa podstawowe wymogi Dyrektywy 2019/1937. Warto to powtorzyc: podstawowa funkcjonalnosc zgodnosci jest taka sama we wszystkich. Zglaszajacy przesyla zgloszenie. Osoba rozpatrujaca czyta je i odpowiada. System sledzi terminy i rejestruje dziennik audytu.</p> <p>Roznica w cenie miedzy 49 EUR/miesiac a 5 000+ EUR/rok nie wynika z wymagan Dyrektywy. Wynika z zespolow sprzedazy, pakietow dla duzych firm, funkcji AI, o ktore zaden specjalista ds. zgodnosci nie prosil, i zalozenia, ze “oprogramowanie do zgodnosci” moze byc wyceniane jak korporacyjny SaaS.</p> <p>Szesc z osm iu platform na tej liscie nie publikuje cen. Musisz wypelnic formularz, umowic sie na rozmowe, przejsc przez demo, a potem — moze — otrzymasz wycene. Dla narzedzia, ktore robi to, co arkusz kalkulacyjny moglby robic (zle), jest to absurdalne.</p> <p>Jesli oceniasz platformy, skup sie na trzech rzeczach:</p> <ol> <li><strong>Czy pokrywa Art. 8–18?</strong> Wszystkie powyzsze platformy pokrywaja, w platnych planach.</li> <li><strong>Czy dane sa hostowane w UE?</strong> Niepodlegajace negocjacji dla zgodnosci z RODO i Dyrektywa.</li> <li><strong>Czy mozesz zobaczyc cene i zarejestrowac sie dzisiaj?</strong> Jesli dostawca nie chce pokazac ceny, zastanow sie, pod katem czego optymalizuje.</li> </ol> <p>Zadna platforma dla sygnalistow nie moze sama w sobie zapewnic zgodnosci Twojej organizacji. Zgodnosc wymaga rowniez wewnetrznych polityk, wyznaczonych osob rozpatrujacych, szkolen i udokumentowanych procedur. Oprogramowanie to kanal zgloszeniowy — jeden element szerszego systemu zgodnosci. Nie powinien byc najdrozszym ani najbardziej czasochlonnym elementem.</p> <p>Szczegolowa analize zgodnosci artykul po artykule z wymogami EthicsPortal znajdziesz na naszej <a href="/pl/directive-coverage/">stronie zgodnosci</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/gdpr-and-whistleblower-reporting/Fri, 20 Mar 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/gdpr-and-whistleblower-reporting/Jak RODO ma zastosowanie do zgloszen sygnalistow. Podstawa prawna przetwarzania, dane anonimowe a pseudonimowe, okresy przechowywania i prawo do usuniecia danych.<h1 id="rodo-a-zglaszanie-nieprawidlowosci-co-musisz-wiedziec"> RODO a zglaszanie nieprawidlowosci: co musisz wiedziec <a href="#rodo-a-zglaszanie-nieprawidlowosci-co-musisz-wiedziec" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Kazde zgloszenie sygnalisty zawiera dane osobowe. Zglaszajacy moze podac swoje imie i nazwisko. Zgloszenie prawdopodobnie bedzie wskazywac osobe oskarzona o nieprawidlowosci. Dzialania osoby rozpatrujacej sa rejestrowane. Wszystko to stanowi dane osobowe w rozumieniu RODO.</p> <p>Tworzy to napiecie, z ktorym specjalisci ds. zgodnosci zmagaja sie na co dzien: Dyrektywa o ochronie sygnalistow (2019/1937) wymaga zbierania i przechowywania zgloszen, a RODO wymaga posiadania podstawy prawnej do tego, minimalizacji zbieranych danych i ich usuwania, gdy nie sa juz potrzebne.</p> <p>Oto jak te dwa systemy prawne wspoldzialaja i co to oznacza w praktyce.</p> <hr> <h2 id="jakie-dane-osobowe-zawiera-zgloszenie-sygnalisty"> Jakie dane osobowe zawiera zgloszenie sygnalisty? <a href="#jakie-dane-osobowe-zawiera-zgloszenie-sygnalisty" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wiecej niz mogloby sie wydawac:</p> <table> <thead> <tr> <th>Dane</th> <th>Zrodlo</th> <th>Kategoria RODO</th> </tr> </thead> <tbody> <tr> <td>Imie i nazwisko zglaszajacego (jesli podane)</td> <td>Dobrowolne</td> <td>Dane osobowe</td> </tr> <tr> <td>Dane kontaktowe zglaszajacego (jesli podane)</td> <td>Dobrowolne</td> <td>Dane osobowe</td> </tr> <tr> <td>Imie i nazwisko osoby oskarzonej</td> <td>Tresc zgloszenia</td> <td>Dane osobowe (osoba trzecia)</td> </tr> <tr> <td>Szczegoly domniemanego naruszenia</td> <td>Tresc zgloszenia</td> <td>Moga obejmowac dane szczegolnej kategorii (Art. 9)</td> </tr> <tr> <td>Przeslane pliki (dokumenty, zdjecia)</td> <td>Zglaszajacy</td> <td>Moga zawierac metadane (GPS, autor, znaczniki czasu)</td> </tr> <tr> <td>Dzialania i notatki osoby rozpatrujacej</td> <td>Zarzadzanie sprawa</td> <td>Dane osobowe (osoba rozpatrujaca)</td> </tr> <tr> <td>Znaczniki czasu i dziennik audytu</td> <td>System</td> <td>Dane osobowe</td> </tr> </tbody> </table> <p>Jesli zgloszenie opisuje molestowanie, dyskryminacje, problemy zdrowotne lub dzialalnosc przestepcza, moze zawierac <strong>dane szczegolnej kategorii</strong> zgodnie z Art. 9 RODO — co uruchamia bardziej rygorystyczne warunki przetwarzania.</p> <hr> <h2 id="jaka-jest-podstawa-prawna-przetwarzania"> Jaka jest podstawa prawna przetwarzania? <a href="#jaka-jest-podstawa-prawna-przetwarzania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Potrzebujesz podstawy prawnej zgodnie z Art. 6 RODO, aby przetwarzac dane osobowe w zgloszeniach sygnalistow. Najczesciej stosowane podstawy:</p> <h3 id="art-6-ust-1-lit-c--obowiazek-prawny"> Art. 6 ust. 1 lit. c) — Obowiazek prawny <a href="#art-6-ust-1-lit-c--obowiazek-prawny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>To jest podstawowa podstawa. Dyrektywa UE 2019/1937 i jej krajowe transpozycje nakladaja obowiazek prawny prowadzenia kanalu zgloszeniowego. Przetwarzanie danych osobowych jest niezbedne do spelnienia tego obowiazku.</p> <p>Obejmuje to:</p> <ul> <li>Przyjmowanie zgloszenia</li> <li>Bezpieczne przechowywanie</li> <li>Badanie zarzutow</li> <li>Komunikacje ze zglaszajacym</li> <li>Prowadzenie dziennika audytu</li> </ul> <h3 id="art-6-ust-1-lit-f--prawnie-uzasadniony-interes"> Art. 6 ust. 1 lit. f) — Prawnie uzasadniony interes <a href="#art-6-ust-1-lit-f--prawnie-uzasadniony-interes" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Niektore organizacje wykorzystuja prawnie uzasadniony interes jako dodatkowa podstawe, szczegolnie w przypadku przetwarzania wykraczajacego poza minimalne wymogi Dyrektywy (np. analiza wewnetrzna, raportowanie trendow). Wymaga to przeprowadzenia oceny prawnie uzasadnionego interesu (LIA) i testu rownowagi.</p> <h3 id="art-6-ust-1-lit-e--interes-publiczny-sektor-publiczny"> Art. 6 ust. 1 lit. e) — Interes publiczny (sektor publiczny) <a href="#art-6-ust-1-lit-e--interes-publiczny-sektor-publiczny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Organizacje sektora publicznego moga opierac sie na podstawie interesu publicznego, szczegolnie gdy prawo krajowe wyraznie upowazniao do przetwarzania w celu ochrony sygnalistow.</p> <h3 id="a-co-ze-zgoda"> A co ze zgoda? <a href="#a-co-ze-zgoda" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Nie opieraj sie na zgodzie.</strong> Nierownosc sil miedzy zglaszajacym a pracodawca oznacza, ze zgoda prawdopodobnie nie jest wyrazana dobrowolnie (motyw 43 RODO). Zglaszajacy nie moze w sposob znaczacy wyrazic zgody, gdy jego praca moze zalezec od wyniku. Zastosuj obowiazek prawny (Art. 6 ust. 1 lit. c)).</p> <hr> <h2 id="anonimowe-zgloszenia-a-rodo"> Anonimowe zgloszenia a RODO <a href="#anonimowe-zgloszenia-a-rodo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>To pytanie, ktore specjalisci ds. zgodnosci zadaja najczesciej: jesli zgloszenie jest naprawde anonimowe, czy RODO ma zastosowanie?</p> <h3 id="jesli-zglaszajacy-jest-niemozliwy-do-zidentyfikowania-rodo-nie-ma-do-niego-zastosowania"> Jesli zglaszajacy jest niemozliwy do zidentyfikowania: RODO nie ma do niego zastosowania <a href="#jesli-zglaszajacy-jest-niemozliwy-do-zidentyfikowania-rodo-nie-ma-do-niego-zastosowania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>RODO ma zastosowanie do danych osobowych dotyczacych zidentyfikowanej lub mozliwej do zidentyfikowania osoby (Art. 4 ust. 1). Jesli zglaszajacy przesyla zgloszenie bez podania imienia, adresu e-mail ani zadnych danych identyfikujacych — a system nie rejestruje ich adresu IP ani zadnego innego identyfikatora — tresc zgloszenia nie stanowi danych osobowych <em>w odniesieniu do zglaszajacego</em>.</p> <p>Jednakze:</p> <ul> <li><strong>Osoba oskarzona</strong> wskazana w zgloszeniu jest nadal mozliwa do zidentyfikowania. RODO ma pelne zastosowanie do jej danych.</li> <li>Jesli tresc zgloszenia zawiera szczegoly, ktore moga posrednio zidentyfikowac zglaszajacego (“jestem jedyna kobieta na trzecim pietrze”), moze to nadal stanowic dane osobowe.</li> </ul> <h3 id="co-technicznie-oznacza-anonimowosc"> Co technicznie oznacza “anonimowosc” <a href="#co-technicznie-oznacza-anonimowosc" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Aby anonimowosc byla zgodna z wymogami RODO, narzedzie do zglaszania musi:</p> <ul> <li><strong>Nie rejestrowac adresow IP.</strong> Jakiekolwiek rejestrowanie IP czyni zglaszajacego pseudonimowym, a nie anonimowym.</li> <li><strong>Nie wymagac konta ani adresu e-mail.</strong> Jesli zglaszajacy sie uwierzytelnia, jest mozliwy do zidentyfikowania.</li> <li><strong>Usuwac metadane plikow.</strong> Przeslane zdjecia i dokumenty zawieraja dane EXIF (wspolrzedne GPS, imie autora, informacje o urzadzeniu), ktore moga zidentyfikowac zglaszajacego.</li> <li><strong>Nie uzywac analityki ani sledzacych plikow cookie</strong> na portalu zgloszeniowym.</li> </ul> <p>Jesli Twoje narzedzie robi ktorakolwiek z tych rzeczy, zbierasz dane pseudonimowe, a nie anonimowe, i RODO ma pelne zastosowanie.</p> <hr> <h2 id="minimalizacja-danych-art-5-ust-1-lit-c"> Minimalizacja danych (Art. 5 ust. 1 lit. c)) <a href="#minimalizacja-danych-art-5-ust-1-lit-c" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dyrektywa wymaga kanalu zgloszeniowego. Nie wymaga zbierania wiekszej ilosci danych niz to konieczne.</p> <p>W praktyce:</p> <ul> <li><strong>Tozsamosc zglaszajacego musi byc opcjonalna.</strong> Zglaszajacy powinien moc przeslac zgloszenie bez podawania imienia i nazwiska ani danych kontaktowych.</li> <li><strong>Formularze zgloszeniowe powinny zbierac tylko niezbedne dane.</strong> Opis naruszenia, kategoria i opcjonalne pliki pomocnicze. Nie wymagaj dzialu, numeru pracownika ani innych identyfikatorow, chyba ze zglaszajacy zdecyduje sie je podac.</li> <li><strong>Notatki osoby rozpatrujacej powinny byc zwiazane z dochodzeniem.</strong> Nie rejestruj zbednych danych osobowych zglaszajacego ani osoby oskarzonej.</li> </ul> <hr> <h2 id="prawa-osoby-oskarzonej"> Prawa osoby oskarzonej <a href="#prawa-osoby-oskarzonej" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>To jest miejsce, w ktorym robi sie skomplikowanie. Osoba oskarzona w zgloszeniu sygnalisty ma prawa wynikajace z RODO — w tym prawo do informacji (Art. 14), prawo dostepu (Art. 15) i prawo do usuniecia danych (Art. 17).</p> <p>Ale korzystanie z tych praw nie moze naruszyc poufnosci zglaszajacego (Art. 16 Dyrektywy).</p> <h3 id="prawo-do-informacji-art-14"> Prawo do informacji (Art. 14) <a href="#prawo-do-informacji-art-14" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Zgodnie z RODO musisz informowac osoby o przetwarzaniu ich danych. Jednak Art. 16 ust. 1 Dyrektywy wymaga ochrony tozsamosci zglaszajacego. Rozwiazanie:</p> <ul> <li><strong>Mozesz</strong> poinformowac osobe oskarzona o zlozeniu zgloszenia — ale tylko wtedy, gdy nie stwarza to ryzyka zidentyfikowania zglaszajacego.</li> <li><strong>Czas ma znaczenie.</strong> Wiele panstw czlonkowskich zezwala na opoznienie powiadomienia do momentu, w ktorym nie zagrozioby to dochodzeniu. Niemiecki HinSchG wyraznie ogranicza ujawnianie informacji w okresie dochodzenia.</li> <li>Krajowe organy ochrony danych generalnie akceptuja, ze wymogi poufnosci Dyrektywy maja pierwszenstwo przed natychmiastowym obowiazkiem powiadomienia.</li> </ul> <h3 id="prawo-dostepu-art-15"> Prawo dostepu (Art. 15) <a href="#prawo-dostepu-art-15" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Osoba oskarzona moze zlozyc wniosek o dostep do danych przechowywanych na jej temat. Musisz je udostepnic — ale musisz zanonimizowac wszelkie informacje, ktore moglyby zidentyfikowac zglaszajacego. Obejmuje to imie i nazwisko zglaszajacego, ale takze szczegoly kontekstowe, ktore moglyby go posrednio ujawnic.</p> <h3 id="prawo-do-usuniecia-danych-art-17"> Prawo do usuniecia danych (Art. 17) <a href="#prawo-do-usuniecia-danych-art-17" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Osoba oskarzona nie moze zadac usuniecia zgloszenia bedacego czescia trwajacego dochodzenia lub ktore musi byc przechowywane na podstawie obowiazkow prawnych. Art. 17 ust. 3 lit. b) i e) RODO przewiduja wyjatki dla obowiazkow prawnych i roszczen prawnych.</p> <hr> <h2 id="okresy-przechowywania"> Okresy przechowywania <a href="#okresy-przechowywania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dyrektywa (Art. 18) wymaga prowadzenia rejestru zgloszen. RODO (Art. 5 ust. 1 lit. e)) wymaga nieprzechowywania danych osobowych dluzej niz jest to konieczne.</p> <h3 id="jak-dlugo-nalezy-przechowywac-zgloszenia"> Jak dlugo nalezy przechowywac zgloszenia? <a href="#jak-dlugo-nalezy-przechowywac-zgloszenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Dyrektywa nie okresla konkretnego okresu przechowywania. Krajowe transpozycje roznia sie:</p> <table> <thead> <tr> <th>Kraj</th> <th>Okres przechowywania</th> <th>Zrodlo</th> </tr> </thead> <tbody> <tr> <td>Francja</td> <td>5 lat po zamknieciu sprawy</td> <td>Decree 2022-1284</td> </tr> <tr> <td>Wlochy</td> <td>5 lat od daty zgloszenia</td> <td>D.Lgs. 24/2023</td> </tr> <tr> <td>Niemcy</td> <td>3 lata po zamknieciu sprawy (chyba ze trwaja postepowania)</td> <td>HinSchG §11</td> </tr> <tr> <td>Hiszpania</td> <td>Nieokreslony (obowiazuje ogolna minimalizacja RODO)</td> <td>Law 2/2023</td> </tr> </tbody> </table> <h3 id="najlepsza-praktyka"> Najlepsza praktyka <a href="#najlepsza-praktyka" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li>Ustaw konfigurowalny okres przechowywania (np. 12, 24, 36 lub 60 miesiecy po zamknieciu sprawy).</li> <li>Automatycznie usuwaj zamkniete sprawy po uplywie okresu przechowywania.</li> <li>Umozliw reczne usuwanie przez administratorow w przypadkach, gdy przechowywanie nie jest juz konieczne.</li> <li>Udokumentuj swoja polityke przechowywania i badz przygotowany na jej uzasadnienie przed regulatorem.</li> </ul> <hr> <h2 id="miedzynarodowe-transfery-danych"> Miedzynarodowe transfery danych <a href="#miedzynarodowe-transfery-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dane sygnalistow musza pozostac w UE, chyba ze posiadasz wazny mechanizm transferu zgodnie z rozdzialem V RODO.</p> <p>Ma to znaczenie przy wyborze narzedzia do zglaszania:</p> <ul> <li><strong>Platformy hostowane w UE</strong> (dane przechowywane w Niemczech, Francji, Holandii itp.): brak problemu z transferem.</li> <li><strong>Platformy hostowane w USA</strong> lub platformy korzystajace z amerykanskich dostawcow chmury (AWS US, Azure US, Google Cloud US): wymagaja oparcia na Standardowych klauzulach umownych (SCC) lub na ramach prywatnosci danych UE-USA — oba te mechanizmy zostaly prawnie zakwestionowane.</li> </ul> <p>Najprostsza droga: wybierz platforme, ktora hostuje wszystkie dane w UE. To eliminuje kwestie transferu calkowicie.</p> <hr> <h2 id="ocena-skutkow-dla-ochrony-danych-dpia"> Ocena skutkow dla ochrony danych (DPIA) <a href="#ocena-skutkow-dla-ochrony-danych-dpia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Art. 35 RODO wymaga przeprowadzenia DPIA, gdy przetwarzanie “moze powodowac wysokie ryzyko naruszenia praw i wolnosci osob fizycznych”.</p> <p>Zglaszanie nieprawidlowosci prawdopodobnie kwalifikuje sie, poniewaz:</p> <ul> <li>Obejmuje powazne zarzuty wobec zidentyfikowanych osob</li> <li>Zgloszenia moga zawierac dane szczegolnej kategorii (Art. 9)</li> <li>Istnieje nieodlaczna nierownosc sil miedzy zglaszajacym a organizacja</li> <li>Naruszenie poufnosci moze prowadzic do dzialan odwetowych</li> </ul> <p>Wiekszosc organow ochrony danych zaleca przeprowadzenie DPIA przed wdrozeniem systemu zglaszania nieprawidlowosci.</p> <hr> <h2 id="czego-wymaga-twoje-narzedzie-do-zglaszania"> Czego wymaga Twoje narzedzie do zglaszania <a href="#czego-wymaga-twoje-narzedzie-do-zglaszania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Na podstawie powyzszych wymagan RODO, oprogramowanie do zglaszania nieprawidlowosci powinno:</p> <table> <thead> <tr> <th>Wymog</th> <th>Dlaczego</th> </tr> </thead> <tbody> <tr> <td>Opcjonalna tozsamosc zglaszajacego</td> <td>Minimalizacja danych (Art. 5 ust. 1 lit. c))</td> </tr> <tr> <td>Brak rejestrowania IP</td> <td>Zachowanie anonimowosci, unikniecie tworzenia danych pseudonimowych</td> </tr> <tr> <td>Usuwanie metadanych plikow</td> <td>Zapobieganie przypadkowej identyfikacji przez dane EXIF/GPS</td> </tr> <tr> <td>Szyfrowanie w spoczynku</td> <td>Integralnosc i poufnosc (Art. 5 ust. 1 lit. f))</td> </tr> <tr> <td>Konfigurowalne okresy przechowywania</td> <td>Ograniczenie przechowywania (Art. 5 ust. 1 lit. e))</td> </tr> <tr> <td>Automatyczne usuwanie wygaslych spraw</td> <td>Egzekwowanie ograniczenia przechowywania</td> </tr> <tr> <td>Kontrola dostepu oparta na rolach</td> <td>Poufnosc (Art. 16 Dyrektywy)</td> </tr> <tr> <td>Dziennik audytu tylko do dopisywania</td> <td>Rozliczalnosc (Art. 5 ust. 2)</td> </tr> <tr> <td>Hosting danych w UE</td> <td>Unikniecie komplikacji zwiazanych z miedzynarodowym transferem (rozdzial V)</td> </tr> <tr> <td>Informacja o ochronie prywatnosci w formularzu zgloszeniowym</td> <td>Przejrzystosc (Art. 13/14)</td> </tr> </tbody> </table> <hr> <h2 id="jak-ethicsportal-radzi-sobie-z-rodo"> Jak EthicsPortal radzi sobie z RODO <a href="#jak-ethicsportal-radzi-sobie-z-rodo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal zostal zaprojektowany z uwzglednieniem zarowno Dyrektywy, jak i RODO jako ograniczen od samego poczatku:</p> <ul> <li><strong>Podstawa prawna:</strong> Przetwarzanie opiera sie na obowiazku prawnym (Art. 6 ust. 1 lit. c)) — zgodnosc z Dyrektywa UE 2019/1937.</li> <li><strong>Anonimowosc domyslnie:</strong> Brak rejestrowania IP, brak kont, brak sledzenia. Metadane plikow (EXIF, GPS, autor) usuwane automatycznie.</li> <li><strong>Minimalizacja danych:</strong> Imie i nazwisko oraz dane kontaktowe zglaszajacego sa polami opcjonalnymi. Zbierane sa tylko niezbedne dane.</li> <li><strong>Szyfrowanie w spoczynku:</strong> Wszystkie opisy zgloszen, imiona i nazwiska, dane kontaktowe oraz wiadomosci zaszyfrowane w bazie danych.</li> <li><strong>Konfigurowalne przechowywanie:</strong> Organizacje ustalaja wlasny okres przechowywania (12, 24, 36 lub 60 miesiecy). Wygasle zamkniete sprawy sa usuwane automatycznie.</li> <li><strong>Hosting w UE:</strong> Wszystkie dane przechowywane na serwerach Hetzner w Norymberdze, Niemcy. Zadne dane nie opuszczaja UE. Brak amerykanskich dostawcow chmury.</li> <li><strong>Kontrola dostepu:</strong> Tylko administratorzy i wyznaczone osoby rozpatrujace moga przegladac zgloszenia. Imiona osob rozpatrujacych nigdy nie sa ujawniane zglaszajacym.</li> <li><strong>Dziennik audytu:</strong> Rejestr tylko do dopisywania dla kazdego dzialania na potrzeby rozliczalnosci i kontroli regulacyjnej.</li> <li><strong>Umowa powierzenia przetwarzania danych:</strong> Umowa zgodna z Art. 28 RODO dostepna dla wszystkich klientow — <a href="/pl/dpa/">Umowa powierzenia przetwarzania danych</a> .</li> </ul> <p>Szczegolowa analize zgodnosci artykul po artykule znajdziesz na naszej <a href="/pl/directive-coverage/">stronie zgodnosci</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/whistleblower-policy-template/Sun, 15 Mar 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/whistleblower-policy-template/Gotowy do użycia szablon polityki sygnalistów spełniający wymogi Ustawy o ochronie sygnalistów (transpozycja Dyrektywy UE 2019/1937). Skopiuj, dostosuj i wdróż w swojej organizacji.<h1 id="bezpłatny-szablon-polityki-sygnalistów-ustawa-o-ochronie-sygnalistów"> Bezpłatny szablon polityki sygnalistów (Ustawa o ochronie sygnalistów) <a href="#bezp%c5%82atny-szablon-polityki-sygnalist%c3%b3w-ustawa-o-ochronie-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Każda organizacja w Polsce zatrudniająca 50 lub więcej pracowników potrzebuje pisemnej polityki sygnalistów. To nie jest opcjonalne — jest wymagane na mocy <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawy o ochronie sygnalistów z dnia 14 czerwca 2024 r.</a> , polskiej transpozycji Dyrektywy UE 2019/1937. Utrudnianie zgłoszenia grozi grzywną do 1 080 000 zł lub karą pozbawienia wolności do roku.</p> <p>Polityka sygnalistów spełnia dwie funkcje: informuje pracowników, jak zgłaszać nieprawidłowości, oraz informuje Twoją organizację, jak te zgłoszenia obsługiwać. Bez jasnej polityki zgłoszenia giną, osoby obsługujące improwizują, a Twoja organizacja ryzykuje zarówno odpowiedzialność prawną, jak i straty wizerunkowe.</p> <p>Poniżej znajduje się kompletny szablon polityki, który możesz skopiować i dostosować. Zastąp miejsca w nawiasach kwadratowych danymi swojej organizacji. Szablon obejmuje każdy element wymagany przez dyrektywę.</p> <hr> <h2 id="szablon-polityki-sygnalistów"> Szablon polityki sygnalistów <a href="#szablon-polityki-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <hr> <p><strong>[NAZWA ORGANIZACJI]</strong></p> <p><strong>Polityka ochrony sygnalistów</strong></p> <p><strong>Data wejścia w życie:</strong> [DATA]</p> <p><strong>Zatwierdzony przez:</strong> [IMIĘ I NAZWISKO / STANOWISKO]</p> <p><strong>Wersja:</strong> 1.0</p> <hr> <h3 id="1-cel-i-zakres"> 1. Cel i zakres <a href="#1-cel-i-zakres" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Niniejsza polityka ustanawia ramy zgłaszania podejrzeń naruszeń prawa, regulacji lub wewnętrznych zasad w [NAZWA ORGANIZACJI]. Wdraża wymogi dyrektywy UE 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii, transponowanej do prawa krajowego [PAŃSTWO CZŁONKOWSKIE].</p> <p>Niniejsza polityka ma zastosowanie do wszystkich operacji, spółek zależnych i jednostek organizacyjnych [NAZWA ORGANIZACJI] w Unii Europejskiej.</p> <h3 id="2-kto-może-zgłaszać"> 2. Kto może zgłaszać <a href="#2-kto-mo%c5%bce-zg%c5%82asza%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Zgodnie z artykułem 4 dyrektywy następujące osoby mogą składać zgłoszenia za pośrednictwem kanałów opisanych w niniejszej polityce:</p> <ul> <li>Obecni i byli pracownicy, w tym osoby w okresie próbnym lub na wypowiedzeniu</li> <li>Kandydaci do pracy, którzy uzyskali informacje w trakcie procesu rekrutacji</li> <li>Wykonawcy, podwykonawcy i dostawcy</li> <li>Akcjonariusze i członkowie organu administracyjnego, zarządzającego lub nadzorczego</li> <li>Wolontariusze i stażyści, płatni lub bezpłatni</li> <li>Wszelkie osoby pracujące pod nadzorem i kierownictwem wykonawców, podwykonawców lub dostawców</li> <li>Osoby, których stosunek pracy jeszcze się nie rozpoczął, a informacje o naruszeniach uzyskano w trakcie procesu rekrutacji lub negocjacji przedumownych</li> </ul> <p>Ochrona obejmuje również osoby pomagające, osoby trzecie powiązane z osobą zgłaszającą (takie jak współpracownicy lub krewni) oraz podmioty prawne, których właścicielem jest osoba zgłaszająca, dla których pracuje lub z którymi jest w inny sposób powiązana w kontekście zawodowym (artykuł 4(4)).</p> <h3 id="3-co-można-zgłaszać"> 3. Co można zgłaszać <a href="#3-co-mo%c5%bcna-zg%c5%82asza%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Zgłoszenia mogą dotyczyć naruszeń prawa Unii w obszarach objętych dyrektywą (artykuł 2), w tym między innymi:</p> <ul> <li>Nieprawidłowości w zamówieniach publicznych</li> <li>Naruszenia w zakresie usług finansowych, przeciwdziałania praniu pieniędzy i finansowania terroryzmu</li> <li>Naruszenia bezpieczeństwa i zgodności produktów</li> <li>Naruszenia bezpieczeństwa transportu</li> <li>Naruszenia ochrony środowiska</li> <li>Kwestie ochrony radiologicznej i bezpieczeństwa jądrowego</li> <li>Kwestie bezpieczeństwa żywności i pasz, zdrowia i dobrostanu zwierząt</li> <li>Naruszenia zdrowia publicznego</li> <li>Naruszenia ochrony konsumentów</li> <li>Naruszenia prywatności i ochrony danych osobowych</li> <li>Bezpieczeństwo sieci i systemów informatycznych</li> <li>Naruszenia zasad konkurencji i pomocy państwa</li> <li>Uzgodnienia podatkowe osób prawnych podważające cel lub zamiar obowiązującego prawa podatkowego</li> <li>Oszustwa, korupcja lub inne przestępstwa godzące w interesy finansowe UE</li> </ul> <p>Zgłoszenia mogą również dotyczyć naruszeń wewnętrznych polityk firmy, kodeksów postępowania i obowiązującego prawa krajowego, pod warunkiem że krajowe przepisy transponujące [PAŃSTWO CZŁONKOWSKIE] rozszerzają ochronę na takie zgłoszenia.</p> <h3 id="4-jak-zgłaszać"> 4. Jak zgłaszać <a href="#4-jak-zg%c5%82asza%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <h4 id="wewnętrzny-kanał-zgłaszania"> Wewnętrzny kanał zgłaszania <a href="#wewn%c4%99trzny-kana%c5%82-zg%c5%82aszania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>[NAZWA ORGANIZACJI] zapewnia bezpieczny, poufny wewnętrzny kanał zgłaszania:</p> <ul> <li><strong>Portal internetowy:</strong> [ADRES URL PORTALU ZGŁASZANIA]</li> <li><strong>Wyznaczona osoba:</strong> [IMIĘ I NAZWISKO / STANOWISKO WYZNACZONEJ OSOBY LUB DZIAŁU]</li> <li><strong>Alternatywne metody:</strong> [ADRES POCZTOWY / E-MAIL / PROCEDURA WNIOSKOWANIA O SPOTKANIE OSOBISTE, w zależności od przypadku]</li> </ul> <p>Zgłoszenia można składać anonimowo. Zgłaszający, którzy zdecydują się pozostać anonimowi, otrzymają kod dostępu umożliwiający sprawdzenie statusu zgłoszenia i bezpieczną komunikację z osobą obsługującą sprawę.</p> <p>[NAZWA ORGANIZACJI] zachęca do korzystania z wewnętrznego kanału zgłaszania w pierwszej kolejności, ponieważ umożliwia to organizacji szybkie zbadanie i rozwiązanie naruszeń.</p> <h4 id="zewnętrzne-zgłaszanie-do-właściwych-organów"> Zewnętrzne zgłaszanie do właściwych organów <a href="#zewn%c4%99trzne-zg%c5%82aszanie-do-w%c5%82a%c5%9bciwych-organ%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>Osoby zgłaszające mają prawo do zgłaszania na zewnątrz do właściwego organu w dowolnym momencie, zgodnie z artykułem 10 dyrektywy. Osoby zgłaszające nie są zobowiązane do korzystania z kanału wewnętrznego przed zgłoszeniem zewnętrznym.</p> <p>Właściwy organ w [PAŃSTWO CZŁONKOWSKIE] to: [NAZWA I DANE KONTAKTOWE ORGANU KRAJOWEGO].</p> <h4 id="ujawnienie-publiczne"> Ujawnienie publiczne <a href="#ujawnienie-publiczne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h4> <p>W wyjątkowych okolicznościach określonych w artykule 15 dyrektywy osoby zgłaszające mogą dokonać ujawnienia publicznego i nadal korzystać z ochrony — na przykład gdy mają uzasadnione podstawy sądzić, że naruszenie stanowi bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, lub gdy istnieje ryzyko odwetu.</p> <h3 id="5-poufność"> 5. Poufność <a href="#5-poufno%c5%9b%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tożsamość osoby zgłaszającej nie będzie ujawniana nikomu poza upoważnionymi pracownikami kompetentnymi do przyjmowania lub prowadzenia działań następczych w związku ze zgłoszeniami, bez wyraźnej zgody osoby zgłaszającej (artykuł 16).</p> <p>Ten obowiązek poufności dotyczy wszystkich informacji, z których tożsamość osoby zgłaszającej może być bezpośrednio lub pośrednio wywnioskowana.</p> <p>Tożsamość osoby zgłaszającej może zostać ujawniona jedynie w przypadku, gdy stanowi to konieczny i proporcjonalny obowiązek wynikający z prawa Unii lub prawa krajowego w kontekście dochodzeń prowadzonych przez organy krajowe lub postępowań sądowych, w tym w celu ochrony prawa do obrony osoby, której dotyczy zgłoszenie.</p> <p>Każda osoba, która ujawni tożsamość osoby zgłaszającej z naruszeniem niniejszej polityki, podlega postępowaniu dyscyplinarnemu.</p> <h3 id="6-zakaz-odwetu"> 6. Zakaz odwetu <a href="#6-zakaz-odwetu" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>[NAZWA ORGANIZACJI] bezwzględnie zabrania wszelkich form odwetu wobec osób zgłaszających, zgodnie z artykułami 19–21 dyrektywy. Odwet obejmuje między innymi:</p> <ul> <li>Zawieszenie, zwolnienie lub równoważne środki</li> <li>Degradację, wstrzymanie awansu lub zmianę obowiązków lub miejsca pracy</li> <li>Obniżenie wynagrodzenia lub zmianę godzin pracy</li> <li>Wstrzymanie szkoleń</li> <li>Negatywną ocenę wyników pracy lub referencję</li> <li>Przymus, zastraszanie, nękanie lub ostracyzm</li> <li>Dyskryminację lub niekorzystne traktowanie</li> <li>Nieprzekształcenie tymczasowej umowy o pracę w umowę na czas nieokreślony</li> <li>Nieprzedłużenie lub wcześniejsze rozwiązanie tymczasowej umowy o pracę</li> <li>Szkody, w tym wizerunkowe lub straty finansowe</li> <li>Umieszczanie na czarnej liście</li> <li>Wcześniejsze rozwiązanie lub anulowanie umowy na dostawę towarów lub usług</li> <li>Cofnięcie licencji lub zezwolenia</li> <li>Skierowanie na badania psychiatryczne lub medyczne</li> </ul> <p>Ciężar dowodu w postępowaniach dotyczących odwetu jest odwrócony: jeśli osoba zgłaszająca wykaże, że dokonała zgłoszenia i następnie poniosła szkodę, domniemywa się, że szkoda była odwetem. Osoba, która podjęła szkodliwe działanie, musi udowodnić, że było ono oparte na należycie uzasadnionych podstawach niezwiązanych ze zgłoszeniem (artykuł 21(5)).</p> <p>Każdy pracownik, u którego stwierdzi się stosowanie odwetu, podlega postępowaniu dyscyplinarnemu, włącznie z rozwiązaniem umowy o pracę.</p> <h3 id="7-proces-dochodzenia"> 7. Proces dochodzenia <a href="#7-proces-dochodzenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Po otrzymaniu zgłoszenia [NAZWA ORGANIZACJI]:</p> <ol> <li><strong>Potwierdzi przyjęcie</strong> w ciągu siedmiu dni kalendarzowych od otrzymania zgłoszenia (artykuł 9(1)(b)).</li> <li><strong>Oceni zgłoszenie</strong> w celu ustalenia, czy mieści się w zakresie niniejszej polityki i wymaga dochodzenia.</li> <li><strong>Przeprowadzi staranne dochodzenie</strong> poprzez gromadzenie odpowiednich informacji, przesłuchiwanie świadków w razie potrzeby i przeglądanie dokumentów, zachowując poufność przez cały czas.</li> <li><strong>Przekaże informację zwrotną</strong> osobie zgłaszającej w ciągu trzech miesięcy od potwierdzenia przyjęcia. Informacja zwrotna będzie zawierać informacje o statusie dochodzenia oraz, w miarę możliwości, o jego wyniku i podjętych lub planowanych działaniach (artykuł 9(1)(f)).</li> <li><strong>Zamknie sprawę</strong> z udokumentowanymi ustaleniami i, w stosownych przypadkach, zaleci działania naprawcze, środki dyscyplinarne lub skierowanie do właściwych organów.</li> </ol> <p>Jeśli zgłoszenie zostanie ocenione jako wykraczające poza zakres niniejszej polityki, osoba zgłaszająca zostanie poinformowana i, w stosownych przypadkach, skierowana do odpowiedniej procedury.</p> <h3 id="8-ochrona-danych"> 8. Ochrona danych <a href="#8-ochrona-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Zgłoszenia i wszystkie powiązane dane będą przetwarzane zgodnie z rozporządzeniem (UE) 2016/679 (RODO) i obowiązującym krajowym prawem ochrony danych.</p> <p>Dane osobowe, które są oczywiście nieistotne dla obsługi konkretnego zgłoszenia, nie będą gromadzone lub, jeśli zostały przypadkowo zebrane, zostaną usunięte bez zbędnej zwłoki (artykuł 17(3)).</p> <p>Dane zgłoszeń będą przechowywane nie dłużej niż jest to konieczne i proporcjonalne do spełnienia wymogów niniejszej polityki i obowiązującego prawa. [NAZWA ORGANIZACJI] zdefiniuje i udokumentuje konkretne okresy przechowywania zgodnie z krajowymi przepisami transponującymi.</p> <h3 id="9-szkolenia-i-świadomość"> 9. Szkolenia i świadomość <a href="#9-szkolenia-i-%c5%9bwiadomo%c5%9b%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>[NAZWA ORGANIZACJI]:</p> <ul> <li>Przeszkoli wszystkie wyznaczone osoby obsługujące sprawy w zakresie ich obowiązków wynikających z niniejszej polityki i obowiązującego prawa</li> <li>Poinformuje wszystkich pracowników i inne osoby objęte sekcją 2 o dostępności i sposobie korzystania z wewnętrznego kanału zgłaszania</li> <li>Udostępni niniejszą politykę w łatwo dostępny sposób, w tym w intranecie firmowym i jako część procesu wdrażania nowych pracowników</li> </ul> <h3 id="10-przegląd"> 10. Przegląd <a href="#10-przegl%c4%85d" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Niniejsza polityka będzie poddawana przeglądowi co najmniej raz w roku i aktualizowana w razie potrzeby, aby odzwierciedlać zmiany w obowiązującym prawie, strukturze organizacyjnej lub najlepszych praktykach.</p> <h3 id="11-kontakt"> 11. Kontakt <a href="#11-kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>W przypadku pytań dotyczących niniejszej polityki lub kanału zgłaszania:</p> <ul> <li><strong>Wyznaczona osoba:</strong> [IMIĘ I NAZWISKO / STANOWISKO]</li> <li><strong>E-mail:</strong> [ADRES E-MAIL]</li> <li><strong>Portal zgłaszania:</strong> [ADRES URL]</li> </ul> <hr> <p><em>Koniec dokumentu polityki.</em></p> <hr> <h2 id="korzystanie-z-tego-szablonu"> Korzystanie z tego szablonu <a href="#korzystanie-z-tego-szablonu" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Skopiuj powyższy tekst do formatu dokumentu swojej firmy, zastąp każde miejsce w nawiasach kwadratowych i poproś o przegląd przez zespół prawny. Szablon obejmuje wymogi dyrektywy 2019/1937, ale krajowe przepisy transponujące w Twoim państwie członkowskim mogą nakładać dodatkowe obowiązki — skonsultuj się z lokalnym prawnikiem.</p> <p>Gdy Twoja polityka jest już gotowa, potrzebujesz technicznego kanału do przyjmowania zgłoszeń. <a href="/">EthicsPortal</a> zapewnia bezpieczny, anonimowy portal zgłaszania spełniający wymogi dyrektywy dotyczące kanałów wewnętrznych — konfiguracja w kilka minut, od 49 €/miesiąc.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/who-must-comply-eu-whistleblower-directive/Sun, 15 Mar 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/who-must-comply-eu-whistleblower-directive/Ktore firmy potrzebuja kanalu zglaszania nieprawidlowosci zgodnie z Ustawa o ochronie sygnalistow (transpozycja Dyrektywy UE 2019/1937)? Prog 50 pracownikow, terminy i co "zgodnosc" oznacza w praktyce.<h1 id="kto-musi-przestrzegac-ustawy-o-ochronie-sygnalistow"> Kto musi przestrzegac Ustawy o ochronie sygnalistow? <a href="#kto-musi-przestrzegac-ustawy-o-ochronie-sygnalistow" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Krotka odpowiedz: jesli Twoja organizacja zatrudnia 50 lub wiecej pracownikow i dziala w Polsce, potrzebujesz wewnetrznego kanalu zglaszania nieprawidlowosci. To nie jest opcjonalne. <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa o ochronie sygnalistow</a> transponuje Dyrektywe UE 2019/1937 i obowiazuje od 25 wrzesnia 2024 r.</p> <p>Oto wszystko, co musisz wiedziec, aby okreslic, czy musisz przestrzegac przepisow, czego faktycznie wymaga zgodnosc i co sie stanie, jesli tego nie zrobisz.</p> <hr> <h2 id="prog-50-pracownikow"> Prog: 50 pracownikow <a href="#prog-50-pracownikow" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dyrektywa UE 2019/1937, Art. 8 ust. 3-4, ustanawia obowiazek:</p> <ul> <li><strong>250+ pracownikow:</strong> Musieli miec wewnetrzny kanal zgloszeniowy od 17 grudnia 2021 r. (pierwotny termin transpozycji).</li> <li><strong>50–249 pracownikow:</strong> Musieli miec wewnetrzny kanal zgloszeniowy od 17 grudnia 2023 r. (przedluzony termin).</li> </ul> <p>Jesli masz 50 lub wiecej pracownikow w UE, termin juz minal. Powinienes miec kanal juz na miejscu.</p> <h3 id="jak-liczy-sie-pracownikow"> Jak liczy sie pracownikow <a href="#jak-liczy-sie-pracownikow" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Dyrektywa nie definiuje “pracownika” wasko. Panstwa czlonkowskie licza:</p> <ul> <li>Pracownikow pelno- i niepelnoetatowych (niepelnoetatowi moga byc liczeni proporcjonalnie w niektorych krajach)</li> <li>Pracownikow na czas okreslony i tymczasowych</li> <li>W niektorych panstwach czlonkowskich: pracownikow delegowanych, praktykantow i uczniow</li> </ul> <p>Liczenie opiera sie na podmiocie prawnym, nie na grupie. Jesli jestes czescia grupy kapitalowej, kazdy podmiot z 50+ pracownikami potrzebuje wlasnego kanalu — chociaz podmioty o 50–249 pracownikach moga wspoldzielic zasoby do przyjmowania i badania zgloszen (Art. 8 ust. 6).</p> <hr> <h2 id="kto-jest-objety-poza-progiem-zatrudnienia"> Kto jest objety poza progiem zatrudnienia <a href="#kto-jest-objety-poza-progiem-zatrudnienia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kilka kategorii organizacji musi przestrzegac przepisow niezaleznie od liczby pracownikow:</p> <h3 id="uslugi-finansowe-art-8-ust-4"> Uslugi finansowe (Art. 8 ust. 4) <a href="#uslugi-finansowe-art-8-ust-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wszystkie podmioty dzialajace w uslugach finansowych — banki, firmy inwestycyjne, towarzystwa ubezpieczeniowe, instytucje platnicze, dostawcy uslug kryptoaktywow — musza miec kanal zgloszeniowy niezaleznie od wielkosci. Dotyczy to nawet firm z 5 pracownikami. Dyrektywa odwoluje sie do sektorowego prawodawstwa UE wymienionego w czesci I.B i czesci II Zalacznika.</p> <h3 id="sektor-publiczny-art-8-ust-9"> Sektor publiczny (Art. 8 ust. 9) <a href="#sektor-publiczny-art-8-ust-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Panstwa czlonkowskie moga wymagac od gmin i innych podmiotow publicznych ustanowienia kanalow wewnetrznych. Wiele to zrobilo, czesto z nizszymi progami lub bez progu.</p> <h3 id="rozszerzenia-krajowe"> Rozszerzenia krajowe <a href="#rozszerzenia-krajowe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Niektore panstwa czlonkowskie wykraczaja poza minimum Dyrektywy:</p> <ul> <li><strong>Wlochy:</strong> Organizacje z programem zgodnosci “Model 231” musza przestrzegac przepisow niezaleznie od wielkosci.</li> <li><strong>Belgia:</strong> Firmy z 250+ pracownikami musza przyjmowac anonimowe zgloszenia (bardziej rygorystyczne niz podstawa Dyrektywy).</li> <li><strong>Francja:</strong> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (2022-401)</a> transponujaca Dyrektywe zniosla wymog korzystania z kanalow wewnetrznych przed zgloszeniem do organow zewnetrznych — sygnalisci moga teraz wybrac dowolna sciezke. Szersze obowiazki antykorupcyjne <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II</a> (odrebne od kanalu zglaszania) nadal dotycza firm z 500+ pracownikami i 100 mln EUR+ przychodow.</li> </ul> <hr> <h2 id="kto-moze-zglaszac"> Kto moze zglaszac <a href="#kto-moze-zglaszac" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dyrektywa chroni szeroka kategorie “osob zglaszajacych” — nie tylko pracownikow. Zgodnie z Art. 4, nastepujace osoby sa chronione, gdy zglaszaja przez Twoj kanal:</p> <ul> <li><strong>Pracownicy</strong> (pracownicy etatowi, urzednicy panstwowi, stazysci, praktykanci)</li> <li><strong>Osoby samozatrudnione</strong> (wykonawcy, freelancerzy)</li> <li><strong>Akcjonariusze i czlonkowie zarzadu</strong></li> <li><strong>Wolontariusze</strong></li> <li><strong>Dostawcy i ich pracownicy</strong> (kazdy w Twoim lancuchu dostaw)</li> <li><strong>Kandydaci do pracy</strong> (osoby, ktore dowiedzialy sie o nieprawidlowosciach podczas procesu rekrutacji)</li> <li><strong>Byli pracownicy</strong> (osoby, ktore dowiedzialy sie o nieprawidlowosciach podczas poprzedniego zatrudnienia)</li> </ul> <p>Twoj kanal zgloszeniowy musi byc dostepny dla wszystkich tych grup, nie tylko dla obecnych pracownikow.</p> <hr> <h2 id="czego-faktycznie-wymaga-zgodnosc"> Czego faktycznie wymaga zgodnosc <a href="#czego-faktycznie-wymaga-zgodnosc" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Posiadanie kanalu oznacza spelnienie wymagan Art. 8, 9 i 16 Dyrektywy. Oto minimum:</p> <h3 id="1-bezpieczny-kanal-zgloszeniowy-art-8"> 1. Bezpieczny kanal zgloszeniowy (Art. 8) <a href="#1-bezpieczny-kanal-zgloszeniowy-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wewnetrzny kanal umozliwiajacy zglaszanie na pismie (i opcjonalnie ustnie). Musi:</p> <ul> <li>Byc dostepny dla wszystkich osob objetych Dyrektywa (pracownikow, wykonawcow, dostawcow itp.)</li> <li>Chronic poufnosc tozsamosci zglaszajacego</li> <li>Nie wymagac od zglaszajacego ujawniania swojej tozsamosci (anonimowe zglaszanie jest dozwolone w wiekszosci panstw czlonkowskich)</li> </ul> <h3 id="2-udokumentowana-procedura-art-9"> 2. Udokumentowana procedura (Art. 9) <a href="#2-udokumentowana-procedura-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Kanal musi przestrzegac zdefiniowanej procedury:</p> <table> <thead> <tr> <th>Wymog</th> <th>Termin</th> <th>Artykul</th> </tr> </thead> <tbody> <tr> <td>Potwierdzenie odbioru zgloszenia</td> <td>W ciagu 7 dni</td> <td>Art. 9 ust. 1 lit. b)</td> </tr> <tr> <td>Wyznaczenie bezstronnej osoby lub dzialu do obslugi</td> <td>Po otrzymaniu</td> <td>Art. 9 ust. 1 lit. a)</td> </tr> <tr> <td>Staranmne kontynuowanie dzialan</td> <td>Na biezaco</td> <td>Art. 9 ust. 1 lit. c)</td> </tr> <tr> <td>Przekazanie informacji zwrotnej zglaszajacemu</td> <td>W ciagu 3 miesiecy</td> <td>Art. 9 ust. 1 lit. f)</td> </tr> <tr> <td>Poinformowanie zglaszajacego o mozliwosciach zgloszenia zewnetrznego</td> <td>Przy zlozeniu zgloszenia</td> <td>Art. 9 ust. 1 lit. g)</td> </tr> </tbody> </table> <h3 id="3-ochrona-poufnosci-art-16"> 3. Ochrona poufnosci (Art. 16) <a href="#3-ochrona-poufnosci-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tozsamosc zglaszajacego nie moze byc ujawniona nikomu poza personelem obslugujacym zgloszenie, bez wyraznej zgody zglaszajacego. Oznacza to:</p> <ul> <li>Kontrola dostepu: tylko upowaznione osoby rozpatrujace widza zgloszenia</li> <li>Brak rejestrowania IP ani sledzenia, ktore mogloby zidentyfikowac anonimowych zglaszajacych</li> <li>Dane szyfrowane w spoczynku</li> </ul> <h3 id="4-prowadzenie-rejestrow-art-18"> 4. Prowadzenie rejestrow (Art. 18) <a href="#4-prowadzenie-rejestrow-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Zgloszenia musza byc przechowywane bezpiecznie i zatrzymywane zgodnie z prawem krajowym. Potrzebujesz dziennika audytu, ktory moze wykazac zgodnosc przed regulatorami.</p> <h3 id="5-srodki-antyodwetowe-art-1921"> 5. Srodki antyodwetowe (Art. 19–21) <a href="#5-srodki-antyodwetowe-art-1921" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nie wolno podejmowac dzialan odwetowych wobec zglaszajacych. Obejmuje to zwolnienie, degradacje, wstrzymanie awansu, zmiane obowiazkow lub jakakkolwiek inna forme pokrzywdzenia. Zglaszajacy musza byc informowani o tej ochronie.</p> <hr> <h2 id="co-nie-jest-uznawane-za-zgodnosc"> Co NIE jest uznawane za zgodnosc <a href="#co-nie-jest-uznawane-za-zgodnosc" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Niektore rzeczy, ktore organizacje probuja, a ktore nie spelniaja wymagan Dyrektywy:</p> <ul> <li><strong>Ogolny adres e-mail</strong> (np. <a href="mailto:compliance@firma.pl">compliance@firma.pl</a> ). Nie chroni poufnosci, nie sledzi terminow i nie tworzy dziennika audytu.</li> <li><strong>Anonimowa skrzynka sugestii.</strong> Brak dwukierunkowej komunikacji, brak potwierdzenia, brak mechanizmu informacji zwrotnej.</li> <li><strong>Strona w podreczniku pracownika.</strong> Kanal musi byc operacyjny, nie tylko udokumentowany.</li> <li><strong>Zewnetrzna infolinia bez zarzadzania sprawami.</strong> Jesli zgloszenia przychodza telefonicznie, ale nie sa sledzone przez system z terminami i dziennikami audytu, nie spelniasz wymagan Art. 9.</li> </ul> <hr> <h2 id="co-sie-stanie-jesli-nie-przestrzegasz-przepisow"> Co sie stanie, jesli nie przestrzegasz przepisow <a href="#co-sie-stanie-jesli-nie-przestrzegasz-przepisow" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kazde panstwo czlonkowskie okreslilo kary. Roznia sie znacznie:</p> <table> <thead> <tr> <th>Kraj</th> <th>Kara za brak kanalu zgloszeniowego</th> <th>Zrodlo</th> </tr> </thead> <tbody> <tr> <td>Hiszpania</td> <td>Do 1 000 000 EUR</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Law 2/2023</a> </td> </tr> <tr> <td>Belgia</td> <td>24 000–576 000 EUR + do 3 lat wiezienia</td> <td><a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/belgium" rel="nofollow">CMS Expert Guide</a> </td> </tr> <tr> <td>Niemcy</td> <td>20 000–500 000 EUR (podmioty prawne)</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">HinSchG §40</a> </td> </tr> <tr> <td>Wlochy</td> <td>10 000–50 000 EUR</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">D.Lgs. 24/2023</a> </td> </tr> <tr> <td>Polska</td> <td>Do 1 080 000 PLN (ok. 250 000 EUR)</td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Act of 14 June 2024</a> </td> </tr> </tbody> </table> <p>Egzekwowanie nie jest teoretyczne. W marcu 2025 r. Trybunal Sprawiedliwosci UE nalozyl na piec panstw czlonkowskich laczna kare 39 milionow EUR za opoznienie w transpozycji Dyrektywy. Krajowe organy egzekwowania prawa sa juz operacyjne w wiekszosci krajow i aktywnie nakladaja kary.