Projekt ustawy o ochronie sygnalistów z dnia 26 lutego 2024 r. implementujący Dyrektywę 2019/1937 znajduje się w Komitecie Stały Rady Ministrów i w najbliższym czasie będzie procedowany.
Uchwalenie tego prawa, nakłada na pracodawcę / w podmiotach prywatnych[1] i publicznych obowiązek prawny stworzenia wewnętrznego kanału przekazywania informacji.
Detectio Group specjalizuje się w outsourcingu usług obsługi sygnalistów. Stworzyliśmy poufny, szyfrowany kanał wewnętrzny przekazywania informacji o naruszeniach prawa w kontekście związanym z pracą oraz pełną obsługę w przedmiocie tego obowiązku pracodawcy. Prowadzimy szkolenia wstępne i okresowe- jesteśmy wpisani do Rejestru Instutycji Szkoleniowych pod numerem: 2.04/00069/2024. Opracowujemy dokumentację w tym Regulamin i procedury zgłoszeń. Na podstawie umowy głównej i umowy powierzenia przetwarzania danych osobowych, przyjmujemy i weryfikujemy zgłoszenia wewnętrzne oraz prowadzimy postępowania następcze. W tym zakresie akceptujemy wszystkie prawem dozwolone, klauzule poufnościowe. Posiadamy własne zaplecze prawne, w kontekście prowadzenia postępowań następczych o dużym poziomie skomplikowania. Integrujemy Regulamin i procedury przyjmowania zgłoszeń sygnalistów z wewnętrznymi politykami ochrony danych osobowych / RODO/ w Waszych organizacjach. Posiadamy Cetyfikat bezpieczęństwa informacji w standardzie ISO/IEC 27001.
[1] Przepisy stosuje się do podmiotu prawnego, na rzecz którego według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób.
a. Do liczby 50 osób wykonujących pracę zarobkową na rzecz podmiotu prawnego wlicza się pracowników w przeliczeniu na pełne etaty lub osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia.
b. Próg, o którym mowa w ust. 1, nie ma zastosowania do podmiotu prawnego wykonującego działalność w zakresie usług, produktów i rynków finansowych oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu i ochrony środowiska, objętych zakresem stosowania aktów prawnych Unii Europejskiej wymienionych w części LB i II załącznika do dyrektywy 2019/1937.
c. W przypadku podmiotów prawnych będących jednostkami samorządu terytorialnego obowiązki podmiotu prawnego określone w niniejszym rozdziale wykonują jednostki organizacyjne jednostek samorządu terytorialnego, z zastrzeżeniem art. 28 ust. 5.
d. Przepisów niniejszego rozdziału nie stosuje się do jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 000 mieszkańców.
System informatyczny DGSygnalistaPRO dedykowany do obsługi zgłoszeń w podmiotach prywatnych i publicznych, posiada aktywne formularze zgłoszeniowe, ułatwiające zgłoszenie, ale także późniejsze prowadzenie postępowania wyjaśniającego. Posiada unikalne funkcjonalności w tym, prowadzenie Rejestru Zgłoszeń, automatyczne przesyłanie informacji o przyjęciu zgłoszenia.
Postępowania następcze, prowadzone są przez osoby posiadające teoretyczne i praktyczne przygotowanie w tym zakresie. Obsługa w zakresie „sygnalistów” uzupełniana jest naszą wiedzą związaną z ochroną danych osobowych /RODO/, która jest odrębną ofertą firmy DETECTIO GROUP.
W zakresie koordynacji szkoleń oraz obsługi i serwisu systemu DGSygnalistaPRO, biurem właściwym jest Biuro Terenowe w Toruniu.
Podmioty prywatne, na rzecz których wykonuje pracę zarobkową co najmniej 50, lecz nie więcej niż 249 osób, mogą na podstawie umowy ustalić wspólne zasady dotyczące przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz prowadzenia postępowania wyjaśniającego, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą. Taka sama zasada dotyczy jednostek samorządu terytorialnego[1]. patrz wyjaśnienie na dole strony.
