Στα μέσα του 2016, δημοσιογράφοι και ερευνητές αξιολογούσαν τις αποκαλύψεις που απέφεραν τα Luxembourg Leaks (2014) και Panama Papers (2016). Τα σκάνδαλα αυτά εμφανίστηκαν έντονα μέσω των Μέσων Μαζικής Ενημέρωσης.
Με αφορμή αυτή την εξέλιξη η ISO ίδρυσε την Τεχνική Επιτροπή 309 (ISO/TC 309). Στόχος της να αντιμετωπίσει την «τυποποίηση στον τομέα της διακυβέρνησης που σχετίζεται με πτυχές κατεύθυνσης, ελέγχου και λογοδοσίας των οργανισμών».
Τον Νοέμβριο του 2016, η Επιτροπή σχημάτισε μια ad hoc ομάδα για να εξετάσει τη σκοπιμότητα ενός νέου διεθνούς προτύπου καθοδήγησης για την καταγγελία πληροφοριών. Η αφορμή για αυτό έγινε με βάση τις υποθέσεις καταγγελιών υψηλού αντίκτυπου και την αυξανόμενη προσοχή για την καταγγελία πληροφοριών γενικά. Μετά από ψηφοφορία, η TC 309 ενέκρινε μια νέα πρόταση θέματος εργασίας τον Ιούνιο του 2018. Ο ISO ανέθεσε τις εργασίες στην ομάδα εργασίας ISO/TC 309 3 (WG3) για την ανάπτυξη νέων διεθνών προτύπων για τα συστήματα διαχείρισης καταγγελιών. Ο προγραμματισμός των εργασιών, ορίστηκε να ολοκληρωθούν έως το τέλος του 2021.
Αυτές οι εργασίες απέφεραν ένα νέο πρότυπο. Ο λόγος για το ISO 37002 που ορίζει τις οδηγίες για τα συστήματα διαχείρισης πληροφοριοδοτών.
Τι είναι το ISO 37002
Με πολύ απλά λόγια το ISO 37002 ορίζει τις νέες οδηγίες για τα συστήματα διαχείρισης πληροφοριοδοτών. Το πρότυπο αυτό έχει δημιουργηθεί από τον Διεθνή Οργανισμό Τυποποίησης γνωστό και ως ISO.
Το ISO 37002:2021 είναι το πρότυπο που παρέχει κατευθυντήριες γραμμές για τη δημιουργία, την εφαρμογή και τη διατήρηση ενός αποτελεσματικού συστήματος διαχείρισης καταγγελιών. Βασίζεται στις αρχές της εμπιστοσύνης, της αμεροληψίας και της προστασίας στα ακόλουθα τέσσερα βήματα:
- λήψη αναφορών για αδικήματα
- την αξιολόγηση των αναφορών παραπτωμάτων
- αντιμετώπιση αναφορών παραπτωμάτων
- περάτωση υποθέσεων καταγγελίας.
Οι κατευθυντήριες γραμμές αυτού του εγγράφου είναι γενικές. Προορίζονται για να ισχύουν για όλους τους οργανισμούς. ανεξάρτητα από τον τύπο, το μέγεθος και τη φύση της δραστηριότητας τους.
Γιατί είναι σημαντικός ο ρόλος του ISO 37002
Γίνεται όλο και περισσότερο αντιληπτό πως τα μέλη ενός οργανισμού, χρειάζονται να έχουν έναν ασφαλή και αποτελεσματικό τρόπο για να αναφέρουν τις ανησυχίες τους σχετικά με τις αδικίες. H καλή οργανωτική διακυβέρνηση σημαίνει επίδειξη λογοδοσίας και προώθηση μιας κουλτούρας «να μιλήσεις».
Το ISO 37002 βοηθά έναν οργανισμό να βελτιώσει την υπάρχουσα πολιτική και διαδικασίες καταγγελίας, αλλά και να συμμορφωθεί με την ισχύουσα νομοθεσία περί καταγγελίας πληροφοριών.