</p> <p>Zobacz nasza pelna strone <a href="/pl/penalties/">kary wedlug krajow</a> dla wszystkich 27 panstw czlonkowskich.</p> <hr> <h2 id="najszybsza-droga-do-zgodnosci"> Najszybsza droga do zgodnosci <a href="#najszybsza-droga-do-zgodnosci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jesli Twoja organizacja ma 50+ pracownikow, termin juz minal. Oto jak osiagnac zgodnosc:</p> <ol> <li><strong>Skonfiguruj kanal zgloszeniowy.</strong> <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">EthicsPortal</a> zajmuje minuty — zarejestruj sie, skonfiguruj portal, udostepnij link. 49 EUR/miesiac, wszystko w cenie.</li> <li><strong>Wyznacz osobe rozpatrujaca.</strong> Przydziel co najmniej jedna bezstronna osobe do przyjmowania i badania zgloszen.</li> <li><strong>Poinformuj pracownikow.</strong> Udostepnij adres URL portalu i kod QR za pomoca plakatow, materialow dla nowych pracownikow i komunikacji wewnetrznej.</li> <li><strong>Udokumentuj procedure.</strong> Przyjmij wewnetrzna polityke ochrony sygnalistow opisujaca proces, terminy i ochrone przed odwetem.</li> </ol> <p>Oprogramowanie to najlatwiejsza czesc. Cala konfiguracja — kanal, konfiguracja, kod QR — mozna zrobic w przerwie obiadowej. Kroki organizacyjne (wyznaczenie osoby rozpatrujacej, polityka, szkolenia) trwaja dluzej, ale sa proste.</p> <p>Szczegolowa analize zgodnosci artykul po artykule z wymogami EthicsPortal znajdziesz na naszej <a href="/pl/directive-coverage/">stronie zgodnosci</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/best-whistleblower-software/Sun, 01 Mar 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/best-whistleblower-software/Niezależne porównanie najlepszych platform do zgłaszania nieprawidłowości w 2026 roku, z cenami, funkcjami i informacją, dla kogo każde narzędzie jest najlepsze.<h1 id="najlepsze-oprogramowanie-dla-sygnalistów-w-2026-uczciwe-porównanie"> Najlepsze oprogramowanie dla sygnalistów w 2026: uczciwe porównanie <a href="#najlepsze-oprogramowanie-dla-sygnalist%c3%b3w-w-2026-uczciwe-por%c3%b3wnanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Jeśli szukasz oprogramowania dla sygnalistów, aby spełnić wymogi dyrektywy UE 2019/1937, prawdopodobnie zauważyłeś, że każdy dostawca publikuje artykuł „najlepsze oprogramowanie dla sygnalistów" — i stawia siebie na pierwszym miejscu. My tego nie zrobimy. To uczciwe, bezpośrednie porównanie platform, które oceniliśmy przed stworzeniem EthicsPortal, plus sam EthicsPortal.</p> <p>Sprawdziliśmy przejrzystość cenową, szybkość konfiguracji, hosting w UE, głębokość funkcji oraz to, jak dobrze każde narzędzie służy małym i średnim firmom w porównaniu z korporacjami.</p> <hr> <h2 id="szybka-tabela-porównawcza"> Szybka tabela porównawcza <a href="#szybka-tabela-por%c3%b3wnawcza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Platforma</th> <th>Cena od</th> <th>Bezpłatna wersja</th> <th>Hosting w UE</th> <th>Czas konfiguracji</th> <th>Najlepsza dla</th> </tr> </thead> <tbody> <tr> <td>EQS Integrity Line</td> <td>~3 000 €/rok (indywidualna wycena)</td> <td>Nie</td> <td>Tak</td> <td>Tygodnie</td> <td>Duże korporacje, regulowane branże</td> </tr> <tr> <td>Formalize (whistleblowersoftware.com)</td> <td>Indywidualna (na zapytanie)</td> <td>Tak (14 dni)</td> <td>Tak (Dania)</td> <td>Dni</td> <td>Średnie firmy w UE</td> </tr> <tr> <td>Whistlelink</td> <td>79 €/mies. (starter)</td> <td>Nie</td> <td>Tak (Szwecja)</td> <td>Dni</td> <td>Firmy nordyckie, średni rynek</td> </tr> <tr> <td>FaceUp</td> <td>Na zapytanie (USD)</td> <td>Nie</td> <td>Tak (Czechy)</td> <td>Godziny</td> <td>Szkoły, zgodność korporacyjna</td> </tr> <tr> <td>NAVEX Global</td> <td>Indywidualny cennik (zwykle 5 000+ €/rok)</td> <td>Nie</td> <td>Tak (opcjonalnie)</td> <td>Tygodnie</td> <td>Duże korporacje US/UE</td> </tr> <tr> <td>Whispli</td> <td>Indywidualny cennik (~3 000+ €/rok)</td> <td>Nie</td> <td>Tak (opcjonalnie)</td> <td>Tygodnie</td> <td>Korporacje, złożone procesy</td> </tr> <tr> <td>SpeakUp (People Intouch)</td> <td>3 000 €/rok</td> <td>Nie</td> <td>Tak (Holandia)</td> <td>Dni</td> <td>Średnie i duże firmy w UE</td> </tr> <tr> <td>Hintbox</td> <td>49–149+ €/mies. (+VAT)</td> <td>Tak</td> <td>Tak (Niemcy)</td> <td>Dni</td> <td>Rynki niemieckojęzyczne</td> </tr> <tr> <td>AllVoices</td> <td>Indywidualny cennik (~4 000+ $/rok)</td> <td>Nie</td> <td>Tylko USA</td> <td>Tygodnie</td> <td>Firmy amerykańskie, zorientowane na HR</td> </tr> <tr> <td>EthicsPortal</td> <td>49 €/mies. ryczałt</td> <td>Nie</td> <td>Tak (UE)</td> <td>Minuty</td> <td>MŚP, startupy, szybka zgodność</td> </tr> </tbody> </table> <hr> <h2 id="szczegółowe-recenzje"> Szczegółowe recenzje <a href="#szczeg%c3%b3%c5%82owe-recenzje" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="eqs-integrity-line"> EQS Integrity Line <a href="#eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EQS to czołowy gracz europejskiego oprogramowania do zgodności. Ich Integrity Line jest używany przez banki, ubezpieczycieli i spółki giełdowe w całej UE.</p> <p><strong>Mocne strony:</strong> Głęboka integracja z szerszymi pakietami GRC (zarządzanie, ryzyko, zgodność). Doskonałe ścieżki audytu. Silna rozpoznawalność marki wśród korporacyjnych zespołów ds. zgodności. Obsługuje ponad 70 języków.</p> <p><strong>Słabe strony:</strong> Cennik jest nieprzejrzysty — nie znajdziesz kwoty na ich stronie. Spodziewaj się kilku tysięcy euro rocznie i konieczności przejścia przez proces sprzedażowy. Wdrożenie zwykle trwa tygodniami z dedykowanym wsparciem przy konfiguracji. Przewymiarowany dla 50-osobowej firmy.</p> <p><strong>Najlepszy dla:</strong> Dużych korporacji (500+ pracowników) w silnie regulowanych sektorach, które potrzebują pełnego ekosystemu GRC.</p> <h3 id="formalize-whistleblowersoftwarecom"> Formalize (whistleblowersoftware.com) <a href="#formalize-whistleblowersoftwarecom" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Formalize, sprzedawany jako WhistleblowerSoftware.com, to duńska platforma wsparta 15 mln € rundy Series A z ponad 500 partnerami doradczymi, w tym PwC i Baker McKenzie. Zmienili branding i rozszerzyli działalność na szerszą zgodność (NIS2, DORA, ISO 27001).</p> <p><strong>Mocne strony:</strong> Ponad 80 języków. Certyfikaty ISO 27001 i ISAE 3000. Silny ekosystem partnerów. 14-dniowy okres próbny.</p> <p><strong>Słabe strony:</strong> Nie publikują już cennika — wymagają indywidualnego zapytania. Rozszerzanie poza ochronę sygnalistów na zgodność NIS2/DORA może rozmyć skupienie produktu. Konfiguracja wymaga procesu demonstracji i rozmowy handlowej, nie jest natychmiastowa samoobsługowo.</p> <p><strong>Najlepszy dla:</strong> Średnich firm w UE (50–500 pracowników), które chcą dopracowany produkt i nie przeszkadza im wycena per pracownik.</p> <h3 id="whistlelink"> Whistlelink <a href="#whistlelink" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Szwedzka platforma z silną obecnością w krajach nordyckich. Whistlelink pozycjonuje się jako łatwy w użyciu i zgodny z UE.</p> <p><strong>Mocne strony:</strong> Dostępny w ponad 50 językach. Dobre zarządzanie sprawami. Hosting w Szwecji. Przejrzysty interfejs dla zgłaszających. Wszystkie plany cenowe obejmują ten sam zestaw funkcji. 30-dniowy bezpłatny okres próbny.</p> <p><strong>Słabe strony:</strong> Cena startowa 79 €/miesiąc (rozliczenie roczne) jest rozsądna, ale nadal wyższa od opcji ryczałtowych. Cennik per pracownik rośnie do 299 €/miesiąc dla większych organizacji. Powyżej 1000 pracowników trzeba kontaktować się z działem sprzedaży.</p> <p><strong>Najlepszy dla:</strong> Firm nordyckich i północnoeuropejskich szukających regionalnego dostawcy z solidną obsługą językową.</p> <h3 id="faceup"> FaceUp <a href="#faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>FaceUp to czeska platforma dla sygnalistów, która rozszerzyła się z pierwotnego skupienia na szkołach na zgodność korporacyjną, obsługując obecnie organizacje w ponad 70 krajach. Obsługują 113 języków i oferują aplikację mobilną do zgłaszania.</p> <p><strong>Mocne strony:</strong> Dostępny w 113 językach — jedna z najwyższych liczb na rynku. Aplikacja mobilna do zgłaszania. Certyfikat ISO 27001. Silna obecność w sektorze edukacji obok zgodności korporacyjnej.</p> <p><strong>Słabe strony:</strong> Cennik nie jest publikowany — wszystkie plany wyświetlają przycisk „Zapytaj o wycenę" mimo prezentowania nazw planów (Starter, Professional, Enterprise). Cennik jest w dolarach amerykańskich, co dodaje ryzyko kursowe dla europejskich firm. Szkolne korzenie widoczne w niektórych elementach UX.</p> <p><strong>Najlepszy dla:</strong> Organizacji potrzebujących 113 języków, chcących aplikacji mobilnej do zgłaszania, lub działających zarówno w edukacji, jak i sektorze korporacyjnym.</p> <h3 id="navex-global"> NAVEX Global <a href="#navex-global" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>NAVEX to gigant etyki i zgodności, głównie w Ameryce Północnej, ale coraz bardziej w Europie. Ich produkt EthicsPoint istnieje od dziesięcioleci.</p> <p><strong>Mocne strony:</strong> Ogromny zestaw funkcji. Dane benchmarkowe od tysięcy klientów. Usługi infolinii (zgłaszanie telefoniczne). Silna analityka.</p> <p><strong>Słabe strony:</strong> Cennik korporacyjny — spodziewaj się indywidualnych wycen znacznie powyżej 5 000 €/rok. Długie cykle wdrożeniowe. Platforma może wydawać się przestarzała w porównaniu z nowszymi graczami. Północnoamerykańskie DNA oznacza, że wymogi specyficzne dla UE czasem wydają się dołączone, a nie natywne.</p> <p><strong>Najlepszy dla:</strong> Dużych międzynarodowych korporacji (1 000+ pracowników), które chcą jednego dostawcy dla całego programu etyki i zgodności, łącznie z infoliniami.</p> <h3 id="whispli"> Whispli <a href="#whispli" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Firma założona w Australii, która rozszerzyła działalność na Europę. Whispli kładzie nacisk na anonimową komunikację dwukierunkową.</p> <p><strong>Mocne strony:</strong> Silny system anonimowej komunikacji. Dobre doświadczenie mobilne. Obsługuje zgłaszanie głosowe i wideo. Elastyczny kreator procesów.</p> <p><strong>Słabe strony:</strong> Indywidualny cennik bez publicznych kwot — doniesienia sugerują cenę od około 3 000 €/rok. Wdrożenie wymaga rozmów wdrożeniowych i konfiguracji. Mniejsza obecność w Europie w porównaniu z dostawcami rodzimymi dla UE.</p> <p><strong>Najlepszy dla:</strong> Organizacji, które priorytetowo traktują anonimową komunikację dwukierunkową i potrzebują zgłaszania multimedialnego (głos, wideo).</p> <h3 id="speakup-people-intouch"> SpeakUp (People Intouch) <a href="#speakup-people-intouch" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Holenderska platforma, która działała w przestrzeni sygnalistów jeszcze przed tym, jak dyrektywa UE uczyniła to obowiązkowym. SpeakUp oferuje zarówno oprogramowanie, jak i usługi zarządzane (zewnętrzna obsługa spraw).</p> <p><strong>Mocne strony:</strong> Długi staż na rynku. Opcja całkowitego outsourcingu obsługi spraw. Hosting w Holandii. Zgłaszanie telefoniczne w zestawie.</p> <p><strong>Słabe strony:</strong> Cennik zaczyna się od 3 000 €/rok dla firm poniżej 1 000 pracowników, indywidualny dla większych. Model usług zarządzanych oznacza, że płacisz za ludzi, nie tylko za oprogramowanie. Interfejs jest funkcjonalny, ale nie nowoczesny.</p> <p><strong>Najlepszy dla:</strong> Średnich i dużych firm w UE, które chcą mieć opcję outsourcingu obsługi zgłoszeń do strony trzeciej.</p> <h3 id="hintbox"> Hintbox <a href="#hintbox" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Niemiecka platforma (część lawcode Suite) z ponad 1 000 klientów, w tym Rewe, s.Oliver i FC Bayern. Certyfikat ISO 27001, hosting na Hetzner w Niemczech. Rozszerza się na zgodność z LkSG (ustawa o łańcuchach dostaw) i CSRD poza ochroną sygnalistów.</p> <p><strong>Mocne strony:</strong> Dojrzały produkt z dużą bazą klientów. Certyfikat ISO 27001. Ponad 30 języków z tłumaczeniem AI. 2FA, usuwanie metadanych, skanowanie wirusów w zestawie. Od 49 €/miesiąc — najtańsza opcja obok EthicsPortal. Dostępna wersja próbna.</p> <p><strong>Słabe strony:</strong> Wycena per pracownik rośnie do 149+ €/miesiąc dla większych firm. Koszty dodatków się kumulują: voice bot (+49 €/mies.), integracja e-mail (+29 €/mies.), domena niestandardowa (+29 €/mies.). Skoncentrowany na DACH — ograniczona obecność poza rynkami niemieckojęzycznymi. Rozszerzanie na wiele ram zgodności może rozmyć fokus na sygnalistach.</p> <p><strong>Najlepszy dla:</strong> Firm niemieckich, austriackich i szwajcarskich, które chcą lokalnego dostawcy z ISO 27001, głęboką ekspertyzą HinSchG i udokumentowaną historią.</p> <h3 id="allvoices"> AllVoices <a href="#allvoices" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Amerykańska platforma skupiona na relacjach pracowniczych i zgłaszaniu kierowanym przez HR, nie tylko na ochronie sygnalistów.</p> <p><strong>Mocne strony:</strong> Silna integracja z HR. Analityka i wykrywanie trendów wspierane przez AI. Dobra do zastosowań kulturowych i zaangażowania wykraczających poza zgodność.</p> <p><strong>Słabe strony:</strong> Hosting w USA bez opcji centrum danych w UE na początek 2026 roku. Cennik indywidualny i podobno zaczyna się od około 4 000 $/rok. Nie jest zbudowany z dyrektywą UE jako głównym punktem odniesienia.</p> <p><strong>Najlepszy dla:</strong> Firm z siedzibą w USA, które chcą połączonego narzędzia do relacji pracowniczych i ochrony sygnalistów i nie potrzebują hostingu w UE.</p> <h3 id="ethicsportal"> EthicsPortal <a href="#ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal to nasz produkt. Zaprojektowaliśmy go, aby zapewnić pełną zgodność z Dyrektywą UE 2019/1937 z przejrzystym cennikiem i natychmiastowym wdrożeniem.</p> <p><strong>Mocne strony:</strong> Ryczałt 49 €/miesiąc niezależnie od liczby pracowników. Bez rozmów handlowych — zarejestruj się i skonfiguruj portal w kilka minut. Hosting w UE. Pokrywa podstawowe wymogi dyrektywy: szyfrowane anonimowe zgłaszanie, dwukierunkowa komunikacja za pomocą kodów dostępu, zarządzanie sprawami, śledzenie 7-dniowego potwierdzenia i 3-miesięcznej informacji zwrotnej, generowanie kodów QR i wielojęzyczne portale. Otwarty, przejrzysty cennik.</p> <p><strong>Słabe strony:</strong> Brak infolinii telefonicznej. Brak zewnętrznej obsługi spraw. Ograniczone integracje (brak jeszcze konektorów HRIS). Nieodpowiedni dla organizacji potrzebujących pełnego pakietu GRC.</p> <p><strong>Najlepszy dla:</strong> MŚP, startupów i średnich firm (50–1 000 pracowników), które potrzebują zgodności z dyrektywą bez korporacyjnej złożoności i cennika.</p> <hr> <h2 id="jak-wybieraliśmy"> Jak wybieraliśmy <a href="#jak-wybierali%c5%9bmy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Oceniliśmy każdą platformę według pięciu kryteriów:</p> <ol> <li><strong>Przejrzystość cenowa.</strong> Czy cenę można znaleźć na stronie bez proszenia o demo? Dodatkowe punkty za ryczałtowy cennik.</li> <li><strong>Szybkość konfiguracji.</strong> Jak szybko nietechniczny specjalista ds. zgodności może przejść od rejestracji do działającego kanału zgłaszania?</li> <li><strong>Pokrycie dyrektywy UE.</strong> Czy platforma natywnie obsługuje kluczowe wymogi dyrektywy 2019/1937 — anonimowe zgłaszanie, dwukierunkowa komunikacja, terminy potwierdzenia, poufność?</li> <li><strong>Rezydencja danych.</strong> Czy dane są domyślnie hostowane w UE, czy jest to dodatek?</li> <li><strong>Dopasowanie do grupy docelowej.</strong> Czy platforma jest zaprojektowana dla Twojej wielkości firmy, czy płacisz za funkcje stworzone dla organizacji dziesięć razy większych?</li> </ol> <p>Wykorzystaliśmy publicznie dostępne ceny tam, gdzie to było możliwe, i skontaktowaliśmy się z działami sprzedaży tam, gdzie cennik nie był publikowany. Podane ceny obowiązują na Q1 2026 i mogą się różnić w zależności od regionu, długości umowy i negocjacji.</p> <p>Bez linków afiliacyjnych. Bez sponsoringu. Stworzyliśmy EthicsPortal, bo widzieliśmy lukę — ten artykuł wyjaśnia, gdzie ta luka jest i gdzie inne narzędzia mogą być lepszym wyborem dla Twojej sytuacji.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/anonymous-vs-confidential-reporting/Sun, 15 Feb 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/anonymous-vs-confidential-reporting/Poznaj różnicę między anonimowym a poufnym zgłaszaniem nieprawidłowości, czego wymaga dyrektywa UE i jak obsługiwać oba tryby.<h1 id="anonimowe-a-poufne-zgłaszanie-nieprawidłowości-jaka-jest-różnica"> Anonimowe a poufne zgłaszanie nieprawidłowości: jaka jest różnica? <a href="#anonimowe-a-poufne-zg%c5%82aszanie-nieprawid%c5%82owo%c5%9bci-jaka-jest-r%c3%b3%c5%bcnica" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Specjaliści ds. zgodności często używają zamiennie pojęć „anonimowe" i „poufne" w odniesieniu do zgłaszania nieprawidłowości. To nie jest to samo, a rozróżnienie ma znaczenie — zarówno prawne, jak i praktyczne.</p> <p>Pomylenie tych pojęć może podważyć zaufanie do kanału zgłaszania, narazić organizację na odpowiedzialność prawną lub niepotrzebnie utrudnić dochodzenia. Oto co oznacza każde z tych pojęć, co mówi dyrektywa UE i jak obsługiwać oba tryby w praktyce.</p> <hr> <h2 id="definicje"> Definicje <a href="#definicje" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="zgłaszanie-anonimowe"> Zgłaszanie anonimowe <a href="#zg%c5%82aszanie-anonimowe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tożsamość zgłaszającego jest nieznana nikomu, włącznie z osobą obsługującą sprawę. Organizacja otrzymuje zgłoszenie, ale nie ma możliwości ustalenia, kto je złożył. Zgłaszający nie podaje swojego imienia, adresu e-mail ani żadnych danych identyfikujących.</p> <p>Prawdziwa anonimowość oznacza, że nawet gdyby organizacja chciała zidentyfikować zgłaszającego, nie mogłaby tego zrobić — system jest zaprojektowany tak, aby temu zapobiec.</p> <h3 id="zgłaszanie-poufne"> Zgłaszanie poufne <a href="#zg%c5%82aszanie-poufne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tożsamość zgłaszającego jest znana osobie obsługującej sprawę (lub ograniczonej liczbie upoważnionych osób), ale jest chroniona przed ujawnieniem komukolwiek innemu. Osoba obsługująca wie, kto złożył zgłoszenie, ale jest prawnie i organizacyjnie zobowiązana do nieujawniania tej tożsamości.</p> <p>Poufność to obietnica poparta ochroną prawną. Anonimowe zgłaszanie eliminuje potrzebę tej obietnicy.</p> <hr> <h2 id="co-mówi-dyrektywa-ue"> Co mówi dyrektywa UE <a href="#co-m%c3%b3wi-dyrektywa-ue" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dyrektywa UE 2019/1937 odnosi się do obu pojęć, choć pozostawia państwom członkowskim elastyczność w kwestii anonimowego zgłaszania.</p> <p><strong>Poufność (artykuł 16):</strong> Dyrektywa jest tutaj jednoznaczna. Tożsamość osoby zgłaszającej nie może być ujawniona nikomu poza upoważnionymi pracownikami bez wyraźnej zgody zgłaszającego. Dotyczy to wszystkich zgłoszeń, niezależnie od tego, czy zgłaszający się identyfikuje. Poufność jest obowiązkowa.</p> <p><strong>Anonimowe zgłaszanie (artykuł 6(2–3), motyw 34):</strong> Dyrektywa nie wymaga od państw członkowskich przyjmowania anonimowych zgłoszeń przez kanały wewnętrzne. Jednak wyraźnie stwierdza, że państwa członkowskie <em>mogą</em> zdecydować o dopuszczeniu lub wymaganiu anonimowego zgłaszania. Gdy anonimowe zgłoszenia są przyjmowane, muszą być traktowane z taką samą starannością jak zgłoszenia zidentyfikowane.</p> <p>W praktyce większość państw członkowskich, które transponowały dyrektywę, wymaga lub zdecydowanie zachęca do anonimowego zgłaszania. Francja, Niemcy, Włochy i kilka innych krajów nakazują je. Nawet tam, gdzie nie jest prawnie wymagane, umożliwienie anonimowości jest uważane za najlepszą praktykę, ponieważ zwiększa liczbę zgłoszeń.</p> <p><strong>Komunikacja dwukierunkowa (artykuł 9(1)(b)):</strong> Dyrektywa wymaga, aby kanały zgłaszania umożliwiały komunikację ze zgłaszającym, w tym przekazywanie potwierdzenia przyjęcia i informacji zwrotnej. W przypadku anonimowych zgłaszających oznacza to, że kanał musi obsługiwać dwukierunkową komunikację bez wymogu ujawnienia tożsamości — zwykle za pomocą kodu dostępu lub numeru referencyjnego sprawy.</p> <hr> <h2 id="zalety-i-wady"> Zalety i wady <a href="#zalety-i-wady" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="zgłaszanie-anonimowe-1"> Zgłaszanie anonimowe <a href="#zg%c5%82aszanie-anonimowe-1" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Zalety:</strong></p> <ul> <li>Całkowicie eliminuje barierę strachu — zgłaszający nie ryzykują identyfikacji</li> <li>Wyższa liczba zgłoszeń, szczególnie w przypadku wrażliwych kwestii, takich jak oszustwa kadry kierowniczej</li> <li>Chroni zgłaszających nawet w przypadku naruszenia środków poufności organizacji</li> <li>Buduje zaufanie do kanału zgłaszania</li> </ul> <p><strong>Wady:</strong></p> <ul> <li>Kontakt zwrotny jest trudniejszy — osoba obsługująca nie może zadzwonić do zgłaszającego w celu uzyskania wyjaśnień, chyba że dostępna jest dwukierunkowa komunikacja</li> <li>Ryzyko niższej jakości zgłoszeń, jeśli zgłaszający wie, że nie można się z nim skontaktować</li> <li>Niektóre organizacje obawiają się niepoważnych lub złośliwych zgłoszeń (w praktyce badania konsekwentnie pokazują, że jest to rzadkie)</li> <li>Dochodzenie może być trudniejsze bez znajomości perspektywy zgłaszającego</li> </ul> <h3 id="zgłaszanie-poufne-1"> Zgłaszanie poufne <a href="#zg%c5%82aszanie-poufne-1" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Zalety:</strong></p> <ul> <li>Łatwiejszy kontakt zwrotny — osoba obsługująca może skontaktować się bezpośrednio ze zgłaszającym w celu uzyskania dodatkowych informacji</li> <li>Perspektywa i rola zgłaszającego mogą pomóc ukierunkować dochodzenie</li> <li>Zgłoszenia bywają bardziej szczegółowe, gdy zgłaszający wie, że można się z nim skontaktować</li> <li>Osoba obsługująca może łatwiej ocenić wiarygodność</li> </ul> <p><strong>Wady:</strong></p> <ul> <li>Wymaga od zgłaszającego zaufania, że poufność zostanie zachowana</li> <li>Pojedyncze naruszenie danych, nieostrożny e-mail lub nieautoryzowany dostęp mogą ujawnić zgłaszającego</li> <li>Niektórzy zgłaszający nie skorzystają z kanału, jeśli identyfikacja jest wymagana</li> <li>Organizacja ponosi prawne ryzyko utrzymania poufności</li> </ul> <hr> <h2 id="jak-anonimowe-zgłaszanie-działa-w-praktyce"> Jak anonimowe zgłaszanie działa w praktyce <a href="#jak-anonimowe-zg%c5%82aszanie-dzia%c5%82a-w-praktyce" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Anonimowe zgłaszanie nie oznacza, że zgłaszający wysyła wiadomość w próżnię i nigdy nie otrzymuje odpowiedzi. Nowoczesne platformy dla sygnalistów rozwiązują problem komunikacji za pomocą kodów dostępu.</p> <p>Oto jak to zwykle działa:</p> <ol> <li><strong>Zgłaszający składa zgłoszenie</strong> przez portal bez podawania żadnych danych osobowych.</li> <li><strong>System generuje unikalny kod dostępu</strong> (lub numer referencyjny sprawy) i wyświetla go zgłaszającemu.</li> <li><strong>Zgłaszający zapisuje kod dostępu.</strong> To jego klucz do sprawy.</li> <li><strong>Osoba obsługująca sprawę przegląda zgłoszenie</strong> i może zamieszczać pytania uzupełniające lub aktualizacje statusu sprawy.</li> <li><strong>Zgłaszający wraca na portal</strong>, wprowadza kod dostępu i widzi wszelkie wiadomości od osoby obsługującej. Może odpowiadać, dostarczać dodatkowe dokumenty lub odpowiadać na pytania — wszystko bez ujawniania swojej tożsamości.</li> </ol> <p>To podejście spełnia wymóg dyrektywy dotyczący dwukierunkowej komunikacji, jednocześnie zachowując anonimowość. Osoba obsługująca otrzymuje informacje potrzebne do dochodzenia; zgłaszający pozostaje chroniony.</p> <p>Model z kodem dostępu obsługuje również wymogi potwierdzenia w ciągu siedmiu dni i informacji zwrotnej w ciągu trzech miesięcy, ponieważ zgłaszający może w dowolnym momencie sprawdzić portal, czy potwierdzenie lub informacja zwrotna zostały przekazane.</p> <hr> <h2 id="dlaczego-oferowanie-obu-opcji-jest-właściwym-podejściem"> Dlaczego oferowanie obu opcji jest właściwym podejściem <a href="#dlaczego-oferowanie-obu-opcji-jest-w%c5%82a%c5%9bciwym-podej%c5%9bciem" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Najsilniejsze kanały zgłaszania dają zgłaszającym wybór: złożyć zgłoszenie anonimowo lub podać swoją tożsamość z gwarancją poufności.</p> <p>Oto dlaczego:</p> <ul> <li><strong>Różne sytuacje wymagają różnych podejść.</strong> Młodszy pracownik zgłaszający oszustwo dyrektora może wybrać anonimowość. Kierownik działu zgłaszający problem bezpieczeństwa może wolę się zidentyfikować, aby dochodzenie mogło przebiegać szybciej.</li> <li><strong>Wybór buduje zaufanie.</strong> Gdy zgłaszający widzą, że anonimowość jest rzeczywiście dostępna, bardziej ufają kanałowi — nawet ci, którzy ostatecznie zdecydują się na identyfikację.</li> <li><strong>Pokrycie prawne.</strong> W państwach członkowskich wymagających anonimowego zgłaszania jesteś zgodny z przepisami. W tych, które tego nie wymagają, przekraczasz minimalny standard.</li> <li><strong>Lepsza liczba zgłoszeń.</strong> Badania konsekwentnie pokazują, że organizacje oferujące anonimowe kanały otrzymują więcej zgłoszeń i wcześniej wykrywają problemy.</li> </ul> <p>Motywy samej dyrektywy UE potwierdzają to: umożliwienie anonimowego zgłaszania <em>zachęca</em> do zgłaszania i czyni kanały bardziej skutecznymi.</p> <hr> <h2 id="jak-ethicsportal-to-obsługuje"> Jak EthicsPortal to obsługuje <a href="#jak-ethicsportal-to-obs%c5%82uguje" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal obsługuje zarówno anonimowe, jak i poufne zgłaszanie:</p> <ul> <li><strong>Domyślnie anonimowe.</strong> Zgłaszający nigdy nie są zobowiązani do podawania swojej tożsamości. Bez imienia, bez e-maila, bez konta.</li> <li><strong>Opcjonalne ujawnienie tożsamości.</strong> Zgłaszający mogą zdecydować się na udostępnienie swojego imienia lub danych kontaktowych. Jest to całkowicie dobrowolne.</li> <li><strong>Komunikacja za pomocą kodu dostępu.</strong> Każde zgłoszenie generuje unikalny kod dostępu. Zgłaszający używa go do sprawdzania aktualizacji i komunikacji z osobą obsługującą sprawę, bez ujawniania swojej tożsamości.</li> <li><strong>Wymuszona poufność.</strong> Gdy zgłaszający udostępni swoją tożsamość, kontrola dostępu zapewnia, że tylko wyznaczone osoby obsługujące sprawy mogą ją zobaczyć.</li> </ul> <p>To daje zgłaszającym pełną kontrolę nad poziomem ich ekspozycji, jednocześnie zapewniając osobom obsługującym sprawy narzędzia potrzebne do skutecznego dochodzenia.</p> <hr> <h2 id="podsumowanie"> Podsumowanie <a href="#podsumowanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Anonimowe oznacza, że osoba obsługująca nie wie, kim jesteś. Poufne oznacza, że osoba obsługująca wie, ale jest prawnie zobowiązana nikomu tego nie ujawniać. Oba służą celowi ochrony zgłaszających, ale robią to w różny sposób.</p> <p>Dyrektywa UE nakazuje poufność. Anonimowe zgłaszanie pozostawia państwom członkowskim, z których większość obecnie wymaga lub zaleca je. Najbezpieczniejsze podejście — zarówno dla Twoich zgłaszających, jak i Twojej pozycji w zakresie zgodności — to oferowanie obu opcji.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/how-to-implement-whistleblower-channel/Sun, 01 Feb 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/how-to-implement-whistleblower-channel/Przewodnik krok po kroku dotyczący szybkiego uruchomienia kanału zgodnego z Ustawą o ochronie sygnalistów, bez tygodni wdrażania czy rozmów z działem sprzedaży.<h1 id="jak-skonfigurować-kanał-zgłaszania-nieprawidłowości-w-5-minut"> Jak skonfigurować kanał zgłaszania nieprawidłowości w 5 minut <a href="#jak-skonfigurowa%c4%87-kana%c5%82-zg%c5%82aszania-nieprawid%c5%82owo%c5%9bci-w-5-minut" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa o ochronie sygnalistów</a> (polska transpozycja Dyrektywy UE 2019/1937) wymaga od każdej organizacji zatrudniającej 50 lub więcej pracowników prowadzenia wewnętrznego kanału zgłaszania nieprawidłowości. Wymóg jest jasny, ale większość wdrożeń trwa znacznie dłużej niż powinna.</p> <p>Ten przewodnik wyjaśnia, czego ustawa faktycznie wymaga od samego kanału, dlaczego narzędzia korporacyjne niepotrzebnie spowalniają proces i jak uruchomić działający kanał w kilka minut.</p> <hr> <h2 id="czego-wymaga-dyrektywa"> Czego wymaga dyrektywa <a href="#czego-wymaga-dyrektywa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Artykuł 8 i artykuł 9 określają, co musi zapewniać wewnętrzny kanał zgłaszania:</p> <ul> <li>Przyjmowanie zgłoszeń na piśmie lub ustnie</li> <li>Umożliwienie anonimowego zgłaszania (wymagane w niektórych państwach członkowskich, zdecydowanie zalecane wszędzie)</li> <li>Umożliwienie dwukierunkowej komunikacji ze zgłaszającym, nawet jeśli jest anonimowy</li> <li>Zapewnienie, że tylko upoważnione osoby mają dostęp do zgłoszeń</li> <li>Potwierdzenie przyjęcia w ciągu siedmiu dni kalendarzowych</li> <li>Przekazanie informacji zwrotnej w ciągu trzech miesięcy</li> </ul> <p>To jest minimum prawne. Żadna konkretna technologia nie jest narzucona — dyrektywa jest neutralna technologicznie. Portal internetowy, linia telefoniczna, a nawet zamknięta fizyczna skrzynka pocztowa mogą się kwalifikować, o ile spełnione są powyższe wymagania.</p> <hr> <h2 id="dlaczego-większość-wdrożeń-trwa-tygodniami"> Dlaczego większość wdrożeń trwa tygodniami <a href="#dlaczego-wi%c4%99kszo%c5%9b%c4%87-wdro%c5%bce%c5%84-trwa-tygodniami" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Korporacyjne platformy dla sygnalistów są projektowane dla dużych organizacji ze złożonymi procesami zakupowymi. Typowe wdrożenie wygląda następująco:</p> <ol> <li><strong>Prośba o demo</strong> — wypełniasz formularz, czekasz, aż przedstawiciel handlowy do Ciebie oddzwoni</li> <li><strong>Udział w demo</strong> — 30–60-minutowa rozmowa, podczas której dostawca prezentuje funkcje, których możesz nie potrzebować</li> <li><strong>Otrzymanie oferty</strong> — indywidualna wycena oparta na liczbie pracowników, modułach i dodatkach</li> <li><strong>Negocjowanie umowy</strong> — przegląd prawny, podpisanie umowy o przetwarzanie danych, zatwierdzenie zakupu</li> <li><strong>Rozpoczęcie wdrożenia</strong> — przydzielony zostaje kierownik projektu, planowana jest kolejna rozmowa</li> <li><strong>Konfiguracja</strong> — dostawca konfiguruje Twój portal, kategorie i identyfikację wizualną (lub szkoli Cię, jak to zrobić)</li> <li><strong>Testowanie i uruchomienie</strong> — przegląd, zatwierdzenie i start</li> </ol> <p>Dla 100-osobowej firmy, która potrzebuje tylko zgodnego kanału, ten proces to tygodnie czasu i godziny spotkań. Jest zaprojektowany dla korporacji, gdzie sześciotygodniowy cykl zakupowy jest normą. Dla MŚP to zbędne opóźnienie w osiągnięciu zgodności.</p> <hr> <h2 id="konfiguracja-w-5-minut-z-ethicsportal"> Konfiguracja w 5 minut z EthicsPortal <a href="#konfiguracja-w-5-minut-z-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal jest stworzony dla odwrotnego scenariusza: potrzebujesz zgodnego kanału i potrzebujesz go dziś.</p> <h3 id="krok-1-rejestracja-1-minuta"> Krok 1: Rejestracja (1 minuta) <a href="#krok-1-rejestracja-1-minuta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wejdź na <a href="/">ethicsportal.eu</a> i załóż konto. Bez prośby o demo, bez rozmowy handlowej, bez „skontaktuj się po cennik". Wpisujesz e-mail, ustawiasz hasło i gotowe.</p> <h3 id="krok-2-skonfiguruj-swój-portal-2-minuty"> Krok 2: Skonfiguruj swój portal (2 minuty) <a href="#krok-2-skonfiguruj-sw%c3%b3j-portal-2-minuty" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Z panelu głównego skonfiguruj portal zgłaszania:</p> <ul> <li><strong>Nazwa organizacji</strong> — wyświetlana na portalu, aby zgłaszający wiedzieli, że są we właściwym miejscu</li> <li><strong>Kategorie zgłoszeń</strong> — zdefiniuj, jakie typy problemów można zgłaszać (oszustwa, nękanie, naruszenia bezpieczeństwa itp.). Sensowne wartości domyślne są dostarczone.</li> <li><strong>Tekst powitalny</strong> — wiadomość, którą zgłaszający widzą po wejściu na portal. Jasny, uspokajający tekst domyślny jest wstępnie wypełniony.</li> <li><strong>Logo</strong> — dopasuj do identyfikacji wizualnej Twojej organizacji</li> <li><strong>Język</strong> — wybierz język portalu dla zgłaszających</li> </ul> <p>Portal jest dostępny pod unikalnym adresem URL natychmiast po zapisaniu. Bez wdrożenia, bez czekania.</p> <h3 id="krok-3-udostępnij-portal-pracownikom-1-minuta"> Krok 3: Udostępnij portal pracownikom (1 minuta) <a href="#krok-3-udost%c4%99pnij-portal-pracownikom-1-minuta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Każdy portal otrzymuje link do udostępniania i kod QR. Możesz:</p> <ul> <li>Wysłać link e-mailem do wszystkich pracowników</li> <li>Wydrukować kod QR i umieścić go w pokojach socjalnych, biurach lub miejscach wspólnych</li> <li>Dodać link do intranetu lub podręcznika pracownika</li> <li>Włączyć go do pisemnej polityki sygnalistów</li> </ul> <h3 id="krok-4-zacznij-odbierać-i-zarządzać-zgłoszeniami-1-minuta"> Krok 4: Zacznij odbierać i zarządzać zgłoszeniami (1 minuta) <a href="#krok-4-zacznij-odbiera%c4%87-i-zarz%c4%85dza%c4%87-zg%c5%82oszeniami-1-minuta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Gdy ktoś złoży zgłoszenie przez portal, otrzymasz powiadomienie. Z panelu głównego możesz:</p> <ul> <li>Przeczytać zgłoszenie</li> <li>Komunikować się ze zgłaszającym za pomocą bezpiecznej dwukierunkowej wymiany wiadomości (nawet jeśli jest anonimowy — korzysta z kodu dostępu)</li> <li>Śledzić siedmiodniowy termin potwierdzenia</li> <li>Śledzić trzymiesięczny termin informacji zwrotnej</li> <li>Aktualizować status sprawy i dodawać notatki wewnętrzne</li> <li>Zamknąć sprawę z udokumentowanym wynikiem</li> </ul> <p>To wszystko. Twój kanał jest aktywny, zgodny z przepisami i gotowy do przyjmowania zgłoszeń.</p> <hr> <h2 id="co-zrobić-po-konfiguracji"> Co zrobić po konfiguracji <a href="#co-zrobi%c4%87-po-konfiguracji" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Kanał zgłaszania to fundament techniczny, ale zgodność wymaga również kroków organizacyjnych:</p> <h3 id="wyznacz-osobę-obsługującą-sprawy"> Wyznacz osobę obsługującą sprawy <a href="#wyznacz-osob%c4%99-obs%c5%82uguj%c4%85c%c4%85-sprawy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wyznacz jedną lub więcej osób do przyjmowania i badania zgłoszeń. Osoba ta powinna być bezstronna i raczej nie powinna być przedmiotem zgłoszeń. Typowo rolę tę pełni specjalista ds. zgodności, radca prawny lub starszy pracownik HR. W małych organizacjach dyrektor zarządzający może pełnić funkcję osoby obsługującej.</p> <h3 id="przeszkol-osoby-obsługujące"> Przeszkol osoby obsługujące <a href="#przeszkol-osoby-obs%c5%82uguj%c4%85ce" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Osoby obsługujące sprawy muszą rozumieć: jak korzystać z platformy, obowiązki zachowania poufności, siedmiodniowe i trzymiesięczne terminy, podstawy prowadzenia dochodzenia wewnętrznego oraz zasady ochrony przed odwetem.</p> <h3 id="napisz-politykę-sygnalistów"> Napisz politykę sygnalistów <a href="#napisz-polityk%c4%99-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Udokumentuj, jak Twoja organizacja obsługuje zgłoszenia. Obejmij zakres, kto może zgłaszać, poufność, ochronę przed odwetem i proces dochodzenia. Zobacz nasz <a href="/pl/blog/whistleblower-policy-template/">bezpłatny szablon polityki</a> , aby uzyskać gotowy dokument do użycia.</p> <h3 id="poinformuj-pracowników"> Poinformuj pracowników <a href="#poinformuj-pracownik%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Dyrektywa wymaga proaktywnego informowania pracowników o kanale. Wyślij e-mail, opublikuj w intranecie, wspomnij na spotkaniach zespołu i uwzględnij w procesie wdrażania nowych pracowników. Kod QR ułatwia to zadanie — wydrukuj go i umieść tam, gdzie ludzie go zobaczą.</p> <hr> <h2 id="częste-błędy-których-należy-unikać"> Częste błędy, których należy unikać <a href="#cz%c4%99ste-b%c5%82%c4%99dy-kt%c3%b3rych-nale%c5%bcy-unika%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Używanie ogólnego adresu e-mail.</strong> Adres e-mail taki jak <a href="mailto:compliance@firma.pl">compliance@firma.pl</a> w większości przypadków nie spełnia wymogów dyrektywy. E-mail nie zapewnia szyfrowania, nie obsługuje anonimowego zgłaszania i nie zapewnia dwukierunkowej komunikacji z anonimowymi zgłaszającymi.</p> <p><strong>Wymaganie od zgłaszających identyfikacji.</strong> Chociaż dyrektywa nie wymaga jednolicie anonimowego zgłaszania we wszystkich państwach członkowskich, kilka krajowych ustaw transponujących tak, a obowiązkowa identyfikacja zniechęca do zgłaszania. Domyślnie umożliwiaj anonimowość.</p> <p><strong>Zapominanie o terminach.</strong> Siedem dni na potwierdzenie, trzy miesiące na informację zwrotną. To nie są sugestie — to wymogi prawne. Ich niedotrzymanie jest naruszeniem zgodności. Używaj systemu, który automatycznie śledzi te terminy.</p> <p><strong>Niewyznaczenie osoby obsługującej.</strong> Kanał to skrzynka pocztowa. Ktoś musi ją otworzyć, przeczytać zgłoszenia i podjąć działania. Jeśli nikt nie jest wyznaczony, zgłoszenia pozostają bez odpowiedzi, a terminy mijają.</p> <p><strong>Nadmierne komplikowanie konfiguracji.</strong> Nie potrzebujesz pełnego pakietu GRC, niestandardowych integracji ani sześciomiesięcznego wdrożenia, aby osiągnąć zgodność. Działający kanał z anonimowym zgłaszaniem, dwukierunkową komunikacją i śledzeniem terminów pokrywa wymogi prawne. Zacznij prosto, dodawaj złożoność tylko wtedy, gdy jej potrzebujesz.</p> <hr> <h2 id="zacznij-już-teraz"> Zacznij już teraz <a href="#zacznij-ju%c5%bc-teraz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><a href="/">EthicsPortal</a> kosztuje 49 €/miesiąc ryczałtowo — bez wyceny per pracownik, bez rocznych umów, bez rozmów handlowych. Skonfiguruj swój zgodny kanał zgłaszania w kilka minut i skup się na tym, co ważne: ochronie osób, które mają odwagę zabrać głos.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/compliance-checklist/Thu, 15 Jan 2026 00:00:00 +0000https://ethicsportal.eu/pl/blog/compliance-checklist/Praktyczna 12-punktowa lista kontrolna zgodności z Ustawą o ochronie sygnalistów (transpozycja Dyrektywy UE 2019/1937), z odniesieniami do artykułów, wskazówkami i wytycznymi wdrożeniowymi.<h1 id="lista-kontrolna-zgodności-z-ustawą-o-ochronie-sygnalistów-dla-firm"> Lista kontrolna zgodności z Ustawą o ochronie sygnalistów dla firm <a href="#lista-kontrolna-zgodno%c5%9bci-z-ustaw%c4%85-o-ochronie-sygnalist%c3%b3w-dla-firm" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa o ochronie sygnalistów z dnia 14 czerwca 2024 r.</a> transponuje do polskiego prawa Dyrektywę UE 2019/1937 i wymaga od organizacji zatrudniających 50 lub więcej pracowników ustanowienia wewnętrznych kanałów zgłaszania nieprawidłowości oraz ochrony sygnalistów. Ustawa obowiązuje od 25 września 2024 r., a procedury wewnętrzne powinny być wdrożone od 1 stycznia 2025 r.</p> <p>Niniejsza lista kontrolna przeprowadzi Cię przez dwanaście kroków do pełnej zgodności. Dla każdego punktu podajemy odniesienie do odpowiedniego artykułu dyrektywy, dzielimy się praktycznymi wskazówkami i zaznaczamy, gdzie narzędzia mogą pomóc. Sprawdź naszą <a href="/pl/whistleblower-laws/poland/">stronę poświęconą polskiemu prawu</a> w celu poznania szczegółów krajowych.</p> <hr> <h2 id="lista-kontrolna"> Lista kontrolna <a href="#lista-kontrolna" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-określ-czy-twoja-organizacja-podlega-dyrektywie"> 1. Określ, czy Twoja organizacja podlega dyrektywie <a href="#1-okre%c5%9bl-czy-twoja-organizacja-podlega-dyrektywie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 8(3–4)</p> <p>Wszystkie podmioty prawne w sektorze prywatnym zatrudniające 50 lub więcej pracowników muszą ustanowić wewnętrzne kanały zgłaszania nieprawidłowości. Podmioty sektora publicznego, gminy oraz podmioty w niektórych regulowanych sektorach (usługi finansowe, bezpieczeństwo lotnicze, sektor morski itp.) podlegają dyrektywie niezależnie od wielkości.</p> <p><strong>Praktyczna wskazówka:</strong> Licz wszystkich pracowników, nie tylko pełnoetatowych. Pracownicy zatrudnieni w niepełnym wymiarze godzin, podwykonawcy pracujący na miejscu i pracownicy tymczasowi mogą być wliczani do progu w zależności od przepisów transponujących w danym państwie członkowskim.</p> <hr> <h3 id="2-ustanów-wewnętrzny-kanał-zgłaszania"> 2. Ustanów wewnętrzny kanał zgłaszania <a href="#2-ustan%c3%b3w-wewn%c4%99trzny-kana%c5%82-zg%c5%82aszania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 8(1), Artykuł 9(1)(a)</p> <p>Kanał musi umożliwiać zgłaszanie na piśmie (formularz online, e-mail, poczta) lub ustnie (telefon, system wiadomości głosowych), lub w obu formach. Na żądanie musi również umożliwiać spotkania osobiste w rozsądnym terminie.</p> <p><strong>Praktyczna wskazówka:</strong> Portal internetowy jest najbardziej praktyczną opcją — jest dostępny 24/7, tworzy automatyczny zapis i obsługuje anonimową komunikację dwukierunkową. Unikaj używania ogólnych adresów e-mail; brakuje im szyfrowania, anonimowości i ścieżek audytu.</p> <p><strong>Jak pomaga EthicsPortal:</strong> Zapewnia firmowy portal internetowy z szyfrowanym anonimowym zgłaszaniem i dwukierunkową komunikacją, gotowy w kilka minut.</p> <hr> <h3 id="3-wyznacz-bezstronną-osobę-lub-dział-do-obsługi-zgłoszeń"> 3. Wyznacz bezstronną osobę lub dział do obsługi zgłoszeń <a href="#3-wyznacz-bezstronn%c4%85-osob%c4%99-lub-dzia%c5%82-do-obs%c5%82ugi-zg%c5%82osze%c5%84" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 9(1)(c)</p> <p>Musisz wyznaczyć osobę lub dział kompetentny do prowadzenia działań następczych w związku ze zgłoszeniami. Osoba ta musi być bezstronna — nie powinna mieć konfliktu interesów z przedmiotem zgłoszeń.</p> <p><strong>Praktyczna wskazówka:</strong> Typowe wybory to specjalista ds. zgodności, radca prawny, dyrektor HR lub zewnętrzny ombudsman. W mniejszych organizacjach dyrektor zarządzający może pełnić tę rolę, jeśli prawdopodobnie nie będzie przedmiotem zgłoszeń. Rozważ wyznaczenie zastępcy.</p> <hr> <h3 id="4-skonfiguruj-proces-potwierdzania-przyjęcia-zgłoszenia-termin-7-dni"> 4. Skonfiguruj proces potwierdzania przyjęcia zgłoszenia (termin 7 dni) <a href="#4-skonfiguruj-proces-potwierdzania-przyj%c4%99cia-zg%c5%82oszenia-termin-7-dni" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 9(1)(b)</p> <p>Musisz potwierdzić przyjęcie zgłoszenia w ciągu siedmiu dni kalendarzowych. Dotyczy to wszystkich zgłoszeń, w tym anonimowych.</p> <p><strong>Praktyczna wskazówka:</strong> Zautomatyzuj ten proces. Ręczna procedura niesie ryzyko przekroczenia siedmiodniowego terminu podczas świąt lub nieobecności.</p> <p><strong>Jak pomaga EthicsPortal:</strong> Śledzi termin potwierdzenia dla każdego zgłoszenia i pokazuje osobom obsługującym przypadki, które zgłoszenia wymagają uwagi.</p> <hr> <h3 id="5-zdefiniuj-proces-przekazywania-informacji-zwrotnej-termin-3-miesiące"> 5. Zdefiniuj proces przekazywania informacji zwrotnej (termin 3 miesiące) <a href="#5-zdefiniuj-proces-przekazywania-informacji-zwrotnej-termin-3-miesi%c4%85ce" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 9(1)(f)</p> <p>Musisz przekazać informację zwrotną osobie zgłaszającej w ciągu trzech miesięcy od potwierdzenia przyjęcia. Informacja zwrotna obejmuje: czy zgłoszenie jest oceniane, jest przedmiotem dochodzenia, czy zostało zamknięte, oraz wynik ewentualnego dochodzenia.