Poniżej prezentujemy wyniki badania do którego zaprosiliśmy autorów 34 aplikacji dla sygnalistów, czyli wszystkich dostępnych w polskiej wersji językowej na dzień 5 kwietnia 2022 r. Gratulujemy autorom aplikacji, które znalazły się w naszym TOP 10. Nasz ranking ma służyć przede wszystkim promocji bezpiecznych platform do zgłaszania przez sygnalistów naruszeń prawa. Wszystkie aplikacje, które się w nim znajdują, spełniają wymogi Dyrektywy (UE) 2019/1937 oraz określone kryteria w zakresie bezpieczeństwa i ochrony tożsamości sygnalisty. Tworząc ranking, pragnęliśmy w ten sposób stworzyć użyteczną platformę do zapoznania się z aplikacjami, które z pełnym przekonaniem możemy polecić i spośród których każda organizacja może wybrać najlepsze dla siebie rozwiązanie.
| Aplikacja |  |
 |
 |
 |
 |
 |
 |
 |
 |
 |
|---|---|---|---|---|---|---|---|---|---|---|
| Liczba punktów |
94 Opis aplikacji |
94 Opis aplikacji |
93 Opis aplikacji |
93 Opis aplikacji |
92 Opis aplikacji |
92 Opis aplikacji |
91 Opis aplikacji |
90 Opis aplikacji |
89 Opis aplikacji |
89 Opis aplikacji |
| Bezpłatny test aplikacji | Test | Test | Test | Test | Test | Test | Test | Test | Test | Test |
| Wybrane kryteria | ||||||||||
| Zgodność z Dyrektywą o ochronie sygnalistów | ||||||||||
| Zapewnienie poufności sygnalisty | ||||||||||
| Zapewnienie anonimowości – opcjonalnie | ||||||||||
| Wieloetapowe uwierzytelnienie | ||||||||||
| Szyfrowanie zgłoszeń | ||||||||||
| Indywidualne kody dostępu do zgłoszeń | ||||||||||
| Dane przechowywane na terenie UE | ||||||||||
| Ochrona przed złośliwym oprogramowaniem | ||||||||||
| Wersja mobilna | ||||||||||
| Zgłoszenia również z sieci TOR | ||||||||||
| Łatwość użytkowania | ||||||||||
| Rejestr zgłoszeń i dokumentów | ||||||||||
| Deklarowany certyfikat ISO 27001 | ||||||||||
| Wielojęzyczny interfejs | ||||||||||
| Łatwa konfiguracja aplikacji | ||||||||||
| Wsparcie wdrożeniowe i powdrożeniowe | ||||||||||
| Oferowana w modelu SaaS | ||||||||||
| Uruchomienie na serwerze klienta* | ||||||||||
| Bezpłatny test aplikacji | Test | Test | Test | Test | Test | Test | Test | Test | Test | Test |
| Pełny opis aplikacji | Opis aplikacji | Opis aplikacji | Opis aplikacji | Opis aplikacji | Opis aplikacji | Opis aplikacji | Opis aplikacji | Opis aplikacji | Opis aplikacji | Opis aplikacji |
*W trakcie badania niektóre firmy deklarowały, że w ich przypadku możliwe jest opcjonalne uruchomienie aplikacji na serwerze klienta, zaś pozostałe zrezygnowały z tej opcji, zwracając uwagę na wiążące się z tym zagrożenia anonimowości i komplikacje techniczno-organizacyjne. Biorąc pod uwagę plusy i minusy takiego rozwiązania, uznaliśmy to kryterium za neutralne, które nie powinno mieć wpływu na klasyfikację.
Opracowaliśmy zestaw 10 kategorii oraz pomocniczych kryteriów, dzięki którym możliwe było przeprowadzenie rzetelnego badania
Aplikacje były testowane przez naszych ekspertów w zakresie prawnym ochrony danych osobowych oraz, bezpieczeństwa IT. Nasze badanie polegało na analizowaniu poszczególnych aplikacji, zarówno od strony sygnalisty zgłaszającego naruszenie, jak i administratorów (koordynatorów, case managerów, compliance oficerów…) zarządzających zgłoszeniami i samą aplikacją. Interesowało nas także jak organizowane są tzw. działania następcze po otrzymaniu zgłoszenia. Każda aplikacja była nam prezentowana przez jej autorów. Dzięki temu mogliśmy dowiedzieć się więcej, m.in. jak przebiega procedura wdrożenia aplikacji. Staraliśmy się stosować przy ocenie jak najmniej tzw. miękkich kryteriów, bazując na metodzie zero-jedynkowej, a jednocześnie maksymalnie szczegółowo opisać każdą aplikację, aby każdy potencjalny użytkownik mógł wyrobić sobie własne zdanie na jej temat. Poniższa klasyfikacja ma więc jedynie zadanie pomocnicze w tym względzie, zwłaszcza, że różnice punktowe pomiędzy aplikacjami są niewielkie i wynikają czasem z przyjętej strategii ofertowej. W przypadku równej liczby punktów kolejność prezentowania aplikacji została ustalona według rekomendacji ODO 24.
