Zašto je e-mail rizičan kanal za prijavu zviždača?

by | lis 26, 2022 | objava

Mnoge hrvatske tvrtke i organizacije odlučile su koristiti e-mail kao primarni način (kanal) za prijavu nepravilnosti. Pritom, u skladu sa svojim općim aktom (npr. Pravilnikom za unutarnje prijavljivanje) koriste e-mail adrese povjerljive osobe i njenog zamjenika (npr. hrvoje.kovacis@xxx.hr) ili pak otvaraju novu, generičku adresu (npr. prijavanepravilnosti@xxx.hr). Otvoriti i podestiti email adresu ne zahtjeva puno vremena i besplatno je. No, unatoč ovim dvama pogodnostima, uspostava sustava unutranjeg prijavljivanja nepravilnosti koji se temelji na e-mail opciji mogla bi biti velika pogreška koja može uzrokovati ozbiljne posljedice za tvrtku i njene zaposlenike.

Evo tri najvažnija razloga zašto se e-mail ne bi trebao koristiti kao kanal za prijavu nepravilnosti:

Razlog 1. – PODACI U PRIJAVI IZLOŽENI SU SIGURNOSNIM RIZICIMA I RIZICIMA ZAŠTITE PODATAKA

Nakon što prijavitelj podnese prijavu, tvrtka raspolaže osjetljivim osobnim podacima te informacijama o prijavljenoj nepravilnosti. Međutim, e-mail nema nikakav mehanizam šifriranja pa je integritet prikupljenih podataka ugrožen. To neovlaštenim stranama omogućuje ne samo čitanje e-maila (tj. prijave) već i njegovu neovlaštenu distribuciju. Osim toga, to nije revizorski prihvatljivo (jer predstavlja izraženi rizik te narušava sigurnost prijavitelja), podaci se iz e-mailu prijave mogu izmjeniti ili izbrisati što može utjecati na daljnji tijek unutarnje ili vanjske istrage. Također, ne može se jamčiti niti usklađenost s GDPR-om jer nisu ispunjeni zahtjevi za sigurnost podataka s obzirom da GDPR zahtijeva čuvanje osjetljivih podataka u data centrima visoke sigurnosti, što je teško postići e-mailom.

Razlog 2. – ZAPOSLENICI (POTENCIALNI PRIJAVITELJI) NEMAJU POVJERENJA U SUSTAV PRIJAVE PUTEM E-MAILA

Zadobiti povjerenje potencijalnih prijavitelja presudno je za samu prijavu i za općenito cijeli sustav unutarnjeg prijavljivanja. Stoga, prijavitelji moraju u potpunosti vjerovati u sigurnost sustava i postupanje po prijavi. U protivnom, interne će prijave izostati, a potencijalni će se prijavitelji okrenuti vanjskom prijavljivanju (pučkoj pravobraniteljici, insitucijama) ili javnom razotkrivanju (medijima, društvenim mrežama). A to nitko ne želi. Niti tvrtke, niti prijavitelji. Jer, mnoge studije, bez obzira gdje provedene i napravljene, pokazuju da su ljudi skloni interno prijaviti problem prvom nadređenom, a onda putem internog sustava. Sve ostale opcije manje se koriste. Tako se pomaže izgradnji organizacijske kulture, ali i dobivaju opsežniji, relevantniji i točniji podaci tj. prijave. Također, i studije i praksa pokazuju da mogućnost povjerljive ili anonimne prijave uvelike povećava vjerojatnost i broj prijava.

Razlog 3. – E-MAIL NE DOPUŠTA UČINKOVITU OBRADU PREDMETA I POSTUPANJE PO PRIJAVI

Uz sigurnost podataka i povjerenje zaposlenika, jednostavnost obrade prijava i pristup istima još je jedan čimbenik kojeg treba uzeti u obzir pri uspostavi sustava unutarnjeg prijavljivanja. Kod sustava temeljenog na e-mailu, svi zaprimljeni podaci moraju se ručno zabilježiti u, često improvizirani, sustav za upravljanje prijavama (ako isti uopće i postoji) što narušava učinkovitost i uvjete za vođenje evidencije o prijavama (prema članku 18., Zakona o zaštiti prijavitelja nepravilnosti.

Ima tu još potencijalnih nedostataka i razloga koji ne govore u korist e-maila kao načina i kanala za podnošenje unutarnjih prijava. Na primjer, povjerljive osobe većinu vremena usmjeravaju svojim redovnim radnim obavezama (izvan područja prijava nepravilnosti) pa se zbog previše različitih e-mailova u njihovom inboxu prijava često izgubi (“od šume se ne idi drvo”). Tu su onda i razni filteri i interna ograničenja kod privitaka, fotografija, videa, bugovi, phising, razne zlouporabe, itd… Sve to navodi na činjenicu da je e-mail ranjiva opcija koja nije za preporuku.

Zakon o zaštiti prijavitelja nepravilnosti dopušta prijavu u usmenom i pisanom obliku, pri čemu pisani oblik uključuje svaki oblik komunikacije koji osigurava pisani zapis. Dakle, Zakon ne određuju eksplicite smije li se ili ne smije korisiti e-mail (štoviše, e-mail je jedan od prihvatljivih pisanih oblika prijava) no, eksplicite određuje i zahtjeva sigurnost, zaštitu i učinkovitost. Zato e-mail nije dobro rješenje, a najbolja su mu alternativa specijalizirana softverska rješenja ili platforme koje rješavaju sve gore spomenute probleme (zaštitu i sigurnost podataka, povjerenje zaposlenika, povjerljivost i anonimnost, daljnju obradu i pregled prijava, statistiku, dostupnost, …), a uz to imaju i dodatne mogućnosti.

ALTERNATIVNA RJEŠENJA

Zakon o zaštiti prijavitelja nepravilnosti dopušta prijavu u usmenom i pisanom obliku, pri čemu pisani oblik uključuje svaki oblik komunikacije koji osigurava pisani zapis. Dakle, Zakon ne određuju eksplicite smije li se ili ne smije korisiti e-mail (štoviše, e-mail je jedan od prihvatljivih pisanih oblika prijava) no, eksplicite određuje i zahtjeva sigurnost, zaštitu i učinkovitost. Zato e-mail nije dobro rješenje, a najbolja su mu alternativa specijalizirani digitalni sustavi za prijavu nepravilnosti ili platforme (npr. Integrity Line) koje rješavaju sve gore spomenute probleme (zaštitu i sigurnost podataka, povjerenje zaposlenika, povjerljivost i anonimnost, daljnju obradu i pregled prijava, statistiku, dostupnost, …) te olakšavaju ispunjavanje zakonskih zahtjeva u vezi sa zaštitom i sigurnošću podataka.

Spomenuti sustavi također potiču povjerenje zaposlenika, što rezultira višim brojem relevantnih prijava bez straha od osvete. Prijave se mogu podnijeti povjerljivo ili anonimno, a integrirani dio za kasnije upravljanje prijavama omogućuje učinkovitu obradu pristiglih prijava, daje detaljan pregled svih postojećih preijava, njihov status, itd…

Robert Ravenšćak veliki je borac protiv korupcije. Vlasnik je konzultantske tvrtke Ravecon te Predsjednik Centra za zaštitu zviždača. Pokretač je Akademije poslovne etike i usklađenosti, prve sveobuhvatne edukacije iz područja poslovne etike u Hrvatskoj.