</p> <p><strong>Praktyczna wskazówka:</strong> „Informacja zwrotna" nie wymaga ujawnienia pełnego wyniku dochodzenia. Poinformowanie zgłaszającego, że sprawa została zbadana i podjęto odpowiednie działania, jest wystarczające. W przypadku anonimowych zgłaszających informacja zwrotna musi być dostępna przez kanał zgłaszania (na przykład za pomocą kodu dostępu).</p> <p><strong>Jak pomaga EthicsPortal:</strong> Śledzi trzymiesięczny termin informacji zwrotnej dla każdej sprawy i obsługuje dwukierunkową komunikację z anonimowymi zgłaszającymi za pomocą kodów dostępu.</p> <hr> <h3 id="6-wdróż-środki-ochrony-poufności"> 6. Wdróż środki ochrony poufności <a href="#6-wdr%c3%b3%c5%bc-%c5%9brodki-ochrony-poufno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 16</p> <p>Tożsamość osoby zgłaszającej nie może być ujawniana nikomu poza upoważnionymi osobami obsługującymi sprawy bez wyraźnej zgody zgłaszającego. Dotyczy to również informacji, z których tożsamość zgłaszającego mogłaby być pośrednio wywnioskowana.</p> <p><strong>Praktyczna wskazówka:</strong> Ogranicz dostęp do zgłoszeń ściśle. Nie udostępniaj szczegółów zgłoszeń na spotkaniach, na których obecne są nieupoważnione osoby. Przy przekazywaniu spraw wewnętrznie redaguj informacje identyfikujące zgłaszającego. Upewnij się, że Twoje systemy IT wymuszają kontrolę dostępu.</p> <p><strong>Jak pomaga EthicsPortal:</strong> Kontrola dostępu oparta na rolach zapewnia, że tylko wyznaczone osoby obsługujące sprawy mogą przeglądać zgłoszenia. Tożsamość zgłaszającego nigdy nie jest ujawniana, chyba że zgłaszający dobrowolnie ją udostępni.</p> <hr> <h3 id="7-ustanów-ochronę-przed-odwetem"> 7. Ustanów ochronę przed odwetem <a href="#7-ustan%c3%b3w-ochron%c4%99-przed-odwetem" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuły 19, 20, 21</p> <p>Osoby zgłaszające, osoby pomagające oraz powiązane osoby trzecie muszą być chronione przed odwetem. Dyrektywa definiuje odwet szeroko: zwolnienie, degradacja, zastraszanie, umieszczanie na czarnej liście i inne. Ciężar dowodu jest odwrócony — jeśli zgłaszający poniesie szkodę po dokonaniu zgłoszenia, pracodawca musi udowodnić, że szkoda nie była związana ze zgłoszeniem.</p> <p><strong>Praktyczna wskazówka:</strong> Udokumentuj tę ochronę w swojej polityce sygnalistów. Przeszkol menedżerów w zakresie tego, co stanowi odwet. Śledź działania kadrowe dotyczące każdej osoby, która dokonała zgłoszenia, abyś mógł wykazać, że decyzje były podejmowane na uzasadnionych podstawach.</p> <hr> <h3 id="8-przeszkol-osoby-obsługujące-sprawy"> 8. Przeszkol osoby obsługujące sprawy <a href="#8-przeszkol-osoby-obs%c5%82uguj%c4%85ce-sprawy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 9(1)(c–f) (dorozumiane)</p> <p>Dyrektywa nie określa konkretnych szkoleń, ale osoby obsługujące sprawy muszą być kompetentne, aby wypełniać obowiązki, które ona nakłada: zachowanie poufności, potwierdzanie przyjęcia w ciągu siedmiu dni, prowadzenie starannych działań następczych oraz przekazywanie informacji zwrotnej w ciągu trzech miesięcy.</p> <p><strong>Praktyczna wskazówka:</strong> Przeszkol osoby obsługujące sprawy co najmniej w zakresie: korzystania z kanału zgłaszania, obowiązków zachowania poufności, podstaw prowadzenia dochodzeń, zasad ochrony przed odwetem oraz ochrony danych. Udokumentuj szkolenia. Odnawiaj je co roku.</p> <hr> <h3 id="9-poinformuj-pracowników-o-kanale-zgłaszania"> 9. Poinformuj pracowników o kanale zgłaszania <a href="#9-poinformuj-pracownik%c3%b3w-o-kanale-zg%c5%82aszania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 9(1)(g)</p> <p>Musisz zapewnić jasne i łatwo dostępne informacje o sposobie korzystania z wewnętrznego kanału zgłaszania. Musisz również poinformować pracowników o ich prawie do zgłaszania na zewnątrz do właściwych organów.</p> <p><strong>Praktyczna wskazówka:</strong> Opublikuj informacje w intranecie, uwzględnij je w materiałach dla nowych pracowników i wyświetl w miejscach wspólnych. Kod QR prowadzący do portalu zgłaszania jest skutecznym sposobem na uczynienie kanału łatwo dostępnym.</p> <p><strong>Jak pomaga EthicsPortal:</strong> Generuje kod QR i link do udostępniania portalu, który możesz wydrukować i rozpowszechnić.</p> <hr> <h3 id="10-skonfiguruj-przechowywanie-i-usuwanie-danych"> 10. Skonfiguruj przechowywanie i usuwanie danych <a href="#10-skonfiguruj-przechowywanie-i-usuwanie-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 17(1–3)</p> <p>Dane osobowe zawarte w zgłoszeniach nie mogą być przechowywane dłużej niż jest to konieczne. Dane, które są oczywiście nieistotne, muszą być niezwłocznie usunięte. Konkretne okresy przechowywania zależą od prawa danego państwa członkowskiego, ale zasada jest następująca: przechowuj tak długo, jak jest to potrzebne do dochodzenia i wszelkich wynikających z niego postępowań, a następnie usuń.</p> <p><strong>Praktyczna wskazówka:</strong> Zdefiniuj okres przechowywania w swojej polityce (typowe wybory to dwa do pięciu lat po zamknięciu sprawy, w zależności od prawa krajowego). Ustaw przypomnienia kalendarzowe, aby przeglądać i usuwać zamknięte sprawy.</p> <hr> <h3 id="11-przygotuj-pisemną-politykę-sygnalistów"> 11. Przygotuj pisemną politykę sygnalistów <a href="#11-przygotuj-pisemn%c4%85-polityk%c4%99-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuły 8, 9 (dorozumiane), plus większość krajowych przepisów transponujących</p> <p>Chociaż dyrektywa nie wymaga wyraźnie samodzielnego dokumentu polityki, większość krajowych przepisów transponujących tego wymaga, a jest to praktycznie niezbędne do wypełnienia obowiązków informacyjnych z artykułu 9(1)(g).</p> <p><strong>Praktyczna wskazówka:</strong> Twoja polityka powinna obejmować: zakres, kto może zgłaszać, co można zgłaszać, jak zgłaszać, poufność, ochronę przed odwetem, proces dochodzenia, terminy informacji zwrotnej i ochronę danych. Zobacz nasz <a href="/pl/blog/whistleblower-policy-template/">bezpłatny szablon polityki sygnalistów</a> , aby uzyskać gotowy dokument do użycia.</p> <hr> <h3 id="12-udokumentuj-zgodność-na-potrzeby-kontroli-regulacyjnej"> 12. Udokumentuj zgodność na potrzeby kontroli regulacyjnej <a href="#12-udokumentuj-zgodno%c5%9b%c4%87-na-potrzeby-kontroli-regulacyjnej" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Odniesienie do dyrektywy:</strong> Artykuł 11(2) (kanały zewnętrzne), krajowe przepisy transponujące (wewnętrzne)</p> <p>Kilka państw członkowskich wymaga od organizacji udokumentowania, że wypełniły swoje obowiązki, i udostępnienia tej dokumentacji organom regulacyjnym na żądanie.</p> <p><strong>Praktyczna wskazówka:</strong> Przechowuj dokumentację dotyczącą: daty ustanowienia kanału zgłaszania, wyznaczonych osób obsługujących sprawy, dokumentacji szkoleń, polityki sygnalistów (z historią wersji) oraz zbiorczych statystyk dotyczących otrzymanych i obsłużonych zgłoszeń. Nie przechowuj szczegółów poszczególnych spraw dłużej niż pozwala na to okres przechowywania.</p> <hr> <h2 id="następne-kroki"> Następne kroki <a href="#nast%c4%99pne-kroki" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jeśli zaznaczyłeś każdy punkt powyżej, Twoja organizacja jest zgodna z podstawowymi wymogami dyrektywy 2019/1937. Zgodność nie jest jednorazowym wydarzeniem — przeglądaj swoje rozwiązania co roku, szkolisz ponownie osoby obsługujące sprawy i aktualizuj swoją politykę w miarę ewolucji prawa krajowego.</p> <p>Potrzebujesz kanału zgłaszania? <a href="/">EthicsPortal</a> zapewnia zgodny, anonimowy portal zgłaszania w kilka minut — 49 €/miesiąc ryczałtowo, bez wyceny per pracownik, bez rozmów handlowych. <a href="/">Zacznij już dziś</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/blog/eu-whistleblower-directive-2019-1937-adopted/Wed, 23 Oct 2019 00:00:00 +0000https://ethicsportal.eu/pl/blog/eu-whistleblower-directive-2019-1937-adopted/Parlament Europejski i Rada formalnie przyjmują Dyrektywę (UE) 2019/1937, ustanawiającą ogólnounijną ochronę osób zgłaszających naruszenia prawa Unii.<h1 id="przyjęcie-dyrektywy-ue-20191937-o-ochronie-sygnalistów"> Przyjęcie Dyrektywy UE 2019/1937 o ochronie sygnalistów <a href="#przyj%c4%99cie-dyrektywy-ue-20191937-o-ochronie-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>23 października 2019 roku Parlament Europejski i Rada formalnie przyjęły <a href="https://eur-lex.europa.eu/eli/dir/2019/1937/oj/pol" rel="nofollow">Dyrektywę (UE) 2019/1937</a> w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Głosowanie na sesji plenarnej zakończyło się wynikiem 591 głosów za, 29 przeciw i 33 wstrzymujących się.</p> <p>Dyrektywa wymaga od każdej organizacji zatrudniającej ponad 50 pracowników ustanowienia bezpiecznych wewnętrznych kanałów zgłaszania, ochrony zgłaszających przed odwetem oraz przekazania informacji zwrotnej w ciągu trzech miesięcy. Państwa członkowskie miały czas do 17 grudnia 2021 roku na transpozycję do prawa krajowego.</p> <a href="https://multimedia.europarl.europa.eu/pl/video/protecting-democracy-by-protecting-whistleblowers_N01-PUB-190408-BLOW" style="display: block; padding: 1.5rem; border: 1px solid #ddd; border-radius: 0.5rem; text-decoration: none; color: inherit; margin: 2rem 0;"> <strong>▶ Obejrzyj: Ochrona demokracji poprzez ochronę sygnalistów</strong><br> <span style="color: #666; font-size: 0.875rem;">Centrum Multimedialne Parlamentu Europejskiego · 1:28</span> </a> <h2 id="czego-wymaga-dyrektywa"> Czego wymaga dyrektywa <a href="#czego-wymaga-dyrektywa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Wewnętrzne kanały zgłaszania</strong> (Art. 8) — bezpieczne, poufne kanały dostępne dla wszystkich pracowników, w tym wykonawców i dostawców</li> <li><strong>Potwierdzenie odbioru w ciągu 7 dni</strong> (Art. 9) — organizacje muszą potwierdzić otrzymanie zgłoszenia w ciągu siedmiu dni kalendarzowych</li> <li><strong>Termin informacji zwrotnej 3 miesiące</strong> (Art. 9) — zgłaszający muszą otrzymać informację zwrotną o podjętych działaniach w ciągu trzech miesięcy</li> <li><strong>Ochrona przed odwetem</strong> (Art. 19–21) — zwolnienie, degradacja, zastraszanie i inne formy odwetu są zakazane</li> <li><strong>Odwrócenie ciężaru dowodu</strong> (Art. 21(5)) — gdy zgłaszający wykaże, że dokonał zgłoszenia i poniósł szkodę, pracodawca musi udowodnić, że środek był niezwiązany ze zgłoszeniem</li> <li><strong>Zgłaszanie zewnętrzne i publiczne</strong> (Art. 10, 15) — zgłaszający zachowują ochronę przy zgłaszaniu do właściwych organów lub, w ostateczności, przy ujawnieniu publicznym</li> </ul> <hr> <h2 id="debata-plenarna"> Debata plenarna <a href="#debata-plenarna" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Parlament Europejski debatował nad dyrektywą podczas sesji plenarnej w Strasburgu. Fragmenty debaty są dostępne w Centrum Multimedialnym Parlamentu Europejskiego:</p> <p><a href="https://multimedia.europarl.europa.eu/pl/video/protection-of-whistle-blowers-extracts-from-the-debate_I123987" rel="nofollow">Obejrzyj debatę plenarną o ochronie sygnalistów</a> </p> <hr> <h2 id="oficjalne-zasoby"> Oficjalne zasoby <a href="#oficjalne-zasoby" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://eur-lex.europa.eu/eli/dir/2019/1937/oj/pol" rel="nofollow">Pełny tekst Dyrektywy (UE) 2019/1937</a> — EUR-Lex</li> <li><a href="https://commission.europa.eu/aid-development-cooperation-fundamental-rights/your-fundamental-rights-eu/protection-whistleblowers_pl" rel="nofollow">Ochrona sygnalistów</a> — Komisja Europejska</li> <li><a href="https://www.europarl.europa.eu/news/pl/press-room/20190410IPR37529/protecting-whistle-blowers-new-eu-wide-rules-approved" rel="nofollow">Nowe ogólnounijne przepisy zatwierdzone</a> — Komunikat prasowy Parlamentu Europejskiego</li> <li><a href="https://multimedia.europarl.europa.eu/pl/topic/protection-of-whistleblowers-8th-parliamentary-term_9901" rel="nofollow">Wszystkie materiały multimedialne dotyczące ochrony sygnalistów</a> — Centrum Multimedialne Parlamentu Europejskiego</li> <li><a href="https://www.europarl.europa.eu/legislative-train/theme-area-of-justice-and-fundamental-rights/file-whistle-blower-protection-proposal" rel="nofollow">Harmonogram legislacyjny</a> — Parlament Europejski</li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/security/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/security/Techniczne środki bezpieczeństwa w EthicsPortal — szyfrowanie, anonimowość, kontrola dostępu, dziennik audytu i szczegóły infrastruktury do przeglądu zgodności.<h1 id="bezpieczeństwo"> Bezpieczeństwo <a href="#bezpiecze%c5%84stwo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal obsługuje wrażliwe dane sygnalistów. Ta strona dokumentuje konkretne środki techniczne i organizacyjne, które stosujemy. Jest napisana dla inspektorów ds. zgodności, inspektorów ochrony danych i zespołów prawnych oceniających platformę.</p> <p>Ostatnia aktualizacja: 2026-05-17.</p> <hr> <h2 id="szyfrowanie-danych"> Szyfrowanie danych <a href="#szyfrowanie-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wszystkie wrażliwe pola są szyfrowane w spoczynku przy użyciu Rails ActiveRecord Encryption z <strong>szyfrowaniem niedeterministycznym</strong> (każde szyfrowanie generuje unikalny szyfrogram, co uniemożliwia analizę wzorców).</p> <table> <thead> <tr> <th>Pole</th> <th>Szyfrowane</th> <th>Deterministyczne</th> </tr> </thead> <tbody> <tr> <td>Opis zgłoszenia</td> <td>Tak</td> <td>Nie</td> </tr> <tr> <td>Imię i nazwisko zgłaszającego</td> <td>Tak</td> <td>Nie</td> </tr> <tr> <td>Dane kontaktowe zgłaszającego</td> <td>Tak</td> <td>Nie</td> </tr> <tr> <td>Treść wiadomości (komunikacja zgłaszający–prowadzący)</td> <td>Tak</td> <td>Nie</td> </tr> </tbody> </table> <p>Szyfrowanie niedeterministyczne oznacza, że tych pól nie można wyszukiwać po wartości na poziomie bazy danych. Nawet mając pełny dostęp do bazy, atakujący nie może wyszukać konkretnego imienia i nazwiska zgłaszającego w rekordach.</p> <p>Wszystkie połączenia z EthicsPortal wykorzystują <strong>HTTPS/TLS</strong>. Nieszyfrowane żądania HTTP są przekierowywane.</p> <hr> <h2 id="anonimowość-i-prywatność"> Anonimowość i prywatność <a href="#anonimowo%c5%9b%c4%87-i-prywatno%c5%9b%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="anonimizacja-ip"> Anonimizacja IP <a href="#anonimizacja-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal <strong>nigdy nie przechowuje adresów IP</strong>. Trasy portalu (wysyłanie zgłoszeń, sprawdzanie spraw, wymiana wiadomości) wykorzystują jednokierunkowy hasz SHA256 adresu IP wyłącznie do limitowania żądań. Hasz nie jest odwracalny — odzyskanie oryginalnego adresu IP z przechowywanej wartości jest niemożliwe.</p> <p>Dotyczy to wszystkich endpointów portalu. Żaden adres IP nie jest zapisywany w żadnym logu, polu bazy danych ani systemie analitycznym.</p> <h3 id="usuwanie-metadanych-plików"> Usuwanie metadanych plików <a href="#usuwanie-metadanych-plik%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Przesłane pliki są automatycznie oczyszczane z identyfikujących metadanych <strong>przed</strong> zapisem:</p> <table> <thead> <tr> <th>Typ pliku</th> <th>Usuwane metadane</th> <th>Metoda</th> </tr> </thead> <tbody> <tr> <td>Obrazy (JPEG, PNG, TIFF, WebP)</td> <td>Dane EXIF: współrzędne GPS, model aparatu, numer seryjny urządzenia, autor, znaczniki czasu</td> <td>Przetwarzanie obrazów Vips</td> </tr> <tr> <td>Dokumenty PDF</td> <td>Autor, aplikacja tworząca, historia modyfikacji</td> <td>exiftool</td> </tr> <tr> <td>Pliki wideo</td> <td>GPS, informacje o urządzeniu, oprogramowanie nagrywające</td> <td>exiftool</td> </tr> <tr> <td>Pliki audio</td> <td>Urządzenie nagrywające, GPS, tagi oprogramowania</td> <td>exiftool</td> </tr> </tbody> </table> <p>Zgłaszający nie muszą ufać, że ich pliki są bezpieczne — metadane są usuwane po stronie serwera niezależnie od zawartości pliku.</p> <h3 id="skanowanie-antywirusowe"> Skanowanie antywirusowe <a href="#skanowanie-antywirusowe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wszystkie przesłane pliki są automatycznie skanowane pod kątem złośliwego oprogramowania za pomocą <a href="https://www.clamav.net" rel="nofollow">ClamAV</a> , silnika antywirusowego open source. Skanowanie odbywa się po stronie serwera w procesie w tle po przesłaniu pliku. Zainfekowane pliki są automatycznie usuwane i nigdy nie trafiają do osób prowadzących sprawy.</p> <p>Pliki są skanowane na infrastrukturze EthicsPortal — żadne dane plików nie są wysyłane do zewnętrznych usług skanowania.</p> <h3 id="anonimowość-prowadzącego"> Anonimowość prowadzącego <a href="#anonimowo%c5%9b%c4%87-prowadz%c4%85cego" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Sygnaliści nigdy nie widzą prawdziwych imion i nazwisk ani adresów e-mail osób obsługujących ich zgłoszenie. Wszystkie wiadomości od prowadzących są wyświetlane jako <strong>„Osoba prowadząca sprawę"</strong>. Chroni to tożsamość prowadzącego i zapobiega inżynierii społecznej.</p> <h3 id="brak-śledzenia"> Brak śledzenia <a href="#brak-%c5%9bledzenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal nie używa ciasteczek śledzących firm trzecich, pikseli reklamowych ani skryptów fingerprinting. Na stronach marketingowych używamy <a href="https://www.cloudflare.com/web-analytics/" rel="nofollow">Cloudflare Web Analytics</a> — narzędzie bez ciasteczek, które nie zbiera danych osobowych i jest w pełni zgodne z RODO. Sam portal zgłoszeniowy nie posiada żadnej analityki.</p> <h3 id="aktualny-status-assurance"> Aktualny status assurance <a href="#aktualny-status-assurance" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal nie deklaruje obecnie na tej stronie ISO 27001, SOC 2 ani równoważnej certyfikacji. Nie publikuje też obecnie niezależnego zewnętrznego audytu architektury anonimowości. Jeśli to się zmieni, zakres i data zostaną opublikowane tutaj.</p> <h3 id="materiały-do-przeglądu-bezpieczeństwa"> Materiały do przeglądu bezpieczeństwa <a href="#materia%c5%82y-do-przegl%c4%85du-bezpiecze%c5%84stwa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Klienci, którzy potrzebują materiałów do oceny dostawcy lub przeglądu prawnego, mogą o nie poprosić w trakcie oceny. Dostępne materiały mogą obejmować podpisane DPA, dokumenty rejestrowe i podatkowe, wypełniony kwestionariusz bezpieczeństwa oraz pisemne odpowiedzi dotyczące procedur tworzenia kopii zapasowych i przywracania, uprzywilejowanego dostępu do środowiska produkcyjnego oraz reagowania na incydenty.</p> <hr> <h2 id="kontrola-dostepu"> Kontrola dostępu <a href="#kontrola-dostepu" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Autoryzacja jest egzekwowana na poziomie aplikacji przy użyciu polityk <a href="https://github.com/varvet/pundit" rel="nofollow">Pundit</a> .</p> <table> <thead> <tr> <th>Rola</th> <th>Może przeglądać zgłoszenia</th> <th>Może zarządzać ustawieniami organizacji</th> <th>Może przypisywać prowadzących</th> </tr> </thead> <tbody> <tr> <td>Administrator</td> <td>Wszystkie zgłoszenia</td> <td>Tak</td> <td>Tak</td> </tr> <tr> <td>Prowadzący</td> <td>Zgłoszenia przypisane lub takie, w których uczestniczy</td> <td>Nie</td> <td>Nie</td> </tr> </tbody> </table> <ul> <li>Prowadzący nie mogą widzieć zgłoszeń, które nie zostały im przypisane ani w których nie zostali dodani jako uczestnicy. Uczestnicy są dodawani wprost przez administratora lub głównego prowadzącego (na przykład w celu włączenia działu prawnego lub HR).</li> <li>Zgłaszający nie posiadają konta użytkownika — uzyskują dostęp do swojego zgłoszenia za pomocą kodu dostępu (<code>WB-XXXX-XXXX</code>) oraz 6-cyfrowego kodu PIN, który wybierają podczas składania zgłoszenia. Oba są wymagane. Kod PIN jest przechowywany wyłącznie w postaci skrótu bcrypt i nie może zostać odzyskany.</li> <li>Każda akcja kontrolera sprawdza autoryzację. Próby nieautoryzowanego dostępu są blokowane i rejestrowane.</li> </ul> <h3 id="cykl-sesji"> Cykl sesji <a href="#cykl-sesji" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Każda uwierzytelniona sesja rejestruje <code>last_seen_at</code> przy każdym żądaniu (z debouncingiem). Użytkownicy mogą przeglądać swoje aktywne sesje, sprawdzać, kiedy każda z nich była ostatnio aktywna, unieważniać dowolną sesję pojedynczo lub wylogowywać się ze wszystkich pozostałych sesji jednocześnie z poziomu ustawień konta.</p> <p>Sesje wygasają automatycznie po <strong>14 dniach bezczynności</strong>. Kolejne żądanie z bezczynnej sesji niszczy rekord po stronie serwera, czyści ciasteczko i wymusza ponowne uwierzytelnienie nowym linkiem magicznym. Nocne zadanie usuwa porzucone sesje z tym samym limitem czasu, dzięki czemu <code>user_agent</code> i <code>ip_address</code> nie są przechowywane poza oknem bezczynności, nawet gdy użytkownik nigdy nie wraca.</p> <p>Uwierzytelnianie linkiem magicznym ogranicza zasięg potencjalnych skutków długotrwałych sesji: skradzione ciasteczko sesji nie daje wielokrotnie używanego poświadczenia, a ponowne uwierzytelnienie wymaga dostępu do poczty e-mail.</p> <h3 id="dostęp-członków-i-wygaszanie-dostępu"> Dostęp członków i wygaszanie dostępu <a href="#dost%c4%99p-cz%c5%82onk%c3%b3w-i-wygaszanie-dost%c4%99pu" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Dostęp do organizacji jest egzekwowany na granicy żądania. Gdy członek zostaje dezaktywowany:</p> <ul> <li>Dostęp do organizacji jest natychmiast odrzucany, również w przypadku wcześniej zapisanych zakładek z adresami URL.</li> <li>Przypisania do otwartych zgłoszeń są zdejmowane.</li> <li>Uczestnictwa są usuwane.</li> <li>Historia dziennika audytu przypisana do tego członka jest zachowywana.</li> <li>Dezaktywowany członek jest powiadamiany.</li> <li>Ponowna aktywacja nie przywraca automatycznie wcześniejszego dostępu do spraw.</li> </ul> <p>Ostatniego aktywnego administratora oraz właściciela organizacji nie można dezaktywować. Wszystkie zdarzenia dezaktywacji i ponownej aktywacji są zapisywane w dzienniku audytu tylko do dopisywania.</p> <p>Członkostwa bez śladu w zakresie zgodności (bez wpisów w dzienniku audytu, bez przypisań, bez uczestnictw) są trwale usuwane przy zdjęciu; członkostwa z takim śladem są dezaktywowane miękko, aby ślad audytowy pozostawał możliwy do odtworzenia.</p> <h3 id="limitowanie-żądań"> Limitowanie żądań <a href="#limitowanie-%c5%bc%c4%85da%c5%84" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Publiczne endpointy portalu są objęte limitami zapobiegającymi nadużyciom i atakom enumeracyjnym:</p> <table> <thead> <tr> <th>Endpoint</th> <th>Limit</th> </tr> </thead> <tbody> <tr> <td>Wysyłanie zgłoszenia</td> <td>5 na 10 minut na zanonimizowany IP</td> </tr> <tr> <td>Sprawdzanie sprawy (kod dostępu + kod PIN)</td> <td>10 na 3 minuty na zanonimizowany IP</td> </tr> <tr> <td>Wysyłanie wiadomości</td> <td>10 na 3 minuty na zanonimizowany IP</td> </tr> </tbody> </table> <p>Limitowanie żądań wykorzystuje jednokierunkowy hasz IP opisany powyżej — żaden rzeczywisty adres IP nie jest przechowywany.</p> <hr> <h2 id="audyt-i-zgodność"> Audyt i zgodność <a href="#audyt-i-zgodno%c5%9b%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="dziennik-audytu-tylko-do-dopisywania"> Dziennik audytu tylko do dopisywania <a href="#dziennik-audytu-tylko-do-dopisywania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Każda akcja w EthicsPortal jest rejestrowana z następującymi danymi:</p> <ul> <li><strong>Znacznik czasu</strong> (UTC)</li> <li><strong>Wykonawca</strong> (który użytkownik lub proces systemowy wykonał akcję)</li> <li><strong>Typ akcji</strong> (zgłoszenie utworzone, status zmieniony, wiadomość wysłana, prowadzący przypisany, zgłoszenie wyświetlone, zgłoszenie wyeksportowane, zgłoszenie usunięte itp.)</li> </ul> <p>Wpisy dziennika audytu są tylko do dopisywania. Po utworzeniu nie mogą być modyfikowane przez żadnego użytkownika, w tym administratorów organizacji. Pełny dziennik audytu jest dołączany do eksportów spraw w formacie PDF do przeglądu regulacyjnego.</p> <h3 id="przechowywanie-danych"> Przechowywanie danych <a href="#przechowywanie-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Organizacje konfigurują własny okres przechowywania: <strong>12, 24, 36 lub 60 miesięcy</strong> po zamknięciu zgłoszenia. Po upływie okresu przechowywania zgłoszenie i wszystkie powiązane dane (wiadomości, załączniki, wpisy dziennika audytu) są automatycznie i trwale usuwane przez zadanie w tle.</p> <p>Spełnia to wymogi RODO dotyczące ograniczenia przechowywania (Art. 5(1)(e)) oraz obowiązki prowadzenia rejestrów z dyrektywy 2019/1937 (Art. 17–18).</p> <h3 id="ochrona-przed-csrf"> Ochrona przed CSRF <a href="#ochrona-przed-csrf" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wszystkie formularze są chronione przed fałszowaniem żądań cross-site za pomocą wbudowanych tokenów CSRF w Rails.</p> <hr> <h2 id="zarzadzanie-zaleznosciami-i-poprawkami"> Zarządzanie zależnościami i poprawkami <a href="#zarzadzanie-zaleznosciami-i-poprawkami" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal nie wdraża komponentów oprogramowania, których wsparcie zostało zakończone. Aplikacja działa na aktywnie wspieranych wydaniach Rails, Ruby, PostgreSQL oraz bazowego systemu operacyjnego; wydania bezpieczeństwa z górnych źródeł są stosowane na bieżąco.</p> <p>Zależności są skanowane w sposób ciągły w continuous integration:</p> <ul> <li><strong><a href="https://brakemanscanner.org" rel="nofollow">Brakeman</a> </strong> wykrywa podatności specyficzne dla Rails przy każdej zmianie.</li> <li><strong><a href="https://github.com/rubysec/bundler-audit" rel="nofollow">bundler-audit</a> </strong> sprawdza Gemfile pod kątem Ruby Advisory Database przy każdej zmianie.</li> <li><strong><code>importmap audit</code></strong> skanuje importy JavaScript pod kątem znanych podatności przy każdej zmianie.</li> <li><strong><a href="https://docs.github.com/en/code-security/dependabot" rel="nofollow">Dependabot</a> </strong> otwiera cotygodniowo pull requesty dla nieaktualnych gemów Ruby oraz GitHub Actions, pogrupowane według aktualizacji minor/patch.</li> </ul> <p>Komponenty, których wsparcie po stronie źródłowej dobiega końca, są zastępowane lub aktualizowane przed zamknięciem okna wsparcia.</p> <hr> <h2 id="infrastruktura"> Infrastruktura <a href="#infrastruktura" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Komponent</th> <th>Dostawca</th> <th>Lokalizacja</th> </tr> </thead> <tbody> <tr> <td>Serwer aplikacji i baza danych</td> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> </td> <td>Norymberga, Niemcy (UE)</td> </tr> <tr> <td>Przechowywanie plików</td> <td><a href="https://www.hetzner.com/storage/object-storage" rel="nofollow">Hetzner Object Storage</a> </td> <td>Norymberga, Niemcy (UE)</td> </tr> <tr> <td>E-maile transakcyjne</td> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet</a> </td> <td>Francja (UE)</td> </tr> <tr> <td>Przetwarzanie płatności</td> <td><a href="https://stripe.com" rel="nofollow">Stripe</a> </td> <td>UE</td> </tr> </tbody> </table> <ul> <li>Całe przetwarzanie danych odbywa się w Unii Europejskiej.</li> <li>Na serwerach EthicsPortal nie są przechowywane numery kart kredytowych ani dane uwierzytelniające płatności. Wszystkie dane płatnicze są obsługiwane przez Stripe.</li> <li>Mailjet jest używany do e-maili transakcyjnych (powiadomienia dla prowadzących, nie dla sygnalistów). Mailjet ma siedzibę we Francji i przetwarza wszystkie dane w UE.</li> <li>Strona marketingowa jest dostarczana przez Cloudflare (CDN, Stany Zjednoczone); portal zgłoszeniowy i portal prowadzących nie. Pełną listę i zabezpieczenia transferów opisano na stronie <a href="/pl/subprocessors/">podwykonawcy</a> .</li> </ul> <hr> <h2 id="kopie-zapasowe-i-przywracanie"> Kopie zapasowe i przywracanie <a href="#kopie-zapasowe-i-przywracanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal utrzymuje dwie uzupełniające się warstwy kopii zapasowych, obie przechowywane na terenie UE:</p> <table> <thead> <tr> <th>Warstwa</th> <th>Co</th> <th>Gdzie</th> <th>Retencja</th> </tr> </thead> <tbody> <tr> <td>Baza danych</td> <td>Codzienne szyfrowane zrzuty PostgreSQL przez akcesorium Kamal</td> <td>Hetzner Object Storage, Norymberga (UE)</td> <td>7 dni</td> </tr> <tr> <td>Serwer</td> <td>Pełne migawki dysku hosta aplikacji</td> <td>Hetzner Cloud, Norymberga (UE)</td> <td>7 dni</td> </tr> </tbody> </table> <p><strong>Cele odzyskiwania.</strong> Cel punktu odzyskiwania (RPO) wynosi 24 godziny. Cel czasu odzyskiwania (RTO) wynosi 4 godziny. Cele te są również ujęte w <a href="/pl/sla/#cele-odzyskiwania">umowie o poziomie usług</a> .</p> <p><strong>Testy przywracania.</strong> Test przywracania jest wykonywany co najmniej kwartalnie w odrębnym, jednorazowym środowisku. Ostatni test: 2026-05-14.</p> <p><strong>Szyfrowanie.</strong> Zrzuty bazy danych są szyfrowane w spoczynku przez Hetzner Object Storage; pola szyfrowane na warstwie aplikacji za pomocą Rails ActiveRecord Encryption pozostają zaszyfrowane w zrzucie.</p> <hr> <h2 id="przegląd-operacyjny"> Przegląd operacyjny <a href="#przegl%c4%85d-operacyjny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Ta strona jest publicznym podsumowaniem bezpieczeństwa. Część materiałów operacyjnych jest udostępniana podczas oceny dostawcy zamiast publikowania ich w otwartym internecie, ponieważ zawiera szczegóły infrastruktury i reakcji, które lepiej nadają się do kontrolowanego ujawnienia.</p> <p>Tematy dostępne na żądanie w trakcie oceny dostawcy obejmują między innymi:</p> <ul> <li>Podsumowanie uprzywilejowanego dostępu do środowiska produkcyjnego</li> <li>Procedury reagowania na incydenty i kontakty eskalacyjne</li> <li>Odpowiedzi dotyczące ciągłości działania oraz zakończenia współpracy z klientem i eksportu danych</li> </ul> <hr> <h2 id="odpowiedzialne-ujawnianie"> Odpowiedzialne ujawnianie <a href="#odpowiedzialne-ujawnianie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jeśli odkryjesz lukę w zabezpieczeniach EthicsPortal, prosimy o zgłoszenie na adres <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Prosimy, abyś:</p> <ol> <li>Nie ujawniał publicznie luki, zanim nie będziemy mieli możliwości jej naprawienia.</li> <li>Podał wystarczająco dużo szczegółów, abyśmy mogli odtworzyć i naprawić problem.</li> <li>Nie uzyskiwał dostępu do danych innych klientów ani ich nie modyfikował.</li> </ol> <p>Potwierdzimy otrzymanie zgłoszenia w ciągu 2 dni roboczych i dążymy do szybkiego rozwiązania potwierdzonych luk.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/pricing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/pricing/Prosty, przejrzysty cennik EthicsPortal. Jeden plan, wszystko w cenie. Bez oplat za pracownika.<p><strong>Rozważasz rozwiązanie wewnętrzne?</strong> Artykuł 9 ust. 1 dyrektywy 2019/1937 wymaga poufności tożsamości zgłaszającego, bezstronnego prowadzenia sprawy oraz ograniczonego dostępu do zgłoszeń. Kanał wewnętrzny przekierowuje te wymogi przez tych samych administratorów IT, systemy kopii zapasowych i narzędzia retencji na potrzeby postępowań sądowych, które obsługują pozostałe systemy w firmie — a jego DPIA musi dokumentować, w jaki sposób administrator uniemożliwia sobie dostęp do danych o samym sobie. Prowadzenie przez podmiot zewnętrzny, przewidziane w art. 8 ust. 5, omija oba problemy.</p> <p><a href="/pl/faq/">Więcej w FAQ →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/faq/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/faq/Najczęstsze pytania o EthicsPortal — zgodność z przepisami, anonimowość, bezpieczeństwo danych, rozliczenia i szczegóły techniczne.<h1 id="często-zadawane-pytania"> Często zadawane pytania <a href="#cz%c4%99sto-zadawane-pytania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <hr> <h2 id="dla-inspektorów-ds-zgodności-i-decydentów"> Dla inspektorów ds. zgodności i decydentów <a href="#dla-inspektor%c3%b3w-ds-zgodno%c5%9bci-i-decydent%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="czy-ethicsportal-jest-zgodny-z-dyrektywą-ue-20191937"> Czy EthicsPortal jest zgodny z dyrektywą UE 2019/1937? <a href="#czy-ethicsportal-jest-zgodny-z-dyrektyw%c4%85-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. EthicsPortal jest zbudowany specjalnie w celu spełnienia wymagań dyrektywy UE o ochronie sygnalistów. Obejmuje to bezpieczne kanały zgłoszeniowe, anonimową dwukierunkową komunikację, śledzenie terminów (7-dniowe potwierdzenie, 3-miesięczna informacja zwrotna), kontrolę dostępu, polityki przechowywania danych oraz kompletny dziennik audytu. Szczegółowe omówienie artykuł po artykule znajdziesz na <a href="/pl/directive-coverage/">stronie zgodności</a> .</p> <h3 id="w-których-krajach-ethicsportal-spełnia-wymogi"> W których krajach EthicsPortal spełnia wymogi? <a href="#w-kt%c3%b3rych-krajach-ethicsportal-spe%c5%82nia-wymogi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal spełnia wymagania dyrektywy UE 2019/1937, która została transponowana do prawa krajowego w państwach członkowskich UE. Platforma jest zaprojektowana tak, aby spełniać podstawowe wymagania dyrektywy, które obowiązują w całej UE. Jeśli Twój kraj ma dodatkowe wymagania krajowe (np. francuska Loi Waserman), sprawdź nasze <a href="/pl/whistleblower-laws/">przewodniki dla poszczególnych krajów</a> lub <a href="mailto:support@ethicsportal.eu">skontaktuj się z nami</a> .</p> <h3 id="czy-możemy-prowadzić-kanał-zgłoszeniowy-wewnętrznie"> Czy możemy prowadzić kanał zgłoszeniowy wewnętrznie? <a href="#czy-mo%c5%bcemy-prowadzi%c4%87-kana%c5%82-zg%c5%82oszeniowy-wewn%c4%99trznie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak — art. 8 ust. 5 dyrektywy 2019/1937 wyraźnie na to zezwala. Jednak spełnienie warunków dyrektywy jest strukturalnie trudniejsze, gdy kanał prowadzony jest wewnętrznie.</p> <p>Artykuł 9 ust. 1 wymaga poufności tożsamości zgłaszającego, bezstronnego prowadzenia sprawy oraz ograniczonego dostępu do zgłoszeń. Kanał wewnętrzny przekierowuje wszystkie trzy warunki przez tych samych administratorów IT, systemy kopii zapasowych i narzędzia retencji na potrzeby postępowań sądowych, które obsługują pozostałe systemy w firmie. Osobna subdomena lub skrzynka pocztowa nie zmieniają tego, kto ma dostęp.</p> <p>RODO dodaje drugi problem. Zgłaszanie nieprawidłowości znajduje się na obowiązkowej liście DPIA opublikowanej przez EROD. Wewnętrzna DPIA musiałaby dokumentować, w jaki sposób administrator uniemożliwia sobie dostęp do danych o samym sobie — co jest z natury zapętlone.</p> <p>Prowadzenie przez podmiot zewnętrzny jest przewidziane w art. 8 ust. 5 oraz w transpozycjach krajowych: Loi Sapin II / Waserman (FR), HinSchG §14 (DE), D.Lgs. 24/2023 (IT), Ley 2/2023 (ES).</p> <h3 id="gdzie-przechowywane-są-moje-dane"> Gdzie przechowywane są moje dane? <a href="#gdzie-przechowywane-s%c4%85-moje-dane" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podstawowe dane zgłoszeń są przechowywane na serwerach Hetzner w Norymberdze w Niemczech. Strona marketingowa jest dostarczana przez Cloudflare (Stany Zjednoczone); portal zgłoszeniowy i portal prowadzących nie. Hetzner to niemiecki dostawca hostingu podlegający unijnemu prawu ochrony danych, a zabezpieczenia transferów opisano w <a href="/pl/dpa/">DPA</a> i na stronie <a href="/pl/subprocessors/">dalszych podmiotów przetwarzających</a> .</p> <h3 id="czy-zgłoszenia-są-naprawdę-anonimowe"> Czy zgłoszenia są naprawdę anonimowe? <a href="#czy-zg%c5%82oszenia-s%c4%85-naprawd%c4%99-anonimowe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak, jeśli zgłaszający tak zdecyduje. Podanie imienia i nazwiska lub danych kontaktowych jest opcjonalne. EthicsPortal nie loguje adresów IP, usuwa metadane plików (EXIF, GPS, informacje o autorze) z przesyłanych plików, a bezpieczny wątek wiadomości nigdy nie ujawnia zgłaszającemu tożsamości osoby prowadzącej sprawę. Nie ma technicznego mechanizmu pozwalającego powiązać anonimowe zgłoszenie z konkretną osobą.</p> <h3 id="jak-działa-śledzenie-terminów-7-dniowego-i-3-miesięcznego"> Jak działa śledzenie terminów 7-dniowego i 3-miesięcznego? <a href="#jak-dzia%c5%82a-%c5%9bledzenie-termin%c3%b3w-7-dniowego-i-3-miesi%c4%99cznego" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Po wysłaniu zgłoszenia EthicsPortal automatycznie uruchamia dwa liczniki czasu zgodnie z wymaganiami dyrektywy:</p> <ul> <li><strong>7 dni</strong> na potwierdzenie otrzymania zgłoszenia.</li> <li><strong>3 miesiące</strong> na przekazanie merytorycznej informacji zwrotnej zgłaszającemu.</li> </ul> <p>Zaległe zgłoszenia są oznaczane w panelu, a prowadzący otrzymują powiadomienia w miarę zbliżania się terminów.</p> <h3 id="czy-oferujecie-umowę-powierzenia-przetwarzania-danych-dpa"> Czy oferujecie umowę powierzenia przetwarzania danych (DPA)? <a href="#czy-oferujecie-umow%c4%99-powierzenia-przetwarzania-danych-dpa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. Aktualna umowa DPA jest opublikowana na stronie <a href="/pl/dpa/">DPA</a> , a podpisany egzemplarz jest dostępny na życzenie.</p> <h3 id="jakie-certyfikaty-posiadacie"> Jakie certyfikaty posiadacie? <a href="#jakie-certyfikaty-posiadacie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal nie deklaruje obecnie na tej stronie certyfikatu ISO 27001, SOC 2 ani równoważnej certyfikacji. Aktualną postawę bezpieczeństwa, podwykonawców, ujawnianie incydentów i zobowiązania usługowe opisujemy publicznie na stronach <a href="/pl/security/">bezpieczeństwo</a> , <a href="/pl/subprocessors/">podwykonawcy</a> , <a href="/pl/incidents/">rejestr incydentów</a> i <a href="/pl/sla/">SLA</a> .</p> <h3 id="kto-jest-stroną-kontraktową"> Kto jest stroną kontraktową? <a href="#kto-jest-stron%c4%85-kontraktow%c4%85" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal jest prowadzony przez Yaroslava Shmarova, zarejestrowanego w Polsce. Podstawowe informacje kontraktowe i materiały do oceny dostawcy są opublikowane na stronie <a href="/pl/trust/">Zaufanie</a> .</p> <h3 id="czy-wspieracie-ocenę-dostawcy"> Czy wspieracie ocenę dostawcy? <a href="#czy-wspieracie-ocen%c4%99-dostawcy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. Publiczne materiały weryfikacyjne są opublikowane na stronie, a dodatkowe materiały do oceny dostawcy są dostępne na żądanie w trakcie przeglądu. Zobacz <a href="/pl/trust/">Zaufanie</a> .</p> <h3 id="czy-mogę-eksportować-dane-sprawy-dla-audytorów"> Czy mogę eksportować dane sprawy dla audytorów? <a href="#czy-mog%c4%99-eksportowa%c4%87-dane-sprawy-dla-audytor%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. Każde zgłoszenie można wyeksportować do PDF, łącznie z pełną historią wiadomości, osią czasu i dziennikiem audytu. Funkcja ta jest zaprojektowana do udostępniania radcom prawnym, audytorom lub regulatorom. Jeśli potrzebujesz dodatkowego formatu przenoszalności do migracji lub przeglądu regulacyjnego, skontaktuj się z nami podczas oceny dostawcy lub zakończenia współpracy.</p> <hr> <h2 id="dla-pracowników-i-zgłaszających"> Dla pracowników i zgłaszających <a href="#dla-pracownik%c3%b3w-i-zg%c5%82aszaj%c4%85cych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="czy-muszę-zakładać-konto-żeby-wysłać-zgłoszenie"> Czy muszę zakładać konto, żeby wysłać zgłoszenie? <a href="#czy-musz%c4%99-zak%c5%82ada%c4%87-konto-%c5%bceby-wys%c5%82a%c4%87-zg%c5%82oszenie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nie. Nie potrzebujesz konta, adresu e-mail ani żadnych danych osobowych. Wchodzisz na link portalu, wypełniasz zgłoszenie, wybierasz 6-cyfrowy kod PIN i otrzymujesz kod dostępu. To wszystko.</p> <h3 id="czy-mój-pracodawca-może-się-dowiedzieć-kim-jestem"> Czy mój pracodawca może się dowiedzieć, kim jestem? <a href="#czy-m%c3%b3j-pracodawca-mo%c5%bce-si%c4%99-dowiedzie%c4%87-kim-jestem" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nie za pośrednictwem EthicsPortal. Jeśli zdecydujesz się na anonimowe zgłoszenie (bez podawania imienia i nazwiska lub danych kontaktowych), Twój pracodawca nie ma możliwości zidentyfikowania Cię za pośrednictwem platformy. EthicsPortal nie loguje Twojego adresu IP i usuwa identyfikujące metadane z przesyłanych plików.</p> <p>Pamiętaj jednak o treści zgłoszenia — jeśli zawiera szczegóły, które mogłaby znać tylko jedna osoba, to wykracza poza kontrolę platformy.</p> <h3 id="jak-sprawdzić-status-zgłoszenia"> Jak sprawdzić status zgłoszenia? <a href="#jak-sprawdzi%c4%87-status-zg%c5%82oszenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Potrzebujesz dwóch rzeczy: kodu dostępu (w formacie <code>WB-XXXX-XXXX</code>), który otrzymasz po wysłaniu zgłoszenia, oraz 6-cyfrowego kodu PIN, który wybierzesz. Wróć na portal w dowolnym momencie, wpisz oba, a zobaczysz aktualny status lub wymienisz wiadomości z osobą prowadzącą sprawę. Przechowuj kod dostępu w bezpiecznym miejscu i zapamiętaj kod PIN — nie możemy go odzyskać, a oba są wymagane.</p> <h3 id="czy-mogę-dołączyć-pliki-do-zgłoszenia"> Czy mogę dołączyć pliki do zgłoszenia? <a href="#czy-mog%c4%99-do%c5%82%c4%85czy%c4%87-pliki-do-zg%c5%82oszenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. Możesz przesłać zdjęcia, dokumenty PDF, pliki wideo i audio do 100 MB każdy. Wszystkie metadane plików (dane lokalizacji, informacje o autorze, szczegóły aparatu) są automatycznie usuwane przed zapisem, aby chronić Twoją tożsamość.</p> <h3 id="czy-mogę-komunikować-się-z-osobą-prowadzącą-sprawę-anonimowo"> Czy mogę komunikować się z osobą prowadzącą sprawę anonimowo? <a href="#czy-mog%c4%99-komunikowa%c4%87-si%c4%99-z-osob%c4%85-prowadz%c4%85c%c4%85-spraw%c4%99-anonimowo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. Wbudowany wątek wiadomości jest w pełni anonimowy. Widzisz „Osoba prowadząca sprawę" — nigdy prawdziwe imię i nazwisko. Prowadzący widzi Twoje wiadomości, ale nie ma możliwości zidentyfikowania Cię, chyba że sam zdecydujesz się udostępnić takie informacje.</p> <h3 id="co-się-dzieje-po-wysłaniu-zgłoszenia"> Co się dzieje po wysłaniu zgłoszenia? <a href="#co-si%c4%99-dzieje-po-wys%c5%82aniu-zg%c5%82oszenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Twoje zgłoszenie trafia do wyznaczonej osoby prowadzącej sprawy w organizacji. Zgodnie z prawem UE, musi ona potwierdzić otrzymanie w ciągu 7 dni i przekazać merytoryczną informację zwrotną w ciągu 3 miesięcy. Możesz sprawdzać status w dowolnym momencie za pomocą kodu dostępu i kodu PIN.</p> <hr> <h2 id="dla-zespołów-it-i-technicznych"> Dla zespołów IT i technicznych <a href="#dla-zespo%c5%82%c3%b3w-it-i-technicznych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="jakie-szyfrowanie-stosujecie"> Jakie szyfrowanie stosujecie? <a href="#jakie-szyfrowanie-stosujecie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wszystkie wrażliwe dane zgłoszeń są szyfrowane w spoczynku w bazie danych. Wszystkie połączenia wykorzystują TLS (HTTPS). Przesłane pliki są przechowywane w zaszyfrowanej formie na infrastrukturze hostowanej w UE.</p> <h3 id="czy-usuwacie-metadane-plików"> Czy usuwacie metadane plików? <a href="#czy-usuwacie-metadane-plik%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. Dane EXIF, współrzędne GPS, informacje o autorze i inne metadane są automatycznie usuwane ze wszystkich przesłanych plików przed ich zapisem. Zapobiega to przypadkowemu ujawnieniu tożsamości przez właściwości pliku.</p> <h3 id="czy-skanujecie-przesłane-pliki-pod-kątem-wirusów"> Czy skanujecie przesłane pliki pod kątem wirusów? <a href="#czy-skanujecie-przes%c5%82ane-pliki-pod-k%c4%85tem-wirus%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. Wszystkie przesłane pliki są skanowane pod kątem złośliwego oprogramowania za pomocą ClamAV, silnika antywirusowego open source. Skanowanie odbywa się po stronie serwera — żadne dane plików nie są wysyłane do usług zewnętrznych. Zainfekowane pliki są automatycznie usuwane, zanim osoby prowadzące sprawy uzyskają do nich dostęp.</p> <h3 id="czy-logujecie-adresy-ip"> Czy logujecie adresy IP? <a href="#czy-logujecie-adresy-ip" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nie. EthicsPortal nie przechowuje adresu IP zgłaszającego w logach aplikacji ani w bazie danych. To celowa decyzja projektowa mająca na celu ochronę anonimowości sygnalistów.