Jak już informowaliśmy w dniu 17 kwietnia 2024 roku, projekt ustawy został przesłany do Sejmu i skierowany do Biura Legislacyjnego. W dniu 23 kwietnia, projekt został skierowany do konsultacji (SN, NRA, KRRP, RDS, PGRP, RMiŚP, FZZ, OPZZ, NSZZ”S”, Lewiatan, BCC-ZP, ZRP, PRP, ZPiP, FPP, KIG, PIP, UODO, RZP, KRS, SKOK, KNF, RF, NBP, PIU, KRBR, KdsPP, ZUS i FK). https://www.sejm.gov.pl/sejm10.nsf/agent.xsp?symbol=RPL&Id=RM-0610-24-24
Podmioty prawne ( prywatne i publiczne ) będą zobowiązane m.in. do stworzenia wewnętrznych kanałów przekazywania informacji, gwarantujących poufność i bezpieczeństwo sygnalisty, osób pomagających w zgłoszeniu, osób powiązanych z sygnalistą a także osoby, której dotyczy zgłoszenie. Rozliczalność z realizacji obowiązków prawnych związanych z ochroną sygnalistów, leży po stronie zobowiązanego podmiotu. Prowadzenia postępowań następczych w zakresie zgłoszeń o naruszeniach prawa w kontekście związanym z pracą.
Przypomnijmy: W przypadku sektora prywatnego obowiązek dotyczy „podmiotów prawnych w sektorze prywatnym, które zatrudniają co najmniej 50 pracowników”. Spośród podmiotów w sektorze publicznym zwolnione z obowiązku będą gminy liczące mniej niż 10 000 mieszkańców, lub zatrudniające mniej niż 50 pracowników, lub inne podmioty w sektorze publicznym, w tym podmioty będące własnością lub znajdujące się pod kontrolą podmiotów publicznych, zatrudniające mniej niż 50 pracowników.
Z uwzględnieniem powyższego, projektowane przepisy ustawy przewidują wspólny próg 50 osób wykonujących lub świadczących pracę odnośnie do obowiązku ustanowienia wewnętrznej procedury zgłaszania naruszeń prawa i podejmowania działań następczych przez podmiot prawny, jak również całkowite zwolnienie z tego obowiązku urzędów lub jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 000 mieszkańców. Jednocześnie w przypadku podmiotów prawnych będących jednostkami samorządu terytorialnego, obowiązki podmiotu prawnego będą wykonywać jednostki organizacyjne jednostek samorządu terytorialnego. Taka regulacja ma na celu zniesienie wymogu przyjmowania procedury zgłoszeń wewnętrznych osobno dla gminy (powiatu, województwa) i urzędu gminy (starostwa, urzędu marszałkowskiego).
Próg 50 pracowników (art. 8 ust. 3 Dyrektywy) nie znajdzie jednak zastosowania „do podmiotów objętych zakresem stosowania aktów Unii wymienionych w części I.B i II załącznika” (art. 8 ust. 4 Dyrektywy i motyw 50 Dyrektywy). Przykład? Bez względu na ilość pracowników i współpracowników, ustawę muszą realizować podmioty zobowiązane ustawą o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Będą to biura rachunkowo-podatkowe, podmioty specjalizujące się w doradztwie podatkowym, bez względu na ilość zatrudnianych osób.
Zabezpieczając i wspierając biznes i sektor publiczny od 2009 roku, zdajemy sobie sprawę, że bezpieczeństwo informacji w tym wypadku poufność i integralność przetwarzanych danych ma znaczenie pierwszorzędne. Kilka informacji dla Państwa zespołów IT, ale nie tylko:
Nasze założenia przy tworzeniu systemu DGSygnalistaPRO:
Wyizolowanie strefy administratora i użytkownika, odizolowane bazy danych, odizolowanie paneli z poziomu innych podstron dzięki temu kompromitacja danych logowania do użytkownika nie oznacza kompromitacji danych logowania do administratora
Weryfikacja dwuetapowa po stronie administratora
Możliwość pełnej anonimizacji danych podmiotu prawnego. Jeżeli użytkownik wybierze opcję anonimizacji system nie zapisze żadnych jego danych, nawet metadanych takich jak np. adres IP lub dane przeglądarki
Każdy klient otrzymuje unikalną usługę, dane pomiędzy różnymi klientami są w pełni odizolowane.
Dane wewnątrz systemu, dowody i dane zgłoszeń w niej zawarte są w pełni szyfrowane.
Pseudonimizacja danych podmiotu prawnego (Administratora)[1] .
Środki jakimi je osiągnęliśmy:
Zasoby usługi są wyłączone z indeksowania przez roboty
Formularze są pseudonimowane, dzięki czemu w przypadku nieuprawnionego dostępu sprawca, nie otrzyma żadnych informacji na temat podmiotu i nie będzie go wstanie zidentyfikować.
Wszystkie dowody oraz zeznania sygnalistów są szyfrowane a dostęp do nich odbywa się przy pomocy generowanych dynamicznie hashy.