Επίσης το πρότυπο αυτό ωφελεί τους οργανισμούς και σε άλλα σημαντικά επίπεδα. Μερικά από αυτά περιλαμβάνουν:
- τους επιτρέπει στο να εντοπίσουν και να αντιμετωπίσουν τα λάθη με την πρώτη ευκαιρία,
- βοηθά στην πρόληψη και την ελαχιστοποίηση της απώλειας περιουσιακών στοιχείων, καθώς και στην ανάκτηση των χαμένων περιουσιακών στοιχείων,
- διασφαλίζει τη συμμόρφωσης τους με τις οργανωτικές πολιτικές, διαδικασίες και νομικές και κοινωνικές υποχρεώσεις,
- προσελκύει και διατηρεί το προσωπικό στο να είναι αφοσιωμένο στις αξίες και τον πολιτισμό των οργανισμού,
- επιδεικνύει τις ορθές πρακτικές ηθικής διακυβέρνησης στην κοινωνία, τις αγορές, τις ρυθμιστικές αρχές, τους ιδιοκτήτες και άλλα ενδιαφερόμενα μέρη.
Αξίζει να σημειωθεί πως το ISO 37002 αντιμετωπίζει την ανάγκη των οργανισμών να προστατεύουν τους καταγγέλλοντες και άλλα άτομα που ενδέχεται να επηρεαστούν από την αναφορά παραβάσεων. Τα αντίποινα αναφέρονται ως ειδικός κίνδυνος ως συνέπειας κάθε είδους καταγγελίας. Αυτή η προσέγγιση δείχνει ότι υπάρχει κατανόηση για το περίπλοκο ζήτημα της δημιουργίας και διαχείρισης μιας αποτελεσματικής οργανωτικής υποδομής για τις καταγγελίες και όχι ένας απλός περιορισμός στην άποψη του εργοδότη, αλλά και αναγνώρισης της προοπτικής ενός πληροφοριοδότη.
Η Ευρωπαϊκή Ένωση παρεμβαίνει σημαντικά σε αυτή την διαδικασία, έχοντας εκδώσει συγκεκριμένη οδηγία.
Σε τι αναφέρεται η οδηγία
Η οδηγία 2019/137 της Ευρωπαϊκής Ένωσης αναφέρεται σε παράνομες ή επιλήψιμες συμπεριφορές που λαμβάνουν χώρα σε μια εταιρία ή έναν οργανισμό που μπορεί να προκαλέσουν ανεπανόρθωτες ζημίες τόσο στην φήμη της εταιρίας, όσο και στις εμπορικές της δραστηριότητες. Τονίζει πως τέτοιες συμπεριφορές γίνονται αντιληπτές κυρίως από το εργατικό δυναμικό μιας εταιρίας. Ενδεικτικά, τα περιστατικά ενδοεταιρικής απάτης αποκαλύπτονται σε ποσοστό 43% από το εσωτερικό whistleblowing της εταιρίας ACFE 2020). Αυτό έχει ως αποτέλεσμα να καθιστά επιτακτική την ανάγκη δημιουργίας εσωτερικών καναλιών αναφοράς τέτοιων συμπεριφορών με στόχο την προστασία , την βελτίωση και την ανάπτυξη της.
Τα κανάλια αναφοράς, σύμφωνα με την οδηγία 2019/1937 της Ευρωπαϊκής Ένωσης αποτελούν μια αποτελεσματική μέθοδο πρόληψης. Επιτρέπουν στους υπαλλήλους μιας εταιρίας ή ενός οργανισμού να προβούν σε αποκάλυψη επικίνδυνων ή παράνομων συμπεριφορών ανώνυμα.