</p> <h3 id="z-jakich-usług-zewnętrznych-korzystacie"> Z jakich usług zewnętrznych korzystacie? <a href="#z-jakich-us%c5%82ug-zewn%c4%99trznych-korzystacie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li><strong>Hetzner</strong> (Niemcy) — hosting serwerów</li> <li><strong>Stripe</strong> — przetwarzanie płatności</li> <li><strong>Mailjet</strong> (Francja) — dostarczanie e-maili transakcyjnych</li> </ul> <p>Brak trackerów analitycznych, brak sieci reklamowych, brak ciasteczek firm trzecich na portalu zgłoszeniowym.</p> <h3 id="czy-macie-api"> Czy macie API? <a href="#czy-macie-api" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Obecnie niedostępne. <a href="mailto:support@ethicsportal.eu">Skontaktuj się z nami</a> , jeśli dostęp do API jest wymagany przez Twoją organizację.</p> <h3 id="czy-obsługujecie-niestandardowe-domeny"> Czy obsługujecie niestandardowe domeny? <a href="#czy-obs%c5%82ugujecie-niestandardowe-domeny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Obecnie niedostępne. Wszystkie portale są obsługiwane pod domeną EthicsPortal.</p> <h3 id="czy-obsługujecie-sso"> Czy obsługujecie SSO? <a href="#czy-obs%c5%82ugujecie-sso" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Obecnie niedostępne. Użytkownicy logują się za pomocą magic link (bezhasłowe uwierzytelnianie e-mailowe).</p> <hr> <h2 id="rozliczenia"> Rozliczenia <a href="#rozliczenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="ile-kosztuje-ethicsportal"> Ile kosztuje EthicsPortal? <a href="#ile-kosztuje-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>49 €/miesiąc</strong>, bez zmian. Jeden plan, wszystko w cenie. Bez opłat za użytkownika, bez opłat za zgłoszenie, bez progów cenowych.</p> <h3 id="czy-jest-bezpłatny-okres-próbny"> Czy jest bezpłatny okres próbny? <a href="#czy-jest-bezp%c5%82atny-okres-pr%c3%b3bny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nie — tworzysz konto, wybierasz plan i Twój portal działa w mniej niż 10 minut. 49 €/mies. lub 490 €/rok. Anuluj w dowolnym momencie.</p> <h3 id="czy-mogę-anulować-w-dowolnym-momencie"> Czy mogę anulować w dowolnym momencie? <a href="#czy-mog%c4%99-anulowa%c4%87-w-dowolnym-momencie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Tak. Anuluj subskrypcję w ustawieniach konta w dowolnym momencie. Bez umów, bez opłat za rezygnację, bez wymaganej rozmowy telefonicznej.</p> <h3 id="jakie-metody-płatności-akceptujecie"> Jakie metody płatności akceptujecie? <a href="#jakie-metody-p%c5%82atno%c5%9bci-akceptujecie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Karty kredytowe i debetowe przez Stripe. Jeśli potrzebujesz płatności na fakturę lub przelewem bankowym, napisz na <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p> <hr> <h2 id="masz-jeszcze-pytanie"> Masz jeszcze pytanie? <a href="#masz-jeszcze-pytanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Napisz na <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . Odpowiemy w ciągu jednego dnia roboczego.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/subprocessors/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/subprocessors/Podmioty trzecie przetwarzające dane osobowe w imieniu EthicsPortal. Publikowane zgodnie z art. 28 RODO.<h1 id="dalsi-podmioty-przetwarzające"> Dalsi podmioty przetwarzające <a href="#dalsi-podmioty-przetwarzaj%c4%85ce" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Dalszymi podmiotami przetwarzającymi są podmioty trzecie przetwarzające dane osobowe w imieniu EthicsPortal, który działa jako podmiot przetwarzający dla organizacji operatorów (administratorów). Niniejsza lista jest publikowana zgodnie z art. 28 ust. 2 RODO oraz umową powierzenia przetwarzania danych (DPA).</p> <p>Ostatnia aktualizacja: 2026-04.</p> <hr> <h2 id="aktualni-dalsi-przetwarzający"> Aktualni dalsi przetwarzający <a href="#aktualni-dalsi-przetwarzaj%c4%85cy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Dalszy przetwarzający</th> <th>Jurysdykcja</th> <th>Cel</th> <th>Kategorie danych</th> </tr> </thead> <tbody> <tr> <td><img src="/images/subprocessors/hetzner.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Hetzner Online GmbH</td> <td>🇩🇪 Niemcy (UE)</td> <td>Hosting serwerów, baz danych i przechowywanie załączników</td> <td>Wszystkie dane aplikacyjne: zgłoszenia, tożsamość prowadzących, wiadomości, dziennik audytu; przesłane załączniki (metadane usuwane przed wgraniem)</td> </tr> <tr> <td><img src="/images/subprocessors/cloudflare.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Cloudflare, Inc.</td> <td>🇺🇸 Stany Zjednoczone</td> <td>CDN i ochrona przed DDoS dla strony marketingowej</td> <td>Adresy IP odwiedzających i nagłówki żądań dla zapytań do strony marketingowej; cache’owane zasoby statyczne. Żadnych zgłoszeń, danych prowadzących ani danych konta</td> </tr> <tr> <td><img src="/images/subprocessors/mailjet.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Mailjet SAS</td> <td>🇫🇷 Francja (UE)</td> <td>Dostarczanie transakcyjnej poczty elektronicznej</td> <td>Adresy e-mail prowadzących, powiadomienia o kodach dostępu, e-maile rozliczeniowe</td> </tr> <tr> <td><img src="/images/subprocessors/stripe.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Stripe Payments Europe, Ltd</td> <td>🇮🇪 Irlandia (UE)</td> <td>Rozliczenia subskrypcji i obsługa płatności</td> <td>Dane kontaktowe rozliczeniowe operatora, tokenizowane dane płatnicze</td> </tr> <tr> <td><img src="/images/subprocessors/appsignal.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> AppSignal B.V.</td> <td>🇳🇱 Holandia (UE)</td> <td>Monitorowanie błędów i wydajności aplikacji (wyłącznie po stronie administratora i prowadzącego)</td> <td>Ślady wywołań, metadane żądań; adresy IP sygnalistów nigdy nie są rejestrowane</td> </tr> <tr> <td><img src="/images/subprocessors/crisp.png" alt="" width="20" height="20" style="display:inline;vertical-align:middle;margin:0 8px 0 0"> Crisp IM SARL</td> <td>🇫🇷 Francja (UE)</td> <td>Wbudowany czat dla prowadzących sprawy (ładowany wyłącznie w portalu prowadzących sprawy); obsługuje weryfikację tożsamości operatorów (KYC). Patrz uwaga o prywatności sygnalistów poniżej.</td> <td>Adres IP prowadzącego, treść rozmów, nazwa i dane kontaktowe organizacji operatora, materiały weryfikacji tożsamości</td> </tr> </tbody> </table> <p><strong>Prywatność sygnalistów.</strong> Crisp jest wczytywany wyłącznie w portalu dla prowadzących sprawy i administratorów. Nie jest obecny ani na stronie marketingowej, ani w portalu zgłoszeniowym sygnalistów — powierzchni, na której sygnaliści składają zgłoszenia i śledzą ich status. Żaden skrypt, plik cookie ani identyfikator Crisp nie trafia na strony dla sygnalistów. Sygnaliści nigdy nie są śledzeni przez Crisp.</p> <p><strong>Brak podwykonawcy AI lub LLM.</strong> Żaden duży model językowy, usługa generatywnej AI ani klasyfikator oparty na AI nie jest podwykonawcą przetwarzania EthicsPortal. Treść zgłoszeń, tożsamość sygnalistów, wiadomości prowadzących sprawy oraz dziennik audytu nie są przekazywane do OpenAI, Anthropic, Google, Mistral ani innego dostawcy inferencji AI. To zobowiązanie wynikające z konstrukcji produktu, a nie ustawienie domyślne — patrz <a href="/pl/directive-coverage/">§6 dokumentu o zgodności</a> i powiązany komentarz prawny.</p> <p>Transfery do jurysdykcji spoza UE/EOG opierają się na Standardowych Klauzulach Umownych oraz dodatkowych zabezpieczeniach opisanych w umowie powierzenia przetwarzania danych.</p> <hr> <h2 id="kogo-uznaje-się-za-dalszego-przetwarzającego"> Kogo uznaje się za dalszego przetwarzającego <a href="#kogo-uznaje-si%c4%99-za-dalszego-przetwarzaj%c4%85cego" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dalszym przetwarzającym jest każdy podmiot trzeci, który przetwarza dane osobowe w imieniu EthicsPortal na podstawie pisemnej umowy powierzenia. Usługi znajdują się na tej liście wyłącznie wtedy, gdy otrzymują, przechowują lub przekazują dane osobowe. Biblioteki wewnętrzne, rejestry pakietów i zależności czasu kompilacji nie są dalszymi przetwarzającymi.</p> <hr> <h2 id="powiadomienie-o-zmianach"> Powiadomienie o zmianach <a href="#powiadomienie-o-zmianach" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Operatorzy są powiadamiani o dodaniu lub zmianie pozycji w tej liście z co najmniej 30-dniowym wyprzedzeniem przed rozpoczęciem przetwarzania danych osobowych przez nowy podmiot. Sprzeciw wobec proponowanego dalszego przetwarzającego można zgłosić w ramach umowy powierzenia przetwarzania danych.</p> <hr> <h2 id="pytania"> Pytania <a href="#pytania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>W kwestii pytań dotyczących przetwarzania danych przez dalszych przetwarzających prosimy o kontakt pod adresem <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/accessibility/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/accessibility/Zobowiązanie EthicsPortal do zapewnienia dostępności oraz zgodności z normą EN 301 549 i WCAG 2.2 poziom AA.<h1 id="deklaracja-dostępności"> Deklaracja dostępności <a href="#deklaracja-dost%c4%99pno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal zobowiązuje się zapewnić dostępność swojej platformy do zgłaszania naruszeń wszystkim użytkownikom, zgodnie z europejską normą <strong>EN 301 549 V3.2.3</strong> oraz <strong>Wytycznymi dotyczącymi dostępności treści internetowych (WCAG) 2.2 poziom AA</strong>. Norma EN 301 549 V3.2.1 pozostaje wersją wskazaną na liście norm zharmonizowanych w ramach dyrektywy o dostępności stron internetowych; raportujemy wobec nowszej wersji V3.2.3, ponieważ jest ona aktualnie opublikowaną wersją normy i zastępuje V3.2.1 w zakresie technicznym.</p> <p>Deklaracja dotyczy:</p> <ul> <li>Aplikacji internetowej EthicsPortal pod adresem <a href="https://secure.ethicsportal.eu" rel="nofollow">secure.ethicsportal.eu</a> </li> <li>Publicznych portali zgłoszeniowych hostowanych w domenach <code>*.ethicsportal.eu</code></li> <li>Strony marketingowej pod adresem <a href="https://ethicsportal.eu">ethicsportal.eu</a> </li> </ul> <h2 id="status-zgodności"> Status zgodności <a href="#status-zgodno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal jest <strong>częściowo zgodny</strong> z EN 301 549 V3.2.3 i WCAG 2.2 poziom AA. „Częściowo zgodny" oznacza, że niektóre treści jeszcze nie spełniają w pełni wymagań normy. Niezgodności oraz dostępne alternatywy wymieniono poniżej.</p> <p>Samoocena klauzula po klauzuli została opublikowana jako <a href="/en-301-549-conformance/">raport zgodności EN 301 549</a> i może być udostępniona w formacie PDF na potrzeby procedur zamówieniowych.</p> <h2 id="jak-ethicsportal-wspiera-dostępność"> Jak EthicsPortal wspiera dostępność <a href="#jak-ethicsportal-wspiera-dost%c4%99pno%c5%9b%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Produkt jest budowany i testowany pod kątem wymagań:</p> <ul> <li><strong>Obsługa wyłącznie z klawiatury</strong> w całej aplikacji oraz publicznym portalu zgłoszeniowym — każdy element interaktywny jest osiągalny i obsługiwalny bez myszy</li> <li><strong>Wsparcie czytników ekranu</strong> zweryfikowane z VoiceOver (macOS, Safari) i NVDA (Windows, Firefox)</li> <li><strong>Uwierzytelnianie bez hasła</strong> za pomocą linku magicznego lub kodu jednorazowego, z opcjonalnym TOTP — eliminuje barierę poznawczą zapamiętywania haseł (WCAG 2.2 §3.3.8 Accessible Authentication)</li> <li><strong>Obsługa ograniczonego ruchu</strong> — animacje i przejścia są wyłączane, gdy system operacyjny tego wymaga</li> <li><strong>Powiększanie i reflow</strong> — układy reflowują przy 200% powiększeniu przeglądarki bez poziomego przewijania, z wyjątkiem tabel i bloków kodu</li> <li><strong>Pinch-to-zoom jest włączone</strong> na każdej stronie</li> <li><strong>Cele dotykowe</strong> o wielkości co najmniej 24×24 piksele CSS, powiększone do 44×44 na grubych wskaźnikach, gdy układ na to pozwala (WCAG 2.2 §2.5.8)</li> <li><strong>Tekst o wysokim kontraście</strong> — tekst podstawowy używa zbliżonego do czerni na białym (≈21:1) w jasnym motywie i odpowiednika w motywie ciemnym</li> <li><strong>Zlokalizowane</strong> w 10 językach UE (angielski, bułgarski, chorwacki, francuski, grecki, luksemburski, niemiecki, polski, rumuński — oraz trwające prace nad hiszpańskim), z atrybutem języka ustawionym na każdej stronie</li> </ul> <h2 id="treści-niedostępne"> Treści niedostępne <a href="#tre%c5%9bci-niedost%c4%99pne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Następujące treści nie są w pełni dostępne. Pracujemy nad rozwiązaniem każdego punktu.</p> <h3 id="niezgodność-z-normą-dostępności"> Niezgodność z normą dostępności <a href="#niezgodno%c5%9b%c4%87-z-norm%c4%85-dost%c4%99pno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li><strong>Generowane dokumenty PDF</strong> — raporty zgodności, certyfikaty zgodności, szablony polityk dla sygnalistów, klauzule informacyjne RODO, plakaty, podręcznik osób obsługujących sprawy i eksporty spraw są tworzone jako nieoznaczone PDF-y. Nie spełniają wymogów EN 301 549 §10.1 (oznakowana struktura, kolejność czytania, teksty alternatywne). Osoby potrzebujące dostępnej wersji dokumentu mogą poprosić o alternatywę HTML kontaktując się z <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — patrz <a href="#informacje-zwrotne">Informacje zwrotne</a> poniżej. Migrujemy te dokumenty do potoku generującego oznakowane PDF-y; alternatywy HTML serwowane w aplikacji to planowane rozwiązanie pomostowe.</li> <li><strong>Statyczne strony błędów (HTTP 400, 404, 422, 500 oraz strona awaryjna dla nieobsługiwanej przeglądarki)</strong> — strony te są serwowane w języku angielskim niezależnie od ustawień językowych użytkownika (EN 301 549 §9.3.1.1 / WCAG 3.1.1 Język strony). Spotykane są rzadko; te same informacje są prezentowane w języku użytkownika wewnątrz aplikacji. Same strony używają semantycznego HTML i spełniają pozostałe wymagania §9.</li> </ul> <h3 id="treści-wyłączone-z-wymagań-dostępności"> Treści wyłączone z wymagań dostępności <a href="#tre%c5%9bci-wy%c5%82%c4%85czone-z-wymaga%c5%84-dost%c4%99pno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <ul> <li>Treści osób trzecich osadzone w produkcie — na przykład widget czatu Crisp i strony płatności hostowane przez Stripe — nie podlegają bezpośredniej kontroli EthicsPortal. Wybraliśmy dostawców, którzy publikują dokumentację dostępności, i przeglądamy te wybory raz w roku.</li> <li>Treści wytworzone przez osoby obsługujące sprawy (notatki, załączniki) nie są pod bezpośrednią kontrolą redakcyjną produktu. Interfejs dla osób obsługujących prosi o opisy i dostępne alternatywy, gdy ma to zastosowanie, zgodnie z EN 301 549 §11.8 / <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> .</li> </ul> <h2 id="przygotowanie-tej-deklaracji"> Przygotowanie tej deklaracji <a href="#przygotowanie-tej-deklaracji" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Deklarację przygotowano <strong>14 maja 2026 r.</strong> na podstawie samooceny przeprowadzonej przez EthicsPortal względem <strong>EN 301 549 V3.2.3</strong> i <strong>WCAG 2.2 poziom AA</strong>. Ocena połączyła:</p> <ul> <li>Automatyczne sprawdzenia w CI poprzez <code>axe-core-capybara</code> na publicznych ścieżkach portalu zgłoszeniowego (strona główna, składanie zgłoszenia, wyszukiwanie)</li> <li>Manualne testy z klawiatury, VoiceOver i przy 200% powiększeniu na ścieżce składania zgłoszenia, przepływie pracy osoby obsługującej sprawę, uwierzytelnianiu i zarządzaniu kontem</li> <li>Przegląd kodu wobec wewnętrznej listy kontrolnej dostępności udokumentowanej w naszym repozytorium inżynierskim</li> </ul> <p>Deklaracja będzie przeglądana co najmniej kwartalnie oraz po każdej istotnej zmianie platformy.</p> <h2 id="informacje-zwrotne"> Informacje zwrotne <a href="#informacje-zwrotne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Zapraszamy do dzielenia się uwagami dotyczącymi dostępności EthicsPortal. Jeśli napotkasz barierę dostępności, nie możesz uzyskać dostępu do treści lub potrzebujesz informacji w alternatywnym formacie:</p> <ul> <li><strong>E-mail:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </li> <li><strong>Również akceptowany:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — prosimy o dopisek „accessibility" w temacie</li> <li>Dążymy do potwierdzenia zgłoszeń dotyczących dostępności w ciągu <strong>2 dni roboczych</strong> i przekazania alternatywnego formatu lub merytorycznej odpowiedzi w ciągu <strong>5 dni roboczych</strong></li> </ul> <h2 id="procedura-odwoławcza"> Procedura odwoławcza <a href="#procedura-odwo%c5%82awcza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jeśli nie jesteś zadowolona/y z naszej odpowiedzi, możesz skierować sprawę do organu egzekwującego dostępność w swoim kraju:</p> <ul> <li><strong>Polska:</strong> Minister właściwy do spraw informatyzacji — za pośrednictwem <a href="https://www.gov.pl/" rel="nofollow">gov.pl</a> , z Rzecznikiem Praw Obywatelskich jako wtórnym organem odwoławczym w sprawach nierozwiązanych</li> <li><strong>Francja:</strong> Défenseur des droits — <a href="https://www.defenseurdesdroits.fr" rel="nofollow">defenseurdesdroits.fr</a> </li> <li><strong>Niemcy:</strong> Überwachungsstelle des Bundes für Barrierefreiheit von Informationstechnik — <a href="https://www.bfit-bund.de/" rel="nofollow">bfit-bund.de</a> </li> <li><strong>Inne państwa członkowskie UE:</strong> zobacz listę prowadzoną przez Komisję Europejską na <a href="https://digital-strategy.ec.europa.eu/en/policies/web-accessibility" rel="nofollow">digital-strategy.ec.europa.eu</a> </li> </ul> <h2 id="normy-i-odniesienia"> Normy i odniesienia <a href="#normy-i-odniesienia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Deklaracja została przygotowana w odniesieniu do:</p> <ul> <li><a href="https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016L2102" rel="nofollow">Dyrektywa (UE) 2016/2102</a> — dostępność stron internetowych i aplikacji mobilnych organów sektora publicznego</li> <li><a href="https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32019L0882" rel="nofollow">Dyrektywa (UE) 2019/882</a> — Europejski akt o dostępności</li> <li><a href="https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32018D1523" rel="nofollow">Decyzja wykonawcza (UE) 2018/1523</a> — wzór oświadczenia w sprawie dostępności</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> — wymagania dostępności dla produktów i usług ICT (wersja, względem której raportujemy)</li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> — wersja wskazana w normach zharmonizowanych pod dyrektywą o dostępności</li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 poziom AA</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/compare/eqs-integrity-line/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/compare/eqs-integrity-line/Porównaj EthicsPortal i EQS Integrity Line pod kątem zgodności z unijną dyrektywą o ochronie sygnalistów. Zobacz, jak korporacyjny lider wypada na tle nowoczesnej i przystępnej cenowo alternatywy.<h1 id="ethicsportal-vs-eqs-integrity-line"> EthicsPortal vs. EQS Integrity Line <a href="#ethicsportal-vs-eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EQS Integrity Line to produkt do obsługi zgłoszeń sygnalistów od EQS Group — monachijskiej firmy technologicznej specjalizującej się w zgodności regulacyjnej, zatrudniającej około 640 pracowników i osiągającej przychody na poziomie 81 mln EUR (2024). Przejęta przez fundusz private equity Thoma Bravo, EQS obsługuje ponad 1200 firm w ponad 165 krajach. To rozwiązanie zdecydowanie skierowane do dużych przedsiębiorstw — cennik nie jest publiczny i wymaga kontaktu z działem sprzedaży.</p> <h2 id="szybkie-porównanie"> Szybkie porównanie <a href="#szybkie-por%c3%b3wnanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Funkcja</th> <th>EthicsPortal</th> <th>EQS Integrity Line</th> </tr> </thead> <tbody> <tr> <td><strong>Cennik</strong></td> <td>49 €/mies. ryczałtowo</td> <td>Niepubliczny — szacunkowo 2000+ €/mies., wymaga kontaktu z działem sprzedaży</td> </tr> <tr> <td><strong>Rejestracja samoobsługowa</strong></td> <td>Tak, natychmiast</td> <td>Nie — wymagany proces sprzedażowy</td> </tr> <tr> <td><strong>Szyfrowanie</strong></td> <td>Tak (niedeterministyczne szyfrowanie ActiveRecord)</td> <td>Tak</td> </tr> <tr> <td><strong>Hosting w UE</strong></td> <td>Tak (Hetzner, Niemcy)</td> <td>Tak (UE)</td> </tr> <tr> <td><strong>Usuwanie metadanych plików</strong></td> <td>Tak (EXIF, GPS, informacje o autorze)</td> <td>Brak publicznej dokumentacji</td> </tr> <tr> <td><strong>Anonimizacja IP</strong></td> <td>Tak (jednokierunkowy hash, brak przechowywania)</td> <td>Tak</td> </tr> <tr> <td><strong>Ścieżka audytu</strong></td> <td>Tak, tylko do dopisywania</td> <td>Tak</td> </tr> <tr> <td><strong>Śledzenie terminów</strong></td> <td>Tak (7 dni i 3 miesiące z powiadomieniami)</td> <td>Tak</td> </tr> <tr> <td><strong>Eksport PDF</strong></td> <td>Tak</td> <td>Tak</td> </tr> <tr> <td><strong>Języki</strong></td> <td>EN, FR, PL (więcej wkrótce)</td> <td>Ponad 70 języków z tłumaczeniem AI</td> </tr> </tbody> </table> <h2 id="mocne-strony-eqs-integrity-line"> Mocne strony EQS Integrity Line <a href="#mocne-strony-eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Skala korporacyjna i marka.</strong> EQS obsługuje ponad 1200 firm w ponad 165 krajach. Dla dużych przedsiębiorstw potrzebujących dostawcy o udowodnionej skali ta historia ma znaczenie.</li> <li><strong>Tłumaczenie oparte na AI.</strong> Obsługa ponad 70 języków obejmuje tłumaczenie AI, co jest przydatne dla organizacji otrzymujących zgłoszenia w niespodziewanych językach.</li> </ul> <h2 id="czym-wyróżnia-się-ethicsportal"> Czym wyróżnia się EthicsPortal <a href="#czym-wyr%c3%b3%c5%bcnia-si%c4%99-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Przejrzysty cennik, który łatwo zaplanować w budżecie.</strong> EthicsPortal kosztuje 49 €/miesiąc. Kropka. EQS wymaga rozmowy z działem sprzedaży, a szacunkowa cena zaczyna się od około 2000 €/miesiąc — to około 40 razy więcej. Dla MŚP ta różnica to cały rok zgodności regulacyjnej w porównaniu z jednym miesiącem.</li> <li><strong>Pełna samoobsługa od początku do końca.</strong> Zarejestruj się, skonfiguruj portal, udostępnij link. Bez rozmów handlowych, bez procesu zakupowego, bez tygodni negocjacji. EQS jest zbudowany pod korporacyjne cykle zakupowe; EthicsPortal jest zbudowany dla zespołów, które potrzebują zgodności teraz.</li> <li><strong>Funkcje ochrony prywatności w standardzie.</strong> Usuwanie metadanych plików i anonimizacja IP są wbudowane w każde konto EthicsPortal. Bez negocjacji, bez dodatków korporacyjnych.</li> <li><strong>Prostszy, szybszy produkt.</strong> EthicsPortal to skoncentrowane narzędzie — szybkie do załadowania, szybkie do nauki, szybkie w użyciu.</li> </ul> <h2 id="kto-powinien-wybrać-eqs-integrity-line"> Kto powinien wybrać EQS Integrity Line <a href="#kto-powinien-wybra%c4%87-eqs-integrity-line" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EQS Integrity Line ma sens dla dużych przedsiębiorstw (ponad 1000 pracowników) działających w wielu krajach, które potrzebują ponad 70 języków, wsparcia 24/7 i dostawcy z długą historią obsługi klientów korporacyjnych. Jeśli Twoja organizacja ma dedykowany zespół ds. zgodności i proces zakupowy, a budżet nie jest głównym ograniczeniem, EQS to sprawdzony wybór.</p> <h2 id="kto-powinien-wybrać-ethicsportal"> Kto powinien wybrać EthicsPortal <a href="#kto-powinien-wybra%c4%87-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal jest dla MŚP, które potrzebują zgodności z dyrektywą UE 2019/1937 bez wydawania korporacyjnych budżetów i czekania tygodniami na zakończenie procesu sprzedażowego. Jeśli potrzebujesz być zgodny w tym tygodniu — nie w tym kwartale — i wolisz wydawać 49 €/miesiąc zamiast 2000+ €/miesiąc na funkcje, których nigdy nie wykorzystasz, EthicsPortal to praktyczny wybór.</p> <hr> <p><a href="/pl/pricing/">Wdróż kanał zgłaszania →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/compare/faceup/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/compare/faceup/Porównaj EthicsPortal i FaceUp pod kątem zgodności z unijną dyrektywą o ochronie sygnalistów. Cennik, funkcje i ochrona prywatności zestawione obok siebie.<h1 id="ethicsportal-vs-faceup"> EthicsPortal vs. FaceUp <a href="#ethicsportal-vs-faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>FaceUp to platforma dla sygnalistów wykorzystywana przez ponad 3500 organizacji w 60 krajach. Początkowo silnie skoncentrowana na szkołach i edukacji, FaceUp rozszerzyła działalność na zgodność korporacyjną. Obsługuje imponującą liczbę 113 języków i prowadzi aktywny program partnerski. Ich cennik jest w dolarach amerykańskich, co może utrudniać planowanie budżetu europejskim firmom.</p> <h2 id="szybkie-porównanie"> Szybkie porównanie <a href="#szybkie-por%c3%b3wnanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Funkcja</th> <th>EthicsPortal</th> <th>FaceUp</th> </tr> </thead> <tbody> <tr> <td><strong>Cennik</strong></td> <td>49 €/mies. ryczałtowo (EUR)</td> <td>Niepubliczny — „Zapytaj o wycenę" we wszystkich planach (USD)</td> </tr> <tr> <td><strong>Rejestracja samoobsługowa</strong></td> <td>Tak, natychmiast</td> <td>Nie — wymagana wycena</td> </tr> <tr> <td><strong>Szyfrowanie</strong></td> <td>Tak (niedeterministyczne szyfrowanie ActiveRecord)</td> <td>Tak</td> </tr> <tr> <td><strong>Hosting w UE</strong></td> <td>Tak (Hetzner, Niemcy)</td> <td>Tak (UE)</td> </tr> <tr> <td><strong>Usuwanie metadanych plików</strong></td> <td>Tak (EXIF, GPS, informacje o autorze)</td> <td>Brak publicznej dokumentacji</td> </tr> <tr> <td><strong>Anonimizacja IP</strong></td> <td>Tak (jednokierunkowy hash, brak przechowywania)</td> <td>Brak publicznej dokumentacji</td> </tr> <tr> <td><strong>Ścieżka audytu</strong></td> <td>Tak, tylko do dopisywania</td> <td>Tak</td> </tr> <tr> <td><strong>Śledzenie terminów</strong></td> <td>Tak (7 dni i 3 miesiące z powiadomieniami)</td> <td>Tak</td> </tr> <tr> <td><strong>Eksport PDF</strong></td> <td>Tak</td> <td>Tak</td> </tr> <tr> <td><strong>Języki</strong></td> <td>EN, FR, PL (więcej wkrótce)</td> <td>113 języków</td> </tr> </tbody> </table> <h2 id="mocne-strony-faceup"> Mocne strony FaceUp <a href="#mocne-strony-faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Obsługa języków.</strong> 113 języków to jedna z najwyższych liczb na rynku. Jeśli Twoja organizacja działa w krajach z mniej popularnymi językami, FaceUp prawdopodobnie zapewni obsługę.</li> <li><strong>Rynek edukacyjny.</strong> FaceUp zajmuje unikalną pozycję w szkołach i uczelniach. Jeśli potrzebujesz narzędzia do zgłaszania nieprawidłowości dla instytucji edukacyjnej, mają dedykowane funkcje do tego celu.</li> <li><strong>Aplikacja mobilna.</strong> FaceUp oferuje aplikację mobilną, której EthicsPortal obecnie nie posiada.</li> </ul> <h2 id="czym-wyróżnia-się-ethicsportal"> Czym wyróżnia się EthicsPortal <a href="#czym-wyr%c3%b3%c5%bcnia-si%c4%99-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Cennik w euro, przejrzysty.</strong> EthicsPortal kosztuje 49 €/miesiąc ryczałtowo — widoczne na stronie, bez rozmowy sprzedażowej. FaceUp nie publikuje cen: wszystkie trzy plany (Starter, Professional, Enterprise) wyświetlają przycisk „Zapytaj o wycenę". Cennik jest w dolarach amerykańskich, co oznacza wahania kursowe oprócz nieprzejrzystych cen. W EthicsPortal jest jeden plan w jednej cenie.</li> <li><strong>Ochrona prywatności w standardzie.</strong> Usuwanie metadanych plików (EXIF, GPS, dane autora) i anonimizacja IP (jednokierunkowy hash) są standardem w każdym koncie EthicsPortal. To nie są funkcje dostępne za dopłatą.</li> <li><strong>Skupienie na zgodności biznesowej.</strong> EthicsPortal jest zbudowany specjalnie pod zgodność z dyrektywą UE 2019/1937. Podwójne skupienie FaceUp na szkołach i firmach oznacza, że produkt obsługuje dwie różne grupy odbiorców, co może osłabiać doświadczenie zgodności dla użytkowników korporacyjnych.</li> <li><strong>Hosting w UE na Hetzner w Niemczech.</strong> Twoje dane są przechowywane na konkretnej, weryfikowalnej infrastrukturze niemieckiej — to ważne dla organizacji, które muszą wykazać rezydencję danych zgodną z RODO.</li> </ul> <h2 id="kto-powinien-wybrać-faceup"> Kto powinien wybrać FaceUp <a href="#kto-powinien-wybra%c4%87-faceup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>FaceUp to dobry wybór dla organizacji potrzebujących 113 języków, aplikacji mobilnej dla zgłaszających lub działających w sektorze edukacji. Jeśli jesteś szkołą, uczelnią lub międzynarodowym przedsiębiorstwem, dla którego cennik w USD nie stanowi problemu, FaceUp oferuje szerokie pokrycie.</p> <h2 id="kto-powinien-wybrać-ethicsportal"> Kto powinien wybrać EthicsPortal <a href="#kto-powinien-wybra%c4%87-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal jest zbudowany dla europejskich MŚP, które chcą prostej zgodności z dyrektywą UE w euro, bez konieczności nawigowania między wieloma planami cenowymi i zastanawiania się, które funkcje wymagają aktualizacji. Jeśli cenisz wbudowaną ochronę prywatności i produkt w pełni skoncentrowany na zgodności sygnalistów zamiast podzielony między szkoły i firmy, EthicsPortal to czystszy wybór.</p> <hr> <p><a href="/pl/pricing/">Wdróż kanał zgłaszania →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/compare/navex/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/compare/navex/Porównaj EthicsPortal i NAVEX pod kątem zgodności z unijną dyrektywą o ochronie sygnalistów. Zobacz, jak amerykański gigant korporacyjny wypada na tle skoncentrowanej i przystępnej cenowo alternatywy z UE.<h1 id="ethicsportal-vs-navex"> EthicsPortal vs. NAVEX <a href="#ethicsportal-vs-navex" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>NAVEX Global to amerykańska platforma do zarządzania, ryzyka i zgodności (GRC), wspierana przez Goldman Sachs i Blackstone. Zatrudniając 1000–5000 pracowników, osiągając przychody na poziomie 293 mln USD i obsługując 13 000 organizacji — w tym 75% firm z listy Fortune 100 — NAVEX jest największym graczem na rynku oprogramowania do zgodności. Ich infolinia dla sygnalistów to jeden element znacznie szerszego pakietu GRC obejmującego zarządzanie politykami, ryzyko stron trzecich i szkolenia etyczne.</p> <h2 id="szybkie-porównanie"> Szybkie porównanie <a href="#szybkie-por%c3%b3wnanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Funkcja</th> <th>EthicsPortal</th> <th>NAVEX</th> </tr> </thead> <tbody> <tr> <td><strong>Cennik</strong></td> <td>49 €/mies. ryczałtowo</td> <td>Niepubliczny — szacunkowo 25 000+ €/rok, indywidualny cennik korporacyjny</td> </tr> <tr> <td><strong>Rejestracja samoobsługowa</strong></td> <td>Tak, natychmiast</td> <td>Nie — korporacyjny proces sprzedażowy</td> </tr> <tr> <td><strong>Szyfrowanie</strong></td> <td>Tak (niedeterministyczne szyfrowanie ActiveRecord)</td> <td>Tak</td> </tr> <tr> <td><strong>Hosting w UE</strong></td> <td>Tak (Hetzner, Niemcy)</td> <td>Siedziba w USA (hosting w UE niejasny)</td> </tr> <tr> <td><strong>Usuwanie metadanych plików</strong></td> <td>Tak (EXIF, GPS, informacje o autorze)</td> <td>Brak publicznej dokumentacji</td> </tr> <tr> <td><strong>Anonimizacja IP</strong></td> <td>Tak (jednokierunkowy hash, brak przechowywania)</td> <td>Brak publicznej dokumentacji</td> </tr> <tr> <td><strong>Ścieżka audytu</strong></td> <td>Tak, tylko do dopisywania</td> <td>Tak</td> </tr> <tr> <td><strong>Śledzenie terminów</strong></td> <td>Tak (7 dni i 3 miesiące z powiadomieniami)</td> <td>Tak</td> </tr> <tr> <td><strong>Eksport PDF</strong></td> <td>Tak</td> <td>Tak</td> </tr> <tr> <td><strong>Języki</strong></td> <td>EN, FR, PL (więcej wkrótce)</td> <td>Ponad 150 języków</td> </tr> </tbody> </table> <h2 id="mocne-strony-navex"> Mocne strony NAVEX <a href="#mocne-strony-navex" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Dominacja rynkowa.</strong> 75% firm z listy Fortune 100 korzysta z NAVEX. Ten poziom adopcji oznacza głębokie integracje korporacyjne, szerokie pokrycie orzecznictwa i dostawcę, którego zespoły zakupowe już znają.</li> <li><strong>Ponad 150 języków.</strong> Najszersza obsługa językowa na rynku, kluczowa dla prawdziwie globalnych przedsiębiorstw z operacjami w każdym regionie.</li> <li><strong>Kompleksowa platforma GRC.</strong> Jeśli potrzebujesz sygnalizowania, zarządzania politykami, szkoleń etycznych i zarządzania ryzykiem stron trzecich od jednego dostawcy, NAVEX to wszystko obejmuje.</li> </ul> <h2 id="czym-wyróżnia-się-ethicsportal"> Czym wyróżnia się EthicsPortal <a href="#czym-wyr%c3%b3%c5%bcnia-si%c4%99-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Przystępny i przejrzysty cennik.</strong> EthicsPortal kosztuje 49 €/miesiąc. Kontrakty z NAVEX szacuje się na 25 000+ €/rok — to około 40 razy więcej. Dla MŚP sam cennik NAVEX może przekroczyć cały roczny budżet na zgodność.</li> <li><strong>Hosting i fokus na UE.</strong> EthicsPortal jest hostowany na Hetzner w Niemczech, zbudowany specjalnie pod zgodność z dyrektywą UE 2019/1937. NAVEX to firma z siedzibą w USA z infrastrukturą amerykańską, co rodzi pytania o rezydencję danych dla organizacji unijnych.</li> <li><strong>Prywatność domyślnie.</strong> Usuwanie metadanych plików i anonimizacja IP są wbudowane w każde konto. Nie trzeba negocjować kontraktu korporacyjnego, aby uzyskać funkcje ochrony prywatności, które powinny być standardem.</li> <li><strong>Nowoczesny UX.</strong> Recenzje NAVEX konsekwentnie wspominają o przestarzałym interfejsie i wolnym działaniu. EthicsPortal to nowoczesna aplikacja — szybka, przejrzysta i zbudowana z użyciem aktualnych standardów webowych.</li> </ul> <h2 id="kto-powinien-wybrać-navex"> Kto powinien wybrać NAVEX <a href="#kto-powinien-wybra%c4%87-navex" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>NAVEX to właściwy wybór dla firm z listy Fortune 500, które potrzebują kompleksowej platformy GRC obejmującej sygnalizowanie, zarządzanie politykami i ryzyko stron trzecich. Jeśli Twoja organizacja działa w ponad 100 krajach, potrzebuje ponad 150 języków, ma dedykowany dział zgodności i budżet na oprogramowanie korporacyjne, NAVEX ma skalę, by temu dorównać.</p> <h2 id="kto-powinien-wybrać-ethicsportal"> Kto powinien wybrać EthicsPortal <a href="#kto-powinien-wybra%c4%87-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal jest dla europejskich MŚP, które potrzebują zgodności z unijną dyrektywą o sygnalistach, a nie pełnego pakietu GRC. Jeśli chcesz być zgodny z dyrektywą UE 2019/1937 bez podpisywania kontraktu na 25 000 €/rok, przesiadywania na korporacyjnych prezentacjach czy wdrażania platformy zbudowanej dla firm z listy Fortune 100, EthicsPortal daje Ci dokładnie to, czego potrzebujesz, w cenie, która ma sens.</p> <hr> <p><a href="/pl/pricing/">Wdróż kanał zgłaszania →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/compare/speakup/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/compare/speakup/Porównaj EthicsPortal i SpeakUp pod kątem zgodności z unijną dyrektywą o ochronie sygnalistów. Cennik, funkcje ochrony prywatności i szybkość wdrożenia zestawione obok siebie.<h1 id="ethicsportal-vs-speakup"> EthicsPortal vs. SpeakUp <a href="#ethicsportal-vs-speakup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>SpeakUp to europejska platforma etyki i zgodności obsługująca ponad 2000 organizacji. Początkowo skoncentrowana na zgłoszeniach sygnalistów, SpeakUp rozszerzyła się w kompleksowy pakiet zgodności. Posiadają certyfikaty ISO 27001, ISO 27701 i ISAE 3000 Type II — jedne z najmocniejszych na rynku. Ich cennik zaczyna się od 3 000 €/rok dla małych firm i przechodzi na wycenę indywidualną dla organizacji z ponad 1000 pracowników.</p> <h2 id="szybkie-porównanie"> Szybkie porównanie <a href="#szybkie-por%c3%b3wnanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Funkcja</th> <th>EthicsPortal</th> <th>SpeakUp</th> </tr> </thead> <tbody> <tr> <td><strong>Cennik</strong></td> <td>49 €/mies. ryczałtowo</td> <td>3 000 €/rok dla <1000 pracowników, indywidualny dla większych</td> </tr> <tr> <td><strong>Rejestracja samoobsługowa</strong></td> <td>Tak, natychmiast</td> <td>Częściowo</td> </tr> <tr> <td><strong>Szyfrowanie</strong></td> <td>Tak (niedeterministyczne szyfrowanie ActiveRecord)</td> <td>Tak</td> </tr> <tr> <td><strong>Hosting w UE</strong></td> <td>Tak (Hetzner, Niemcy)</td> <td>Tak (UE)</td> </tr> <tr> <td><strong>Usuwanie metadanych plików</strong></td> <td>Tak (EXIF, GPS, informacje o autorze)</td> <td>Brak publicznej dokumentacji</td> </tr> <tr> <td><strong>Anonimizacja IP</strong></td> <td>Tak (jednokierunkowy hash, brak przechowywania)</td> <td>Brak publicznej dokumentacji</td> </tr> <tr> <td><strong>Ścieżka audytu</strong></td> <td>Tak, tylko do dopisywania</td> <td>Tak</td> </tr> <tr> <td><strong>Śledzenie terminów</strong></td> <td>Tak (7 dni i 3 miesiące z powiadomieniami)</td> <td>Tak</td> </tr> <tr> <td><strong>Eksport PDF</strong></td> <td>Tak</td> <td>Tak</td> </tr> <tr> <td><strong>Języki</strong></td> <td>EN, FR, PL (więcej wkrótce)</td> <td>Wiele (dokładna liczba niepublikowana)</td> </tr> </tbody> </table> <h2 id="mocne-strony-speakup"> Mocne strony SpeakUp <a href="#mocne-strony-speakup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Certyfikaty.</strong> ISO 27001, ISO 27701 i ISAE 3000 Type II to mocna kombinacja. Dla organizacji, w których certyfikaty dostawców są wymogiem zakupowym, SpeakUp spełnia każde kryterium.</li> <li><strong>Szeroka platforma zgodności.</strong> SpeakUp obejmuje etykę, zgodność i sygnalizowanie w jednej platformie. Jeśli Twoje potrzeby zgodności wykraczają poza zgłoszenia sygnalistów, ich szerszy pakiet może być istotny.</li> <li><strong>Firma z UE.</strong> Jako europejska firma obsługująca ponad 2000 organizacji, SpeakUp rozumie unijne wymogi regulacyjne i oczekiwania dotyczące suwerenności danych.</li> </ul> <h2 id="czym-wyróżnia-się-ethicsportal"> Czym wyróżnia się EthicsPortal <a href="#czym-wyr%c3%b3%c5%bcnia-si%c4%99-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Przewidywalny, ryczałtowy cennik.</strong> EthicsPortal kosztuje 49 €/miesiąc — to 588 €/rok. SpeakUp zaczyna od 3 000 €/rok dla firm poniżej 1000 pracowników, czyli około 5 razy więcej. W EthicsPortal znasz swój koszt dziś i za dwa lata.</li> <li><strong>Funkcje ochrony prywatności w standardzie.</strong> EthicsPortal usuwa metadane plików (EXIF, współrzędne GPS, informacje o autorze) przed zapisaniem i anonimizuje adresy IP jednokierunkowym hashem. Te zabezpieczenia działają automatycznie na każdym koncie — to nie są funkcje premium.</li> <li><strong>Natychmiastowa samoobsługowa konfiguracja.</strong> Zarejestruj się, skonfiguruj portal i zacznij przyjmować zgłoszenia w kilka minut. Bez rozmów handlowych, bez czekania na provisioning.</li> <li><strong>Skupienie na sygnalizowaniu.</strong> EthicsPortal robi jedną rzecz dobrze: zgodne z dyrektywą UE 2019/1937 zgłaszanie nieprawidłowości. SpeakUp kieruje się w stronę wyższego segmentu rynku z szerszą zgodnością, co oznacza więcej złożoności i funkcji, których możesz nigdy nie użyć.</li> </ul> <h2 id="kto-powinien-wybrać-speakup"> Kto powinien wybrać SpeakUp <a href="#kto-powinien-wybra%c4%87-speakup" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>SpeakUp to dobry wybór dla średnich organizacji potrzebujących dostawcy z mocnymi certyfikatami (ISO 27001, ISO 27701, ISAE 3000 Type II), aby spełnić wymagania zakupowe, lub chcących jedną platformę obejmującą etykę i zgodność wykraczającą poza samo sygnalizowanie. Jeśli Twój zespół ds. zgodności potrzebuje szerszego zestawu narzędzi i akceptuje skalujący się cennik, SpeakUp to zapewnia.</p> <h2 id="kto-powinien-wybrać-ethicsportal"> Kto powinien wybrać EthicsPortal <a href="#kto-powinien-wybra%c4%87-ethicsportal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal jest dla MŚP, które potrzebują zgodności sygnalistów bez kupowania całego pakietu zgodności. Jeśli chcesz zgodności z dyrektywą UE 2019/1937 za ryczałtowe 49 €/miesiąc, z wbudowaną ochroną prywatności i bez procesu sprzedażowego, EthicsPortal zapewni Ci zgodność szybciej i taniej. Gdy potrzebujesz certyfikatów ISO od dostawcy, EthicsPortal ich jeszcze nie ma — ale jeśli potrzebujesz być zgodny już dziś w rozsądnej cenie, to właściwy wybór.</p> <hr> <p><a href="/pl/pricing/">Wdróż kanał zgłaszania →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/product/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/product/Wdróż zgodny z prawem kanał zgłoszeniowy w kilka minut — konfiguracja portalu, zarządzanie sprawami i eksport dla audytorów w cenie.<h1 id="w-pełni-zgodny-kanał-zgłaszania-gotowy-w-kilka-minut"> W pełni zgodny kanał zgłaszania, gotowy w kilka minut <a href="#w-pe%c5%82ni-zgodny-kana%c5%82-zg%c5%82aszania-gotowy-w-kilka-minut" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal zapewnia w pełni skonfigurowany kanał zgłoszeniowy, zgodny z Dyrektywą UE 2019/1937 od razu po uruchomieniu. Bez projektu implementacji, bez działu IT.</p> <p>Mapa funkcja–artykuł dyrektywy znajduje się na stronie <a href="/pl/directive-coverage/">Pokrycie Dyrektywy 2019/1937</a> . Pozycje interpretacyjne wobec niejednoznacznych przepisów dyrektywy opisuje strona <a href="/pl/directive-interpretations/">Interpretacje Dyrektywy 2019/1937</a> .</p> <hr> <h2 id="konfiguracja-w-3-krokach"> Konfiguracja w 3 krokach <a href="#konfiguracja-w-3-krokach" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="1-skonfiguruj-portal-2-minuty"> 1. Skonfiguruj portal (2 minuty) <a href="#1-skonfiguruj-portal-2-minuty" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Utwórz konto, a potem dostosuj:</p> <ul> <li><strong>Nazwa organizacji i logo</strong> — Twój portal, Twoja tożsamość</li> <li><strong>Kategorie zgłoszeń</strong> — oszustwo, mobbing, bezpieczeństwo lub zdefiniuj własne</li> <li><strong>Tekst powitalny</strong> — uspokój zgłaszających przed wysłaniem (rozsądny tekst domyślny jest już gotowy)</li> <li><strong>Okres przechowywania danych</strong> — 12, 24, 36 lub 60 miesięcy, potem automatyczne usuwanie</li> </ul> <p>Twój portal jest dostępny natychmiast pod unikalnym adresem URL. Bez wdrażania, bez czekania.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/pl-portal-edit.png" alt="Ekran konfiguracji portalu" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="2-udostępnij-link-1-minuta"> 2. Udostępnij link (1 minuta) <a href="#2-udost%c4%99pnij-link-1-minuta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Każdy portal ma <strong>link do udostępniania</strong> i <strong>kod QR</strong>. Umieść kod QR w pokojach socjalnych, toaletach, podręczniku pracownika, materiałach dla nowych pracowników. Pracownicy wchodzą na portal z dowolnej przeglądarki — bez aplikacji, bez konta, bez sieci firmowej.</p> <p>Kanał zgłoszeń w użyciu produkcyjnym: <a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">secure.ethicsportal.eu/p/BiPdmk</a> — własny kanał EthicsPortal.</p> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/pl-portal-public-desktop.png" alt="Link do udostępniania i kod QR portalu" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <h3 id="3-zacznij-zarządzać-sprawami"> 3. Zacznij zarządzać sprawami <a href="#3-zacznij-zarz%c4%85dza%c4%87-sprawami" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Gdy wpływa zgłoszenie, dostajesz powiadomienie e-mail. Z poziomu panelu:</p> <ul> <li><strong>Przeczytaj pełne zgłoszenie</strong> — opis, kategoria i załączniki</li> <li><strong>Potwierdź otrzymanie</strong> — Dyrektywa wymaga tego w ciągu 7 dni. EthicsPortal śledzi termin i automatycznie oznacza zaległe sprawy</li> <li><strong>Komunikuj się ze zgłaszającym</strong> — bezpieczna dwukierunkowa komunikacja przez kod dostępu. Zgłaszający pozostaje anonimowy, nazwiska prowadzących nie są ujawniane</li> <li><strong>Przekaż informację zwrotną</strong> — Dyrektywa wymaga tego w ciągu 3 miesięcy. Śledzone automatycznie</li> <li><strong>Przypisz, sklasyfikuj, dodaj notatki wewnętrzne</strong> — przekieruj sprawę do odpowiedniej osoby, dodaj notatki niewidoczne dla zgłaszającego</li> <li><strong>Eksportuj do PDF</strong> — wygeneruj kompletną dokumentację sprawy dla przeglądu prawnego, audytorów lub dokumentacji zgodności</li> <li><strong>Rejestruj zgłoszenia zewnętrzne</strong> — zgłoszenie telefoniczne, mailowe lub osobiste? Utwórz je ręcznie, żeby wszystko było w jednym miejscu</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/pl-reports.png" alt="Zarządzanie sprawami i bezpieczna komunikacja" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="co-widzą-zgłaszający"> Co widzą zgłaszający <a href="#co-widz%c4%85-zg%c5%82aszaj%c4%85cy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Doświadczenie zgłaszającego ma znaczenie, bo to ono decyduje, czy ludzie faktycznie skorzystają z kanału.