Naszą ofertę dopasujemy do Państwa potrzeb. W przypadku „grupy” podmiotów, oferujemy rabaty i dostosowanie kosztów obsługi do Państwa oczekiwań.
To co najważniejsze: poufność i bezpieczeństwo. Kilka informacji dla Państwa zespołów IT, ale nie tylko.
Nasze założenia przy tworzeniu systemu DGSygnalistaPRO:
- Wyizolowanie strefy administratora i użytkownika, odizolowane bazy danych, odizolowanie paneli z poziomu innych podstron dzięki temu kompromitacja danych logowania do użytkownika nie oznacza kompromitacji danych logowania do administratora
- Weryfikacja dwuetapowa po stronie administratora
- Możliwość pełnej anonimizacji danych podmiotu prawnego. Jeżeli użytkownik wybierze opcję anonimizacji system nie zapisze żadnych jego danych, nawet metadanych takich jak np. adres IP lub dane przeglądarki
- Każdy klient otrzymuje unikalną usługę, dane pomiędzy różnymi klientami są w pełni odizolowane.
- Dane wewnątrz systemu, dowody i dane zgłoszeń w niej zawarte są w pełni szyfrowane.
- Pseudonimizacja danych podmiotu prawnego (Administratora)[2]patrz wyjaśnienie na dole strony.
Środki jakimi je osiągnęliśmy:
- Zasoby usługi są wyłączone z indeksowania przez roboty
- Formularze są pseudonimizowane, dzięki czemu w przypadku nieuprawnionego dostępu sprawca, nie otrzyma żadnych informacji na temat podmiotu i nie będzie go wstanie zidentyfikować.
- Wszystkie dowody oraz zeznania sygnalistów są szyfrowane a dostęp do nich odbywa się przy pomocy generowanych dynamicznie hashy.
- Izolacja środowisk administracyjnego oraz sygnalistów na poziomie bazy danych.
- Transmisja pomiędzy użytkownikiem, administratorem oraz systemem odbywa się w pełni przy pomocy szyfrowanych transmisji danych z wymuszoną obsługą bezpiecznych połączeń HTTPS.
- Walidacja danych wewnątrz formularzy
- Administrator oraz Sygnalista, mogą wdrożyć opcję weryfikacji dwuetapowej do dostępu systemu
Upraszczając:
- Sygnalista wchodzi na stronę sygnalista1.detectio.pl, wchodzi na stronę. Łączność z stroną jest zabezpieczona przez wymuszony przez stronę certyfikat SSL. Jego sesja jest bezpieczna z racji na stosowanie HSTS.
- Po wypełnieniu danych i załączeniu dowodów przesyła je do systemu, cała transmisja jest szyfrowana.
- System sprawdza czy wartości podane przez użytkownika są poprawne i wolne od ataków typu np. SQL Injection.
- System generuje dynamicznie klucze szyfrujące i przy ich pomocy szyfruje wszystkie dane oraz dowody.
- System po zaszyfrowaniu zapisuje dane w bazie danych dla Sygnalistów
- Po zapisie wszystkich danych umożliwi wygenerowanie dostępu do danego zgłoszenia przy pomocy hasła oraz weryfikacji dwuetapowej
- Administrator oraz Sygnalista otrzymują informacje na temat zgłoszenia.
- Administrator loguje się na stronie administrator1.detectio.pl przy pomocy loginu, hasła oraz weryfikacji dwuetapowej.
- Tak samo jak Sygnalista Administrator łączy się z systemem przy pomocy wymuszonej transmisji HTTPS.
- Po zalogowaniu i wybraniu zgłoszenia uzyskuje dostęp do bazy danych Sygnalistów oraz deszyfruje zapisane przez nich dane.
Możecie Państwo zdywersyfikować zagrożenia związane z realizacją tego obowiązku prawnego. Podpisując stosowną umowę, przejmujemy na siebie ewentualne konsekwencje związane z błędem bądź doborem nieadekwatnych narzędzi. Gwarantujemy pełną realizację Państwa obowiązku prawnego, wynikającą z posiadanej wiedzy i praktyki zawodowej, uzyskanej także w służbach i CBŚP.
