Czy anonimowy email chroni tożsamość nadawcy? Jeśli udostępniasz w firmie specjalny adres email, na który Twoi pracownicy mogą wysłać zgłoszenie o niepokojącym zjawisku, którego byli uczestnikiem/świadkiem, pamiętaj o jednym. Taka forma w żaden sposób nie chroni tożsamości sygnalisty!
Zacznijmy od początku. Co to jest whistleblowing?
Whistleblower czyli polski sygnalista to osoba, która działając w interesie organizacji, ujawnia procedery niezgodne z prawem. Terminem whistleblowing – w wolnym tłumaczeniu bicie na alarm, dmuchanie w gwizdek – określa się czynność, czyli właśnie takie zgłoszenie.
Gdzie można bić na alarm?
Zgodnie z nowym prawem, sygnalista może zgłosić nieprawidłowość korzystając z kanału wewnętrznego (firmowego). Może też sygnalizować do organów państwowych lub ujawnić łamanie prawa publicznie.
Kanał firmowy muszą wdrożyć instytucje finansowe, związane z ochroną środowiska i bezpieczeństwem transportu. Taką powinność mają także przedsiębiorstwa i instytucje publiczne zatrudniające powyżej 50 osób. To wynik tzw. Dyrektywy o ochronie sygnalistów i innych aktów prawa krajowego.
Wróćmy do emaila udostępnionego dla pracowników, którzy chcieliby zgłosić nieprawidłowości albo podzielić się swoimi przemyśleniami na temat organizacji. Uwaga, taki kanał w żaden sposób nie chroni tożsamości sygnalisty!
Dlaczego anonimowy email nie chroni tożsamość nadawcy?
Ponieważ w prosty sposób można odkryć tożsamość nadawcy na podstawie IP. Adres IP nadawcy pozyskujemy od administratora serwera pocztowego (jest to możliwe do ustalenia dzięki posiadanej dacie i godzinie wysłania listu). Ta informacja pomaga nam ustalić dostawcę usługi internetowej, a dostawcę wystarczy zapytać, do kogo należy wskazany adres IP. I gotowe. (Mówimy oczywiście o standardowym użytkowniku Internetu, nie Kevinie Mitnicku😉 ).
Jak chronimy tożsamość nadawcy czyli dlaczego Sygnanet jest inny?
Naszym celem było stworzenie takiego narzędzia do komunikacji, które ochroni tożsamość sygnalisty. Jak tam się to udało? Wykorzystaliśmy nasz system do szyfrowania dokumentów i dodaliśmy kilka zabezpieczeń.
Używamy serwer proxy anonimizujący kontakty z serwisem SYGNANET (nie tworzy logów kontaktów czyli nie rejestruje danych o transmisji do niego i anonimizuje przekazane dane czyli usuwa dane identyfikujące nadawcę).
Serwer SYGNANET nie rejestruje danych o odbieranych oraz wysyłanych transmisjach i podmienia IP na inny.
Nie pobieramy żadnych danych od sygnalisty.
Zgłoszenie sygnalisty jest przekazywane na serwer i dopiero tam tworzona jest widomość wysyłana do firmy.
Treść zgłoszenia wraz z załącznikami jest szyfrowana i w takiej formie wysyłana do odbiorcy zgłoszeń (oraz później archiwizowana na koncie firmowym).
Wiadomość od firmy jest wysyłana na serwer, a nie bezpośrednio do sygnalisty, dlatego możliwa jest dalsza komunikacja pomiędzy stronami bez ujawniania tożsamości sygnalisty.
A do tego wszystkiego wszystkie dane na serwerze są haszowane i nie można ich odszyfrować bez klucza zabezpieczonego hasłem, a klucz posiada tylko odbiorca zgłoszeń – my nie mamy do tych danych dostępu.
Jeśli chcecie się dowiedzieć więcej na temat tego jak chronimy tożsamość sygnalisty, zajrzyjcie tutaj > https://sygnanet.pl/pl/jak-chronimy-sygnalistow.
Po co tyle zachodu?
Pracownicy nie chcą zgłaszać nieprawidłowości, ponieważ boją się konsekwencji (działań odwetowych ze strony przełożonego). Taka sytuacja nikomu nie służy. Pracodawca nie wie, co dzieje się w jego organizacji. Pracownik zamiast załatwić sprawę wewnętrznie, opisuje sprawę na forach internetowych, w mediach społecznościowych lub od razu kieruje się do Państwowej Inspekcji Pracy albo prasy/telewizji. Chcieliśmy to zmienić.
Anonimowe narzędzie pozwala pokonać barierę strachu oraz stawia pracownika i pracodawcę w sytuacji win-win. A do tego spełnia wszystkie wymogi ustawowe – m.in. chroni tożsamość sygnalisty, pozwala na dalszą korespondencję pomiędzy stronami i bezpieczne przechowywanie zgłoszeń oraz dokumentacji w formie szyfrowanej.
Dlaczego już teraz warto zrezygnować ze starych praktyk?
Organizacje chcące tworzyć przyjazne środowisko pracy, na pewno już szukają rozwiązań, które umożliwią komfortową komunikację pracownik-pracodawca. A pozostali?
Instytucje, które nie wdrożyły odpowiedniego kanału powinny mieć na uwadze kary wynikające z aktów polskiego prawa. Np. ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu wspomina m.in. o cofnięciu koncesji lub zezwolenia albo wykreśleniu z rejestru działalności regulowanej.