</p> <ul> <li><strong>Bez konta, bez aplikacji, bez logowania.</strong> Wystarczy przeglądarka na dowolnym urządzeniu — w tym prywatny telefon na danych mobilnych</li> <li><strong>W pełni anonimowe domyślnie.</strong> Bez logowania IP. Metadane plików (EXIF, GPS, autor) usuwane automatycznie przed zapisem</li> <li><strong>Opcjonalne ujawnienie tożsamości.</strong> Zgłaszający mogą podać swoje imię, jeśli chcą — nigdy nie jest to wymagane</li> <li><strong>Dwuskładnikowy dostęp do sprawy.</strong> Zgłaszający wybiera 6-cyfrowy kod PIN podczas składania zgłoszenia i otrzymuje kod dostępu (<code>WB-XXXX-XXXX</code>). Oba są wymagane, aby sprawdzać aktualizacje i odpowiadać na wiadomości prowadzącego</li> <li><strong>Nazwiska prowadzących nigdy nie są pokazywane.</strong> Zgłaszający widzi „Osoba prowadząca sprawę" — nic więcej</li> </ul> <figure class="not-prose my-6 sm:my-8 rounded-lg border border-base-300 overflow-hidden shadow-sm"> <img src="/images/screenshots/pl-new-report-desktop.png" alt="Anonimowy formularz zgłoszeniowy" class="w-full h-auto block" loading="lazy" decoding="async" /> </figure> <hr> <h2 id="co-jest-pod-spodem"> Co jest pod spodem <a href="#co-jest-pod-spodem" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Każda decyzja techniczna służy jednemu celowi: utrzymaniu Twojej zgodności i ochronie Twoich zgłaszających.</p> <ul> <li><strong>Szyfrowanie w spoczynku.</strong> Wszystkie dane zgłoszeń są szyfrowane w bazie danych</li> <li><strong>Skanowanie antywirusowe.</strong> Wszystkie przesłane pliki są skanowane po stronie serwera pod kątem złośliwego oprogramowania. Zainfekowane pliki są automatycznie usuwane</li> <li><strong>Dziennik audytu tylko do dopisywania.</strong> Każda akcja jest rejestrowana; wpisy nie mogą być modyfikowane po utworzeniu. Audytorzy widzą kto, co i kiedy zrobił</li> <li><strong>Automatyczne śledzenie terminów.</strong> Terminy 7-dniowe i 3-miesięczne z powiadomieniami o przekroczeniu</li> <li><strong>Dane zgłoszeń hostowane w UE.</strong> Podstawowe dane zgłoszeń są przechowywane na serwerach Hetzner w Norymberdze w Niemczech. Opublikowani podwykonawcy i zabezpieczenia transferów obejmują ograniczone przetwarzanie strony marketingowej i interfejsów administratora</li> <li><strong>Brak śledzenia.</strong> Bez logowania IP, bez ciasteczek analitycznych, bez skryptów firm trzecich na portalu zgłoszeniowym</li> </ul> <hr> <h2 id="wdróż-kanał-zgłaszania"> Wdróż kanał zgłaszania <a href="#wdr%c3%b3%c5%bc-kana%c5%82-zg%c5%82aszania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Uruchom swój kanał zgłoszeniowy w kilka minut. Wszystkie funkcje zawarte w jednym planie.</p> <p><a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Wdróż kanał zgłaszania</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/penalties/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/penalties/Grzywny i kary za niezgodność z dyrektywą UE 2019/1937 w każdym państwie członkowskim. Regularnie aktualizowane o działania egzekucyjne.<h1 id="kary-za-naruszenie-dyrektywy-ue-o-ochronie-sygnalistów-w-poszczególnych-krajach"> Kary za naruszenie dyrektywy UE o ochronie sygnalistów w poszczególnych krajach <a href="#kary-za-naruszenie-dyrektywy-ue-o-ochronie-sygnalist%c3%b3w-w-poszczeg%c3%b3lnych-krajach" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Dyrektywa UE 2019/1937 wymaga od wszystkich firm zatrudniających 50 i więcej pracowników ustanowienia wewnętrznych kanałów zgłaszania nieprawidłowości. Każde państwo członkowskie UE transponowało dyrektywę do prawa krajowego z własnym reżimem kar.</p> <p>Niezgodność nie jest teoretyczna. W marcu 2025 roku <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Trybunał Sprawiedliwości UE nałożył na pięć państw członkowskich łączne kary w wysokości 39 milionów euro</a> za opóźnienia we wdrożeniu przepisów. Firmy, które nie spełniają wymogów, podlegają własnym karom na mocy prawa krajowego.</p> <hr> <h2 id="kary-w-skrócie"> Kary w skrócie <a href="#kary-w-skr%c3%b3cie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Kraj</th> <th>Brak kanału zgłoszeń</th> <th>Działania odwetowe</th> <th>Odpowiedzialność karna</th> <th>Ustawa</th> </tr> </thead> <tbody> <tr> <td><a href="#spain">Hiszpania</a> </td> <td>Do 1 000 000 €</td> <td>Do 1 000 000 €</td> <td>Nie</td> <td><a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Law 2/2023</a> </td> </tr> <tr> <td><a href="#france">Francja</a> </td> <td>—</td> <td>60 000 € + 3 lata więzienia</td> <td><strong>Tak</strong></td> <td><a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi Waserman (2022-401)</a> </td> </tr> <tr> <td><a href="#poland">Polska</a> </td> <td>5 000 PLN (~1 200 €)</td> <td>1 080 000 PLN (~250 000 €) + do 3 lat więzienia</td> <td><strong>Tak</strong></td> <td><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Act of 14 June 2024</a> </td> </tr> <tr> <td><a href="#portugal">Portugalia</a> </td> <td>Do 125 000 €</td> <td>Do 125 000 €</td> <td>Nie</td> <td><a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Law 93/2021</a> </td> </tr> <tr> <td><a href="#italy">Włochy</a> </td> <td>10 000–50 000 €</td> <td>10 000–50 000 €</td> <td>Nie</td> <td><a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">D.Lgs. 24/2023</a> </td> </tr> <tr> <td><a href="#germany">Niemcy</a> </td> <td>20 000–50 000 € (10x dla osób prawnych)</td> <td>Do 50 000 €</td> <td>Nie</td> <td><a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">HinSchG</a> </td> </tr> </tbody> </table> <hr> <h2 id="szczegóły-krajowe"> Szczegóły krajowe <a href="#szczeg%c3%b3%c5%82y-krajowe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="spain"> Hiszpania — Law 2/2023 <a href="#spain" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Ustawa:</strong> <a href="https://www.boe.es/buscar/act.php?id=BOE-A-2023-4513" rel="nofollow">Ley 2/2023, de 20 de febrero</a> — ochrona osób zgłaszających naruszenia przepisów i walka z korupcją.</p> <p><strong>Dotyczy:</strong> Firm zatrudniających 50 i więcej pracowników. Termin upłynął 13 czerwca 2023 (250+ pracowników) i 1 grudnia 2023 (50–249 pracowników). <a href="https://www.garrigues.com/en_GB/new/spain-whistleblowing-law-published" rel="nofollow">Source: Garrigues</a> </p> <p><strong>Kary:</strong></p> <ul> <li>Brak ustanowienia wewnętrznego kanału zgłoszeń: 600 000–1 000 000 € dla osób prawnych. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Source: CMS Expert Guide</a> </li> <li>Naruszenie obowiązków dotyczących kanału zgłoszeń: 100 000–1 000 000 € dla osób prawnych; 1 000–300 000 € dla osób fizycznych. <a href="https://cms.law/en/int/expert-guides/whistleblower-protection-and-reporting-channels/spain" rel="nofollow">Source: CMS Expert Guide</a> </li> <li>Dodatkowe sankcje: publiczne ostrzeżenie, zakaz korzystania z subsydiów/ulg podatkowych na okres do 4 lat oraz możliwe zawieszenie licencji operacyjnych. <a href="https://www.garrigues.com/en_GB/new/whistleblowing-channels-companies-spain-key-aspects-new-law-protecting-whistleblowers-all" rel="nofollow">Source: Garrigues</a> </li> </ul> <p><strong>Organ egzekucyjny:</strong> Autoridad Independiente de Protección del Informante (A.A.I.)</p> <p>Hiszpania ma najsurowsze kary w UE za niezgodność z przepisami o ochronie sygnalistów.</p> <hr> <h3 id="france"> Francja — Loi Waserman <a href="#france" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Ustawa:</strong> <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045388745" rel="nofollow">Loi n° 2022-401 du 21 mars 2022 (Loi Waserman)</a> , zmieniająca <a href="https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033558528" rel="nofollow">Loi Sapin II (2016-1691)</a> .</p> <p><strong>Dotyczy:</strong> Firm zatrudniających 50 i więcej pracowników. Obowiązuje od września 2022. <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Source: IntegrityLine</a> </p> <p><strong>Kary:</strong></p> <ul> <li>Utrudnianie zgłaszania: grzywna do 60 000 € i 1 rok pozbawienia wolności. <a href="https://www.whispli.com/eu-directive-whistleblowing/france/" rel="nofollow">Source: Whispli</a> </li> <li>Działania odwetowe lub dyskryminacja sygnalisty: grzywna do 60 000 € i 3 lata pozbawienia wolności. <a href="https://www.jpkarsenty.com/en/the-whistleblower-the-impact-of-the-waserman-law-on-criminal-provisions-4-4/" rel="nofollow">Source: JP Karsenty</a> </li> </ul> <p>Francja jest jednym z niewielu krajów UE, w których utrudnianie i działania odwetowe podlegają <strong>karom kryminalnym, w tym karze pozbawienia wolności</strong>.</p> <p><strong>Kluczowa różnica:</strong> Sygnaliści we Francji nie muszą już korzystać z kanałów wewnętrznych przed zwróceniem się do organów zewnętrznych (koniec “kaskadowego zgłaszania”). <a href="https://www.integrityline.com/expertise/blog/new-french-whistleblowing-law/" rel="nofollow">Source: IntegrityLine</a> </p> <hr> <h3 id="germany"> Niemcy — HinSchG <a href="#germany" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Ustawa:</strong> <a href="https://www.gesetze-im-internet.de/hinschg/" rel="nofollow">Hinweisgeberschutzgesetz (HinSchG)</a> — weszła w życie 2 lipca 2023.</p> <p><strong>Dotyczy:</strong> Firm zatrudniających 50 i więcej pracowników. Termin upłynął 2 lipca 2023 (250+ pracowników) i 17 grudnia 2023 (50–249 pracowników). Grzywny egzekwowalne od 1 grudnia 2023. <a href="https://www.loc.gov/item/global-legal-monitor/2023-07-13/germany-whistleblower-protection-act-enters-into-force/" rel="nofollow">Source: Library of Congress</a> </p> <p><strong>Kary:</strong></p> <ul> <li>Brak ustanowienia kanału zgłoszeń: grzywny 20 000–50 000 € zgodnie z Section 40 HinSchG. <a href="https://www.ebnerstolz.de/en/what-we-offer/services/legal-advice/commercial-criminal-law/german-whistleblower-protection-act-27384.html" rel="nofollow">Source: Ebner Stolz</a> </li> <li>Dla osób prawnych grzywny mogą wzrosnąć <strong>dziesięciokrotnie</strong> (do 500 000 €) zgodnie z Section 40(6). <a href="https://www.activemind.legal/guides/german-whistleblower-protection-act/" rel="nofollow">Source: activeMind</a> </li> <li>Działania odwetowe wobec sygnalistów: do 50 000 €. <a href="https://www.mofo.com/resources/insights/230602-the-new-german-whistleblowing-act" rel="nofollow">Source: Morrison Foerster</a> </li> </ul> <p><strong>Uwaga:</strong> Niemcy zostały ukarane grzywną w wysokości 34 000 000 € przez Trybunał Sprawiedliwości UE w marcu 2025 za opóźnioną transpozycję dyrektywy. <a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Source: eucrim</a> </p> <hr> <h3 id="italy"> Włochy — D.Lgs. 24/2023 <a href="#italy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Ustawa:</strong> <a href="https://www.gazzettaufficiale.it/eli/id/2023/03/15/23G00032/sg" rel="nofollow">Decreto Legislativo 10 marzo 2023, n. 24</a> .</p> <p><strong>Dotyczy:</strong> Firm zatrudniających 50 i więcej pracowników (oraz wszystkich firm posiadających program zgodności Model 231 niezależnie od wielkości). Termin upłynął 15 lipca 2023 (250+ pracowników) i 17 grudnia 2023 (50–249 pracowników). <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source: Norton Rose Fulbright</a> </p> <p><strong>Kary:</strong></p> <ul> <li>Brak ustanowienia kanałów zgłoszeń lub niezgodne procedury: 10 000–50 000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source: Norton Rose Fulbright</a> </li> <li>Działania odwetowe lub utrudnianie zgłaszania: 10 000–50 000 €. <a href="https://www.hoganlovells.com/en/publications/italy-implements-eu-whistleblower-directive-the-new-obligations-for-companies" rel="nofollow">Source: Hogan Lovells</a> </li> <li>Naruszenie poufności tożsamości zgłaszającego: 10 000–50 000 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source: Norton Rose Fulbright</a> </li> <li>Fałszywe zgłoszenie przez sygnalistę: 500–2 500 €. <a href="https://www.nortonrosefulbright.com/en-it/knowledge/publications/5ff4d59b/whistleblowing-i-nuovi-obblighi-per-le-imprese" rel="nofollow">Source: Norton Rose Fulbright</a> </li> </ul> <p><strong>Organ egzekucyjny:</strong> ANAC (Autorità Nazionale Anticorruzione). ANAC wydał pierwszą decyzję o karze za działania odwetowe w lipcu 2024 (Decyzja nr 380, sprawa o działania odwetowe). <a href="https://www.clearygottlieb.com/news-and-insights/publication-listing/whistleblowing-in-focus-part-two" rel="nofollow">Source: ANAC via Cleary Gottlieb</a> </p> <hr> <h3 id="poland"> Polska — Act of 14 June 2024 <a href="#poland" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Ustawa:</strong> <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów</a> — weszła w życie 25 września 2024.</p> <p><strong>Dotyczy:</strong> Pracodawców zatrudniających 50 i więcej pracowników. Procedury wewnętrzne wymagane od 1 stycznia 2025. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Source: DLA Piper</a> </p> <p><strong>Kary:</strong></p> <ul> <li>Brak ustanowienia wewnętrznych procedur zgłaszania: grzywna od 20 do 5 000 PLN (~5–1 200 €) jako wykroczenie. Członkowie zarządu ponoszą odpowiedzialność osobistą. <a href="https://www.rsm.global/poland/en/insights/doing-business-poland/whistleblower-protection" rel="nofollow">Source: RSM Poland</a> </li> <li>Uniemożliwianie lub utrudnianie zgłaszania: grzywna do 1 080 000 PLN (~250 000 €), ograniczenie wolności lub do 1 roku pozbawienia wolności. Przy użyciu przemocy lub gróźb: do 3 lat. <a href="https://www.cliffordchance.com/insights/resources/blogs/regulatory-investigations-financial-crime-insights/2024/07/poland-implements-the-eu-whistleblowing-directive.html" rel="nofollow">Source: Clifford Chance</a> </li> <li>Działania odwetowe: grzywna, ograniczenie wolności lub do 2 lat pozbawienia wolności. <a href="https://www.kochanski.pl/en/whistleblower-protection-act-all-you-need-to-know/" rel="nofollow">Source: Kochański & Partners</a> </li> <li>Ujawnienie tożsamości sygnalisty: grzywna, ograniczenie wolności lub do 1 roku pozbawienia wolności. <a href="https://knowledge.dlapiper.com/dlapiperknowledge/globalemploymentlatestdevelopments/2024/poland-whistleblower-protection-act.html" rel="nofollow">Source: DLA Piper</a> </li> </ul> <p><strong>Organ egzekucyjny:</strong> Rzecznik Praw Sygnalistów — rozpoczęcie działalności 1 września 2025. <a href="https://wozniaklegal.com/en/news-and-insight/454/protection-of-whistleblowers-in-poland.html" rel="nofollow">Source: Wozniak Legal</a> </p> <p>Polska jest jednym z niewielu krajów UE, w których utrudnianie i działania odwetowe podlegają <strong>karom kryminalnym, w tym karze pozbawienia wolności</strong>.</p> <hr> <h3 id="portugal"> Portugalia — Law 93/2021 <a href="#portugal" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p><strong>Ustawa:</strong> <a href="https://diariodarepublica.pt/dr/detalhe/lei/93-2021-175659849" rel="nofollow">Lei n.º 93/2021, de 20 de dezembro</a> — Ogólny reżim ochrony sygnalistów.</p> <p><strong>Dotyczy:</strong> Firm zatrudniających 50 i więcej pracowników. Reżim kar obowiązuje od 7 czerwca 2024. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Source: IntegrityLine</a> </p> <p><strong>Kary:</strong></p> <ul> <li>Brak ustanowienia kanałów zgłoszeń: grzywny do 125 000 €. <a href="https://www.integrityline.com/expertise/blog/new-portuguese-whistleblowing-law/" rel="nofollow">Source: IntegrityLine</a> </li> </ul> <p><strong>Organ egzekucyjny:</strong> MENAC (Mecanismo Nacional Anticorrupção). Platforma elektroniczna uruchomiona w listopadzie 2024. W 2024 roku otrzymała 152 zgłoszenia. Nacisk przesuwa się na egzekwowanie w sektorze prywatnym w 2025 roku. <a href="https://commission.europa.eu/document/download/5a482f87-1f24-47bd-8595-d25f1ca29c6a_en" rel="nofollow">Source: European Commission Rule of Law Report 2025</a> </p> <hr> <h2 id="kary-trybunału-sprawiedliwości-ue-dla-państw-członkowskich-marzec-2025"> Kary Trybunału Sprawiedliwości UE dla państw członkowskich (marzec 2025) <a href="#kary-trybuna%c5%82u-sprawiedliwo%c5%9bci-ue-dla-pa%c5%84stw-cz%c5%82onkowskich-marzec-2025" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pięć krajów UE zostało ukaranych przez Trybunał Sprawiedliwości za nieterminową transpozycję dyrektywy:</p> <table> <thead> <tr> <th>Kraj</th> <th>Kara ryczałtowa</th> <th>Kara dzienna</th> </tr> </thead> <tbody> <tr> <td>Niemcy</td> <td>34 000 000 €</td> <td>—</td> </tr> <tr> <td>Czechy</td> <td>2 300 000 €</td> <td>—</td> </tr> <tr> <td>Węgry</td> <td>1 750 000 €</td> <td>—</td> </tr> <tr> <td>Estonia</td> <td>500 000 €</td> <td>1 500 €/dzień</td> </tr> <tr> <td>Luksemburg</td> <td>375 000 €</td> <td>—</td> </tr> </tbody> </table> <p><a href="https://eucrim.eu/news/ecj-ordered-several-member-states-to-financial-penalties-for-failing-to-transpose-whistleblowers-directive/" rel="nofollow">Source: eucrim</a> — <a href="https://curia.europa.eu/site/upload/docs/application/pdf/2025-03/cp250029en.pdf" rel="nofollow">Source: CJEU press release (PDF)</a> </p> <hr> <h2 id="wszystkie-27-państw-członkowskich"> Wszystkie 27 państw członkowskich <a href="#wszystkie-27-pa%c5%84stw-cz%c5%82onkowskich" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wszystkie państwa członkowskie UE transponowały dyrektywę. Zapoznaj się z naszym pełnym zestawieniem:</p> <p><strong><a href="/pl/whistleblower-laws/">Przepisy o ochronie sygnalistów we wszystkich 27 państwach członkowskich UE →</a> </strong></p> <p>Nazwa ustawy krajowej każdego państwa, link do oficjalnego tekstu, kary, terminy i organ egzekucyjny.</p> <hr> <h2 id="egzekwowanie-przyspiesza"> Egzekwowanie przyspiesza <a href="#egzekwowanie-przyspiesza" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Większość państw członkowskich zakończyła transpozycję dyrektywy dopiero w latach 2023–2024. Organy egzekucyjne działają i aktywnie wydają wytyczne:</p> <ul> <li><strong>Włochy:</strong> ANAC nałożył pierwszą karę za działania odwetowe w lipcu 2024 i opublikował zaktualizowane wytyczne egzekucyjne w listopadzie 2025.</li> <li><strong>Portugalia:</strong> Elektroniczna platforma egzekucyjna MENAC uruchomiona w listopadzie 2024, z naciskiem na sektor prywatny w 2025.</li> <li><strong>Polska:</strong> Niezależny organ egzekucyjny rozpoczyna działalność we wrześniu 2025.</li> <li><strong>Niemcy:</strong> Grzywny egzekwowalne od grudnia 2023.</li> <li><strong>Hiszpania:</strong> Grzywny egzekwowalne od czerwca 2023.</li> </ul> <p>Okno na osiągnięcie zgodności przed aktywnym egzekwowaniem zamyka się.</p> <hr> <h2 id="zapewnij-zgodność-już-teraz"> Zapewnij zgodność już teraz <a href="#zapewnij-zgodno%c5%9b%c4%87-ju%c5%bc-teraz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal daje Twojej organizacji w pełni zgodny kanał zgłaszania nieprawidłowości w kilka minut — szyfrowany, anonimowy i zaprojektowany zgodnie z dyrektywą UE 2019/1937.</p> <p><a href="/pl/directive-coverage/">Zobacz, jak spełniamy każdy wymóg</a> | <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">Uruchom swój portal</a> </p> <hr> <p><em>Ostatnia aktualizacja: kwiecień 2026. Kwoty kar i status egzekwowania oparte są na publicznie dostępnych źródłach prawnych podlinkowanych powyżej. Napisz na adres <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> , jeśli zauważysz błąd.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/contact/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/contact/Skontaktuj się z zespołem EthicsPortal w sprawie zgodności z europejską dyrektywą o sygnalistach.<h1 id="kontakt"> Kontakt <a href="#kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Masz pytania dotyczące EthicsPortal lub zgodności z dyrektywą UE o sygnalistach? Napisz do nas bezpośrednio.</p> <hr> <p><strong>Ogólny:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Prywatność i prawa RODO:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> <strong>Inspektor Ochrony Danych:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> <strong>Zgłoszenia bezpieczeństwa:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Prawne i DPA:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> <strong>Dostępność:</strong> <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </p> <p>Zazwyczaj odpowiadamy w ciągu jednego dnia roboczego.</p> <hr> <h2 id="najczęściej-zadawane-pytania"> Najczęściej zadawane pytania <a href="#najcz%c4%99%c5%9bciej-zadawane-pytania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>“Ile to kosztuje?”</strong> 49 €/miesiąc. Wszystko w cenie. Zobacz <a href="/pl/pricing/">cennik</a> .</p> <p><strong>“Czy mogę najpierw przetestować?”</strong> Tak. Zarejestruj się na <a href="https://secure.ethicsportal.eu/session/new" rel="nofollow">ethicsportal.eu</a> i od razu eksploruj platformę.</p> <p><strong>“Czy jest zgodny z Dyrektywą UE 2019/1937?”</strong> Tak. Zobacz naszą <a href="/pl/directive-coverage/">szczegółową analizę zgodności artykuł po artykule</a> .</p> <p><strong>“Gdzie przechowywane są moje dane?”</strong> Podstawowe dane zgłoszeń są hostowane na infrastrukturze Hetzner w Norymberdze w Niemczech. Strona marketingowa jest dostarczana przez Cloudflare (Stany Zjednoczone); portal zgłoszeniowy i portal prowadzących nie. Zobacz <a href="/pl/dpa/">DPA</a> i stronę <a href="/pl/subprocessors/">podwykonawców</a> .</p> <p><strong>“Czy oferujecie umowę powierzenia przetwarzania danych?”</strong> Tak. Zobacz naszą <a href="/pl/dpa/">Umowę powierzenia przetwarzania danych</a> lub napisz na e-mail, aby otrzymać podpisany plik PDF.</p> <p><strong>“Kto jest stroną kontraktową?”</strong> Zobacz stronę <a href="/pl/trust/">Zaufanie</a> z informacjami o stronie kontraktowej i ocenie dostawcy.</p> <p><strong>“Czy wspieracie ocenę dostawcy?”</strong> Tak. Podpisane DPA, dokumenty rejestrowe i dodatkowe materiały do oceny dostawcy są dostępne na żądanie. Zobacz <a href="/pl/trust/">Zaufanie</a> .</p> <hr> <p><strong>LinkedIn:</strong> <a href="https://www.linkedin.com/company/ethicsportal" rel="nofollow">linkedin.com/company/ethicsportal</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/directive-interpretations/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/directive-interpretations/Jak EthicsPortal interpretuje niejednoznaczne przepisy dyrektywy (UE) 2019/1937. Dokument referencyjny dla inspektorów ds. zgodności, inspektorów ochrony danych i radców prawnych.<h1 id="metodologia"> Metodologia <a href="#metodologia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Niniejszy dokument przedstawia sposób, w jaki EthicsPortal interpretuje przepisy dyrektywy (UE) 2019/1937, które dopuszczają więcej niż jedną rozsądną wykładnię. Jest on przeznaczony dla inspektorów ds. zgodności, inspektorów ochrony danych i radców prawnych, którzy muszą podejmować możliwe do obrony decyzje operacyjne wobec braku wiążącej interpretacji ze strony Komisji Europejskiej lub Trybunału Sprawiedliwości Unii Europejskiej.</p> <p>Jest to dokument ewoluujący. W sytuacji, w której Trybunał Sprawiedliwości, Europejska Rada Ochrony Danych lub właściwy organ krajowy wyda wiążącą interpretację odmienną od stanowisk przedstawionych poniżej, niniejszy dokument podlega korekcie, a poprzednie stanowisko zostaje utrwalone w dzienniku zmian.</p> <p>Dla mapy wymóg-funkcjonalność — funkcji EthicsPortal, która spełnia każdy przepis dyrektywy — zapoznaj się ze stroną <a href="/pl/directive-coverage/">zgodność</a> . Oba dokumenty mają charakter komplementarny: zgodność dokumentuje to, co robi produkt; metodologia dokumentuje sposób, w jaki odczytujemy przepis.</p> <p><strong>Wersja angielska niniejszego dokumentu jest wersją autorytatywną.</strong> Tłumaczenia udostępniane są w celach informacyjnych. W przypadku rozbieżności między wersjami językowymi rozstrzygająca jest wersja angielska. Zasada ta odpowiada praktyce instytucji Unii w odniesieniu do dokumentów wielojęzycznych przeznaczonych do cytowania.</p> <p>Ostatnia aktualizacja: kwiecień 2026.</p> <hr> <h2 id="1-zakres-i-źródła"> §1. Zakres i źródła <a href="#1-zakres-i-%c5%bar%c3%b3d%c5%82a" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Niniejsza metodologia dotyczy dyrektywy 2019/1937 w kształcie transponowanym do prawa krajowego 27 państw członkowskich Unii. Jeżeli krajowa transpozycja jest bardziej rygorystyczna niż sama dyrektywa, w organizacjach prowadzących działalność w danej jurysdykcji obowiązuje reguła krajowa (zob. §9).</p> <p>Źródła wiążące, w porządku pierwszeństwa:</p> <ol> <li><strong>Tekst samej dyrektywy</strong> — dyrektywa (UE) 2019/1937 z dnia 23 października 2019 r., wraz z jej motywami.</li> <li><strong>Krajowe ustawy transponujące</strong> — wiążące w każdym państwie członkowskim. Zob. nasze <a href="/pl/whistleblower-laws/">zestawienie ustaw o ochronie sygnalistów według państw</a> , zawierające dokładne nazwy ustaw i organy egzekwujące.</li> <li><strong>Orzeczenia Trybunału Sprawiedliwości Unii Europejskiej</strong> — wiążące w całej Unii.</li> <li><strong>Wytyczne Europejskiej Rady Ochrony Danych</strong> — dla aspektów związanych z ochroną danych (art. 17 dyrektywy, powiązanie z RODO).</li> <li><strong>Wytyczne krajowych organów właściwych</strong> — o charakterze perswazyjnym w obrębie państwa, które je wydaje.</li> </ol> <p>Niniejszy dokument stanowi metodologię operacyjną. Nie jest on poradą prawną. Organizacje powinny zweryfikować interpretacje z właściwym doradcą prawnym w swojej jurysdykcji przed oparciem się na nich w toku audytu lub postępowania sądowego.</p> <hr> <h2 id="2-konwencje-redakcyjne"> §2. Konwencje redakcyjne <a href="#2-konwencje-redakcyjne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Dyrektywa stanowi</strong> wprowadza sformułowanie odzwierciedlające wymogi tekstu dyrektywy.</p> <p><strong>W praktyce oznacza to</strong> wprowadza interpretację EthicsPortal w sytuacji, w której tekst dopuszcza więcej niż jedną wykładnię.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> wprowadza sposób, w jaki dana interpretacja przejawia się w produkcie. Operatorzy przyjmujący odmienną interpretację muszą odpowiednio dostosować konfigurację lub procedury.</p> <p>Wszystkie odniesienia do artykułów odnoszą się do dyrektywy 2019/1937, chyba że wskazano inaczej.</p> <hr> <h2 id="3-próg-50-pracowników-art-8"> §3. Próg 50 pracowników (art. 8) <a href="#3-pr%c3%b3g-50-pracownik%c3%b3w-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Art. 8 ust. 3 zobowiązuje podmioty zatrudniające „50 lub więcej pracowników" do ustanowienia wewnętrznych kanałów dokonywania zgłoszeń. Dyrektywa nie określa sposobu obliczania liczby zatrudnionych ani sposobu liczenia pracowników w niepełnym wymiarze czasu pracy i pracowników tymczasowych, ani tego, czy próg stosuje się na poziomie pojedynczej osoby prawnej, czy grupy kapitałowej.</p> <p><strong>Dyrektywa stanowi</strong>, że „podmioty prawne w sektorze prywatnym zatrudniające co najmniej 50 pracowników" podlegają obowiązkowi (art. 8 ust. 3). Motyw 48 precyzuje, że próg oblicza się „zgodnie z prawem krajowym transponującym odpowiednie akty prawa Unii".</p> <p><strong>W praktyce oznacza to</strong>, że obliczenie podąża za istniejącymi krajowymi regułami zliczania zatrudnionych, obowiązującymi dla celów prawa pracy i ubezpieczeń społecznych. Reguły te są zróżnicowane:</p> <ul> <li><strong>Niemcy</strong> (HinSchG §12): liczba zatrudnionych ustalana na podstawie osób regularnie zatrudnionych, liczona per osoba prawna.</li> <li><strong>Francja</strong> (Loi Waserman, art. 8): 50 pracowników obliczane jako średnia miesięczna liczba zatrudnionych z ostatnich 12 miesięcy.</li> <li><strong>Włochy</strong> (D.Lgs. 24/2023): średnia zatrudnienia w poprzednim roku.</li> <li><strong>Hiszpania</strong> (Ley 2/2023): 50 pracowników per podmiot, z dopuszczeniem kanałów grupowych pod określonymi warunkami.</li> </ul> <p><strong>Próg oblicza się per osoba prawna</strong>, a nie per grupa kapitałowa. Spółka dominująca i zależna stanowią odrębne podmioty dla potrzeb art. 8, chyba że prawo krajowe stanowi inaczej. Art. 8 ust. 6 dopuszcza współdzielenie zasobów w ramach grupy dla podmiotów zatrudniających do 249 pracowników — obowiązek ustanowienia kanału zostaje jednak uruchomiony per podmiot po przekroczeniu progu 50 pracowników.</p> <p><strong>Wykonawcy, pracownicy tymczasowi i stażyści</strong> co do zasady wliczają się do progu w zakresie, w jakim objęci są krajową definicją „pracownika" — szerszą niż pojęcie „zatrudnionego" w prawie Unii. Trybunał Sprawiedliwości konsekwentnie orzeka, że pojęcie „pracownika" w prawie Unii obejmuje każdą osobę, która wykonuje świadczenia na rzecz i pod kierownictwem innej osoby w zamian za wynagrodzenie (zob. <em>Lawrie-Blum</em>, C-66/85).</p> <p><strong>EthicsPortal realizuje to poprzez</strong> brak ograniczeń dostępu w oparciu o liczbę zatrudnionych. Każda organizacja może wdrożyć portal, niezależnie od wielkości. Organizacje poniżej progu 50 pracowników często prowadzą portal dobrowolnie — ze względu na zarządzanie ryzykiem, ze względu na niższy próg ustawowy w danym sektorze (np. usługi finansowe) lub w związku z polityką grupy kapitałowej.</p> <hr> <h2 id="4-termin-potwierdzenia-otrzymania-art-9-ust-1-lit-b"> §4. Termin potwierdzenia otrzymania (art. 9 ust. 1 lit. b) <a href="#4-termin-potwierdzenia-otrzymania-art-9-ust-1-lit-b" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Art. 9 ust. 1 lit. b) wymaga potwierdzenia otrzymania zgłoszenia „w terminie siedmiu dni od otrzymania". Dyrektywa nie precyzuje, czy chodzi o dni kalendarzowe, czy robocze, ani od jakiego momentu biegnie termin dla zgłoszeń otrzymanych poza godzinami pracy.</p> <p><strong>Dyrektywa stanowi</strong> o potwierdzeniu otrzymania „w terminie siedmiu dni od otrzymania". Nie podaje dalszej kwalifikacji.</p> <p><strong>W praktyce oznacza to</strong> siedem dni <strong>kalendarzowych</strong>, liczonych od momentu wpłynięcia zgłoszenia do kanału. Jest to zgodne z ogólną zasadą, że terminy w prawie Unii biegną w dniach kalendarzowych, chyba że wyraźnie przewidziano inaczej (rozporządzenie (EWG, Euratom) nr 1182/71, art. 3). Państwa członkowskie transponujące dyrektywę konsekwentnie traktują siedmiodniowy termin jako wyrażony w dniach kalendarzowych (HinSchG §17 ust. 1 pkt 2; D.Lgs. 24/2023 art. 5 ust. 1 lit. d; Loi Waserman art. 8).</p> <p>Zgłoszenie złożone o godzinie 23:59 w niedzielę jest zgłoszeniem otrzymanym w tę niedzielę. Siedmiodniowy termin rozpoczyna się następnego dnia (dzień 1 = poniedziałek) i upływa z końcem siódmego dnia. Wynika to z art. 3 ust. 1 rozporządzenia 1182/71, zgodnie z którym, jeżeli termin wyrażony jest w dniach, dnia zdarzenia uruchamiającego nie wlicza się.</p> <p><strong>Potwierdzenie otrzymania nie jest tożsame z odpowiedzią merytoryczną.</strong> Potwierdzenie otrzymania stanowi wyłącznie potwierdzenie, że zgłoszenie zostało otrzymane i zarejestrowane. Nie musi ono zawierać oceny merytorycznej zgłoszenia ani nazwiska osoby prowadzącej sprawę.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> wysyłanie automatycznego potwierdzenia otrzymania do sygnalisty w momencie złożenia zgłoszenia, wyświetlanego na portalu oraz (jeżeli podane są dane kontaktowe) przesyłanego pocztą elektroniczną. Potwierdzenie zawiera sygnaturę sprawy oraz ustawowy trzymiesięczny termin przekazania informacji zwrotnych. Organizacje skonfigurowane do ręcznego potwierdzania otrzymują alerty o zbliżającym się terminie na 48 godzin przed jego upływem oraz w dniu upływu terminu.</p> <hr> <h2 id="5-termin-przekazania-informacji-zwrotnych-art-9-ust-1-lit-f"> §5. Termin przekazania informacji zwrotnych (art. 9 ust. 1 lit. f) <a href="#5-termin-przekazania-informacji-zwrotnych-art-9-ust-1-lit-f" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Art. 9 ust. 1 lit. f) wymaga przekazania informacji zwrotnych „w terminie nieprzekraczającym trzech miesięcy od potwierdzenia otrzymania lub, jeżeli nie przesłano potwierdzenia otrzymania do osoby dokonującej zgłoszenia, w terminie trzech miesięcy od upływu siedmiodniowego okresu następującego po dokonaniu zgłoszenia". Dyrektywa nie definiuje, co kwalifikuje się jako „informacje zwrotne".</p> <p><strong>Dyrektywa stanowi</strong>, że informacje zwrotne oznaczają „przekazanie osobie dokonującej zgłoszenia informacji na temat działań planowanych lub podjętych jako działania następcze oraz na temat powodów takich działań następczych" (art. 5 pkt 13).</p> <p><strong>W praktyce oznacza to</strong>, że informacje zwrotne są merytoryczne. Kolejne potwierdzenie otrzymania ani oświadczenie, że sprawa „pozostaje w toku analizy", nie stanowią informacji zwrotnych w rozumieniu art. 9 ust. 1 lit. f). Sygnalista jest uprawniony do uzyskania, z upływem trzech miesięcy, informacji o działaniu, które organizacja zamierza podjąć (lub które podjęła) oraz o uzasadnieniu tego działania.</p> <p>Informacje zwrotne nie muszą stanowić ostatecznego rozstrzygnięcia. Organizacja może wskazać, że sprawa pozostaje w toku postępowania wyjaśniającego, pod warunkiem że wskaże również, co zostało dotąd uczynione, jakie dalsze kroki są planowane oraz kiedy można oczekiwać kolejnej aktualizacji. Wymagany jest zakres informacji wystarczający, aby sygnalista mógł ocenić, czy organizacja traktuje zgłoszenie poważnie.</p> <p><strong>Trzymiesięczny termin biegnie od dnia potwierdzenia otrzymania</strong>, a nie od dnia złożenia zgłoszenia. W przypadku opóźnienia potwierdzenia otrzymania okres na przekazanie informacji zwrotnych ulega odpowiedniemu skróceniu — ostateczny dopuszczalny termin przekazania informacji zwrotnych wynosi trzy miesiące i siedem dni od daty złożenia zgłoszenia.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> śledzenie obu terminów (7-dniowego potwierdzenia, 3-miesięcznych informacji zwrotnych) dla każdej sprawy oraz przesyłanie alertów o przekroczeniu terminu do wszystkich administratorów organizacji. Informacje zwrotne są przekazywane sygnaliście za pośrednictwem dwukierunkowego kanału wiadomości portalu, który zachowuje anonimowość sygnalisty w sytuacji, gdy nie ujawnił on swojej tożsamości.</p> <hr> <h2 id="6-należyte-działania-następcze-art-9-ust-1-lit-d"> §6. Należyte działania następcze (art. 9 ust. 1 lit. d) <a href="#6-nale%c5%bcyte-dzia%c5%82ania-nast%c4%99pcze-art-9-ust-1-lit-d" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Art. 9 ust. 1 lit. d) wymaga „należytych działań następczych podejmowanych przez wyznaczoną osobę lub departament, o których mowa w lit. c)". Pojęcie „należyte" nie zostało zdefiniowane.</p> <p><strong>Dyrektywa stanowi</strong>, że działania następcze oznaczają „działania podjęte przez odbiorcę zgłoszenia lub właściwy organ w celu oceny prawdziwości zarzutów zawartych w zgłoszeniu oraz, w stosownych przypadkach, w celu zaradzenia zgłoszonemu naruszeniu" (art. 5 pkt 12).</p> <p><strong>W praktyce oznacza to</strong>, że należyte działania następcze obejmują trzy minimalne elementy operacyjne:</p> <ol> <li><strong>Ocena.</strong> Udokumentowana analiza tego, czy zarzuty — o ile miałyby się potwierdzić — stanowiłyby naruszenie objęte zakresem przedmiotowym dyrektywy (art. 2) lub jej krajowej transpozycji.</li> <li><strong>Postępowanie wyjaśniające proporcjonalne do zarzutu.</strong> Działania wyjaśniające odpowiadające wadze zarzucanego naruszenia, sile materiału dowodowego i potencjalnej szkodzie. Nie każde zgłoszenie uzasadnia pełne postępowanie; zgłoszenie nieposiadające żadnego konkretnego szczegółu może zostać ocenione i zamknięte z udokumentowanym uzasadnieniem. Zgłoszenie poparte konkretnymi, wzajemnie potwierdzającymi się szczegółami wymaga więcej.</li> <li><strong>Bieżący zapis czynności.</strong> Podjęte działania, podjęte decyzje i ich uzasadnienie muszą być zapisywane w momencie, w którym następują. Należyte działania następcze pozbawione śladu dokumentacyjnego są nieodróżnialne od braku działań.</li> </ol> <p>„Należyte" jest standardem obiektywnym. Nie jest zaspokojone samą subiektywną dobrą wiarą. Organizacja, która rutynowo zamyka zgłoszenia bez oceny lub która potrzebuje miesięcy na otwarcie sprawy, nie jest działająca należycie, niezależnie od własnej oceny.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> zapewnienie przepływu zarządzania sprawami z przejściami statusów (otrzymane, potwierdzone, w toku postępowania wyjaśniającego, zamknięte), notatek wewnętrznych umożliwiających współpracę prowadzących sprawę oraz dziennika audytu tylko do dopisywania, który rejestruje każdą czynność wraz ze znacznikiem czasu i identyfikatorem wykonawcy. Dziennik audytu stanowi podstawowy dowód należytej staranności w trakcie audytu lub kontroli regulacyjnej.</p> <hr> <h2 id="7-poufność-tożsamości-art-16"> §7. Poufność tożsamości (art. 16) <a href="#7-poufno%c5%9b%c4%87-to%c5%bcsamo%c5%9bci-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Art. 16 ust. 1 wymaga, aby tożsamość osoby dokonującej zgłoszenia nie była ujawniana osobom innym niż upoważnieni pracownicy. Dyrektywa nie precyzuje, czy „tożsamość" rozciąga się na metadane umożliwiające zidentyfikowanie sygnalisty (adresy IP, odciski przeglądarek, metadane autorstwa plików, schematy znaczników czasu).</p> <p><strong>Dyrektywa stanowi</strong>, że „tożsamość osoby dokonującej zgłoszenia nie jest ujawniana bez wyraźnej zgody tej osoby nikomu innemu niż upoważnionym członkom personelu właściwym do przyjmowania zgłoszeń lub podejmowania w ich następstwie działań" (art. 16 ust. 1).</p> <p><strong>W praktyce oznacza to</strong>, że „tożsamość" należy rozumieć funkcjonalnie: obejmuje ona wszelkie informacje, które — samodzielnie lub w połączeniu z innymi — umożliwiają zidentyfikowanie sygnalisty. Taka wykładnia jest spójna z definicją danych osobowych w RODO (rozporządzenie (UE) 2016/679, art. 4 pkt 1) oraz z konsekwentnym stanowiskiem Europejskiej Rady Ochrony Danych, zgodnie z którym możliwość zidentyfikowania jest zależna od kontekstu.</p> <p>Za informacje o tożsamości uznaje się:</p> <ul> <li>Imię i nazwisko sygnalisty, jego dane kontaktowe oraz wszelkie informacje, jakie podaje on o sobie.</li> <li><strong>Adres IP</strong>, z którego zostało złożone zgłoszenie.</li> <li><strong>Metadane pliku</strong> osadzone w przesłanych dokumentach (nazwa autora, współrzędne GPS w zdjęciach, identyfikatory urządzenia, historia zmian w dokumentach biurowych).</li> <li>Schematy znaczników czasu lub dostępu umożliwiające jednoznaczne zidentyfikowanie jednej osoby (np. zgłoszenie złożone w porze, w której tylko jeden pracownik mógł je prawdopodobnie złożyć).</li> </ul> <p>Organizacje przechowujące adresy IP sygnalistów lub akceptujące przesyłane pliki bez usunięcia metadanych narażają się na naruszenie poufności, które pod względem technicznym stanowi naruszenie art. 16, nawet jeśli nazwisko sygnalisty nigdy nie zostało ujawnione.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> brak przechowywania adresów IP sygnalistów (limitowanie żądań wykorzystuje nieodwracalne jednokierunkowe hasze), usuwanie metadanych EXIF oraz metadanych dokumentów ze wszystkich przesyłanych plików przed zapisem, a także szyfrowanie pól tożsamości sygnalisty w spoczynku z zastosowaniem szyfrowania niedeterministycznego (tak, aby nawet pełen dostęp do bazy danych nie umożliwiał masowego wyszukiwania po nazwisku).</p> <hr> <h2 id="8-okres-przechowywania-art-18"> §8. Okres przechowywania (art. 18) <a href="#8-okres-przechowywania-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Art. 18 ust. 1 wymaga, aby dokumentacja zgłoszeń była przechowywana „nie dłużej niż jest to konieczne i proporcjonalne w celu spełnienia wymogów nałożonych niniejszą dyrektywą lub innych wymogów nałożonych prawem Unii lub prawem krajowym". Dyrektywa nie określa maksymalnego okresu.</p> <p><strong>Dyrektywa stanowi</strong> standard „konieczności i proporcjonalności", powiązany z celami zgodności.</p> <p><strong>W praktyce oznacza to</strong>, że przechowywanie musi być uzasadnione konkretnym celem prawnym lub operacyjnym, ograniczone w czasie oraz udokumentowane w rejestrze czynności przetwarzania (RODO, art. 30). W braku trwającego postępowania wyjaśniającego, sporu sądowego lub szczególnego wymogu ustawowego, przechowywanie wykraczające poza zamknięcie sprawy staje się coraz trudniejsze do uzasadnienia.</p> <p>Typowe uzasadnienia i powiązane z nimi okresy:</p> <table> <thead> <tr> <th>Cel</th> <th>Typowy okres przechowywania</th> </tr> </thead> <tbody> <tr> <td>Sprawa aktywna (od otrzymania do zamknięcia)</td> <td>Czas trwania sprawy</td> </tr> <tr> <td>Kolejne postępowanie wyjaśniające lub spór sądowy</td> <td>Do ostatecznego rozstrzygnięcia</td> </tr> <tr> <td>Ścieżka audytu regulacyjnego</td> <td>Okres określony przez regulację sektorową (zwykle 5 lat dla usług finansowych)</td> </tr> <tr> <td>Ochrona przed roszczeniami z tytułu działań odwetowych (art. 21)</td> <td>Krajowy termin przedawnienia roszczeń ze stosunku pracy (zwykle 2–5 lat)</td> </tr> <tr> <td>Sprawozdawczość statystyczna na podstawie art. 27 ust. 2</td> <td>Wyłącznie dane zanonimizowane; dane osobowe należy minimalizować lub usuwać</td> </tr> </tbody> </table> <p>Krajowa transpozycja może wyznaczać konkretne okresy. Przykłady:</p> <ul> <li><strong>Niemcy</strong> (HinSchG §11 ust. 5): dokumentacja usuwana po trzech latach od zamknięcia postępowania, przy czym okres ten ulega wydłużeniu wyłącznie w zakresie wymaganym przez inne ustawy.</li> <li><strong>Francja</strong> (wytyczne CNIL w zakresie Loi Waserman): okresy przechowywania kalibrowane per typ sprawy, przy czym sprawy rutynowe są usuwane w terminie dwóch miesięcy od zamknięcia, jeżeli nie przewiduje się dalszych działań następczych.</li> <li><strong>Włochy</strong> (D.Lgs. 24/2023 art. 14): pięć lat od zamknięcia zgłoszenia, z zastrzeżeniem minimalizacji wynikającej z RODO.</li> </ul> <p>Jednolity okres przechowywania dobrany dla wygody („przechowujemy wszystko przez 10 lat") nie jest zgodny ani z art. 18, ani z art. 5 ust. 1 lit. e) RODO. Przechowywanie musi być powiązane z celem.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> udostępnianie konfigurowalnych okresów przechowywania (12, 24, 36, 60 miesięcy) z automatycznym usuwaniem zamkniętych zgłoszeń po upływie skonfigurowanego okresu. Wartość domyślna odpowiada najkrótszemu okresowi spełniającemu najczęstsze wymogi transpozycji krajowych. Operatorzy w sektorach objętych dłuższymi ustawowymi obowiązkami przechowywania konfigurują okres odpowiednio.</p> <hr> <h2 id="9-podstawa-prawna-przetwarzania-powiązanie-z-rodo"> §9. Podstawa prawna przetwarzania (powiązanie z RODO) <a href="#9-podstawa-prawna-przetwarzania-powi%c4%85zanie-z-rodo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Art. 17 dyrektywy wymaga, aby przetwarzanie danych osobowych było zgodne z RODO. Sama dyrektywa nie stanowi podstawy prawnej w rozumieniu art. 6 RODO — administrator musi wskazać, która konkretnie podstawa ma zastosowanie.</p> <p><strong>Dyrektywa stanowi</strong>, że przetwarzanie „jest prowadzone zgodnie z rozporządzeniem (UE) 2016/679" (art. 17).