Numer 1 w naszym rankingu – EY Virtual Compliance Officer to aplikacja o charakterze modułowym, umożliwiająca działania compliance w szerszym zakresie. Pomimo rozbudowanych funkcji to proste i intuicyjne narzędzie. Według autorów, formularz został oparty na dobrych praktykach kryminalistyki. W najbardziej rozbudowanym pakiecie istnieje możliwość wykorzystania modułu inteligentnego repozytorium regulacji wewnętrznych, a także skorzystania z merytorycznego wsparcia we wdrożeniu dostosowanych do specyfiki klienta procedur, w ocenie zgłoszeń i rekomendacje działań następczych oraz prowadzeniu postępowań wyjaśniających.
EQS Integrity Line to aplikacja niemieckiej firmy, EQS Group z której – jak dowiadujemy się od oferenta – korzysta już ponad 2 tys. firm w Europie. Wydaje się, że to wystarczająca rekomendacja. Za jej polskie wdrożenie i dostosowanie do polskich przepisów odpowiada firma Cogit. Ze względu na swoją uniwersalność aplikacja nadaje się dla firm międzynarodowych i grup kapitałowych. To proste i intuicyjne narzędzie, które zapewnia odpowiednie środki bezpieczeństwa i zawiera ciekawe funkcje m.in. anonimizowania treści zgłoszenia i nagrania głosu sygnalisty, słownego zapisu nagrania, automatycznego tłumaczenia zgłoszenia na różne języki.
Jest to bardzo proste i intuicyjne narzędzie, które zapewnia poufność zgłaszającemu, daje możliwość poufnej komunikacji ze zgłaszającym, może być instalowane na serwerze firmy i obsługuje wiele języków. Dodatkowo Fraud Control opracowała program weryfikacji zgłoszeń. FC korzysta m.in. z analizatora głosu izraelskiej firmy Nemesysco (tzw. wariograf głosowy). Dzięki niemu, w trakcie wyjaśniającej rozmowy telefonicznej konsultanci FC mogą określić, czy osoba kłamie, co znacząco przyspiesza i obniża koszty postępowania wyjaśniającego. FC korzysta również z rozwiązań z zakresu informatyki śledczej.
Whistboard w panelu sygnalisty zawiera wszystkie istotne elementy i zapewnia zgłaszającemu możliwość wyboru trybu zgłoszenia oraz dodatkowo wyboru kategorii. Poziom zabezpieczeń jest zgodny z wyborem odpowiedniego dla sygnalisty trybu: anonimowości, poufności lub jawności. w droższym pakiecie jest możliwość personalizacji aplikacji do potrzeb i specyfiki danej organizacji. Jest to aplikacja godna polecenia, intuicyjna i zapewniająca odpowiedni poziom bezpieczeństwa, która może również stanowić uniwersalne narzędzie do wykorzystania w zakresie compliance.
Aplikacja whiblo to proste, intuicyjne i uniwersalne narzędzie do zgłaszania naruszeń, które może być wykorzystane w każdej organizacji. System whiblo umożliwia odbiór i obsługę zgłoszeń zarówno jawnych, jaki i anonimowych. Sygnalista otrzymuje jasną informację o tym, co się będzie działo ze zgłoszeniem i jak można je monitorować. Panel sygnalisty zawiera krótkie i czytelne informacje instruktażowe dot. poruszania się po aplikacji, w tym utworzenia zgłoszenia oraz monitorowania jego stanu. Łatwe monitorowanie zgłoszenia, ładna forma z pionowym wykresem Gantta. Aplikacja nie rejestruje adresów IP a także kasuje metadane z załączników.
Sygnanet to aplikacja firmy Specfile Project z Poznania. Szyfrowanie danych związanych ze zgłoszeniem następuje na urządzeniu użytkownika (komputerze, smartfonie). Dane są przekazywane na serwer już w postaci zaszyfrowanej i w takiej postaci udostępniane odbiorcy na jego urządzenie. Na serwerze ani w kanałach transmisji nie występują żadne operacje kryptograficzne. Proces szyfrowania i deszyfrowania zgłoszeń oparty jest o algorytmy RSA-4096 oraz AES-256, które są wykorzystywane na świecie do utajniania informacji i uznawane za standard w kryptografii ze względu na ich bezpieczeństwo. Dzięki temu dostawca oprogramowania nie ma do dostępu do treści zgłoszeń. Na szczególną uwagę zasługuje rozbudowana platforma wdrożeniowa.