W projekcie ustawy o ochronie sygnalistów, uwzględniono przyjmowanie informacji o naruszeniu prawa ustnie i pisemnie. Sygnalista może także wnioskować o bezpośrednie spotkanie.
Jako jedyny podmiot w kraju, oferując pełną obsługę sygnalistów, w cenie abonamentu dajemy możliwość korzystania z równoległego kanału wewnętrznego – całodobowej linii telefonicznej. Jest to kanał kontaktowy w przypadku dodatkowych informacji o zgłoszeniu, oraz informacji o działaniach odwetowych.
Unikalną, niedostępną dla innych oferentów usługą, jest zabezpieczenie poufności spotkań oraz treści przekazywanych przez sygnalistę. Na wniosek sygnalisty lub Administratora, stosujemy urządzenie DRUID 06 [3] gwarantujący bezpieczeństwo i poufność prowadzonych rozmów. // patrz wyjaśnienie na dole strony
Spotkania specjalne, mogą być prowadzone w bezpiecznych biurach DETECTIO GROUP, lub miejscach przygotowanych i zabezpieczonych przez nas. Otrzymujecie to Państwo w cenie usługi podstawowej w przypadku korzystania z outsourcingu usług obsługi sygnalistów.
W razie zainteresowania usługą, proszę o kontakt: https://detectio.pl/kontakt/ Atywne telefony:
sygnaliści – koordynator krajowy ( właściciel firmy) 48 698642878, sygnaliści: 48 577966 997, 48 577190 997 – Krzysztof; sygnaliści szkolenia: koordynator krajowy szkoleń- Katarzyna: 48 577 147 633.
Zapraszam do konsultacji i współpracy. Jeżeli macie Państwo pytania, prosimy o telefon. Ustalimy termin prezentacji wstępnej, odpowiemy na wątpliwości, ustalimy szczegóły na spotkaniach w Waszych organizacjach, lub naszych biurach.
[1] Jednostki samorządu terytorialnego mogą ustalić wspólną procedurę zgłoszeń wewnętrznych w ramach wspólnej obsługi, o której mowa w art. 10a ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2023 r. poz. 40, 572, 1463 i 1688), art. 6a ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2024 r. poz. 107) i art. 8c ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2022 r. poz. 2094 oraz z 2023 r. poz. 572 i 1688), pod warunkiem zapewnienia jej odrębności i niezależności od procedury przyjmowania zgłoszeń zewnętrznych i podejmowania działań następczych.
[2] Pseudonimizacja, zgodnie z definicją art. 4 pkt. 5 RODO, polega na przekształceniu danych osobowych w taki sposób, aby nie było możliwe przypisanie ich konkretnej osobie bez posiadania dodatkowych informacji.
[3] Druid D-06 przeznaczony jest do zabezpieczenia prowadzonych rozmów. Urządzenie skutecznie blokuje działanie wszystkich typów podsłuchów, mikrofonów sejsmicznych i laserowych, dyktafonów oraz mikrofonów w telefonach komórkowych. Druid D-06 generuje losowy sygnał akustyczny zmieniający się dynamicznie w zależności od prowadzonej rozmowy, przez co system ten jest niewrażliwy na działanie odszumiaczy (nawet tych najbardziej zaawansowanych). Jeden zestaw D-06 może obsługiwać od 2 do 6 rozmówców, Każdy rozmówca korzysta ze specjalnego zestawu słuchawkowego przez co generowany sygnał w niczym nie przeszkadza w prowadzeniu rozmowy. Dodatkową zaletą jest mobilność urządzenia, które z łatwością można przewieźć w niedużej walizce. Druid D-06 może być zasilany z akumulatorów co pozwala nawet na 6 godzin pracy lub z gniazdka sieciowego.
Pozdrawiamy. Zespół DG.