</p> <p><strong>W praktyce oznacza to</strong>, że podstawą prawną jest <strong>art. 6 ust. 1 lit. c) RODO — obowiązek prawny</strong>, gdy organizacja podlega prawnemu obowiązkowi ustanowienia i prowadzenia kanału dokonywania zgłoszeń. Dla organizacji powyżej progu 50 pracowników (lub poniżej tego progu w sytuacji, gdy sektorowe prawo nakłada obowiązek) art. 6 ust. 1 lit. c) stanowi prawidłową i wystarczającą podstawę. Zgoda sygnalisty nie jest wymagana i nie powinna być pozyskiwana — traktowanie przetwarzania jako opartego na zgodzie wprowadzałoby w błąd i tworzyło teoretyczne prawo do jej wycofania, którego administrator nie mógłby uszanować.</p> <p>Dla organizacji prowadzących kanał dokonywania zgłoszeń <strong>dobrowolnie</strong> (poniżej progu 50 pracowników i niepodlegających sektorowemu obowiązkowi) podstawą prawną jest <strong>art. 6 ust. 1 lit. f) — uzasadniony interes</strong>, z zastrzeżeniem udokumentowanego testu równoważenia. Uzasadniony interes polegający na zapobieganiu i wykrywaniu nieprawidłowości w organizacji jest uznany i potwierdzony w wytycznych krajowych w państwach członkowskich.</p> <p>Szczególne kategorie danych osobowych (RODO, art. 9) mogą pojawiać się w zgłoszeniach w sposób incydentalny — zgłoszenie dotyczące dyskryminacji może ujawniać informacje o stanie zdrowia lub pochodzeniu etnicznym. Podstawą prawną dla danych z art. 9 jest zwykle art. 9 ust. 2 lit. g) — ważny interes publiczny, pod warunkiem że przetwarzanie jest proporcjonalne i uzupełnione o szczególne zabezpieczenia. Zgłoszenia ujawniające przestępstwa (RODO, art. 10) są przetwarzane na odpowiadającej podstawie z art. 10 w prawie krajowym.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> udokumentowanie art. 6 ust. 1 lit. c) jako domyślnej podstawy prawnej w umowie powierzenia przetwarzania danych (DPA) oraz w klauzuli informacyjnej. Operatorzy poniżej ustawowego progu dostosowują klauzulę informacyjną, aby odzwierciedlić art. 6 ust. 1 lit. f), i rejestrują swój test równoważenia odrębnie.</p> <hr> <h2 id="10-pierwszeństwo-prawa-krajowego-art-25"> §10. Pierwszeństwo prawa krajowego (art. 25) <a href="#10-pierwsze%c5%84stwo-prawa-krajowego-art-25" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Art. 25 ust. 1 stanowi, że państwa członkowskie mogą wprowadzić lub utrzymać przepisy „korzystniejsze dla praw osób dokonujących zgłoszenia" niż przewidziane w dyrektywie. Dyrektywa nie wskazuje, w jaki sposób operatorzy powinni rozstrzygać konflikty w sytuacji, gdy prawo krajowe jest bardziej rygorystyczne.</p> <p><strong>Dyrektywa stanowi</strong> w art. 25 ust. 1, że „państwa członkowskie mogą wprowadzić lub utrzymać przepisy korzystniejsze dla praw osób dokonujących zgłoszenia niż przepisy określone w niniejszej dyrektywie, bez uszczerbku dla art. 22 [prawa osób, których dotyczą zgłoszenia] i art. 23 ust. 2 [sankcje za świadomie fałszywe zgłoszenia]".</p> <p><strong>W praktyce oznacza to</strong>, że gdy krajowa transpozycja jest bardziej rygorystyczna niż dyrektywa, <strong>obowiązuje prawo krajowe</strong> w odniesieniu do organizacji prowadzących działalność w danej jurysdykcji. Nie ma możliwości oparcia się na minimum dyrektywy, jeżeli reguła lokalna jest bardziej rygorystyczna. Dyrektywa ustanawia dolny próg, a nie górny limit.</p> <p>Przykłady bardziej rygorystycznych reguł krajowych:</p> <ul> <li><strong>Francja</strong> wymaga potwierdzenia otrzymania zgłoszeń zewnętrznych w terminie siedmiu dni roboczych oraz okresu przekazania informacji zwrotnych, który może być krótszy niż minimum dyrektywy w niektórych sektorach (AMF, ACPR).</li> <li><strong>Niemcy</strong> wyraźnie rozszerzają ochronę na zgłoszenia dotyczące niektórych kategorii naruszeń prawnych wykraczających poza zakres przedmiotowy dyrektywy (HinSchG §2).</li> <li><strong>Włochy</strong> nakładają niższy próg pracowniczy (50, ale dowolna liczba zatrudnionych dla niektórych podmiotów sektorowych) oraz szczególne formalności dokumentacyjne.</li> <li><strong>Polska</strong> nakłada szczególne wymagania dotyczące formy polityki kanału dokonywania zgłoszeń, niewystępujące w tekście dyrektywy.</li> </ul> <p><strong>Dla operatorów wielokrajowych</strong> reguła operacyjna jest następująca: w każdej jurysdykcji stosować bardziej rygorystyczną z dwóch (dyrektywa, prawo krajowe). Prowadzi to niekiedy do przyjęcia przez grupę jednolitego wysokiego standardu, dostosowanego do najbardziej rygorystycznej reguły krajowej w państwach prowadzenia działalności. Takie podejście jest zwykle preferowane w porównaniu do utrzymywania równoległych polityk per jurysdykcja, które zwiększają obciążenie administracyjne i ryzyko zastosowania niewłaściwej reguły.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> przyjęcie domyślnie najbardziej rygorystycznego wspólnego mianownika w 27 państwach członkowskich: najkrótsze terminy potwierdzenia i informacji zwrotnych, najwęższy okres przechowywania, najpełniejsza klauzula antyodwetowa. Operatorzy w pojedynczej jurysdykcji mogą rozluźnić wybrane wartości domyślne, aby dostosować je do reguł krajowych, jednak linia bazowa jest kalibrowana powyżej minimum dyrektywy w każdym artykule, w którym krajowe transpozycje je przekraczają.</p> <hr> <h2 id="11-zgłoszenia-anonimowe-art-6-ust-2-art-9-ust-1-lit-e"> §11. Zgłoszenia anonimowe (art. 6 ust. 2; art. 9 ust. 1 lit. e) <a href="#11-zg%c5%82oszenia-anonimowe-art-6-ust-2-art-9-ust-1-lit-e" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Pytanie.</strong> Czy organizacja musi przyjmować zgłoszenia anonimowe?</p> <p><strong>Dyrektywa stanowi</strong> w art. 6 ust. 2, że „nie narusza uprawnień państw członkowskich do podejmowania decyzji o tym, czy wymagać od podmiotów prawnych […] przyjmowania zgłoszeń anonimowych oraz podejmowania wobec nich działań następczych". Art. 9 ust. 1 lit. e) wymaga „należytych działań następczych, w zakresie, w jakim jest to przewidziane w prawie krajowym, w odniesieniu do zgłoszeń anonimowych".</p> <p><strong>W praktyce oznacza to</strong>, że rozstrzyga prawo krajowe. Dwie postawy:</p> <ul> <li><strong>Obowiązkowe</strong> w niektórych jurysdykcjach lub sektorach (np. regulacje francuskich organów nadzoru finansowego).</li> <li><strong>Dozwolone</strong> w większości państw członkowskich — Niemcy (HinSchG), Włochy (D.Lgs. 24/2023, z nakazem należytych działań następczych po przyjęciu zgłoszenia), Polska (Ustawa o ochronie sygnalistów) i inne.</li> </ul> <p>Trzy konsekwencje.</p> <p><strong>Raz przyjęte, wiążące.</strong> Organizacja, która ogłasza „przyjmujemy zgłoszenia anonimowe", uruchomiła art. 9 ust. 1 lit. e). Obowiązek wiąże się z polityką, nie z pojedynczym zgłoszeniem.</p> <p><strong>Zakaz działań odwetowych stosuje się dopiero od momentu identyfikacji.</strong> Art. 21 nie może chronić osoby nieznanej. Działania z okresu anonimowości nie są objęte retroaktywnie.</p> <p><strong>Anonimowość jest standardem technicznym, nie obietnicą.</strong> Formularz wymagający adresu e-mail nie jest anonimowy. Kanał logujący adresy IP nie jest anonimowy. Poufność z art. 16 chroni znaną tożsamość przed ujawnieniem; anonimowość zapobiega identyfikacji.</p> <p><strong>EthicsPortal realizuje to poprzez</strong> domyślne przyjmowanie zgłoszeń anonimowych. Dane kontaktowe nie są wymagane. Adresy IP nigdy nie są przechowywane (limitowanie żądań wykorzystuje nieodwracalne jednokierunkowe hasze). Metadane plików są usuwane przed zapisem. Operatorzy mogą skonfigurować portal tak, aby wymagał danych kontaktowych, gdy prawo krajowe nakazuje zgłoszenia imienne. Przyjęte zgłoszenia anonimowe przechodzą ten sam przepływ spraw, te same terminy i ten sam standard należytych działań następczych co zgłoszenia imienne.</p> <hr> <h2 id="dziennik-zmian"> Dziennik zmian <a href="#dziennik-zmian" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Kwiecień 2026</strong> — Dodano §11 o zgłoszeniach anonimowych (art. 6 ust. 2; art. 9 ust. 1 lit. e).</li> <li><strong>Kwiecień 2026</strong> — Publikacja pierwotna.</li> </ul> <hr> <h2 id="korekty-i-zapytania"> Korekty i zapytania <a href="#korekty-i-zapytania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Niniejszy dokument jest przeznaczony do cytowania i traktowania jako punkt odniesienia. Jeżeli zidentyfikują Państwo błąd, stanowisko sprzeczne z orzeczeniem Trybunału Sprawiedliwości, opinią Europejskiej Rady Ochrony Danych lub wiążącymi wytycznymi krajowymi, prosimy o kontakt pod adresem <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> . Korekty publikowane są w dzienniku zmian z datą i streszczeniem modyfikacji.</p> <p>W odniesieniu do pytań o zastosowanie konkretnej interpretacji do sytuacji Państwa organizacji niniejszy dokument nie zastępuje porady prawnej. Prosimy o konsultację z właściwym doradcą prawnym w Państwa jurysdykcji.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/about/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/about/EthicsPortal to infrastruktura zgodności dla sygnalistów w UE — zbudowana w Europie, hostowana w Niemczech, zaprojektowana pod Dyrektywę 2019/1937.<h1 id="kanał-zgłaszania-wymagany-przez-dyrektywę-ue"> Kanał zgłaszania wymagany przez Dyrektywę UE <a href="#kana%c5%82-zg%c5%82aszania-wymagany-przez-dyrektyw%c4%99-ue" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Dyrektywa UE 2019/1937 wymaga od każdej organizacji zatrudniającej ponad 50 pracowników prowadzenia bezpiecznego, poufnego kanału zgłaszania nieprawidłowości. EthicsPortal jest takim kanałem.</p> <p>EthicsPortal to najprostszy sposób na spełnienie tego obowiązku przez europejskie organizacje — w pełni zgodny z przepisami, gotowy do wdrożenia w kilka minut i w cenie niewymagającej zatwierdzenia przez dział zakupów.</p> <hr> <h2 id="co-zapewniamy"> Co zapewniamy <a href="#co-zapewniamy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Anonimowe i poufne zgłaszanie zgodne z każdym artykułem Dyrektywy</li> <li>Szyfrowane przechowywanie danych, hosting na Hetzner w Norymberdze, Niemcy</li> <li>Automatyczne śledzenie terminów potwierdzenia (7 dni) i informacji zwrotnej (3 miesiące)</li> <li>Dziennik audytu tylko do dopisywania na potrzeby kontroli regulacyjnej</li> <li>Bezpieczna dwukierunkowa komunikacja między zgłaszającymi a osobami prowadzącymi</li> <li>Wielojęzyczne wsparcie dla organizacji transgranicznych</li> <li>Eksport spraw do PDF dla audytorów i przeglądów prawnych</li> </ul> <hr> <h2 id="zbudowane-w-europie-dla-europy"> Zbudowane w Europie, dla Europy <a href="#zbudowane-w-europie-dla-europy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal jest zarejestrowany w Polsce, a podstawowe dane zgłoszeń są hostowane na terenie UE. <a href="/pl/directive-coverage/">Analiza zgodności</a> , <a href="/pl/security/">architektura bezpieczeństwa</a> , <a href="/pl/subprocessors/">lista dalszych podmiotów przetwarzających</a> i <a href="/pl/dpa/">umowa powierzenia przetwarzania danych</a> są opublikowane i dostępne do wglądu.</p> <ul> <li>Brak analityki firm trzecich, brak ciasteczek śledzących na portalu zgłoszeń</li> <li>Pełny eksport danych w dowolnym momencie (PDF + CSV)</li> <li><a href="https://secure.ethicsportal.eu /up">Status usługi</a> </li> <li><a href="https://secure.ethicsportal.eu/p/BiPdmk" rel="nofollow">Wewnętrzny kanał zgłoszeń</a> — do zgłaszania nieprawidłowości dotyczących EthicsPortal zgodnie z Dyrektywą 2019/1937</li> </ul> <hr> <h2 id="kontakt"> Kontakt <a href="#kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>E-mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> — zwykle odpowiadamy w ciągu jednego dnia roboczego.</p> <p><a href="https://secure.ethicsportal.eu /session/new" class="btn btn-primary btn-lg">Wdróż kanał zgłaszania →</a></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/privacy/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/privacy/Polityka prywatności EthicsPortal — jak zbieramy, wykorzystujemy, przechowujemy i chronimy Twoje dane osobowe.<h1 id="polityka-prywatności"> Polityka prywatności <a href="#polityka-prywatno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Data wejścia w życie:</strong> 17 lutego 2026 <strong>Ostatnia aktualizacja:</strong> 21 maja 2026</p> <h2 id="1-wprowadzenie"> 1. Wprowadzenie <a href="#1-wprowadzenie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal (“my”, “nas”, “nasz”) jest prowadzony przez Yaroslava Shmarova, z siedzibą pod adresem ul. Obrzeżna 1A, 02-691 Warszawa, Polska. Niniejsza Polityka prywatności opisuje, w jaki sposób zbieramy, wykorzystujemy, przechowujemy i chronimy Twoje dane osobowe podczas korzystania z EthicsPortal pod adresem <a href="https://ethicsportal.eu">ethicsportal.eu</a> (“Usługa”).</p> <p>Korzystając z Usługi, wyrażasz zgodę na zbieranie i wykorzystywanie informacji zgodnie z niniejszą polityką. Jeśli się nie zgadzasz, prosimy o niekorzystanie z Usługi.</p> <p><strong>Kontakt:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </p> <p>Podstawowe informacje o stronie kontraktowej są opublikowane na stronie <a href="/pl/trust/">Zaufanie</a> .</p> <h2 id="2-informacje-które-zbieramy"> 2. Informacje, które zbieramy <a href="#2-informacje-kt%c3%b3re-zbieramy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="21-dane-konta"> 2.1 Dane konta <a href="#21-dane-konta" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podczas tworzenia konta zbieramy:</p> <ul> <li>Adres e-mail</li> <li>Nazwa wyświetlana (jeśli została podana)</li> <li>Preferencje językowe</li> </ul> <p>Uwierzytelnianie jest bezhasłowe — korzystamy z magicznych linków (jednorazowych kodów wysyłanych na Twój e-mail). Nie zbieramy ani nie przechowujemy haseł.</p> <h3 id="22-dane-płatności"> 2.2 Dane płatności <a href="#22-dane-p%c5%82atno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Płatności są przetwarzane w całości przez <a href="https://stripe.com" rel="nofollow">Stripe</a> . <strong>Nie</strong> przechowujemy numerów kart kredytowych, numerów kont bankowych ani innych wrażliwych danych finansowych na naszych serwerach. Stripe może zbierać dane płatności bezpośrednio. Szczegóły znajdziesz w <a href="https://stripe.com/privacy" rel="nofollow">Polityce prywatności Stripe</a> .</p> <h3 id="23-logi-serwera"> 2.3 Logi serwera <a href="#23-logi-serwera" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Nasze serwery automatycznie rejestrują informacje podczas uzyskiwania dostępu do Usługi, w tym:</p> <ul> <li>Adres IP</li> <li>Typ i wersja przeglądarki</li> <li>Odwiedzane strony i znaczniki czasu</li> <li>Adres URL odsyłający</li> </ul> <p>Logi serwera są wykorzystywane do monitorowania bezpieczeństwa i debugowania. Nie są wykorzystywane do reklamy ani śledzenia.</p> <h3 id="24-dane-zgłoszeń-sygnalistów"> 2.4 Dane zgłoszeń sygnalistów <a href="#24-dane-zg%c5%82osze%c5%84-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Gdy sygnalista składa zgłoszenie za pośrednictwem portalu organizacji, zbieramy:</p> <ul> <li>Opis zgłoszenia, kategorię i źródło</li> <li>Imię i dane kontaktowe zgłaszającego (jeśli podane dobrowolnie)</li> <li>Wiadomości wymieniane między zgłaszającym a organizacją</li> </ul> <p>Opisy zgłoszeń, imiona zgłaszających, ich dane kontaktowe oraz treść wiadomości są <strong>szyfrowane w bazie danych</strong> za pomocą szyfrowania na poziomie aplikacji. Adresy IP sygnalistów są <strong>anonimizowane</strong> za pomocą jednokierunkowego haszowania i nigdy nie są przechowywane w oryginalnej formie. Logi serwera dla tras portalu są <strong>oczyszczane</strong> z adresów IP w celu ochrony tożsamości sygnalistów.</p> <h2 id="3-jak-wykorzystujemy-twoje-informacje"> 3. Jak wykorzystujemy Twoje informacje <a href="#3-jak-wykorzystujemy-twoje-informacje" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Zebrane informacje wykorzystujemy do:</p> <ul> <li><strong>Świadczenia Usługi</strong> — tworzenia i zarządzania Twoim kontem</li> <li><strong>Przetwarzania płatności</strong> — obsługi subskrypcji za pośrednictwem Stripe</li> <li><strong>Wysyłania powiadomień</strong> — dostarczania powiadomień w aplikacji i e-mailowych o aktywności na koncie</li> <li><strong>Utrzymania bezpieczeństwa</strong> — wykrywania i zapobiegania oszustwom, nadużyciom i nieautoryzowanemu dostępowi</li> <li><strong>Ulepszania Usługi</strong> — diagnozowania problemów technicznych i poprawy funkcjonalności</li> </ul> <p><strong>Nie</strong> sprzedajemy Twoich danych osobowych. <strong>Nie</strong> wykorzystujemy Twoich danych do celów reklamowych.</p> <h2 id="4-usługi-zewnętrzne"> 4. Usługi zewnętrzne <a href="#4-us%c5%82ugi-zewn%c4%99trzne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Udostępniamy dane następującym usługom zewnętrznym, wyłącznie w zakresie niezbędnym do świadczenia Usługi:</p> <table> <thead> <tr> <th>Usługa</th> <th>Cel</th> <th>Udostępniane dane</th> </tr> </thead> <tbody> <tr> <td><strong>Stripe</strong></td> <td>Przetwarzanie płatności</td> <td>E-mail, dane płatności (zbierane bezpośrednio przez Stripe)</td> </tr> <tr> <td><strong>Hetzner Object Storage</strong></td> <td>Przesyłanie plików (awatary, załączniki)</td> <td>Przesłane pliki</td> </tr> <tr> <td><strong>Mailjet</strong></td> <td>Dostarczanie e-maili transakcyjnych</td> <td>Adres e-mail, treść e-maila</td> </tr> <tr> <td><strong>Cloudflare Web Analytics</strong></td> <td>Analityka internetowa przyjazna prywatności</td> <td>Odsłony stron, źródło odesłania, typ przeglądarki, kraj (anonimowo, bez ciasteczek, bez danych osobowych)</td> </tr> <tr> <td><strong>AppSignal</strong></td> <td>Śledzenie błędów i monitorowanie wydajności aplikacji</td> <td>Szczegóły błędów, kontekst żądania (URL, adres IP, typ przeglądarki) — żadne dane osobowe nie są celowo zbierane</td> </tr> <tr> <td><strong>Crisp</strong></td> <td>Czat pomocy na żywo</td> <td>Adres e-mail, imię, wiadomości czatu, typ przeglądarki, odwiedzone strony. Crisp ma siedzibę we Francji (UE). Zobacz <a href="https://crisp.chat/en/privacy/" rel="nofollow">politykę prywatności Crisp</a> </td> </tr> </tbody> </table> <p>Każda usługa zewnętrzna podlega własnej polityce prywatności. Zachęcamy do zapoznania się z nimi.</p> <h2 id="5-ciasteczka-cookies"> 5. Ciasteczka (cookies) <a href="#5-ciasteczka-cookies" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Używamy następujących ciasteczek:</p> <table> <thead> <tr> <th>Ciasteczko</th> <th>Cel</th> <th>Czas trwania</th> </tr> </thead> <tbody> <tr> <td><code>_ethicsportal_session</code></td> <td>Zarządzanie sesją (uwierzytelnianie)</td> <td>2 lata</td> </tr> <tr> <td><code>session_token</code></td> <td>Podpisany identyfikator sesji do trwałego logowania</td> <td>Sesja po stronie serwera wygasa po 14 dniach bezczynności</td> </tr> <tr> <td><code>locale</code></td> <td>Przechowuje preferencje językowe</td> <td>1 rok</td> </tr> </tbody> </table> <p>Tymczasowe ciasteczko <code>pending_authentication_token</code> (15 minut) jest używane podczas procesu logowania przez magiczny link.</p> <p>Czat na żywo Crisp może ustawiać własne ciasteczka (np. <code>crisp-client/*</code>), gdy prowadzący sprawy korzystają z wbudowanego czatu pomocy. Te ciasteczka są funkcjonalne, nie służą do celów reklamowych i są ustawiane wyłącznie wewnątrz portalu prowadzących sprawy — nie na stronie marketingowej ani w portalu zgłoszeniowym sygnalistów.</p> <p>Wszystkie ciasteczka własne są ustawione z flagami <code>Secure</code> i <code>HttpOnly</code> w środowisku produkcyjnym. <strong>Nie</strong> używamy ciasteczek śledzących ani reklamowych firm trzecich. Ochrona CSRF jest realizowana za pomocą tokenów osadzonych w formularzach HTML, a nie ciasteczek.</p> <h2 id="6-przechowywanie-danych-i-bezpieczeństwo"> 6. Przechowywanie danych i bezpieczeństwo <a href="#6-przechowywanie-danych-i-bezpiecze%c5%84stwo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Lokalizacja serwerów:</strong> Nasze serwery są hostowane przez Hetzner w Norymberdze, Niemcy (Unia Europejska)</li> <li><strong>Szyfrowanie w transmisji:</strong> Wszystkie połączenia wykorzystują HTTPS/TLS</li> <li><strong>Szyfrowanie w spoczynku:</strong> Dane zgłoszeń sygnalistów (opisy, imiona zgłaszających, dane kontaktowe, wiadomości) są szyfrowane w bazie danych za pomocą Active Record Encryption</li> <li><strong>Uwierzytelnianie bezhasłowe:</strong> Korzystamy z magicznych linków — żadne hasła nie są przechowywane</li> <li><strong>Kontrola dostępu:</strong> Dostęp do bazy danych jest ograniczony wyłącznie do upoważnionego personelu</li> </ul> <p>Podejmujemy rozsądne środki w celu ochrony Twoich danych, jednak żadna metoda transmisji ani przechowywania nie jest w 100% bezpieczna. Jeśli odkryjesz lukę w zabezpieczeniach, prosimy o kontakt pod adresem <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p> <h2 id="7-okres-przechowywania-danych"> 7. Okres przechowywania danych <a href="#7-okres-przechowywania-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Dane konta</strong> są przechowywane tak długo, jak konto jest aktywne</li> <li><strong>Dane organizacji</strong> są przechowywane, dopóki organizacja jest aktywna</li> <li><strong>Zgłoszenia sygnalistów</strong> — zamknięte lub odrzucone zgłoszenia są automatycznie usuwane po <strong>60 miesiącach (5 latach)</strong> zgodnie z wytycznymi dotyczącymi przechowywania danych dyrektywy UE o sygnalistach. Aktywne i trwające zgłoszenia są przechowywane do momentu ich zamknięcia</li> <li><strong>Logi serwera</strong> są przechowywane przez okres do 90 dni</li> <li><strong>Dokumentacja płatności</strong> jest przechowywana zgodnie z obowiązującymi przepisami podatkowymi i rachunkowymi</li> <li><strong>Logi audytu</strong> — zapisy kto przeglądał zgłoszenia i kiedy są przechowywane razem ze zgłoszeniem w celach zapewnienia zgodności</li> </ul> <p>Po usunięciu konta Twoje dane osobowe są trwale usuwane z naszych systemów, z wyjątkiem przypadków, gdy ich przechowywanie jest wymagane przez prawo (np. dokumentacja finansowa).</p> <h2 id="8-twoje-prawa-wynikające-z-rodo"> 8. Twoje prawa wynikające z RODO <a href="#8-twoje-prawa-wynikaj%c4%85ce-z-rodo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Ponieważ mamy siedzibę w Unii Europejskiej, zastosowanie ma Ogólne Rozporządzenie o Ochronie Danych (RODO). Masz prawo do:</p> <ul> <li><strong>Dostępu</strong> — żądania kopii danych osobowych, które przechowujemy na Twój temat</li> <li><strong>Sprostowania</strong> — żądania poprawienia nieprawidłowych danych</li> <li><strong>Usunięcia</strong> — żądania usunięcia Twoich danych (“prawo do bycia zapomnianym”)</li> <li><strong>Ograniczenia</strong> — żądania ograniczenia sposobu przetwarzania Twoich danych</li> <li><strong>Przenoszenia danych</strong> — żądania Twoich danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie</li> <li><strong>Sprzeciwu</strong> — sprzeciwu wobec przetwarzania Twoich danych</li> <li><strong>Wycofania zgody</strong> — wycofania zgody w dowolnym momencie, gdy przetwarzanie opiera się na zgodzie</li> </ul> <p><strong>Jak skorzystać z praw:</strong> Większością swoich danych możesz zarządzać bezpośrednio w ustawieniach konta. Aby usunąć konto, odwiedź stronę ustawień konta. W przypadku innych żądań napisz do nas na adres <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> .</p> <p><strong>Inspektor Ochrony Danych:</strong> Pytania dotyczące naszych praktyk ochrony danych można kierować na adres <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <p>Naszą podstawą prawną przetwarzania danych jest:</p> <ul> <li><strong>Wykonanie umowy</strong> — w celu świadczenia Usługi, na którą się zarejestrowałeś</li> <li><strong>Prawnie uzasadniony interes</strong> — w celu utrzymania bezpieczeństwa i ulepszania Usługi</li> <li><strong>Zgoda</strong> — w przypadku funkcji opcjonalnych</li> </ul> <h2 id="9-usuwanie-konta-i-danych"> 9. Usuwanie konta i danych <a href="#9-usuwanie-konta-i-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Możesz usunąć swoje konto w dowolnym momencie w ustawieniach konta. Usunięcie konta trwale usuwa:</p> <ul> <li>Twój profil i informacje o koncie</li> <li>Twoje członkostwa w organizacjach</li> </ul> <h2 id="10-prywatność-dzieci"> 10. Prywatność dzieci <a href="#10-prywatno%c5%9b%c4%87-dzieci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Usługa nie jest skierowana do dzieci poniżej 16 roku życia. Nie zbieramy świadomie danych osobowych od dzieci poniżej 16 lat. Jeśli uważasz, że dziecko poniżej 16 roku życia przekazało nam dane osobowe, prosimy o kontakt pod adresem <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> , a my je usuniemy.</p> <h2 id="11-międzynarodowy-transfer-danych"> 11. Międzynarodowy transfer danych <a href="#11-mi%c4%99dzynarodowy-transfer-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Podstawowe dane zgłoszeń są przechowywane na serwerach zlokalizowanych w Niemczech (UE). Strona marketingowa jest dostarczana przez Cloudflare (Stany Zjednoczone); portal zgłoszeniowy i portal prowadzących nie. Tam, gdzie dochodzi do transferów do podwykonawcy spoza UE, są one opisane w <a href="/pl/dpa/">DPA</a> i na stronie <a href="/pl/subprocessors/">podwykonawców</a> .</p> <h2 id="12-zmiany-w-niniejszej-polityce"> 12. Zmiany w niniejszej polityce <a href="#12-zmiany-w-niniejszej-polityce" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Możemy od czasu do czasu aktualizować niniejszą Politykę prywatności. Gdy dokonamy istotnych zmian, powiadomimy Cię e-mailem lub za pośrednictwem powiadomienia w aplikacji. Data “Ostatnia aktualizacja” na górze tej strony wskazuje, kiedy polityka była ostatnio zmieniana.</p> <p>Dalsze korzystanie z Usługi po opublikowaniu zmian oznacza akceptację zaktualizowanej polityki.</p> <h2 id="13-kontakt"> 13. Kontakt <a href="#13-kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jeśli masz pytania dotyczące niniejszej Polityki prywatności lub chcesz skorzystać ze swoich praw dotyczących danych, skontaktuj się z nami:</p> <p><strong>Ogólny:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Prywatność i prawa RODO:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> <strong>Inspektor Ochrony Danych:</strong> <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> <strong>Zgłoszenia bezpieczeństwa:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Prawne i DPA:</strong> <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> <strong>Lokalizacja:</strong> Warszawa, Polska</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/en-301-549-conformance/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/en-301-549-conformance/Samoocena zgodności EthicsPortal klauzula po klauzuli względem EN 301 549 V3.2.3 i WCAG 2.2 poziom AA.<h1 id="raport-zgodności-en-301-549"> Raport zgodności EN 301 549 <a href="#raport-zgodno%c5%9bci-en-301-549" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Raport ten jest ustrukturyzowaną samooceną EthicsPortal względem wymagań dostępności <strong>EN 301 549 V3.2.3</strong> (i, w konsekwencji, <strong>WCAG 2.2 poziom AA</strong>). Jest przeznaczony dla osób oceniających oferty w zamówieniach publicznych, które potrzebują odpowiedzi klauzula po klauzuli wykraczającej poza <a href="/accessibility/">deklarację dostępności</a> .</p> <table> <thead> <tr> <th>Pole</th> <th>Wartość</th> </tr> </thead> <tbody> <tr> <td>Produkt</td> <td>EthicsPortal — europejska platforma zgodności dla sygnalistów</td> </tr> <tr> <td>Wersja produktu</td> <td>Ciągłe wdrażanie; raport opisuje stan na dzień przygotowania</td> </tr> <tr> <td>Norma</td> <td>EN 301 549 V3.2.3 (obejmuje WCAG 2.2 poziom AA)</td> </tr> <tr> <td>Podejście do zgodności</td> <td>Samoocena</td> </tr> <tr> <td>Data przygotowania</td> <td>14 maja 2026 r.</td> </tr> <tr> <td>Następny przegląd</td> <td>Sierpień 2026 (kwartalnie)</td> </tr> <tr> <td>Kontakt</td> <td><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> </td> </tr> </tbody> </table> <p>Kopia PDF tego raportu może zostać dostarczona na potrzeby zamówień publicznych na żądanie.</p> <h2 id="zakres"> Zakres <a href="#zakres" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Raport obejmuje trzy powierzchnie wdrożeniowe:</p> <ol> <li><strong>Aplikacja webowa</strong> — <code>secure.ethicsportal.eu</code>, uwierzytelniony interfejs dla osób obsługujących sprawy</li> <li><strong>Publiczne portale zgłoszeniowe</strong> — <code>*.ethicsportal.eu</code>, składanie zgłoszeń i śledzenie sprawy przez sygnalistów</li> <li><strong>Strona marketingowa</strong> — <code>ethicsportal.eu</code>, publiczna strona renderowana przez Hugo (włącznie z tą stroną)</li> </ol> <p>Obejmuje także dokumenty do pobrania oraz usługi wsparcia dostarczane przez te powierzchnie.</p> <p>EthicsPortal jest produktem SaaS opartym na webie. Nie zapewnia natywnych aplikacji mobilnych, sprzętu typu kiosk, dwukierunkowej komunikacji głosowej ICT, wyjścia wideo dla mediów ani tekstu w czasie rzeczywistym. Klauzule 6, 7, 8 i 13 EN 301 549 są zatem w dużej mierze <strong>niemające zastosowania</strong>.</p> <h2 id="podsumowanie"> Podsumowanie <a href="#podsumowanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Obszar klauzul</th> <th>Status</th> </tr> </thead> <tbody> <tr> <td>§5 Wymagania ogólne</td> <td>Zgodny, z wyjątkami zaznaczonymi w §5.4</td> </tr> <tr> <td>§6 ICT z dwukierunkową komunikacją głosową</td> <td>Nie dotyczy</td> </tr> <tr> <td>§7 ICT z możliwościami wideo</td> <td>Nie dotyczy</td> </tr> <tr> <td>§8 Sprzęt</td> <td>Nie dotyczy</td> </tr> <tr> <td>§9 Web</td> <td>Częściowo zgodny (patrz szczegóły §9)</td> </tr> <tr> <td>§10 Dokumenty inne niż webowe</td> <td>Niezgodny — patrz §10.1</td> </tr> <tr> <td>§11 Oprogramowanie</td> <td>Częściowo zgodny (patrz szczegóły §11)</td> </tr> <tr> <td>§12 Dokumentacja i usługi wsparcia</td> <td>Zgodny</td> </tr> <tr> <td>§13 ICT zapewniające dostęp do usług pośredniczących lub alarmowych</td> <td>Nie dotyczy</td> </tr> </tbody> </table> <h2 id="ocena-klauzula-po-klauzuli"> Ocena klauzula po klauzuli <a href="#ocena-klauzula-po-klauzuli" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="5-wymagania-ogólne"> §5 Wymagania ogólne <a href="#5-wymagania-og%c3%b3lne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <table> <thead> <tr> <th>Klauzula</th> <th>Wymaganie</th> <th>Status</th> <th>Uwagi</th> </tr> </thead> <tbody> <tr> <td>5.1.2.2 / 5.1.3</td> <td>Aktywacja funkcji dostępności</td> <td>Zgodny</td> <td>Platforma udostępnia funkcje dostępności poprzez standardowy HTML i ARIA. Brak własnościowego kroku aktywacji</td> </tr> <tr> <td>5.2</td> <td>Aktywacja funkcji dostępności</td> <td>Zgodny</td> <td>Ustawienia na poziomie przeglądarki i systemu operacyjnego (powiększenie, kontrast, ograniczenie ruchu, czytnik ekranu) są respektowane</td> </tr> <tr> <td>5.3</td> <td>Biometria</td> <td>Nie dotyczy</td> <td>Uwierzytelnianie odbywa się przez link magiczny lub kod jednorazowy z opcjonalnym TOTP; nie wymaga się danych biometrycznych</td> </tr> <tr> <td>5.4</td> <td>Zachowanie informacji o dostępności przy konwersji</td> <td>Częściowo zgodny</td> <td>Treść aplikacji zachowuje informacje o dostępności; eksporty PDF nie (patrz §10.1)</td> </tr> <tr> <td>5.5</td> <td>Części operowalne</td> <td>Zgodny</td> <td>Wszystkie elementy interaktywne są obsługiwalne klawiaturą i wskaźnikiem; rozmiar celu spełnia §2.5.8</td> </tr> <tr> <td>5.6</td> <td>Status blokady lub przełącznika</td> <td>Zgodny</td> <td>Stany przełączników są udostępniane przez <code>aria-pressed</code> / <code>aria-expanded</code></td> </tr> <tr> <td>5.7</td> <td>Powtarzanie klawiszy</td> <td>Nie dotyczy</td> <td>Oprogramowanie nie konfiguruje systemowego powtarzania klawiszy</td> </tr> <tr> <td>5.8</td> <td>Akceptacja podwójnego naciśnięcia</td> <td>Nie dotyczy</td> <td>Oprogramowanie nie konfiguruje systemowej akceptacji klawiszy</td> </tr> <tr> <td>5.9</td> <td>Jednoczesne działania użytkownika</td> <td>Zgodny</td> <td>Żadna interakcja nie wymaga jednoczesnych działań użytkownika</td> </tr> </tbody> </table> <h3 id="9-web-obejmuje-wcag-22-poziom-a-i-aa"> §9 Web (obejmuje WCAG 2.2 poziom A i AA) <a href="#9-web-obejmuje-wcag-22-poziom-a-i-aa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>EthicsPortal celuje w WCAG 2.2 poziom AA. Nowe kryteria dodane w WCAG 2.2 są raportowane indywidualnie, aby oceniający mogli potwierdzić pokrycie wykraczające poza WCAG 2.1.</p> <p><strong>Zasada 1 — Postrzegalność</strong></p> <table> <thead> <tr> <th>KS</th> <th>Tytuł</th> <th>Poziom</th> <th>Status</th> <th>Uwagi</th> </tr> </thead> <tbody> <tr> <td>1.1.1</td> <td>Treść nietekstowa</td> <td>A</td> <td>Zgodny</td> <td>Obrazy i ikony SVG mają tekst alternatywny lub są oznaczone jako dekoracyjne. Przyciski tylko z ikoną mają <code>aria-label</code>. Status przekazywany wyłącznie ikoną ma odpowiednik tekstowy <code>sr-only</code></td> </tr> <tr> <td>1.2.x</td> <td>Multimedia czasowe</td> <td>A/AA</td> <td>Nie dotyczy</td> <td>Brak treści audio lub wideo</td> </tr> <tr> <td>1.3.1</td> <td>Informacje i relacje</td> <td>A</td> <td>Zgodny</td> <td>Semantyczny HTML; tabele używają <code><th scope></code>; formularze używają <code><label></code></td> </tr> <tr> <td>1.3.2</td> <td>Sensowna kolejność</td> <td>A</td> <td>Zgodny</td> <td>Kolejność DOM odpowiada kolejności wizualnej</td> </tr> <tr> <td>1.3.3</td> <td>Charakterystyka zmysłowa</td> <td>A</td> <td>Zgodny</td> <td>Instrukcje nie polegają wyłącznie na kształcie, rozmiarze ani położeniu</td> </tr> <tr> <td>1.3.4</td> <td>Orientacja</td> <td>AA</td> <td>Zgodny</td> <td>Układ działa w pionie i w poziomie</td> </tr> <tr> <td>1.3.5</td> <td>Identyfikacja celu danych wejściowych</td> <td>AA</td> <td>Zgodny</td> <td>Pola wejściowe odpowiadające celom WCAG używają <code>autocomplete</code></td> </tr> <tr> <td>1.4.1</td> <td>Użycie koloru</td> <td>A</td> <td>Zgodny</td> <td>Kolor nigdy nie jest jedynym sygnałem — zawsze sparowany z tekstem lub ikoną</td> </tr> <tr> <td>1.4.3</td> <td>Kontrast (minimalny)</td> <td>AA</td> <td>Zgodny</td> <td>Tekst podstawowy ≥ 4,5:1, duży tekst ≥ 3:1, audytowane wewnętrznie</td> </tr> <tr> <td>1.4.4</td> <td>Zmiana rozmiaru tekstu</td> <td>AA</td> <td>Zgodny</td> <td>Układ reflowuje przy 200% powiększeniu bez utraty treści</td> </tr> <tr> <td>1.4.5</td> <td>Obrazy tekstu</td> <td>AA</td> <td>Zgodny</td> <td>Logo marki jest jedynym obrazem tekstu; wszystkie etykiety UI są HTML</td> </tr> <tr> <td>1.4.10</td> <td>Reflow</td> <td>AA</td> <td>Zgodny</td> <td>Reflowuje przy szerokości 320 pikseli CSS (tabele i bloki kodu wyłączone, jak dozwolono)</td> </tr> <tr> <td>1.4.11</td> <td>Kontrast nietekstowy</td> <td>AA</td> <td>Zgodny</td> <td>Komponenty UI i obiekty graficzne osiągają 3:1</td> </tr> <tr> <td>1.4.12</td> <td>Odstępy w tekście</td> <td>AA</td> <td>Zgodny</td> <td>Nadpisania użytkownika nie psują układu</td> </tr> <tr> <td>1.4.13</td> <td>Treść przy najechaniu lub fokusie</td> <td>AA</td> <td>Zgodny</td> <td>Tooltipy są zamykalne (Escape), holdowalne i trwałe do utraty fokusu przez element wyzwalający</td> </tr> </tbody> </table> <p><strong>Zasada 2 — Funkcjonalność</strong></p> <table> <thead> <tr> <th>KS</th> <th>Tytuł</th> <th>Poziom</th> <th>Status</th> <th>Uwagi</th> </tr> </thead> <tbody> <tr> <td>2.1.1</td> <td>Klawiatura</td> <td>A</td> <td>Zgodny</td> <td>Cała funkcjonalność jest obsługiwana z klawiatury</td> </tr> <tr> <td>2.1.2</td> <td>Brak pułapki klawiaturowej</td> <td>A</td> <td>Zgodny</td> <td>Modale chwytają fokus tylko gdy są otwarte i przywracają go przy zamknięciu</td> </tr> <tr> <td>2.1.4</td> <td>Skróty z pojedynczych znaków</td> <td>A</td> <td>Nie dotyczy</td> <td>Brak skrótów jednoznakowych</td> </tr> <tr> <td>2.2.1</td> <td>Regulacja czasu</td> <td>A</td> <td>Zgodny</td> <td>Timeout nieaktywności sesji wynosi 30 dni, spełniając wyjątek 20-godzinny</td> </tr> <tr> <td>2.2.2</td> <td>Wstrzymanie, zatrzymanie, ukrycie</td> <td>A</td> <td>Zgodny</td> <td>Brak treści automatycznie aktualizujących się, które poruszają się lub migają dłużej niż 5 sekund bez kontroli pauzy</td> </tr> <tr> <td>2.3.1</td> <td>Trzy błyski lub mniej</td> <td>A</td> <td>Zgodny</td> <td>Brak treści migających</td> </tr> <tr> <td>2.4.1</td> <td>Pomijanie bloków</td> <td>A</td> <td>Zgodny</td> <td>Skip-link do treści głównej jest na każdym układzie</td> </tr> <tr> <td>2.4.2</td> <td>Tytuł strony</td> <td>A</td> <td>Zgodny</td> <td>Każda strona ma zlokalizowany, opisowy <code><title></code></td> </tr> <tr> <td>2.4.3</td> <td>Kolejność fokusu</td> <td>A</td> <td>Zgodny</td> <td>Fokus podąża za kolejnością DOM</td> </tr> <tr> <td>2.4.4</td> <td>Cel łącza (w kontekście)</td> <td>A</td> <td>Zgodny</td> <td>Tekst łączy opisuje cel</td> </tr> <tr> <td>2.4.5</td> <td>Wiele sposobów</td> <td>AA</td> <td>Zgodny</td> <td>Wyszukiwanie, nawigacja i okruszki są dostępne</td> </tr> <tr> <td>2.4.6</td> <td>Nagłówki i etykiety</td> <td>AA</td> <td>Zgodny</td> <td>Jeden <code><h1></code> na stronę; nagłówki zstępują bez przeskakiwania</td> </tr> <tr> <td>2.4.7</td> <td>Widoczność fokusu</td> <td>AA</td> <td>Zgodny</td> <td><code>:focus-visible</code> włączone globalnie; pierścienie fokusu nie są wyłączane</td> </tr> <tr> <td>2.4.11</td> <td>Fokus niezasłonięty (minimum)</td> <td>AA <em>(nowe w 2.2)</em></td> <td>Zgodny</td> <td>Elementy z fokusem nie są w pełni zasłonięte przez sticky-headery lub inne treści autora</td> </tr> <tr> <td>2.5.1</td> <td>Gesty wskaźnikowe</td> <td>A</td> <td>Zgodny</td> <td>Brak gestów wielopunktowych ani ścieżkowych</td> </tr> <tr> <td>2.5.2</td> <td>Anulowanie wskaźnika</td> <td>A</td> <td>Zgodny</td> <td>Wszystkie akcje kliknięcia kończą się na <code>up-event</code></td> </tr> <tr> <td>2.5.3</td> <td>Etykieta w nazwie</td> <td>A</td> <td>Zgodny</td> <td>Dostępne nazwy zawierają widoczną etykietę</td> </tr> <tr> <td>2.5.4</td> <td>Aktywacja ruchem</td> <td>A</td> <td>Nie dotyczy</td> <td>Brak wejść ruchowych urządzenia</td> </tr> <tr> <td>2.5.7</td> <td>Ruchy przeciągania</td> <td>AA <em>(nowe w 2.2)</em></td> <td>Zgodny</td> <td>Brak przepływów tylko-drag; przesyłanie akceptuje alternatywę kliknięcia i klawiatury</td> </tr> <tr> <td>2.5.8</td> <td>Rozmiar celu (minimalny)</td> <td>AA <em>(nowe w 2.2)</em></td> <td>Zgodny</td> <td>Cele interaktywne ≥ 24×24 piksele CSS</td> </tr> </tbody> </table> <p><strong>Zasada 3 — Zrozumiałość</strong></p> <table> <thead> <tr> <th>KS</th> <th>Tytuł</th> <th>Poziom</th> <th>Status</th> <th>Uwagi</th> </tr> </thead> <tbody> <tr> <td>3.1.1</td> <td>Język strony</td> <td>A</td> <td>Częściowo zgodny</td> <td>Strony aplikacji i portalu ustawiają <code><html lang></code> na aktywny locale. Statyczne strony błędów są tylko po angielsku — patrz <a href="/pl/accessibility/#tre%c5%9bci-niedost%c4%99pne">deklaracja dostępności</a> </td> </tr> <tr> <td>3.1.2</td> <td>Język części</td> <td>AA</td> <td>Zgodny</td> <td>Wstawione ciągi w językach obcych używają atrybutów <code>lang</code>, gdy wymagane</td> </tr> <tr> <td>3.2.1</td> <td>Przy fokusie</td> <td>A</td> <td>Zgodny</td> <td>Fokus nie wywołuje zmiany kontekstu</td> </tr> <tr> <td>3.2.2</td> <td>Przy wejściu</td> <td>A</td> <td>Zgodny</td> <td>Wprowadzanie nie wywołuje zmiany kontekstu bez ostrzeżenia</td> </tr> <tr> <td>3.2.3</td> <td>Spójna nawigacja</td> <td>AA</td> <td>Zgodny</td> <td>Kolejność nawigacji jest spójna w całej aplikacji</td> </tr> <tr> <td>3.2.4</td> <td>Spójna identyfikacja</td> <td>AA</td> <td>Zgodny</td> <td>Ikony i komponenty są używane spójnie</td> </tr> <tr> <td>3.2.6</td> <td>Spójna pomoc</td> <td>A <em>(nowe w 2.2)</em></td> <td>Zgodny</td> <td>Kontakt wsparcia i linki pomocy pojawiają się w tym samym miejscu na każdej uwierzytelnionej stronie (dolna część paska bocznego) oraz w stopce portalu</td> </tr> <tr> <td>3.3.1</td> <td>Identyfikacja błędu</td> <td>A</td> <td>Zgodny</td> <td>Błędy są zgłaszane przez <code>role="alert"</code> i opisywane użytkownikowi</td> </tr> <tr> <td>3.3.2</td> <td>Etykiety lub instrukcje</td> <td>A</td> <td>Zgodny</td> <td>Pola są etykietowane; podpowiedzi używają <code>aria-describedby</code></td> </tr> <tr> <td>3.3.3</td> <td>Sugestia naprawy błędu</td> <td>AA</td> <td>Zgodny</td> <td>Błędy mówią co jest nie tak i jak naprawić</td> </tr> <tr> <td>3.3.4</td> <td>Zapobieganie błędom (prawne, finansowe, dane)</td> <td>AA</td> <td>Zgodny</td> <td>Operacje odwracalne lub jawne potwierdzenie dla działań destrukcyjnych</td> </tr> <tr> <td>3.3.7</td> <td>Powtarzanie wprowadzania</td> <td>A <em>(nowe w 2.2)</em></td> <td>Zgodny</td> <td>Informacje wcześniej wprowadzone (e-mail, organizacja) są wypełniane automatycznie, gdy ponownie wymagane w tej samej sesji</td> </tr> <tr> <td>3.3.8</td> <td>Dostępne uwierzytelnianie (minimum)</td> <td>AA <em>(nowe w 2.2)</em></td> <td>Zgodny</td> <td>Uwierzytelnianie wykorzystuje linki magiczne i kody jednorazowe, które można wkleić; brak testów funkcji poznawczych</td> </tr> </tbody> </table> <p><strong>Zasada 4 — Solidność</strong></p> <table> <thead> <tr> <th>KS</th> <th>Tytuł</th> <th>Poziom</th> <th>Status</th> <th>Uwagi</th> </tr> </thead> <tbody> <tr> <td>4.1.2</td> <td>Nazwa, rola, wartość</td> <td>A</td> <td>Zgodny</td> <td>Kontrolki ujawniają nazwę, rolę i stan</td> </tr> <tr> <td>4.1.3</td> <td>Komunikaty statusu</td> <td>AA</td> <td>Zgodny</td> <td>Komunikaty flash, powiadomienia i wyniki asynchroniczne używają regionów <code>aria-live</code></td> </tr> </tbody> </table> <h3 id="10-dokumenty-inne-niż-webowe"> §10 Dokumenty inne niż webowe <a href="#10-dokumenty-inne-ni%c5%bc-webowe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <table> <thead> <tr> <th>Klauzula</th> <th>Wymaganie</th> <th>Status</th> <th>Uwagi</th> </tr> </thead> <tbody> <tr> <td>10.1</td> <td>Dokumenty inne niż webowe (PDF)</td> <td>Niezgodny</td> <td>Raporty zgodności, certyfikaty, szablony polityk, plakaty, podręcznik osób obsługujących i eksporty spraw są tworzone jako nieoznaczone PDF-y. Dostępne alternatywy HTML są dostępne na żądanie pod <a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> . Potok oznakowanego PDF-a znajduje się w planach rozwoju.</td> </tr> <tr> <td>10.2</td> <td>Szablony polityk DOCX</td> <td>Częściowo zgodny</td> <td>Generowane pliki DOCX (polityka dla sygnalistów, klauzula informacyjna RODO) niosą strukturę, ale nie zostały zaudytowane względem oczekiwań równoważnych PDF/UA dla dokumentów edytowalnych. Alternatywy HTML są dostępne na żądanie.</td> </tr> </tbody> </table> <h3 id="11-oprogramowanie"> §11 Oprogramowanie <a href="#11-oprogramowanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Aplikacja webowa kwalifikuje się jako oprogramowanie pod §11. §11 obejmuje WCAG (ocenione wyżej pod §9) plus klauzule swoiste dla oprogramowania:</p> <table> <thead> <tr> <th>Klauzula</th> <th>Wymaganie</th> <th>Status</th> <th>Uwagi</th> </tr> </thead> <tbody> <tr> <td>11.5</td> <td>Interoperacyjność z technologiami wspomagającymi</td> <td>Zgodny</td> <td>Zbudowane na semantycznym HTML i ARIA; testowane z VoiceOver, NVDA i nawigacją klawiaturową platform</td> </tr> <tr> <td>11.6</td> <td>Udokumentowane użycie dostępności</td> <td>Zgodny</td> <td>Ta strona i <a href="/accessibility/">deklaracja dostępności</a> dokumentują funkcje dostępności i znane ograniczenia</td> </tr> <tr> <td>11.7</td> <td>Preferencje użytkownika</td> <td>Zgodny</td> <td>Preferencje na poziomie OS (ograniczenie ruchu, schemat kolorów, skalowanie tekstu) są respektowane</td> </tr> <tr> <td>11.8</td> <td>Narzędzia autorskie</td> <td>Częściowo zgodny</td> <td>Interfejs osoby obsługującej sprawę jest narzędziem autorskim w sensie §11.8, ponieważ osoby obsługujące tworzą treści konsumowane przez sygnalistów. Wysyłki plików akceptują opisy; przyszłe funkcje edytora bogatego tekstu będą oceniane względem <a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </td> </tr> </tbody> </table> <h3 id="12-dokumentacja-i-usługi-wsparcia"> §12 Dokumentacja i usługi wsparcia <a href="#12-dokumentacja-i-us%c5%82ugi-wsparcia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <table> <thead> <tr> <th>Klauzula</th> <th>Wymaganie</th> <th>Status</th> <th>Uwagi</th> </tr> </thead> <tbody> <tr> <td>12.1.1</td> <td>Funkcje dostępności i zgodności</td> <td>Zgodny</td> <td>Ten raport i <a href="/accessibility/">deklaracja dostępności</a> opisują wspierane technologie wspomagające i kombinacje platform</td> </tr> <tr> <td>12.1.2</td> <td>Dostępna dokumentacja</td> <td>Zgodny</td> <td>Dokumentacja jest dostarczana jako semantyczny HTML na stronie marketingowej i przez pomoc w aplikacji</td> </tr> <tr> <td>12.2.2</td> <td>Informacje o funkcjach dostępności</td> <td>Zgodny</td> <td>Wsparcie i opublikowana deklaracja mogą odpowiadać na zapytania dotyczące dostępności</td> </tr> <tr> <td>12.2.3</td> <td>Skuteczna komunikacja</td> <td>Zgodny</td> <td>Kanał informacji zwrotnej o dostępności jest monitorowany każdego dnia roboczego; potwierdzenie w ciągu 2 dni roboczych</td> </tr> <tr> <td>12.2.4</td> <td>Dostępna dokumentacja (wsparcie)</td> <td>Częściowo zgodny</td> <td>Dokumenty dostarczane w odpowiedzi na zgłoszenia wsparcia dziedziczą status leżących u podstaw artefaktów — PDF-y są oznaczone; alternatywy HTML są dostępne</td> </tr> </tbody> </table> <h2 id="znane-ograniczenia"> Znane ograniczenia <a href="#znane-ograniczenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Poniższe punkty są śledzone, nie ukrywane:</p> <ol> <li><strong>Nieoznaczone PDF-y.