WeMoral oferuje wyjątkowo proste, nieskomplikowane i intuicyjne oraz łatwe w użytkowaniu narzędzie do zgłaszania naruszeń. Firma oferuje jednodniowe wdrożenie usługi. Zgłoszenie poprzedzone podstawową informacją dla sygnalisty jest domyślnie anonimowe, ale istnieje możliwość dodania pola na imię i nazwisko, które zostaje w systemie oznaczone jako dane osobowe. Proces komunikacji dwukierunkowej pomiędzy sygnalistą a administratorem jest szyfrowany. Panel administratora po zalogowaniu wymaga dodatkowego hasła do odczytania treści zgłoszenia.
CS-Sygnalista to aplikacja stanowiąca moduł większego programu CasuSoft, służącego do obsługi kancelarii oraz działów prawnych. Aplikacja zarządzana przez kancelarię prawną może obsługiwać wiele firm w zakresie zgłaszania naruszeń przez sygnalistów. To determinowało bardzo rozbudowany formularz zgłoszeń, uwzględniający różne warianty preferowane przez firmy oraz wymagający tworzenia wielu odrębnych kanałów zgłoszeń i nadawania wielu uprawnień, mówiąc językiem aplikacji – tworzenia obiektów i procesów. Po zaznajomieniu się z instrukcją działania i ze specyficznym słownictwem obsługa aplikacji nie stwarza problemów.
Linia Etyki to atrakcyjna graficznie, przyjazna aplikacja dla sygnalistów, zawierająca wymagane funkcjonalności oraz odpowiedni poziom zabezpieczeń anonimowości, ale możliwa jest także opcja podania danych osobowych. Aplikacja umożliwia łączenie zgłoszeń, jeżeli dotyczą one jednej sprawy oraz oferuje wstępny filtr zgłoszeń niezasadnych. W pakiecie rozszerzonym pracownicy LE (w tym psychologowie i prawnicy) prowadzą w imieniu danej firmy dialog z sygnalistą, obsługują dedykowaną dla danej firmy infolinię dla sygnalistów, przeprowadzają wstępną analizę zgłoszeń oraz zapewniają bezstronne doradztwo w poszczególnych sprawach.
Gwizdek to funkcjonalna, prosta w obsłudze i działaniu aplikacja. Logowanie do panelu administratora oraz panelu sygnalisty odbywa się poprzez stronę produktu www.gwizdek.legal. System oferuje 2 kanały zgłoszeń w postaci dedykowanej infolinii oraz formularza on-line. Projektując system jego autorzy położyli nacisk na szeroko rozumiane bezpieczeństwo nie tylko danych osobowych, ale wszystkich danych przetwarzanych w systemie implementując narzędzia do anonimizacji danych, wielopoziomowe uwierzytelnianie użytkowników oraz inne, o których dowiedzą się Państwo w pełnej wersji recenzji.
Dyrektywa (UE) 2019/1937 zobowiązuje podmioty z sektora prywatnego i publicznego do wdrożenia w określonych terminach kanałów przyjmowania zgłoszeń o naruszeniach prawa, które zapewnią poufność i ochronę tożsamości sygnalistów. Sygnalista (ang. whistleblower) to osoba, która zgłasza naruszenie unijnego prawa w danej organizacji. Może nim być każda osoba, która miała jakikolwiek związek z tą organizacją, zarówno wspólnik, obecny i były pracownik, współpracownik, jak i kontrahent czy dostawca. w Polsce przepisy te powinny zacząć obowiązywać od dnia 17 grudnia 2021 r., jednak Sejm nie przyjął jeszcze odpowiedniej ustawy, ale może to nastąpić już wkrótce.
Podmioty zobowiązane do wdrożenia procedury ochrony sygnalistów w terminie 14 dni od wejścia w życie ustawy:
Podmioty zobowiązane do wdrożenia procedury ochrony sygnalistów do 17 grudnia 2023 r.:
Brak wdrożenia poufnych i bezpiecznych procedur zgłaszania nieprawidłowości obarczony jest ryzykiem odpowiedzialności karnej.
Aplikacja www powinna zapewnić odpowiedni poziom ochrony sygnalistom zgłaszającym naruszenia prawa, umożliwiać ustanowienie kanałów przyjmowania zgłoszeń w postaci dedykowanych formularzy on-line oraz infolinii. Aplikacja powinna przede wszystkim zapewnić ochronę tożsamości sygnalisty poprzez poufny i bezpieczny sposób dokonywania zgłoszeń. Platforma powinna także umożliwić sygnaliście dostęp do złożonych zgłoszeń oraz komunikacji z osobami lub podmiotem obsługującym zgłoszenia.
Skorzystaj z formularza kontaktowego (zazwyczaj odpowiadamy
w ciągu 1-2 godzin w dni robocze) lub skontaktuj się osobiście z jednym z naszych
doradców.
Wiadomość już do nas dotarła
Aby doprecyzować informacje i przygotować atrakcyjną ofertę skontaktujemy się z Tobą.
Miłej pracy!
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.
Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Twoja wiadomość jest już w naszej skrzynce odbiorczej.
Odpiszemy, gdy tylko zapoznamy się z jej treścią.