Izolacja środowisk administracyjnego oraz sygnalistów na poziomie bazy danych.
Transmisja pomiędzy użytkownikiem, administratorem oraz systemem odbywa się w pełni przy pomocy szyfrowanych transmisji danych z wymuszoną obsługą bezpiecznych połączeń HTTPS.
Walidacja danych wewnątrz formularzy.
Administrator oraz Sygnalista, mogą wdrożyć opcję weryfikacji dwuetapowej do dostępu systemu
Upraszczając:
- Sygnalista wchodzi na stronę dedykowaną do zgłoszeń. Łączność ze stroną jest zabezpieczona przez wymuszony przez stronę certyfikat SSL. Jego sesja jest bezpieczna z racji na stosowanie HSTS.
- Po wypełnieniu danych i załączeniu dowodów przesyła je do systemu, cała transmisja jest szyfrowana.
- System sprawdza czy wartości podane przez użytkownika są poprawne i wolne od ataków typu np. SQL Injection.
- System generuje dynamicznie klucze szyfrujące i przy ich pomocy szyfruje wszystkie dane oraz dowody.
- System po zaszyfrowaniu zapisuje dane w bazie danych dla Sygnalistów.
- Po zapisie wszystkich danych umożliwi wygenerowanie dostępu do danego zgłoszenia przy pomocy hasła oraz weryfikacji dwuetapowej.
- Administrator oraz Sygnalista otrzymują informacje na temat zgłoszenia.
- Administrator loguje się na stronie administrator1.detectio.pl przy pomocy loginu, hasła oraz weryfikacji dwuetapowej.
- Tak samo jak Sygnalista Administrator łączy się z systemem przy pomocy wymuszonej transmisji HTTPS.
- Po zalogowaniu i wybraniu zgłoszenia uzyskuje dostęp do bazy danych
- [1] Pseudonimizacja, zgodnie z definicją art. 4 pkt. 5 RODO, polega na przekształceniu danych osobowych w taki sposób, aby nie było możliwe przypisanie ich konkretnej osobie bez posiadania dodatkowych informacji.
Przetwarzane dane, mogą być generowane na Państwa serwerach, przy założeniu, że nie gwarantuje to poufności i bezpieczeństwa osoby zgłaszającej ( dostęp do danych serwera np. przez informatyków firmy).Nasze serwery korzystają z pełnej ochrony. Zastosowaliśmy min. zintegrowany system bezpieczeństwa FortiGate z wkomponowanymi elementami SI. Poddajemy się audytowi naszych partnerów w zakresie, umowy powierzenia przetwarzania danych osobowych, stanowiącej załącznik do umowy głównej.
Jako jedyny podmiot w kraju, oferując pełną obsługę sygnalistów, w cenie abonamentu dajemy możliwość korzystania z równoległego kanału wewnętrznego – całodobowej linii telefonicznej. Jest to kanał kontaktowy w przypadku dodatkowych informacji o zgłoszeniu oraz informacji o działaniach odwetowych.
Unikalną, niedostępną dla innych oferentów usługą jest zabezpieczenie poufności spotkań oraz treści przekazywanych przez sygnalistę. Na wniosek sygnalisty lub Administratora, stosujemy urządzenie DRUID 06 [1] gwarantujący bezpieczeństwo i poufność prowadzonych rozmów. Spotkania specjalne, mogą być prowadzone w bezpiecznych biurach DETECTIO GROUP, lub miejscach zabezpieczonych przez nas. Otrzymujecie to Państwo w cenie usługi podstawowej w przypadku korzystania z outsourcingu usług obsługi sygnalistów.
[1] 3 Druid D-06 przeznaczony jest do zabezpieczenia prowadzonych rozmów. Urządzenie skutecznie blokuje działanie wszystkich typów podsłuchów, mikrofonów sejsmicznych i laserowych, dyktafonów oraz mikrofonów w telefonach komórkowych. Druid D-06 generuje losowy sygnał akustyczny zmieniający się dynamicznie w zależności od prowadzonej rozmowy, przez co system ten jest niewrażliwy na działanie odszumiaczy (nawet tych najbardziej zaawansowanych). Jeden zestaw D-06 może obsługiwać od 2 do 6 rozmówców. Każdy rozmówca korzysta ze specjalnego zestawu słuchawkowego przez co generowany sygnał w niczym nie przeszkadza w prowadzeniu rozmowy. Dodatkową zaletą jest mobilność urządzenia, które z łatwością można przewieźć w niedużej walizce.
Posiadamy wpis do Rejestru Instytucji Szkoleniowych. Oferujemy szkolenia wstępne / wdrożeniowe, oraz okresowe, będące obowiązkiem prawnym podmiotu zobowiąznego. Po zakończeniu szkolenia ( w formie tradycyjnej lub on -line ),wydajemy zaświadczenia o ukończeniu szkolenia, potwierdzające ten fakt w dokumentacji osobowej pracownika / współpracownika.
Zapraszamy do konsultacji, współpracy i programu partnerskiego.
Zespół DG. Pozdrawiamy.