</strong> Największa luka. Dziś łagodzona dostępnymi alternatywami HTML na żądanie; planowane zastąpienie przez potok oznakowanych PDF-ów lub kanoniczny HTML.</li> <li><strong>Statyczne strony błędów tylko po angielsku.</strong> Spotykane rzadko; ta sama informacja jest prezentowana w języku użytkownika wewnątrz aplikacji.</li> <li><strong>Wstawki zewnętrzne (Crisp, strony Stripe)</strong> są poza naszą bezpośrednią kontrolą; dokumentacja dostępności dostawców jest przeglądana raz w roku.</li> </ol> <h2 id="metodologia-testowa"> Metodologia testowa <a href="#metodologia-testowa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Samoocena połączyła:</p> <ul> <li><strong>Automatyzacja</strong>: <code>axe-core-capybara</code> uruchamia się na publicznych ścieżkach portalu (strona główna, składanie zgłoszenia, wyszukiwanie) w CI poprzez <code>test/system/portal_accessibility_system_test.rb</code>; jakiekolwiek naruszenie psuje build. Rozszerzenie pokrycia automatycznego na ścieżki uwierzytelnione osób obsługujących znajduje się w planach</li> <li><strong>Ręczne testy klawiaturą</strong> na ścieżce składania zgłoszenia, przepływie pracy osoby obsługującej, zarządzaniu kontem i uwierzytelnianiu</li> <li><strong>Przebiegi czytników ekranu</strong> VoiceOver (macOS, Safari) i NVDA (Windows, Firefox) na tych samych ścieżkach</li> <li><strong>Powiększenie 200%</strong> sprawdzenie reflow na każdym układzie przy 1280×800</li> <li><strong>Ograniczenie ruchu</strong> zweryfikowane przez włączenie preferencji OS</li> <li><strong>Symulacja daltonizmu</strong> w Coblis</li> <li><strong>Przegląd kodu</strong> względem wewnętrznego <a href="https://github.com/yshmarov/ethicsportal.eu/blob/main/docs/accessibility.md" rel="nofollow">przewodnika inżynierskiego dostępności</a> </li> </ul> <h2 id="kontakt-i-informacje-zwrotne"> Kontakt i informacje zwrotne <a href="#kontakt-i-informacje-zwrotne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Zastrzeżenia dotyczące dostępności, prośby o alternatywne formaty oraz zapytania zamówieniowe:</p> <ul> <li><a href="mailto:accessibility@ethicsportal.eu">accessibility@ethicsportal.eu</a> — monitorowane każdego dnia roboczego</li> <li>Zobacz <a href="/accessibility/">deklarację dostępności</a> dla pełnej procedury informacji zwrotnych i odwołań</li> </ul> <h2 id="normy-i-odniesienia"> Normy i odniesienia <a href="#normy-i-odniesienia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.03_60/en_301549v030203p.pdf" rel="nofollow">EN 301 549 V3.2.3</a> </li> <li><a href="https://www.etsi.org/deliver/etsi_en/301500_301599/301549/03.02.01_60/en_301549v030201p.pdf" rel="nofollow">EN 301 549 V3.2.1</a> (wersja zharmonizowana)</li> <li><a href="https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016L2102" rel="nofollow">Dyrektywa (UE) 2016/2102</a> </li> <li><a href="https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32019L0882" rel="nofollow">Dyrektywa (UE) 2019/882</a> — Europejski akt o dostępności</li> <li><a href="https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32018D1523" rel="nofollow">Decyzja wykonawcza (UE) 2018/1523</a> </li> <li><a href="https://www.w3.org/TR/WCAG22/" rel="nofollow">WCAG 2.2 poziom AA</a> </li> <li><a href="https://www.w3.org/TR/ATAG20/" rel="nofollow">ATAG 2.0</a> </li> </ul>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/terms/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/terms/Regulamin korzystania z EthicsPortal — bezpiecznej platformy do zgłaszania nieprawidłowości zgodnej z przepisami UE.<h1 id="regulamin"> Regulamin <a href="#regulamin" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Data wejścia w życie:</strong> 22 kwietnia 2026 <strong>Ostatnia aktualizacja:</strong> 22 kwietnia 2026</p> <h2 id="1-wprowadzenie"> 1. Wprowadzenie <a href="#1-wprowadzenie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Niniejszy Regulamin (“Regulamin”) reguluje korzystanie z EthicsPortal pod adresem <a href="https://ethicsportal.eu">ethicsportal.eu</a> (“Usługa”). EthicsPortal jest prowadzony przez Yaroslava Shmarova, z siedzibą pod adresem ul. Obrzeżna 1A, 02-691 Warszawa, Polska (“my”, “nas”, “nasz”). Podstawowe informacje o stronie kontraktowej są opublikowane na stronie <a href="/pl/trust/">Zaufanie</a> .</p> <p>Tworząc konto lub korzystając z Usługi, zgadzasz się na warunki niniejszego Regulaminu. Jeśli się nie zgadzasz, nie korzystaj z Usługi.</p> <h2 id="2-opis-usługi"> 2. Opis usługi <a href="#2-opis-us%c5%82ugi" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal jest bezpieczną platformą do zgłaszania nieprawidłowości. Usługa umożliwia organizacjom zarządzanie kanałami zgłaszania naruszeń i ochronę sygnalistów.</p> <h2 id="3-uprawnienia"> 3. Uprawnienia <a href="#3-uprawnienia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Aby korzystać z Usługi, musisz:</p> <ul> <li>Mieć co najmniej 16 lat</li> <li>Podać ważny adres e-mail</li> <li>Posiadać zdolność prawną do zawarcia wiążącej umowy</li> </ul> <p>Zastrzegamy sobie prawo do odmowy świadczenia usługi komukolwiek z dowolnego powodu.</p> <h2 id="4-twoje-konto"> 4. Twoje konto <a href="#4-twoje-konto" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Jesteś odpowiedzialny za zachowanie poufności swoich danych logowania</li> <li>Jesteś odpowiedzialny za wszelką aktywność na Twoim koncie</li> <li>Musisz podać dokładne i kompletne informacje podczas tworzenia konta</li> <li>Nie wolno Ci tworzyć wielu kont dla tej samej osoby</li> <li>Musisz niezwłocznie nas powiadomić w przypadku podejrzenia nieautoryzowanego dostępu do Twojego konta</li> </ul> <h2 id="5-subskrypcje-i-płatności"> 5. Subskrypcje i płatności <a href="#5-subskrypcje-i-p%c5%82atno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Płatne funkcje wymagają aktywnej subskrypcji</li> <li>Subskrypcje są rozliczane cyklicznie (miesięcznie lub rocznie) za pośrednictwem <a href="https://stripe.com" rel="nofollow">Stripe</a> </li> <li>Nie przechowujemy numerów kart kredytowych ani danych kont bankowych na naszych serwerach — całe przetwarzanie płatności jest obsługiwane przez Stripe</li> <li>Ceny są podane w Usłudze i mogą ulec zmianie po uprzednim powiadomieniu</li> </ul> <h3 id="anulowanie-i-zwroty"> Anulowanie i zwroty <a href="#anulowanie-i-zwroty" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Możesz anulować subskrypcję w dowolnym momencie w ustawieniach płatności, bez zbędnych pytań. Anulowanie wchodzi w życie z końcem bieżącego okresu rozliczeniowego — zachowujesz dostęp do tego momentu.</p> <p>Subskrypcja nie podlega zwrotowi. Nie zwracamy niewykorzystanej części okresu rozliczeniowego po anulowaniu.</p> <h2 id="6-treści-użytkowników"> 6. Treści użytkowników <a href="#6-tre%c5%9bci-u%c5%bcytkownik%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>“Treści użytkownika” obejmują wszelkie teksty, obrazy, pliki lub inne materiały przesłane do Usługi (informacje profilowe, przesłane pliki).</p> <ul> <li>Przesyłając treści do Usługi (informacje profilowe itp.), udzielasz nam niewyłącznej, ogólnoświatowej, bezpłatnej licencji na wykorzystywanie, wyświetlanie i dystrybucję tych treści wyłącznie w zakresie niezbędnym do świadczenia Usługi</li> <li>Licencja ta wygasa po usunięciu treści lub konta</li> <li>Nie wolno przesyłać treści, które są nielegalne, naruszające prawa autorskie, zniesławiające, obsceniczne lub w inny sposób szkodliwe</li> </ul> <p>Zastrzegamy sobie prawo do usunięcia treści naruszających niniejszy Regulamin.</p> <h2 id="7-zabronione-działania"> 7. Zabronione działania <a href="#7-zabronione-dzia%c5%82ania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Zobowiązujesz się nie:</p> <ul> <li>Wykorzystywać Usługi do celów niezgodnych z prawem</li> <li>Scrapować, crawlować ani używać zautomatyzowanych środków dostępu do Usługi bez naszej zgody</li> <li>Tworzyć fałszywych kont ani podszywać się pod inne osoby</li> <li>Zakłócać działania Usługi lub jej infrastruktury</li> <li>Podejmować prób uzyskania nieautoryzowanego dostępu do kont lub danych innych użytkowników</li> <li>Wykorzystywać Usługi do wysyłania spamu, phishingu lub niechcianych wiadomości</li> <li>Obchodzić jakichkolwiek środków bezpieczeństwa lub kontroli dostępu</li> <li>Dokonywać inżynierii wstecznej, dekompilacji lub dezasemblacji jakiejkolwiek części Usługi</li> <li>Odsprzedawać ani redystrybuować Usługi bez naszej zgody</li> </ul> <h2 id="8-własność-intelektualna"> 8. Własność intelektualna <a href="#8-w%c5%82asno%c5%9b%c4%87-intelektualna" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Nasza własność:</strong> Usługa, w tym jej projekt, kod, marka i dokumentacja, jest naszą własnością i jest chroniona obowiązującymi przepisami prawa własności intelektualnej. Nie wolno kopiować, modyfikować ani rozpowszechniać żadnej części Usługi bez naszej zgody.</li> <li><strong>Twoja własność:</strong> Zachowujesz wszystkie prawa do przesłanych przez siebie treści. Nie rościmy sobie praw własności do Twoich treści.</li> </ul> <h2 id="9-rozwiązanie-umowy"> 9. Rozwiązanie umowy <a href="#9-rozwi%c4%85zanie-umowy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Przez Ciebie:</strong> Możesz usunąć swoje konto w dowolnym momencie w ustawieniach konta. Spowoduje to trwałe usunięcie Twoich danych zgodnie z naszą <a href="/privacy">Polityką prywatności</a> .</li> <li><strong>Przez nas:</strong> Możemy zawiesić lub usunąć Twoje konto w przypadku naruszenia niniejszego Regulaminu, prowadzenia zabronionych działań lub jeśli wymagają tego przepisy prawa. Dołożymy rozsądnych starań, aby powiadomić Cię przed rozwiązaniem umowy, z wyjątkiem sytuacji wymagających natychmiastowego działania (np. oszustwo, zagrożenia bezpieczeństwa).</li> </ul> <p>Po rozwiązaniu umowy Twoje prawo do korzystania z Usługi wygasa natychmiast.</p> <h2 id="10-wyłączenie-gwarancji"> 10. Wyłączenie gwarancji <a href="#10-wy%c5%82%c4%85czenie-gwarancji" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Usługa jest świadczona w stanie <strong>“takim, jaki jest”</strong> i <strong>“w miarę dostępności”</strong>, bez jakichkolwiek gwarancji, wyraźnych lub dorozumianych, w tym między innymi dorozumianych gwarancji przydatności handlowej, przydatności do określonego celu i nienaruszania praw.</p> <p>Nie gwarantujemy, że:</p> <ul> <li>Usługa będzie działać nieprzerwanie, terminowo, bezpiecznie lub bezbłędnie</li> <li>Usługa spełni Twoje konkretne wymagania</li> </ul> <h2 id="11-ograniczenie-odpowiedzialności"> 11. Ograniczenie odpowiedzialności <a href="#11-ograniczenie-odpowiedzialno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>W maksymalnym zakresie dozwolonym przez prawo nie ponosimy odpowiedzialności za jakiekolwiek szkody pośrednie, przypadkowe, szczególne, wynikowe lub karne, w tym między innymi utratę zysków, danych lub możliwości biznesowych.</p> <p>W maksymalnym zakresie dozwolonym przez prawo nasza łączna odpowiedzialność zbiorcza wynikająca z lub związana z Usługą, niniejszym Regulaminem, <a href="/pl/dpa/">Umową powierzenia przetwarzania danych</a> lub <a href="/pl/sla/">Umową o poziomie usług</a> nie przekroczy opłat zapłaconych nam za Usługę w ciągu 12 miesięcy poprzedzających zdarzenie stanowiące podstawę roszczenia.</p> <p>Żadne postanowienie niniejszego Regulaminu nie wyłącza ani nie ogranicza odpowiedzialności za oszustwo, umyślne działanie lub jakiejkolwiek odpowiedzialności, która nie może być wyłączona lub ograniczona na mocy obowiązującego prawa.</p> <h2 id="12-prawo-właściwe-i-rozstrzyganie-sporów"> 12. Prawo właściwe i rozstrzyganie sporów <a href="#12-prawo-w%c5%82a%c5%9bciwe-i-rozstrzyganie-spor%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Niniejszy Regulamin podlega prawu polskiemu. Wszelkie spory wynikające z niniejszego Regulaminu lub Usługi podlegają wyłącznej jurysdykcji sądów w Warszawie, Polska.</p> <p>Jeśli jesteś konsumentem zamieszkałym w UE, masz również prawo do wszczęcia postępowania przed sądami w kraju Twojego zamieszkania.</p> <h2 id="13-zmiany-w-niniejszym-regulaminie"> 13. Zmiany w niniejszym Regulaminie <a href="#13-zmiany-w-niniejszym-regulaminie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Możemy od czasu do czasu aktualizować niniejszy Regulamin. Gdy dokonamy istotnych zmian, powiadomimy Cię e-mailem lub za pośrednictwem powiadomienia w aplikacji co najmniej 14 dni przed wejściem zmian w życie.</p> <p>Dalsze korzystanie z Usługi po wejściu w życie zaktualizowanego Regulaminu oznacza akceptację zmian. Jeśli nie zgadzasz się ze zaktualizowanym Regulaminem, możesz usunąć swoje konto.</p> <h2 id="14-rozdzielność-postanowień"> 14. Rozdzielność postanowień <a href="#14-rozdzielno%c5%9b%c4%87-postanowie%c5%84" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jeśli jakiekolwiek postanowienie niniejszego Regulaminu zostanie uznane za niewykonalne, pozostałe postanowienia pozostają w pełni skuteczne.</p> <h2 id="15-kontakt"> 15. Kontakt <a href="#15-kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Jeśli masz pytania dotyczące niniejszego Regulaminu, skontaktuj się z nami:</p> <p><strong>E-mail:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> <strong>Bezpieczeństwo:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> <strong>Lokalizacja:</strong> Warszawa, Polska</p> <p>Podpisane DPA, dokumenty rejestrowe i materiały do oceny dostawcy są dostępne na żądanie.</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/incidents/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/incidents/Publiczny rejestr incydentów materialnych dotyczących danych osobowych przetwarzanych przez EthicsPortal. Prowadzony w duchu art. 33 RODO i jako wyraz transparentności instytucjonalnej.<h1 id="rejestr-incydentów"> Rejestr incydentów <a href="#rejestr-incydent%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Niniejsza strona rejestruje każdy incydent materialny dotyczący poufności, integralności lub dostępności danych osobowych przetwarzanych przez EthicsPortal. Jest prowadzona w duchu art. 33 RODO (zgłaszanie naruszenia ochrony danych osobowych) oraz jako wyraz transparentności instytucjonalnej.</p> <p>Ostatnia aktualizacja: 2026-04.</p> <hr> <h2 id="zakres"> Zakres <a href="#zakres" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wpis jest tworzony w każdym z następujących przypadków:</p> <ul> <li>Naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO — „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych".</li> <li>Przerwa w świadczeniu usługi dłuższa niż dwie godziny, uniemożliwiająca zgłaszającym składanie zgłoszeń lub prowadzącym dostęp do aktywnych spraw.</li> <li>Znacząca podatność w EthicsPortal lub u podmiotu przetwarzającego (subprocesora) wymagająca działań awaryjnych.</li> <li>Każdy incydent wymagający zgłoszenia organowi nadzorczemu na podstawie art. 33 RODO.</li> </ul> <p>Rutynowe przerwy krótsze niż dwie godziny, zaplanowane okna konserwacji oraz incydenty niedotyczące danych osobowych nie są tu rejestrowane.</p> <hr> <h2 id="harmonogram-ujawnienia"> Harmonogram ujawnienia <a href="#harmonogram-ujawnienia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>W ciągu 72 godzin</strong> od powzięcia wiadomości o naruszeniu — powiadomienie zainteresowanych operatorów (administratorów) pocztą elektroniczną, zgodnie z art. 33 ust. 2 RODO.</li> <li><strong>W ciągu 7 dni</strong> od opanowania incydentu — wpis wstępny w niniejszym rejestrze z podsumowaniem, kategoriami danych objętych i statusem środków łagodzących.</li> <li><strong>W ciągu 30 dni</strong> od opanowania incydentu — wpis finalny z przyczyną źródłową, działaniami naprawczymi i wnioskami.</li> </ul> <p>Wpisy pozostają publiczne bezterminowo. Nie są one modyfikowane w celu złagodzenia ich wymowy; korekty są dodawane jako późniejsze wpisy.</p> <hr> <h2 id="zgłaszanie-problemu-bezpieczeństwa"> Zgłaszanie problemu bezpieczeństwa <a href="#zg%c5%82aszanie-problemu-bezpiecze%c5%84stwa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Aby zgłosić problem bezpieczeństwa dotyczący EthicsPortal, napisz na <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Zgłoszenia szyfrowane są mile widziane; klucz PGP na żądanie.</p> <hr> <h2 id="rejestr"> Rejestr <a href="#rejestr" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><em>Brak wpisów.</em></p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/sla/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/sla/Miesięczny cel dostępności portali sygnalisty i operatora w EthicsPortal, sposób pomiaru oraz wyłączenia.<h1 id="umowa-o-poziomie-usług"> Umowa o poziomie usług <a href="#umowa-o-poziomie-us%c5%82ug" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>EthicsPortal zobowiązuje się do miesięcznego celu dostępności dla portali sygnalisty oraz operatora. Ta strona określa cel, sposób pomiaru oraz wyłączenia.</p> <p>Ostatnia aktualizacja: 2026-05-17.</p> <hr> <h2 id="cel-dostępności"> Cel dostępności <a href="#cel-dost%c4%99pno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Miesięczna dostępność 99,5%</strong> dla:</p> <ul> <li>Portalu zgłoszeniowego sygnalisty — powierzchni, na której sygnaliści składają zgłoszenia i śledzą ich status.</li> <li>Portalu operatora i prowadzącego sprawy — powierzchni, na której wyznaczeni prowadzący uzyskują dostęp do spraw i je prowadzą.</li> </ul> <p>99,5% miesięcznie odpowiada około 3 godzinom 36 minutom nieplanowanej niedostępności w miesiącu kalendarzowym.</p> <p>Strona marketingowa i dokumentacja są udostępniane w miarę możliwości i nie są objęte zobowiązaniem.</p> <hr> <h2 id="pomiar"> Pomiar <a href="#pomiar" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dostępność jest mierzona miesięcznie jako odsetek minut, w których objęte powierzchnie odpowiadają na żądania HTTP kodem statusu innym niż błąd. Pomiar pochodzi z zewnętrznej usługi monitorowania, nie jest samozgłaszany.</p> <hr> <h2 id="co-wpływa-na-dostępność"> Co wpływa na dostępność <a href="#co-wp%c5%82ywa-na-dost%c4%99pno%c5%9b%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Awarie infrastruktury aplikacyjnej EthicsPortal.</li> <li>Awarie dalszego podmiotu przetwarzającego (hosting, poczta, pamięć obiektowa), które pogarszają działanie objętej powierzchni.</li> <li>Incydenty bezpieczeństwa wymagające wyłączenia objętej powierzchni.</li> </ul> <p>Awarie dalszych podmiotów przetwarzających nie są wyłączone. Zobowiązanie odzwierciedla usługę faktycznie doświadczaną przez operatorów i sygnalistów.</p> <hr> <h2 id="wyłączenia"> Wyłączenia <a href="#wy%c5%82%c4%85czenia" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Przy pomiarze dostępności wyłącza się:</p> <ul> <li><strong>Planowe prace konserwacyjne</strong> zapowiedziane z wyprzedzeniem co najmniej 48 godzin. Wykonywane poza europejskimi godzinami pracy i zazwyczaj trwające krócej niż 30 minut.</li> <li><strong>Siłę wyższą</strong> — regionalne zakłócenia działania Internetu, katastrofy naturalne, awarie systemu DNS lub urzędów certyfikacji poza naszym łańcuchem dostawców.</li> <li><strong>Nieautoryzowane lub nadużywające użycie</strong> wymagające środków ochronnych, takich jak ograniczenie przepustowości czy zawieszenie konta.</li> </ul> <hr> <h2 id="cele-odzyskiwania"> Cele odzyskiwania <a href="#cele-odzyskiwania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>W scenariuszu odzyskiwania po awarii EthicsPortal stawia sobie następujące cele:</p> <ul> <li><strong>Cel punktu odzyskiwania (RPO): 24 godziny.</strong> Dane zapisane w ciągu 24 godzin poprzedzających katastrofalną awarię mogą zostać utracone.</li> <li><strong>Cel czasu odzyskiwania (RTO): 4 godziny.</strong> Objęte powierzchnie zostają przywrócone do stanu działającego w ciągu czterech godzin od zadeklarowanego incydentu.</li> </ul> <p>Mechanizm tworzenia kopii zapasowych, lokalizacja przechowywania, retencja i częstotliwość testów przywracania są opisane na <a href="/pl/security/#kopie-zapasowe-i-przywracanie">stronie bezpieczeństwa</a> .</p> <hr> <h2 id="ujawnianie-niedostępności"> Ujawnianie niedostępności <a href="#ujawnianie-niedost%c4%99pno%c5%9bci" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Bieżąca dostępność objętych powierzchni jest publikowana pod adresem <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> .</p> <p>Istotne awarie są rejestrowane w <a href="/pl/incidents/">rejestrze incydentów</a> . Każda awaria przekraczająca dwie godziny na objętej powierzchni skutkuje wpisem w rejestrze.</p> <p>Miesięczne wskaźniki dostępności są udostępniane operatorom na żądanie.</p> <hr> <h2 id="kredyty-serwisowe"> Kredyty serwisowe <a href="#kredyty-serwisowe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Plany samoobsługowe nie obejmują pieniężnych kredytów serwisowych. Środki ochrony prawnej w przypadku istotnych lub powtarzających się naruszeń określone są w <a href="/pl/terms/">Regulaminie</a> oraz w <a href="/pl/dpa/">Umowie powierzenia przetwarzania danych</a> . W maksymalnym zakresie dozwolonym przez prawo roszczenia wynikające z niniejszej umowy SLA lub z nią związane stanowią część tego samego łącznego limitu odpowiedzialności, który ma zastosowanie do Usługi.</p> <hr> <h2 id="pytania"> Pytania <a href="#pytania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>W kwestii pytań dotyczących dostępności lub w celu uzyskania miesięcznych danych prosimy o kontakt pod adresem <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/dpa/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/dpa/Umowa powierzenia przetwarzania danych zgodna z art. 28 RODO dla klientów EthicsPortal. Obejmuje zakres, środki bezpieczeństwa, podwykonawców i transfery międzynarodowe.<h1 id="umowa-powierzenia-przetwarzania-danych"> Umowa powierzenia przetwarzania danych <a href="#umowa-powierzenia-przetwarzania-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><strong>Data wejścia w życie:</strong> 22 kwietnia 2026</p> <p>Niniejsza Umowa powierzenia przetwarzania danych („DPA") stanowi część umowy między klientem („Administrator") a EthicsPortal („Podmiot przetwarzający") dotyczącej świadczenia usługi platformy zgłoszeniowej dla sygnalistów EthicsPortal („Usługa").</p> <blockquote> <p><strong>Potrzebujesz podpisanej kopii?</strong> Napisz na <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> , aby otrzymać kontrasygnowaną wersję PDF tej DPA do swoich akt.</p> </blockquote> <hr> <h2 id="1-strony"> 1. Strony <a href="#1-strony" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Administrator:</strong> Organizacja, która subskrybuje EthicsPortal i określa cele i sposoby przetwarzania danych osobowych za pośrednictwem Usługi.</p> <p><strong>Podmiot przetwarzający:</strong> EthicsPortal, prowadzony przez Yaroslav Shmarov, z siedzibą pod adresem ul. Obrzeżna 1A, 02-691 Warszawa, Polska. Kontakt: <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p> <hr> <h2 id="2-zakres-i-cel-przetwarzania"> 2. Zakres i cel przetwarzania <a href="#2-zakres-i-cel-przetwarzania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora wyłącznie w celu świadczenia Usługi, co obejmuje:</p> <ul> <li>Odbieranie i przechowywanie zgłoszeń sygnalistów</li> <li>Umożliwienie bezpiecznej komunikacji między zgłaszającymi a osobami prowadzącymi sprawę</li> <li>Zarządzanie przepływami pracy dotyczącymi spraw (przypisywanie, śledzenie statusu, rozwiązywanie)</li> <li>Generowanie dzienników audytu i rejestrów zgodności</li> <li>Wysyłanie transakcyjnych powiadomień e-mail do osób prowadzących sprawy i administratorów organizacji</li> <li>Przetwarzanie płatności za Usługę</li> </ul> <p>Podmiot przetwarzający nie przetwarza danych osobowych w żadnym innym celu niż świadczenie Usługi zgodnie z instrukcjami Administratora.</p> <hr> <h2 id="3-rodzaje-przetwarzanych-danych-osobowych"> 3. Rodzaje przetwarzanych danych osobowych <a href="#3-rodzaje-przetwarzanych-danych-osobowych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Kategoria danych</th> <th>Przykłady</th> <th>Szyfrowane w spoczynku</th> </tr> </thead> <tbody> <tr> <td>Tożsamość zgłaszającego (opcjonalnie)</td> <td>Imię i nazwisko, adres e-mail, numer telefonu</td> <td>Tak (niedeterministyczne)</td> </tr> <tr> <td>Treść zgłoszenia</td> <td>Opis zgłoszonego problemu</td> <td>Tak (niedeterministyczne)</td> </tr> <tr> <td>Treść komunikacji</td> <td>Wiadomości między zgłaszającym a osobą prowadzącą sprawę</td> <td>Tak (niedeterministyczne)</td> </tr> <tr> <td>Załączniki</td> <td>Dokumenty, obrazy, pliki audio, wideo przesłane przez zgłaszających</td> <td>Przechowywane z usuniętymi metadanymi</td> </tr> <tr> <td>Kody dostępu</td> <td>Unikalne kody używane przez zgłaszających do dostępu do swoich zgłoszeń</td> <td>Tak</td> </tr> <tr> <td>Dane prowadzących i administratorów</td> <td>Imię i nazwisko, adres e-mail, rola, przynależność do organizacji</td> <td>Nie (dane operacyjne)</td> </tr> <tr> <td>Wpisy dziennika audytu</td> <td>Znaczniki czasu, tożsamość wykonawcy, typ akcji</td> <td>Nie (rejestry krytyczne dla integralności)</td> </tr> <tr> <td>Dane techniczne</td> <td>Jednokierunkowe hasze adresów IP (nieodwracalne) wyłącznie do limitowania żądań</td> <td>Nie dotyczy (hasz, nie dane osobowe)</td> </tr> </tbody> </table> <hr> <h2 id="4-kategorie-osób-których-dane-dotyczą"> 4. Kategorie osób, których dane dotyczą <a href="#4-kategorie-os%c3%b3b-kt%c3%b3rych-dane-dotycz%c4%85" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Sygnaliści / zgłaszający</strong> — osoby, które składają zgłoszenia za pośrednictwem portalu (mogą być anonimowe)</li> <li><strong>Osoby prowadzące sprawy</strong> — osoby wyznaczone przez Administratora do odbierania i zarządzania zgłoszeniami</li> <li><strong>Administratorzy organizacji</strong> — osoby, które zarządzają kontem i ustawieniami EthicsPortal Administratora</li> </ul> <hr> <h2 id="5-czas-trwania-przetwarzania"> 5. Czas trwania przetwarzania <a href="#5-czas-trwania-przetwarzania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Podmiot przetwarzający przetwarza dane osobowe przez okres trwania subskrypcji Administratora na Usługę. Po zakończeniu:</p> <ul> <li>Administrator może wyeksportować swoje dane przed zakończeniem subskrypcji.</li> <li>Dane zgłoszeń są przechowywane zgodnie ze skonfigurowanym przez Administratora okresem przechowywania (12, 24, 36 lub 60 miesięcy po zamknięciu zgłoszenia), a następnie trwale usuwane.</li> <li>Na pisemne żądanie Podmiot przetwarzający usunie wszystkie pozostałe dane Administratora w ciągu 30 dni od zakończenia subskrypcji, chyba że przechowywanie jest wymagane przez obowiązujące prawo.</li> </ul> <hr> <h2 id="6-obowiązki-podmiotu-przetwarzającego"> 6. Obowiązki Podmiotu przetwarzającego <a href="#6-obowi%c4%85zki-podmiotu-przetwarzaj%c4%85cego" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <h3 id="61-instrukcje-przetwarzania"> 6.1 Instrukcje przetwarzania <a href="#61-instrukcje-przetwarzania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podmiot przetwarzający przetwarza dane osobowe wyłącznie na podstawie udokumentowanych instrukcji Administratora, chyba że jest do tego zobowiązany na mocy prawa UE lub państwa członkowskiego. Jeśli taki wymóg prawny zaistnieje, Podmiot przetwarzający poinformuje o tym Administratora przed przetwarzaniem, chyba że prawo zabrania takiego powiadomienia.</p> <h3 id="62-poufność"> 6.2 Poufność <a href="#62-poufno%c5%9b%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Wszystkie osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania poufności.</p> <h3 id="63-środki-bezpieczeństwa"> 6.3 Środki bezpieczeństwa <a href="#63-%c5%9brodki-bezpiecze%c5%84stwa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podmiot przetwarzający wdraża i utrzymuje środki techniczne i organizacyjne opisane na stronie <a href="/pl/security/">Bezpieczeństwo</a> , w tym:</p> <ul> <li>Szyfrowanie niedeterministyczne w spoczynku dla wszystkich wrażliwych danych zgłoszeń</li> <li>Brak przechowywania adresów IP (jednokierunkowe haszowanie wyłącznie do limitowania żądań)</li> <li>Automatyczne usuwanie metadanych plików (EXIF, GPS, dane autora)</li> <li>Kontrola dostępu oparta na rolach z politykami autoryzacji Pundit</li> <li>Dziennik audytu tylko do dopisywania dla wszystkich akcji</li> <li>Limitowanie żądań na wszystkich publicznych endpointach portalu</li> <li>HTTPS/TLS dla wszystkich połączeń</li> <li>Ochrona przed CSRF</li> </ul> <p>Zgłoszenia o lukach bezpieczeństwa i incydentach można przesyłać na <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> . Pytania dotyczące praw osób, których dane dotyczą, oraz zapytania związane z Inspektorem Ochrony Danych można kierować na <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> lub <a href="mailto:dpo@ethicsportal.eu">dpo@ethicsportal.eu</a> .</p> <h3 id="64-podwykonawcy-przetwarzania"> 6.4 Podwykonawcy przetwarzania <a href="#64-podwykonawcy-przetwarzania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podmiot przetwarzający korzysta z podwykonawców przetwarzania wymienionych w sekcji 8. Podmiot przetwarzający powiadomi Administratora co najmniej 30 dni przed dodaniem lub zastąpieniem podwykonawcy. Administrator może zgłosić sprzeciw wobec zmiany; jeśli nie zostanie osiągnięte porozumienie, Administrator może rozwiązać umowę.</p> <h3 id="65-prawa-osób-których-dane-dotyczą"> 6.5 Prawa osób, których dane dotyczą <a href="#65-prawa-os%c3%b3b-kt%c3%b3rych-dane-dotycz%c4%85" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podmiot przetwarzający wspiera Administratora w odpowiadaniu na żądania osób, których dane dotyczą, korzystających ze swoich praw wynikających z RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw), zapewniając niezbędne możliwości techniczne w ramach Usługi.</p> <h3 id="66-powiadamianie-o-naruszeniu-ochrony-danych"> 6.6 Powiadamianie o naruszeniu ochrony danych <a href="#66-powiadamianie-o-naruszeniu-ochrony-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>W przypadku naruszenia ochrony danych osobowych Podmiot przetwarzający powiadomi Administratora bez zbędnej zwłoki, a w każdym przypadku <strong>w ciągu 72 godzin</strong> od uzyskania informacji o naruszeniu. Powiadomienie będzie zawierać:</p> <ul> <li>Opis charakteru naruszenia</li> <li>Kategorie i przybliżoną liczbę osób, których dane dotyczą</li> <li>Prawdopodobne konsekwencje naruszenia</li> <li>Środki podjęte lub zaproponowane w celu zaradzenia naruszeniu</li> </ul> <h3 id="67-ocena-skutków-dla-ochrony-danych"> 6.7 Ocena skutków dla ochrony danych <a href="#67-ocena-skutk%c3%b3w-dla-ochrony-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podmiot przetwarzający wspiera Administratora w przeprowadzaniu ocen skutków dla ochrony danych i uprzednich konsultacji z organami nadzorczymi, w zakresie, w jakim działania przetwarzania Podmiotu przetwarzającego wymagają takiego wsparcia.</p> <h3 id="68-usunięcie-i-zwrot-danych"> 6.8 Usunięcie i zwrot danych <a href="#68-usuni%c4%99cie-i-zwrot-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Po zakończeniu Usługi Podmiot przetwarzający, zgodnie z wyborem Administratora:</p> <ul> <li>Zwróci wszystkie dane osobowe Administratorowi w formatach eksportu dostępnych w Usłudze w chwili zakończenia, w tym eksporty PDF spraw i powiązane załączniki, lub</li> <li>Usunie wszystkie dane osobowe i potwierdzi usunięcie na piśmie</li> </ul> <p>chyba że prawo UE lub państwa członkowskiego wymaga dalszego przechowywania.</p> <p>Jeżeli Administrator w uzasadniony sposób potrzebuje dodatkowego formatu przenoszalności na potrzeby migracji lub przeglądu regulacyjnego, Podmiot przetwarzający oceni taki wniosek w dobrej wierze i, jeśli będzie to technicznie możliwe, udostępni go na podstawie odrębnego pisemnego wniosku.</p> <h3 id="69-prawa-audytu"> 6.9 Prawa audytu <a href="#69-prawa-audytu" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podmiot przetwarzający udostępnia Administratorowi wszystkie informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z art. 28 RODO. Administrator może przeprowadzać audyty, w tym inspekcje, bezpośrednio lub za pośrednictwem upoważnionego audytora, pod warunkiem rozsądnego wcześniejszego powiadomienia (co najmniej 30 dni) i w godzinach pracy. Podmiot przetwarzający będzie współpracował przy takich audytach.</p> <h3 id="610-brak-przetwarzania-przez-ai-lub-llm-danych-objętych-umową"> 6.10 Brak przetwarzania przez AI lub LLM danych objętych umową <a href="#610-brak-przetwarzania-przez-ai-lub-llm-danych-obj%c4%99tych-umow%c4%85" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Podmiot przetwarzający zobowiązuje się, że dane osobowe przetwarzane na podstawie niniejszej DPA — w tym treść zgłoszeń, tożsamość sygnalistów, wiadomości prowadzących sprawy, załączniki oraz wpisy w dzienniku audytu — <strong>nie są przekazywane do żadnego dużego modelu językowego, usługi generatywnej AI ani klasyfikatora opartego na AI</strong>, niezależnie od tego, czy są one obsługiwane przez Podmiot przetwarzający, czy przez stronę trzecią (w tym między innymi OpenAI, Anthropic, Google i Mistral). Usługa nie prowadzi kategoryzacji, segregacji, streszczania, tłumaczenia ani sugerowania odpowiedzi z wykorzystaniem AI na danych osobowych. Administrator może powołać się na to zobowiązanie przy ocenie obowiązków dotyczących zautomatyzowanego podejmowania decyzji wynikających z art. 22 RODO oraz przy określaniu zakresu ujawnienia podwykonawców we własnych klauzulach informacyjnych i ocenach skutków (DPIA). Jakakolwiek zmiana tego zobowiązania byłaby istotną zmianą Usługi i zostałaby zgłoszona Administratorowi zgodnie z sekcją 6.4 (Podwykonawcy przetwarzania) i sekcją 11 (Okres obowiązywania i rozwiązanie).</p> <p>Samodzielnie hostowane statystyczne tłumaczenie maszynowe, działające w całości na infrastrukturze kontrolowanej przez Podmiot przetwarzający (dane nie opuszczają tej infrastruktury, brak zewnętrznego wywołania inferencji), nie wchodzi w zakres tego ograniczenia i może być wykorzystywane do tłumaczenia wiadomości sygnalistów lub prowadzących sprawy, jeśli Administrator je włączył.</p> <p>To zobowiązanie podlega corocznemu przeglądowi. Data „Ostatnia aktualizacja" na początku niniejszej DPA odzwierciedla ostatnie potwierdzenie. Jeżeli w którymkolwiek momencie Podmiot przetwarzający zamierza wprowadzić przetwarzanie danych osobowych objętych niniejszą DPA przez AI lub LLM, powiadomi o tym Administratora zgodnie z sekcją 6.4, a zmiana wejdzie w życie nie wcześniej niż po upływie określonego tam okresu powiadomienia.</p> <h3 id="611-klucze-szyfrowania-zarządzane-przez-klienta-byok"> 6.11 Klucze szyfrowania zarządzane przez klienta (BYOK) <a href="#611-klucze-szyfrowania-zarz%c4%85dzane-przez-klienta-byok" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Usługa nie obsługuje kluczy szyfrowania zarządzanych przez klienta — niezależnie od tego, czy są one określane jako bring-your-own-key (BYOK), hold-your-own-key (HYOK) czy integracja z zewnętrzną usługą zarządzania kluczami (KMS). Jest to świadomy wybór architektoniczny, a nie ograniczenie operacyjne, oparty na dwóch gwarancjach poufności i cyklu życia, które Podmiot przetwarzający przyjmuje w innych miejscach niniejszej DPA:</p> <ul> <li><strong>Granica klucza między sygnalistą a prowadzącym sprawę.</strong> Dane osobowe objęte niniejszą DPA są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez Podmiot przetwarzający i przechowywanych wewnątrz Usługi. Granica szyfrowania, która chroni tożsamość sygnalisty i treść zgłoszenia przed osobami trzecimi, jest tą samą granicą, która chroni je przed administratorami IT samego Administratora. Przekazanie pieczy nad kluczem Administratorowi przesunęłoby tę granicę do środowiska Administratora, gdzie administratorzy po stronie Administratora staliby się co do zasady zdolni do odszyfrowania tożsamości sygnalisty — odwracając model poufności wymagany przez <a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-16" target="_blank" rel="noopener noreferrer">Art. 16</a> Dyrektywy 2019/1937.</li> <li><strong>Gwarancja usunięcia od końca do końca.</strong> Usunięcie wynikające z okresu przechowywania (<a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-5" target="_blank" rel="noopener noreferrer">Art. 5(1)(e)</a> RODO) oraz umowne usunięcie po rozwiązaniu (sekcja 6.8 powyżej) opierają się na zdolności Podmiotu przetwarzającego do kryptograficznego i fizycznego zniszczenia danych zabezpieczonych kluczem niezależnie od Administratora. Klucz w posiadaniu Administratora stworzyłby klasę awarii, w której Podmiot przetwarzający nie mógłby samodzielnie zagwarantować całkowitego usunięcia w umownym terminie.</li> </ul> <p>Schemat szyfrowania w spoczynku, niedeterministyczne właściwości szyfrowania oraz izolacja kluczy Podmiotu przetwarzającego są udokumentowane na stronie <a href="/security/#data-encryption">Bezpieczeństwo</a> . Zmiana tego stanowiska byłaby istotną zmianą Usługi i zostałaby zgłoszona Administratorowi zgodnie z sekcją 6.4 (Podwykonawcy przetwarzania) i sekcją 11 (Okres obowiązywania i rozwiązanie).</p> <hr> <h2 id="7-obowiązki-administratora"> 7. Obowiązki Administratora <a href="#7-obowi%c4%85zki-administratora" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Administrator jest odpowiedzialny za:</p> <ul> <li>Zapewnienie podstawy prawnej przetwarzania danych osobowych za pośrednictwem Usługi</li> <li>Dostarczenie wymaganych informacji o ochronie prywatności osobom, których dane dotyczą (EthicsPortal wyświetla informację o ochronie prywatności w formularzu zgłoszenia)</li> <li>Skonfigurowanie odpowiednich okresów przechowywania danych w ramach Usługi</li> <li>Wyznaczenie upoważnionych prowadzących i administratorów</li> <li>Odpowiadanie na żądania osób, których dane dotyczą, z pomocą Podmiotu przetwarzającego opisaną powyżej</li> </ul> <hr> <h2 id="8-podwykonawcy-przetwarzania"> 8. Podwykonawcy przetwarzania <a href="#8-podwykonawcy-przetwarzania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Następujący podwykonawcy przetwarzania są upoważnieni na dzień wejścia w życie niniejszej DPA:</p> <table> <thead> <tr> <th>Podwykonawca</th> <th>Cel</th> <th>Lokalizacja</th> <th>Zabezpieczenia</th> </tr> </thead> <tbody> <tr> <td><a href="https://www.hetzner.com" rel="nofollow">Hetzner Online GmbH</a> </td> <td>Hosting aplikacji, baza danych i przechowywanie załączników</td> <td>Norymberga, Niemcy (UE)</td> <td>Dane przetwarzane w całości w UE</td> </tr> <tr> <td><a href="https://stripe.com" rel="nofollow">Stripe Payments Europe, Ltd</a> </td> <td>Przetwarzanie płatności</td> <td>Irlandia (UE)</td> <td>Podmiot przetwarzający nie przechowuje danych uwierzytelniających płatności; Stripe posiada certyfikat PCI DSS Level 1</td> </tr> <tr> <td><a href="https://www.mailjet.com" rel="nofollow">Mailjet (Sinch)</a> </td> <td>Dostarczanie e-maili transakcyjnych</td> <td>Francja (UE)</td> <td>Dane przetwarzane w całości w UE</td> </tr> <tr> <td><a href="https://www.cloudflare.com" rel="nofollow">Cloudflare, Inc.</a> </td> <td>CDN i dostarczanie treści na brzegu sieci dla strony marketingowej</td> <td>Stany Zjednoczone</td> <td>Transfery, jeśli obejmują dane osobowe, opierają się na Standardowych Klauzulach Umownych i dodatkowych zabezpieczeniach</td> </tr> <tr> <td><a href="https://www.appsignal.com" rel="nofollow">AppSignal B.V.</a> </td> <td>Monitoring błędów i wydajności aplikacji dla interfejsów administratora i prowadzących</td> <td>Holandia (UE)</td> <td>Dane przetwarzane w całości w UE; adresy IP sygnalistów nigdy nie są logowane</td> </tr> <tr> <td><a href="https://crisp.chat" rel="nofollow">Crisp IM SARL</a> </td> <td>Wbudowany czat dla prowadzących sprawy i wsparcie weryfikacji tożsamości</td> <td>Francja (UE)</td> <td>Ładowany wyłącznie w portalu prowadzących sprawy; nie jest obecny ani na stronie marketingowej, ani na stronach dla sygnalistów</td> </tr> </tbody> </table> <p>Analityka marketingowa (Cloudflare Web Analytics) nie używa ciasteczek i nie przetwarza danych osobowych.</p> <p><strong>Brak podwykonawcy AI lub LLM.</strong> Żaden duży model językowy, usługa generatywnej AI ani klasyfikator oparty na AI nie jest podwykonawcą przetwarzania Podmiotu przetwarzającego. Dane osobowe przetwarzane na podstawie niniejszej DPA nie są przekazywane do OpenAI, Anthropic, Google, Mistral ani innego dostawcy inferencji AI. Patrz sekcja 6.10.</p> <hr> <h2 id="9-międzynarodowe-transfery-danych"> 9. Międzynarodowe transfery danych <a href="#9-mi%c4%99dzynarodowe-transfery-danych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Główne dane zgłoszeń sygnalistów, w tym treść spraw i przechowywanie załączników, są hostowane w <strong>Unii Europejskiej</strong> (Hetzner, Niemcy). Przetwarzanie płatności odbywa się w UE (Stripe), a e-maile transakcyjne są dostarczane z UE (Mailjet, Francja).</p> <p>Żądania kierowane do strony marketingowej są przesyłane przez Cloudflare (CDN, USA), który przetwarza metadane sieciowe (adresy IP odwiedzających i nagłówki żądań) na potrzeby dostarczania treści i ochrony przed DDoS. Żadne zgłoszenia, dane prowadzących ani dane konta nie są udostępniane Cloudflare. Transfery opierają się na Standardowych Klauzulach Umownych i dodatkowych zabezpieczeniach. Portal zgłoszeniowy i portal prowadzących nie ładują Cloudflare. AppSignal (Holandia) i Crisp (Francja) mają siedzibę w UE; Crisp jest ładowany wyłącznie w portalu prowadzących sprawy.</p> <hr> <h2 id="10-odpowiedzialność"> 10. Odpowiedzialność <a href="#10-odpowiedzialno%c5%9b%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Odpowiedzialność każdej ze stron na mocy niniejszej DPA podlega ograniczeniom odpowiedzialności określonym w głównej umowie o świadczenie usług między stronami. W maksymalnym zakresie dozwolonym przez prawo roszczenia wynikające z niniejszej DPA lub z nią związane stanowią część tego samego łącznego limitu odpowiedzialności, który ma zastosowanie do Usługi.</p> <hr> <h2 id="11-okres-obowiązywania-i-rozwiązanie"> 11. Okres obowiązywania i rozwiązanie <a href="#11-okres-obowi%c4%85zywania-i-rozwi%c4%85zanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Niniejsza DPA wchodzi w życie w momencie rozpoczęcia korzystania z Usługi przez Administratora i obowiązuje tak długo, jak Podmiot przetwarzający przetwarza dane osobowe w imieniu Administratora. Zobowiązania wynikające z niniejszej DPA obowiązują po jej rozwiązaniu w zakresie niezbędnym do zakończenia usuwania lub zwrotu danych osobowych.</p> <hr> <h2 id="12-prawo-właściwe"> 12. Prawo właściwe <a href="#12-prawo-w%c5%82a%c5%9bciwe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Niniejsza DPA podlega prawu Rzeczypospolitej Polskiej, z wyłączeniem norm kolizyjnych. Sądy właściwe w Warszawie, Polska mają wyłączną jurysdykcję w sporach wynikających z niniejszej DPA.</p> <hr> <h2 id="kontakt"> Kontakt <a href="#kontakt" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>W sprawie pytań dotyczących niniejszej DPA lub prośby o podpisaną kopię:</p> <p><strong>EthicsPortal</strong> Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Warszawa, Polska <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/trust/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/trust/Strona kontraktowa, lokalizacja danych, certyfikaty i materiały do oceny dostawcy dla EthicsPortal.<h1 id="zaufanie"> Zaufanie <a href="#zaufanie" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Wszystko, czego potrzebuje osoba prowadząca ocenę dostawcy, IOD lub zespół prawny, aby ocenić EthicsPortal.</p> <p>Ostatnia aktualizacja: 2026-05-17</p> <hr> <h2 id="strona-kontraktowa"> Strona kontraktowa <a href="#strona-kontraktowa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Nazwa usługi:</strong> EthicsPortal</li> <li><strong>Operator:</strong> Yaroslav Shmarov</li> <li><strong>Adres rejestrowy:</strong> ul. Obrzeżna 1A, 02-691 Warszawa, Polska</li> <li><strong>Numer identyfikacji podatkowej (NIP):</strong> 5272755790</li> <li><strong>Osoba upoważniona do podpisywania umów handlowych, DPA i kwestionariuszy bezpieczeństwa:</strong> Yaroslav Shmarov</li> <li><strong>Kontakt handlowy:</strong> <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> </li> <li><strong>Kontakt bezpieczeństwa:</strong> <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> </li> <li><strong>Kontakt ds. ochrony danych:</strong> <a href="mailto:privacy@ethicsportal.eu">privacy@ethicsportal.eu</a> </li> </ul> <p>Aktualne dokumenty rejestrowe i podpisane dokumenty kontraktowe są udostępniane na żądanie w trakcie oceny dostawcy.</p> <hr> <h2 id="lokalizacja-danych-i-relacja-przetwarzającego"> Lokalizacja danych i relacja przetwarzającego <a href="#lokalizacja-danych-i-relacja-przetwarzaj%c4%85cego" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>W standardowym modelu subskrypcyjnym klient jest administratorem, a EthicsPortal działa jako podmiot przetwarzający dane zgłoszeń.</p> <p>Podstawowe dane zgłoszeń sygnalistów — aplikacja, baza danych, przechowywanie plików — są hostowane w Norymberdze w Niemczech na <a href="https://www.hetzner.com" rel="nofollow">Hetzner</a> . Transakcyjna poczta e-mail obsługiwana jest przez Mailjet (Francja). Strona marketingowa korzysta z jednego wskazanego podwykonawcy spoza UE — Cloudflare (CDN), wymienionego w pełni na stronie <a href="/pl/subprocessors/">podwykonawców</a> . Portal zgłoszeniowy i portal prowadzących nie ładują Cloudflare.</p> <hr> <h2 id="personel-dostawcy-i-ciągłość-działania"> Personel dostawcy i ciągłość działania <a href="#personel-dostawcy-i-ci%c4%85g%c5%82o%c5%9b%c4%87-dzia%c5%82ania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p><strong>Personel.</strong> EthicsPortal nie zatrudnia pracowników ani współpracowników. Wszystkie dane klientów są przetwarzane wyłącznie przez wskazanego operatora. Kontrole personalne po stronie dostawcy — weryfikacja przeszłości, szkolenia z bezpieczeństwa, procedura przyjęcia i odejścia — sprowadzają się zatem do udokumentowanego podsumowania uprzywilejowanego dostępu, dostępnego podczas oceny dostawcy.</p> <p><strong>Ciągłość.</strong> W przypadku niezdolności operatora do działania lub zakończenia działalności gospodarczej organizacje klientów są uprawnione do pełnego maszynowo czytelnego eksportu swoich danych oraz określonego okresu wygaszania umożliwiającego migrację do innego dostawcy. Konkretne ustalenia zawarto w <a href="/pl/dpa/">Umowie powierzenia przetwarzania danych</a> oraz rozwinięto w materiałach dostępnych podczas oceny dostawcy.</p> <hr> <h2 id="status-certyfikacji"> Status certyfikacji <a href="#status-certyfikacji" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal nie deklaruje obecnie na tej stronie ISO 27001, SOC 2 ani równoważnej certyfikacji. Niezależny zewnętrzny test penetracyjny nie jest obecnie udokumentowany. Gdy którakolwiek z tych kwestii się zmieni, nazwa certyfikatu (lub zakres testu, data i podsumowanie działań naprawczych) zostaną tu opublikowane.</p> <hr> <h2 id="cykl-operacyjny"> Cykl operacyjny <a href="#cykl-operacyjny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Zagadnienie</th> <th>Odpowiedź</th> </tr> </thead> <tbody> <tr> <td>Bieżąca dostępność</td> <td>Publikowana pod adresem <a href="https://secure.ethicsportal.eu/up" rel="nofollow">secure.ethicsportal.eu/up</a> dla objętych powierzchni. Zob. <a href="/pl/sla/">Umowę o poziomie usług</a> , aby zapoznać się z metodologią pomiaru i wyłączeniami.</td> </tr> <tr> <td>Cykl sesji i dostępu</td> <td>Sesje wygasają automatycznie po 14 dniach bezczynności i są usuwane nocą. Użytkownicy mogą w dowolnym momencie przeglądać i unieważniać własne sesje. Każda sesja rejestruje <code>last_seen_at</code>, dzięki czemu nieaktywne urządzenia są identyfikowalne. Dezaktywacja członka odcina dostęp na granicy żądania, zdejmuje przypisania do otwartych zgłoszeń oraz usuwa uczestnictwa, zachowując jednocześnie historię audytu. Zob. <a href="/pl/security/#kontrola-dostepu">Bezpieczeństwo</a> .</td> </tr> <tr> <td>Kopie zapasowe i przywracanie</td> <td>Codzienne szyfrowane zrzuty PostgreSQL do Hetzner Object Storage (UE, retencja 7 dni) oraz migawki serwera Hetzner (retencja 7 dni). <strong>RPO 24 godziny, RTO 4 godziny.</strong> Ostatni test przywracania: 2026-05-14. Zob. <a href="/pl/security/#kopie-zapasowe-i-przywracanie">Bezpieczeństwo</a> .</td> </tr> <tr> <td>Zarządzanie zależnościami i poprawkami</td> <td>Ciągłe SCA w CI (Brakeman, bundler-audit, importmap audit) oraz cotygodniowe aktualizacje Dependabot. Brak wdrożonych komponentów po zakończeniu wsparcia. Zob. <a href="/pl/security/#zarzadzanie-zaleznosciami-i-poprawkami">Bezpieczeństwo</a> .</td> </tr> <tr> <td>Eksport i usuwanie</td> <td>Eksport sprawy do PDF jest dostępny w aplikacji dla każdej sprawy (opis, wiadomości, dziennik audytu, załączniki). Maszynowo czytelny eksport zbiorczy pełnego zbioru danych organizacji jest dostępny na żądanie w trakcie zakończenia umowy. Zobowiązania umowne zawarto w <a href="/pl/dpa/">Umowie powierzenia przetwarzania danych</a> .</td> </tr> <tr> <td>Cele odzyskiwania</td> <td>Zob. <a href="/pl/sla/#cele-odzyskiwania">Umowę o poziomie usług</a> .</td> </tr> </tbody> </table> <hr> <h2 id="stanowiska-umowne"> Stanowiska umowne <a href="#stanowiska-umowne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pojedyncze źródło prawdy w kwestiach umownych, które działy zakupów w przedsiębiorstwach zadają najczęściej. Każdy wiersz odsyła do dokumentu rozstrzygającego.</p> <table> <thead> <tr> <th>Pozycja</th> <th>Stanowisko EthicsPortal</th> </tr> </thead> <tbody> <tr> <td>Łączny limit odpowiedzialności</td> <td>Dwanaście miesięcy opłat uiszczonych w okresie 12 miesięcy poprzedzających zdarzenie będące podstawą roszczenia (<a href="/pl/terms/">Regulamin §11</a> ). Umowa powierzenia przetwarzania danych, Umowa o poziomie usług oraz odszkodowanie z tytułu naruszenia praw własności intelektualnej podlegają temu samemu łącznemu limitowi.</td> </tr> <tr> <td>Odszkodowanie z tytułu naruszenia praw własności intelektualnej</td> <td>Operator będzie bronić Administratora przed roszczeniami osób trzecich z tytułu naruszenia praw autorskich, znaków towarowych lub patentów wynikającymi z korzystania z Usługi zgodnie z Regulaminem, z zastrzeżeniem standardowych wyłączeń (modyfikacje klienta, nieuprawnione korzystanie, niedozwolone połączenia) oraz łącznego limitu odpowiedzialności. Zob. <a href="/pl/terms/">Regulamin §12</a> .</td> </tr> <tr> <td>Termin powiadomienia o naruszeniu</td> <td>Bez zbędnej zwłoki i w każdym przypadku w ciągu 72 godzin od powzięcia wiadomości (<a href="/pl/dpa/">DPA §6.6</a> ), zgodnie z <a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-33" target="_blank" rel="noopener noreferrer">Art. 33</a> RODO. Krótszy termin nie jest umownie oferowany w planach samoobsługowych, ponieważ krótsze okna grożą przedwczesnym zgłoszeniem i kolidują z progiem oceny kryminalistycznej wymaganym przez RODO.</td> </tr> <tr> <td>Prawo do audytu</td> <td>Zgodnie z <a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-28" target="_blank" rel="noopener noreferrer">Art. 28(3)(h)</a> RODO, z co najmniej 30-dniowym wyprzedzeniem i w normalnych godzinach pracy (<a href="/pl/dpa/">DPA §6.9</a> ). Podmiot przetwarzający odpowie na pisemne kwestionariusze bezpieczeństwa zamiast audytu na miejscu, jeśli ocena Administratora może być w ten sposób spełniona.</td> </tr> <tr> <td>Kredyty usługowe</td> <td>Plany samoobsługowe nie obejmują pieniężnych kredytów usługowych. Środki ochrony w przypadku istotnych lub powtarzających się awarii dostępności podlegają łącznemu limitowi odpowiedzialności (<a href="/pl/sla/">SLA</a> ).</td> </tr> <tr> <td>Klucze szyfrowania zarządzane przez klienta (BYOK / zewnętrzny KMS)</td> <td>Nieobsługiwane. Klucze zarządzane przez Przetwarzającego są wymagane do zachowania rozdziału kluczy zgłaszający–prowadzący sprawę oraz gwarancji pełnego usunięcia. Zob. <a href="/pl/dpa/">DPA §6.11</a> .</td> </tr> <tr> <td>Depozyt kodu źródłowego</td> <td>Nie oferujemy. Ciągłość zapewniają postanowienia dotyczące niezdolności operatora zawarte w <a href="/policies/business-continuity/">planie ciągłości działania</a> oraz prawa Administratora do eksportu i usunięcia danych na podstawie <a href="/pl/dpa/">DPA §6.8</a> .</td> </tr> <tr> <td>Powiadomienie o zmianie podwykonawcy</td> <td>Co najmniej 30 dni przed dodaniem lub zastąpieniem podwykonawcy; Administrator może wnieść sprzeciw i rozwiązać umowę, jeśli nie zostanie osiągnięte porozumienie (<a href="/pl/dpa/">DPA §6.4</a> ).</td> </tr> <tr> <td>Eksport i usunięcie danych w momencie zakończenia umowy</td> <td>Samoobsługowy eksport sprawy do PDF w produkcie, plus maszynowo czytelny eksport zbiorczy na żądanie w trakcie zakończenia, plus usunięcie w ciągu 30 dni od zakończenia subskrypcji na pisemne żądanie (<a href="/pl/dpa/">DPA §6.8</a> ).</td> </tr> <tr> <td>Ubezpieczenie odpowiedzialności cybernetycznej</td> <td>W trakcie weryfikacji. Kwota pokrycia i ubezpieczyciel zostaną opublikowani tutaj po uzyskaniu polisy.</td> </tr> <tr> <td>Niezależny zewnętrzny test penetracyjny</td> <td>Obecnie nie został przeprowadzony. Zakres, data i podsumowanie działań naprawczych zostaną opublikowane tutaj po jego przeprowadzeniu.</td> </tr> <tr> <td>Prawo właściwe i jurysdykcja</td> <td>Prawo polskie; sądy w Warszawie (<a href="/pl/terms/">Regulamin §13</a> ). Konsumenci z UE zachowują prawo do postępowań w kraju zamieszkania.</td> </tr> </tbody> </table> <p>Stanowiska te są odzwierciedlone w opublikowanym <a href="/pl/terms/">Regulaminie</a> , <a href="/pl/dpa/">Umowie powierzenia przetwarzania danych</a> i <a href="/pl/sla/">Umowie o poziomie usług</a> . Istotne odstępstwa nie są przyznawane w planach samoobsługowych.</p> <hr> <h2 id="dokumenty-publiczne"> Dokumenty publiczne <a href="#dokumenty-publiczne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Wszystko, czego potrzebuje osoba oceniająca dostawcę, jest opublikowane otwarcie. Pogrupowane według funkcji dokumentu.</p> <h3 id="umowne"> Umowne <a href="#umowne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Co reguluje relację między EthicsPortal a klientem.</p> <table> <thead> <tr> <th>Dokument</th> <th>Cel</th> </tr> </thead> <tbody> <tr> <td><a href="/pl/terms/">Regulamin</a> </td> <td>Warunki subskrypcji, anulowanie, zwroty</td> </tr> <tr> <td><a href="/pl/dpa/">Umowa powierzenia przetwarzania danych</a> </td> <td>Warunki przetwarzania zgodnie z art. 28 RODO</td> </tr> <tr> <td><a href="/pl/sla/">Umowa o poziomie usług</a> </td> <td>Cel dostępności i sposób pomiaru</td> </tr> <tr> <td><a href="/pl/privacy/">Polityka prywatności</a> </td> <td>Sposób postępowania z danymi osobowymi</td> </tr> </tbody> </table> <h3 id="operacyjne"> Operacyjne <a href="#operacyjne" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Jak usługa działa na co dzień i kto jeszcze jest zaangażowany.</p> <table> <thead> <tr> <th>Dokument</th> <th>Cel</th> </tr> </thead> <tbody> <tr> <td><a href="/pl/security/">Bezpieczeństwo</a> </td> <td>Środki techniczne i organizacyjne</td> </tr> <tr> <td><a href="/pl/subprocessors/">Podwykonawcy</a> </td> <td>Wskazani podwykonawcy i ich zakres</td> </tr> <tr> <td><a href="/pl/incidents/">Rejestr incydentów</a> </td> <td>Istotne incydenty dotyczące danych osobowych</td> </tr> <tr> <td><a href="/pl/accessibility/">Dostępność</a> </td> <td>Status zgodności z EAA</td> </tr> </tbody> </table> <h3 id="odniesienia-do-dyrektywy"> Odniesienia do dyrektywy <a href="#odniesienia-do-dyrektywy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h3> <p>Jak EthicsPortal odnosi się do i interpretuje Dyrektywę (UE) 2019/1937.</p> <table> <thead> <tr> <th>Dokument</th> <th>Cel</th> </tr> </thead> <tbody> <tr> <td><a href="/pl/directive-coverage/">Pokrycie Dyrektywy 2019/1937</a> </td> <td>Mapa funkcja–artykuł Dyrektywy 2019/1937</td> </tr> <tr> <td><a href="/pl/directive-interpretations/">Interpretacje Dyrektywy 2019/1937</a> </td> <td>Pozycje interpretacyjne wobec niejednoznacznych przepisów Dyrektywy</td> </tr> <tr> <td><a href="/pl/whistleblower-laws/">Ustawy o ochronie sygnalistów według kraju</a> </td> <td>Transpozycje krajowe i organy właściwe</td> </tr> <tr> <td><a href="/pl/penalties/">Kary według kraju</a> </td> <td>Grzywny i odpowiedzialność karna w państwach członkowskich</td> </tr> </tbody> </table> <hr> <h2 id="dostępne-w-trakcie-oceny-dostawcy"> Dostępne w trakcie oceny dostawcy <a href="#dost%c4%99pne-w-trakcie-oceny-dostawcy" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Następujące materiały są udostępniane w kontrolowanym trybie ujawnienia, a nie publikowane otwarcie:</p> <ul> <li>Podpisane DPA</li> <li>Odpis rejestrowy oraz potwierdzenie NIP / podatkowe</li> <li>Wypełniony kwestionariusz bezpieczeństwa</li> <li>Podsumowanie uprzywilejowanego dostępu do środowiska produkcyjnego</li> <li>Podsumowanie procedur reagowania na incydenty</li> <li>Odpowiedzi dotyczące ciągłości działania, zakończenia współpracy i eksportu danych klienta</li> <li>Podsumowanie zewnętrznego testu penetracyjnego (gdy jest udokumentowane)</li> </ul> <p>Aby poprosić o te materiały, napisz na <a href="mailto:support@ethicsportal.eu">support@ethicsportal.eu</a> . W sprawach przeglądu bezpieczeństwa napisz na <a href="mailto:security@ethicsportal.eu">security@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/industries/manufacturing/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/industries/manufacturing/Wymagania dotyczące zgłaszania nieprawidłowości dla producentów zgodnie z dyrektywą UE 2019/1937, niemiecką ustawą o łańcuchu dostaw (LkSG) i przyszłą dyrektywą CSDDD.<h1 id="zgodność-w-zakresie-sygnalistów-dla-przemysłu-i-łańcucha-dostaw"> Zgodność w zakresie sygnalistów dla przemysłu i łańcucha dostaw <a href="#zgodno%c5%9b%c4%87-w-zakresie-sygnalist%c3%b3w-dla-przemys%c5%82u-i-%c5%82a%c5%84cucha-dostaw" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Producenci podlegają obowiązkom w zakresie sygnalistów z dwóch kierunków: <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa o ochronie sygnalistów</a> (polska transpozycja Dyrektywy UE 2019/1937) dla zgłoszeń wewnętrznych oraz przepisy dotyczące należytej staranności w łańcuchu dostaw, które wyraźnie wymagają mechanizmów skargowych obejmujących pracowników <em>i</em> osoby trzecie.</p> <h2 id="regulacje-wymagające-kanałów-zgłoszeniowych"> Regulacje wymagające kanałów zgłoszeniowych <a href="#regulacje-wymagaj%c4%85ce-kana%c5%82%c3%b3w-zg%c5%82oszeniowych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong><a href="/pl/whistleblower-laws/poland/">Ustawa o ochronie sygnalistów</a> </strong> — polska transpozycja Dyrektywy UE 2019/1937, ma zastosowanie do wszystkich producentów zatrudniających 50 lub więcej pracowników. Kanały wewnętrzne dla pracowników.</li> <li><strong>Niemiecka ustawa o łańcuchu dostaw (LkSG)</strong> — obowiązuje od stycznia 2023. Wymaga od firm zatrudniających 1 000 lub więcej pracowników (i ich bezpośrednich dostawców) ustanowienia <strong>procedury skargowej</strong> dostępnej dla osób poszkodowanych w łańcuchu dostaw — nie tylko pracowników. <a href="https://www.gesetze-im-internet.de/lksg/__8.html" rel="nofollow">Sekcja 8 LkSG</a> </li> <li><strong>Dyrektywa UE w sprawie należytej staranności (CSDDD)</strong> — przyjęta w 2024, stopniowe wdrażanie od 2027. Wymaga od firm zatrudniających 1 000 lub więcej pracowników i o obrotach powyżej 450 mln € ustanowienia mechanizmów skargowych dla naruszeń praw człowieka i środowiska w łańcuchach wartości.</li> <li><strong>Rozporządzenie UE w sprawie bezpieczeństwa produktów (2023/988)</strong> — wymaga od producentów posiadania kanałów wewnętrznych do zgłaszania problemów z bezpieczeństwem produktów.</li> </ul> <h2 id="lksg-a-dyrektywa-o-ochronie-sygnalistów"> LkSG a dyrektywa o ochronie sygnalistów <a href="#lksg-a-dyrektywa-o-ochronie-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th></th> <th>Dyrektywa o ochronie sygnalistów</th> <th>LkSG</th> </tr> </thead> <tbody> <tr> <td>Kto może zgłaszać</td> <td>Pracownicy, zleceniobiorcy</td> <td>Pracownicy, dostawcy, poszkodowane osoby trzecie</td> </tr> <tr> <td>Zakres</td> <td>Naruszenia prawa UE/krajowego</td> <td>Prawa człowieka, naruszenia środowiskowe w łańcuchu dostaw</td> </tr> <tr> <td>Wymagana anonimowość</td> <td>Zależy od kraju</td> <td>Niewymagana, ale zalecana (wytyczne BAFA)</td> </tr> <tr> <td>Egzekwowanie</td> <td>Krajowe organy ochrony sygnalistów</td> <td>BAFA (Federalny Urząd ds. Gospodarki)</td> </tr> <tr> <td>Kary</td> <td>Zależy od kraju</td> <td>Do 2% rocznego globalnego obrotu</td> </tr> </tbody> </table> <p>Firmy podlegające obu ustawom potrzebują kanału spełniającego oba wymogi — zgłoszenia wewnętrzne <em>i</em> skargi w łańcuchu dostaw. Jeden kanał zgłoszeniowy może obsłużyć oba, jeśli jest odpowiednio skonfigurowany.</p> <h2 id="co-jest-zgłaszane"> Co jest zgłaszane <a href="#co-jest-zg%c5%82aszane" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Naruszenia bezpieczeństwa pracy w zakładach produkcyjnych</li> <li>Niezgodność środowiskowa (emisje, gospodarka odpadami)</li> <li>Praca przymusowa lub warunki wyzysku u dostawców</li> <li>Wady bezpieczeństwa produktów ukrywane przed regulatorami</li> <li>Korupcja w zamówieniach lub relacjach z dostawcami</li> <li>Obchodzenie kontroli eksportu lub sankcji</li> </ul> <h2 id="dlaczego-warto-działać-teraz"> Dlaczego warto działać teraz <a href="#dlaczego-warto-dzia%c5%82a%c4%87-teraz" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>CSDDD rozszerza obowiązki należytej staranności w łańcuchu dostaw na całą UE, nie tylko na Niemcy. Firmy przygotowujące się do zgodności w 2027 roku potrzebują mechanizmów skargowych już teraz. Czekanie oznacza wdrażanie pod presją czasu — ten sam schemat, który doprowadził do ukarania pięciu państw członkowskich za opóźnioną transpozycję dyrektywy.</p> <hr> <p><a href="/pl/pricing/">Uruchom swój kanał zgłoszeniowy →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/industries/financial-services/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/industries/financial-services/Wymagania dotyczące zgłaszania nieprawidłowości dla banków, firm inwestycyjnych i ubezpieczycieli zgodnie z Ustawą o ochronie sygnalistów, MiFID II, MAR i dyrektywami AML.<h1 id="zgodność-w-zakresie-sygnalistów-dla-sektora-finansowego"> Zgodność w zakresie sygnalistów dla sektora finansowego <a href="#zgodno%c5%9b%c4%87-w-zakresie-sygnalist%c3%b3w-dla-sektora-finansowego" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Instytucje finansowe podlegają <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawie o ochronie sygnalistów</a> (polskiej transpozycji Dyrektywy UE 2019/1937) <em>oraz</em> regulacjom sektorowym, które niezależnie wymagają wewnętrznych kanałów zgłoszeniowych. Brak zgodności naraża firmy na kary (w tym sankcje karne do 2 lat pozbawienia wolności za działania odwetowe) oraz kary ze strony KNF.</p> <h2 id="regulacje-wymagające-kanałów-zgłoszeniowych"> Regulacje wymagające kanałów zgłoszeniowych <a href="#regulacje-wymagaj%c4%85ce-kana%c5%82%c3%b3w-zg%c5%82oszeniowych" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong><a href="/pl/whistleblower-laws/poland/">Ustawa o ochronie sygnalistów</a> </strong> — polska transpozycja Dyrektywy UE 2019/1937, ma zastosowanie do wszystkich firm zatrudniających 50 lub więcej pracowników. Wymaga poufnych kanałów zgłoszeniowych, potwierdzenia odbioru w ciągu 7 dni i informacji zwrotnej w ciągu 3 miesięcy.</li> <li><strong>MiFID II (2014/65/UE)</strong> — artykuł 73 wymaga, aby firmy inwestycyjne posiadały procedury umożliwiające pracownikom zgłaszanie potencjalnych naruszeń wewnętrznie. Krajowe organy nadzoru egzekwują to niezależnie od dyrektywy o ochronie sygnalistów.</li> <li><strong>Rozporządzenie w sprawie nadużyć na rynku (UE 596/2014)</strong> — artykuł 32 wymaga, aby państwa członkowskie ustanowiły mechanizmy zgłaszania rzeczywistych lub potencjalnych nadużyć rynkowych. Firmy muszą zapewnić kanały wewnętrzne, aby pracownicy mogli zgłaszać zanim zwrócą się do regulatorów.</li> <li><strong>Dyrektywy AML (AMLD 4/5/6)</strong> — wymagają wewnętrznych procedur zgłaszania podejrzanych transakcji. Nadchodzący pakiet AMLD (2024) wzmacnia ochronę sygnalistów w zakresie zgłoszeń AML.</li> <li><strong>Solvency II (2009/138/WE)</strong> — artykuł 71 wymaga od ubezpieczycieli utrzymywania procedur zgłoszeniowych.</li> </ul> <h2 id="regulatorzy-sektorowi-z-uprawnieniami-do-nakładania-kar"> Regulatorzy sektorowi z uprawnieniami do nakładania kar <a href="#regulatorzy-sektorowi-z-uprawnieniami-do-nak%c5%82adania-kar" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Kraj</th> <th>Regulator</th> <th>Zakres</th> </tr> </thead> <tbody> <tr> <td>Niemcy</td> <td>BaFin</td> <td>Bankowość, ubezpieczenia, papiery wartościowe</td> </tr> <tr> <td>Francja</td> <td>AMF / ACPR</td> <td>Rynki / bankowość i ubezpieczenia</td> </tr> <tr> <td>Holandia</td> <td>AFM / DNB</td> <td>Rynki / nadzór ostrożnościowy</td> </tr> <tr> <td>Włochy</td> <td>Consob / Banca d’Italia</td> <td>Rynki / bankowość</td> </tr> <tr> <td>Hiszpania</td> <td>CNMV</td> <td>Rynki papierów wartościowych</td> </tr> <tr> <td>Polska</td> <td>KNF</td> <td>Wszystkie sektory finansowe</td> </tr> <tr> <td>Irlandia</td> <td>Central Bank of Ireland</td> <td>Wszystkie sektory finansowe</td> </tr> </tbody> </table> <p>Regulatorzy ci mogą nakładać kary niezależnie od krajowych organów ochrony sygnalistów.</p> <h2 id="co-jest-zgłaszane"> Co jest zgłaszane <a href="#co-jest-zg%c5%82aszane" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Manipulacja rynkowa i wykorzystywanie informacji poufnych</li> <li>Nieprawidłowości w procedurach AML/KYC</li> <li>Misselling produktów finansowych</li> <li>Obchodzenie sankcji</li> <li>Nieautoryzowane transakcje lub przekroczenie limitów ryzyka</li> <li>Konflikty interesów w rolach doradczych</li> </ul> <h2 id="dlaczego-dedykowany-kanał-jest-niezbędny"> Dlaczego dedykowany kanał jest niezbędny <a href="#dlaczego-dedykowany-kana%c5%82-jest-niezb%c4%99dny" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Pracownicy sektora finansowego, którzy zgłaszają poprzez ogólne kanały HR, ryzykują, że ich zgłoszenie trafi do osoby odpowiedzialnej za naruszenie. Artykuł 9 dyrektywy wymaga kanałów chroniących poufność i zapobiegających konfliktom interesów — kluczowe w organizacjach, w których zgodność, trading i zarząd się pokrywają.</p> <hr> <p><a href="/pl/pricing/">Uruchom swój kanał zgłoszeniowy →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/industries/public-sector/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/industries/public-sector/Wymagania dotyczące zgłaszania nieprawidłowości dla gmin, urzędów i instytucji publicznych zgodnie z Ustawą o ochronie sygnalistów. Brak progu 50 pracowników.<h1 id="zgodność-w-zakresie-sygnalistów-dla-sektora-publicznego"> Zgodność w zakresie sygnalistów dla sektora publicznego <a href="#zgodno%c5%9b%c4%87-w-zakresie-sygnalist%c3%b3w-dla-sektora-publicznego" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p>Podmioty sektora publicznego mają surowsze obowiązki niż firmy prywatne. Zgodnie z <a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawą o ochronie sygnalistów</a> i Dyrektywą UE 2019/1937 <strong>wszystkie organizacje sektora publicznego muszą ustanowić wewnętrzne kanały zgłoszeniowe</strong> — nie ma minimalnego progu 50 pracowników.</p> <h2 id="jak-dyrektywa-stosuje-się-inaczej"> Jak dyrektywa stosuje się inaczej <a href="#jak-dyrektywa-stosuje-si%c4%99-inaczej" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Wymóg</th> <th>Sektor prywatny</th> <th>Sektor publiczny</th> </tr> </thead> <tbody> <tr> <td>Próg zatrudnienia</td> <td>50 lub więcej pracowników</td> <td><strong>Brak progu</strong> (wszystkie podmioty)</td> </tr> <tr> <td>Termin</td> <td>Grudzień 2023 dla podmiotów 50–249 pracowników</td> <td>Grudzień 2021 (większość państw członkowskich)</td> </tr> <tr> <td>Wspólne kanały</td> <td>Dozwolone dla gmin poniżej 10 000 mieszkańców</td> <td>Dozwolone dla gmin poniżej 10 000 mieszkańców</td> </tr> <tr> <td>Zgłoszenia anonimowe</td> <td>Zależy od kraju</td> <td>Obowiązkowe w niektórych państwach członkowskich</td> </tr> </tbody> </table> <p>Artykuł 8(9) dyrektywy pozwala gminom poniżej 10 000 mieszkańców lub poniżej 50 pracowników na współdzielenie kanałów zgłoszeniowych. To jedyny wyjątek — wszystkie pozostałe podmioty publiczne muszą prowadzić własny kanał.</p> <h2 id="różnice-krajowe"> Różnice krajowe <a href="#r%c3%b3%c5%bcnice-krajowe" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li><strong>Niemcy (HinSchG)</strong> — wszyscy pracodawcy publiczni muszą ustanowić kanały wewnętrzne. Kary od 20 000 do 50 000 € za brak zgodności (do 500 000 € dla osób prawnych).</li> <li><strong>Francja (Loi Waserman)</strong> — wszystkie podmioty publiczne są objęte. Sygnaliści mogą zgłaszać bezpośrednio do organów zewnętrznych bez konieczności korzystania z kanałów wewnętrznych.</li> <li><strong>Polska</strong> — wszystkie podmioty publiczne są objęte. Procedury wewnętrzne wymagane od 1 stycznia 2025.</li> <li><strong>Hiszpania (Ley 2/2023)</strong> — wszystkie podmioty publiczne są objęte bez względu na wielkość. Kary do 1 000 000 €.</li> </ul> <h2 id="co-jest-zgłaszane"> Co jest zgłaszane <a href="#co-jest-zg%c5%82aszane" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <ul> <li>Sprzeniewierzenie funduszy publicznych lub oszustwa zamówieniowe</li> <li>Konflikty interesów przy udzielaniu zamówień</li> <li>Naruszenia środowiskowe w robotach publicznych</li> <li>Zaniedbania bezpieczeństwa pracy w obiektach publicznych</li> <li>Naruszenia ochrony danych osobowych obywateli</li> <li>Nadużycie władzy</li> </ul> <h2 id="dlaczego-gminy-są-zagrożone"> Dlaczego gminy są zagrożone <a href="#dlaczego-gminy-s%c4%85-zagro%c5%bcone" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Większość dużych urzędów dysponuje infrastrukturą zgodności. Gminy i mniejsze podmioty publiczne często nie. Zakładają, że dyrektywa ich nie dotyczy, bo zatrudniają mniej niż 50 osób. To błąd. Kanał zgłoszeniowy dla gminy może być uruchomiony w kilka minut — bez procedury zamówień publicznych i bez integracji IT.</p> <hr> <p><a href="/pl/pricing/">Uruchom swój kanał zgłoszeniowy →</a> </p>support@ethicsportal.eu (EthicsPortal)https://ethicsportal.eu/pl/directive-coverage/Mon, 01 Jan 0001 00:00:00 +0000https://ethicsportal.eu/pl/directive-coverage/Jak EthicsPortal spełnia każdy wymóg Ustawy o ochronie sygnalistów (polska transpozycja Dyrektywy UE 2019/1937) i RODO w zakresie ochrony sygnalistów.<h1 id="zgodność-z-ustawą-o-ochronie-sygnalistów-i-dyrektywą-ue-20191937"> Zgodność z Ustawą o ochronie sygnalistów i dyrektywą UE 2019/1937 <a href="#zgodno%c5%9b%c4%87-z-ustaw%c4%85-o-ochronie-sygnalist%c3%b3w-i-dyrektyw%c4%85-ue-20191937" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h1> <p><a href="https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20240000928" rel="nofollow">Ustawa z dnia 14 czerwca 2024 r. o ochronie sygnalistów</a> (<a href="https://sip.lex.pl/akty-prawne/dzu-dziennik-ustaw/ochrona-sygnalistow-21988763" rel="nofollow">zobacz w SIP LEX</a> ) transponuje do polskiego prawa Dyrektywę UE 2019/1937 o ochronie osób zgłaszających naruszenia prawa. Ustawa obowiązuje od 25 września 2024 r.</p> <p>EthicsPortal jest zbudowany tak, aby zapewnić zgodność Twojej organizacji z Ustawą o ochronie sygnalistów i RODO. Każda funkcja odpowiada bezpośrednio wymogowi prawnemu — bez zbędnych dodatków, bez dosprzedaży.</p> <p>Niniejsza strona stanowi mapę wymóg-funkcjonalność: każdy artykuł dyrektywy jest powiązany z konkretną funkcją EthicsPortal, która go spełnia. W kwestii tego, jak EthicsPortal interpretuje niejednoznaczne przepisy tych artykułów — próg 50 pracowników, „należyte działania następcze", uzasadnienia okresów przechowywania, podstawa prawna RODO, pierwszeństwo prawa krajowego — zapoznaj się z odrębną <a href="/pl/directive-interpretations/">metodologią</a> .</p> <p>Ostatnia aktualizacja: 2026-05-17.</p> <hr> <h2 id="1-specyfika-polskiego-prawa-ustawa-o-ochronie-sygnalistów"> §1. Specyfika polskiego prawa (Ustawa o ochronie sygnalistów) <a href="#1-specyfika-polskiego-prawa-ustawa-o-ochronie-sygnalist%c3%b3w" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Polska ustawa wprowadza szereg istotnych przepisów:</p> <ul> <li><strong>Sankcje karne</strong> — utrudnianie zgłoszenia grozi grzywną do 1 080 000 zł lub karą pozbawienia wolności do roku; działania odwetowe grożą karą pozbawienia wolności do 2 lat</li> <li><strong>Procedury wewnętrzne</strong> — obowiązek wdrożenia procedur zgłoszeń wewnętrznych do 1 stycznia 2025 r. dla pracodawców z 50+ pracownikami</li> <li><strong>Rzecznik Praw Sygnalistów</strong> — niezależny organ ochrony sygnalistów rozpocznie działalność 1 września 2025 r.</li> <li><strong>Ujawnienie tożsamości</strong> — ujawnienie tożsamości sygnalisty grozi grzywną, ograniczeniem wolności lub pozbawieniem wolności do roku</li> </ul> <hr> <h2 id="2-kanały-zgłoszeniowe-art-8"> §2. Kanały zgłoszeniowe (Art. 8) <a href="#2-kana%c5%82y-zg%c5%82oszeniowe-art-8" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Organizacje zatrudniające 50 lub więcej pracowników muszą ustanowić bezpieczne wewnętrzne kanały zgłoszeniowe.</p> <table> <thead> <tr> <th>Wymóg</th> <th>Jak EthicsPortal go realizuje</th> </tr> </thead> <tbody> <tr> <td>Bezpieczny kanał zgłoszeniowy</td> <td>Szyfrowany portal internetowy z unikalnym adresem URL dla każdej organizacji</td> </tr> <tr> <td>Poufność tożsamości zgłaszającego</td> <td>Pełne szyfrowanie wszystkich danych osobowych, brak logowania IP, automatyczne usuwanie metadanych z przesłanych plików</td> </tr> <tr> <td>Dostępność dla wszystkich pracowników</td> <td>Portal internetowy działa na każdym urządzeniu, nie wymaga instalacji aplikacji ani zakładania konta</td> </tr> <tr> <td>Możliwość dostosowania do organizacji</td> <td>Konfigurowalne kategorie, logo i wiadomość powitalna</td> </tr> </tbody> </table> <hr> <h2 id="3-procedury-zgłoszeniowe-art-9"> §3. Procedury zgłoszeniowe (Art. 9) <a href="#3-procedury-zg%c5%82oszeniowe-art-9" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Wymóg</th> <th>Artykuł</th> <th>Jak EthicsPortal go realizuje</th> </tr> </thead> <tbody> <tr> <td>Wyznaczenie bezstronnej osoby lub działu</td> <td><a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-9" target="_blank" rel="noopener noreferrer">Art. 9(1)(c)</a> </td> <td>System przypisywania spraw z kontrolą dostępu opartą na rolach — tylko upoważnieni prowadzący widzą zgłoszenia</td> </tr> <tr> <td>Potwierdzenie otrzymania w ciągu 7 dni</td> <td><a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-9" target="_blank" rel="noopener noreferrer">Art. 9(1)(b)</a> </td> <td>Automatyczne śledzenie terminów z powiadomieniami e-mail do prowadzących, gdy zbliża się lub mija 7-dniowy termin</td> </tr> <tr> <td>Należyte działania następcze podejmowane przez wyznaczoną osobę</td> <td><a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-9" target="_blank" rel="noopener noreferrer">Art. 9(1)(d)</a> </td> <td>Zarządzanie sprawami z przepływem statusów (otrzymano, potwierdzono, w trakcie badania, zamknięto), notatki wewnętrzne do współpracy prowadzących oraz pełny dziennik audytu</td> </tr> <tr> <td>Przekazanie informacji zwrotnej w ciągu 3 miesięcy</td> <td><a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-9" target="_blank" rel="noopener noreferrer">Art. 9(1)(f)</a> </td> <td>Automatyczne śledzenie 3-miesięcznego terminu z alertami o zaległościach dla wszystkich administratorów organizacji. Zgłaszający widzą harmonogram na portalu i mogą sprawdzać status w dowolnym momencie za pomocą kodu dostępu</td> </tr> <tr> <td>Umożliwienie zgłoszeń ustnych (telefonicznie, przez pocztę głosową lub na spotkaniu na żądanie)</td> <td><a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-9" target="_blank" rel="noopener noreferrer">Art. 9(2)</a> </td> <td>Konfigurowalny numer telefonu wyświetlany na portalu; prowadzący mogą rejestrować zgłoszenia telefoniczne, osobiste i listowne bezpośrednio w systemie</td> </tr> <tr> <td>Poinformowanie o możliwości zgłoszenia zewnętrznego</td> <td><a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-9" target="_blank" rel="noopener noreferrer">Art. 9(1)(g)</a> </td> <td>Portal wyświetla informację o prawie zgłaszającego do kontaktu z Rzecznikiem Praw Sygnalistów i innymi właściwymi organami, zgodnie z Ustawą o ochronie sygnalistów</td> </tr> </tbody> </table> <hr> <h2 id="4-zakres-ochrony-art-4"> §4. Zakres ochrony (Art. 4) <a href="#4-zakres-ochrony-art-4" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Dyrektywa chroni nie tylko pracowników, ale także wykonawców, dostawców, udziałowców i inne osoby trzecie.</p> <p>EthicsPortal wyświetla na portalu jasną informację, że zgłaszanie jest dostępne dla pracowników, wykonawców, dostawców i wszelkich innych osób trzecich.</p> <hr> <h2 id="5-zakaz-działań-odwetowych-art-6-1921"> §5. Zakaz działań odwetowych (Art. 6, 19–21) <a href="#5-zakaz-dzia%c5%82a%c5%84-odwetowych-art-6-1921" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Zgłaszający muszą być poinformowani, że działania odwetowe są zabronione prawem.</p> <p>EthicsPortal wyświetla informację o zakazie działań odwetowych na każdej stronie portalu, powołując się na Ustawę o ochronie sygnalistów, przed wysłaniem zgłoszenia.</p> <hr> <h2 id="6-poufność-tożsamości-art-16"> §6. Poufność tożsamości (Art. 16) <a href="#6-poufno%c5%9b%c4%87-to%c5%bcsamo%c5%9bci-art-16" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Wymóg</th> <th>Jak EthicsPortal go realizuje</th> </tr> </thead> <tbody> <tr> <td>Tożsamość nie jest ujawniana poza upoważnionym personelem</td> <td>Kontrola dostępu oparta na rolach — tylko administratorzy, główny prowadzący oraz wprost dodani uczestnicy (np. dział prawny, HR) mogą przeglądać zgłoszenie. Prowadzący niebędący administratorami widzą tylko sprawy im przypisane lub te, do których zostali dodani jako uczestnicy</td> </tr> <tr> <td>Anonimowość prowadzącego wobec zgłaszającego</td> <td>Sygnaliści widzą w wiadomościach „Osoba prowadząca sprawę", nigdy prawdziwe imię i nazwisko ani adres e-mail prowadzącego</td> </tr> <tr> <td>Szyfrowanie danych wrażliwych</td> <td>Imiona i nazwiska zgłaszających, dane kontaktowe, opisy zgłoszeń i treści wiadomości są szyfrowane w spoczynku przy użyciu szyfrowania niedeterministycznego</td> </tr> </tbody> </table> <p><strong>Brak przetwarzania treści zgłoszeń przez AI.</strong> Poufność wynikająca z <a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-16" target="_blank" rel="noopener noreferrer">Art. 16</a> obejmuje również to, <em>które strony trzecie</em> widzą zgłoszenie. EthicsPortal nie przesyła treści zgłoszeń, tożsamości sygnalistów ani korespondencji w sprawach do żadnego dużego modelu językowego ani usługi wnioskowania AI — ani w celu kategoryzacji, ani streszczenia, ani tłumaczenia. Żaden dostawca AI (OpenAI, Anthropic, Google, Mistral ani inny) nie jest podwykonawcą przetwarzania. To usuwa całą kategorię ujawnień dotyczących podwykonawców z Państwa umowy DPA oraz wyklucza rozważania wynikające z <a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-22" target="_blank" rel="noopener noreferrer">Art. 22</a> (zautomatyzowane podejmowanie decyzji) z Państwa oceny skutków (DPIA). Patrz <a href="/pl/subprocessors/">lista podwykonawców</a> i odpowiedni wpis.</p> <p>Dwa dodatkowe powody, dla których jest to decyzja na poziomie poufności, a nie preferencja funkcjonalna:</p> <ul> <li><strong>Brak halucynacji w łańcuchu dowodów zgodności.</strong> Duże modele językowe generują wynik probabilistyczny. Streszczenie mówiące „to zgłoszenie nie wydaje się pilne" jest prawdopodobieństwem, nie faktem, i nie da się go odtworzyć ani zweryfikować w toku audytu. EthicsPortal zapisuje wykonawcę, działanie i znacznik czasu w sposób deterministyczny — dziennik audytu jest dowodem, nie domysłem.</li> <li><strong>Brak powierzchni ataku typu prompt injection na zgłoszenia.</strong> Dane wprowadzane przez sygnalistów są z definicji niezaufane. Przekazywanie ich do LLM tworzy nową klasę ataków, w której instrukcje ukryte w treści zgłoszenia mogą manipulować wynikiem widocznym dla prowadzących sprawy (proponowane odpowiedzi, streszczenia, kategoryzacja). EthicsPortal całkowicie eliminuje tę powierzchnię, ponieważ w ogóle nie wykonuje wnioskowania na treści zgłoszeń.</li> </ul> <hr> <h2 id="7-prowadzenie-rejestrów-art-18"> §7. Prowadzenie rejestrów (Art. 18) <a href="#7-prowadzenie-rejestr%c3%b3w-art-18" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Wymóg</th> <th>Jak EthicsPortal go realizuje</th> </tr> </thead> <tbody> <tr> <td>Prowadzenie rejestrów każdego zgłoszenia</td> <td>Kompletny dziennik audytu wszystkich akcji: zgłoszenia, zmiany statusu, wiadomości, przypisania i wyświetlenia zgłoszeń</td> </tr> <tr> <td>Bezpieczne przechowywanie rejestrów</td> <td>Wszystkie wrażliwe pola szyfrowane w spoczynku</td> </tr> <tr> <td>Możliwość odtworzenia rejestrów</td> <td>Pełny eksport sprawy do PDF, w tym metadane, wątek wiadomości, lista załączników i dziennik audytu. Raport zgodności na poziomie organizacji w formacie PDF dostępny dla audytorów — zawiera listę kontrolną dyrektywy, metryki SLA i podsumowanie ochrony danych bez ujawniania wrażliwych danych zgłoszeń</td> </tr> <tr> <td>Usuwanie rejestrów, gdy nie są już potrzebne</td> <td>Konfigurowalny okres przechowywania danych (12, 24, 36 lub 60 miesięcy) z automatycznym usuwaniem wygasłych zamkniętych zgłoszeń</td> </tr> </tbody> </table> <hr> <h2 id="8-zgodność-z-rodo"> §8. Zgodność z RODO <a href="#8-zgodno%c5%9b%c4%87-z-rodo" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Wymóg</th> <th>Artykuł</th> <th>Jak EthicsPortal go realizuje</th> </tr> </thead> <tbody> <tr> <td>Podstawa prawna przetwarzania</td> <td>Art. 6(1)(c)</td> <td>Przetwarzanie jest niezbędne do spełnienia wymogów dyrektywy UE 2019/1937</td> </tr> <tr> <td>Informacja o przetwarzaniu danych</td> <td>Art. 13/14</td> <td>Informacja o ochronie prywatności wyświetlana w formularzu zgłoszenia przed wysłaniem</td> </tr> <tr> <td>Minimalizacja danych</td> <td>Art. 5(1)(c)</td> <td>Zbierane są tylko niezbędne dane; imię i nazwisko oraz dane kontaktowe zgłaszającego są opcjonalne</td> </tr> <tr> <td>Ograniczenie przechowywania</td> <td>Art. 5(1)(e)</td> <td>Konfigurowalny okres przechowywania dla każdej organizacji z automatycznym usuwaniem</td> </tr> <tr> <td>Integralność i poufność</td> <td>Art. 5(1)(f)</td> <td>Szyfrowanie w spoczynku dla wszystkich wrażliwych danych; brak logowania IP na trasach portalu; automatyczne usuwanie metadanych plików</td> </tr> <tr> <td>Prawo do usunięcia</td> <td>Art. 17</td> <td>Automatyczne usuwanie na podstawie okresu przechowywania; ręczne usuwanie dostępne dla administratorów</td> </tr> </tbody> </table> <hr> <h2 id="9-środki-bezpieczeństwa"> §9. Środki bezpieczeństwa <a href="#9-%c5%9brodki-bezpiecze%c5%84stwa" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <table> <thead> <tr> <th>Środek</th> <th>Szczegóły</th> </tr> </thead> <tbody> <tr> <td>Szyfrowanie w spoczynku</td> <td>Wszystkie opisy zgłoszeń, imiona i nazwiska zgłaszających, dane kontaktowe i treści wiadomości są szyfrowane przy użyciu szyfrowania niedeterministycznego</td> </tr> <tr> <td>Brak logowania IP</td> <td>Adresy IP zgłaszających nigdy nie są przechowywane — limitowanie żądań wykorzystuje nieodwracalne jednokierunkowe hasze</td> </tr> <tr> <td>Usuwanie metadanych plików</td> <td>Dane EXIF (współrzędne GPS, model aparatu, informacje o autorze) są automatycznie usuwane z przesłanych zdjęć przed zapisem</td> </tr> <tr> <td>Anonimowa tożsamość prowadzącego</td> <td>Sygnaliści nigdy nie widzą prawdziwego imienia prowadzącego — wiadomości wyświetlają „Osoba prowadząca sprawę"</td> </tr> <tr> <td>Limitowanie żądań</td> <td>Publiczne endpointy portalu są objęte limitami zapobiegającymi nadużyciom</td> </tr> <tr> <td>Kontrola dostępu</td> <td>Uprawnienia oparte na rolach zapewniają, że tylko upoważnieni prowadzący mogą przeglądać zgłoszenia; prowadzący niebędący administratorami widzą tylko sprawy im przypisane lub te, do których zostali dodani jako uczestnicy</td> </tr> <tr> <td>Dziennik audytu</td> <td>Każda akcja jest rejestrowana ze znacznikiem czasu, tożsamością wykonawcy i typem akcji — tylko do dopisywania i zawsze dostępny do przeglądu regulacyjnego</td> </tr> </tbody> </table> <hr> <h2 id="10-co-twoja-organizacja-musi-jeszcze-zrobić"> §10. Co Twoja organizacja musi jeszcze zrobić <a href="#10-co-twoja-organizacja-musi-jeszcze-zrobi%c4%87" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>EthicsPortal obsługuje wymagania techniczne. Twoja organizacja jest odpowiedzialna za:</p> <ul> <li><strong>Wyznaczenie inspektora ds. zgłoszeń</strong> — przypisz co najmniej jedną osobę odpowiedzialną za obsługę zgłoszeń</li> <li><strong>Politykę wewnętrzną</strong> — przyjmij politykę ochrony sygnalistów i zakomunikuj ją pracownikom</li> <li><strong>Szkolenia</strong> — upewnij się, że wyznaczeni prowadzący rozumieją obowiązki zachowania poufności</li> <li><strong>Egzekwowanie zakazu działań odwetowych</strong> — upewnij się, że kadra zarządzająca rozumie, że działania odwetowe stanowią naruszenie prawa</li> <li><strong>Zgoda na ujawnienie tożsamości</strong> — jeśli tożsamość zgłaszającego musi zostać ujawniona poza upoważnionymi prowadzącymi (np. organom ścigania), należy najpierw uzyskać wyraźną zgodę zgłaszającego (<a href="https://sip.lex.pl/akty-prawne/dzienniki-UE/dyrektywa-2019-1937-w-sprawie-ochrony-osob-zglaszajacych-naruszenia-69247962/art-16" target="_blank" rel="noopener noreferrer">Art. 16(2)</a> )</li> <li><strong>Informowanie pracowników</strong> — udostępnij adres URL portalu pracownikom (EthicsPortal zapewnia link do udostępnienia i kod QR)</li> </ul> <hr> <h2 id="pytania"> Pytania? <a href="#pytania" class="ml-1 text-base-content/30 hover:text-base-content/60 no-underline" aria-label="Link to this section">#</a> </h2> <p>Administratorzy mogą pobrać <strong>raport zgodności w formacie PDF</strong> bezpośrednio ze strony ustawień portalu. Zawiera on pełną listę kontrolną Ustawy o ochronie sygnalistów i Dyrektywy UE 2019/1937, metryki SLA, środki ochrony danych i podsumowanie dziennika audytu — gotowy do przekazania audytorowi bez ujawniania wrażliwych danych zgłoszeń.</p> <p>Szczegółowe informacje o polskim prawie znajdziesz na naszej <a href="/pl/whistleblower-laws/poland/">stronie poświęconej polskiej legislacji</a> .</p> <p>W kwestii tego, jak EthicsPortal interpretuje niejednoznaczne przepisy dyrektywy (próg 50 pracowników, „należyte działania następcze", uzasadnienia okresów przechowywania, podstawa prawna RODO), zapoznaj się z <a href="/pl/directive-interpretations/">metodologią</a> .</p> <p>Jeśli potrzebujesz pomocy w wykazaniu zgodności przed zespołem prawnym lub regulatorem, skontaktuj się z nami pod adresem <a href="mailto:legal@ethicsportal.eu">legal@ethicsportal.eu</a> .</p>support@ethicsportal.eu (EthicsPortal)