Επίσης, μπορεί κάποιος να καταγγείλει:
- Μια παράβαση του κράτους
- Μια παράβαση ή μη συμμόρφωση με έναν τοπικό κανόνα
- Τις μη ασφαλείς συνθήκες εργασίας ή την έλλειψη μέτρων προστασίας των εργαζομένων
- Περιπτώσεις δωροδοκίας
- Ηθική παρενόχληση στον εργασιακό χώρο
- Λεκτική παρενόχληση στον εργασιακό χώρο
- Σωματική παρενόχληση στον εργασιακό χώρο
- Σεξουαλική παρενόχληση σε εργασιακό χώρο
Κάθε εταιρία ή οργανισμός που τηρεί τις αρχές διαφάνειας και καταπολέμησης διαφθοράς, διασφαλίζει μέσω των διαύλων επικοινωνίας, τόσο την προστασία των ατόμων που εργάζονται σε δημόσιο ή ιδιωτικό τομέα, όσο και των προσώπων που μέσω κάποιας εργασιακής τους δραστηριότητας έρχονται σε επαφή με μία κακόβουλη πράξη. Στο πλαίσιο της προστασίας των προσώπων αυτών από αντίποινα και επιθετικές συμπεριφορές η εταιρία ή ο οργανισμός μπορεί να αναθέσει σε εξωτερικό πάροχο την λειτουργία του διαύλου επικοινωνίας για να διασφαλιστεί η εμπιστευτικότητα και η προστασία των πληροφοριοδοτών. Ο εξωτερικός πάροχος μπορεί να είναι μια πλατφόρμα αποκαλύψεων, ένας σύμβουλος ή ελεγκτής.
Οι εσωτερικοί δίαυλοι επικοινωνίας πρέπει να έχουν έναν διαχειριστή. Αυτός θα είναι ένα πρόσωπο με κύρος, έμπιστο που δεν θα αποκαλύψει τα στοιχεία του ατόμου που έχει προβεί σε καταγγελία. Ο διαχειριστής ου εσωτερικού συστήματος θα ήταν προτιμότερο να είναι άτομο που να μην εκτελεί κάποιο άλλο πόστο στην εταιρία. Με αυτό τον τρόπο διασφαλίζεται πως δεν θα υπάρχουν ατομικά συμφέροντα.
Οι εξωτερικοί δίαυλοι αναφοράς θεωρούνται ανεξάρτητοι και αυτόνομοι, αν σχεδιάζονται, θεσπίζονται και λειτουργούν κατά τρόπο που διασφαλίζει την πληρότητα, την ακεραιότητα και την εμπιστευτικότητα των πληροφοριών και εμποδίζει την πρόσβαση σε αυτές σε μη εξουσιοδοτημένους υπαλλήλους της αρμόδιας αρχής, αν επιτρέπουν τη διατηρήσιμη αποθήκευση πληροφοριών σύμφωνα με το άρθρο 18, ώστε να υπάρχει η δυνατότητα να διεξαχθούν περαιτέρω έρευνες. Επίσης, οι εξωτερικοί δίαυλοι αναφοράς παρέχουν τη δυνατότητα αναφοράς γραπτώς και προφορικώς. Οι προφορικές αναφορές είναι δυνατές μέσω τηλεφώνου ή άλλων συστημάτων φωνητικών μηνυμάτων, και κατόπιν αιτήσεως του αναφέροντος, μέσω προσωπικής συνάντησης εντός εύλογου χρονικού διαστήματος.
Ο σημαντικός ρόλος του GDPR προς τα Συστήματα Διαχείρισης Πληροφοριοδοτών
Γίνεται αμέσως αντιληπτό, πως καθώς τα Συστήματα Διαχείρισης Πληροφοριοδοτών (ΣΔΠ) περιλαμβάνουν και τα προσωπικά δεδομένα των καταγγελόντων, θα πρέπει να συμμορφώνονται με τον GDPR (Γ.Κ.Π.Δ.).
Ένα ΣΔΠ για να είναι αποτελεσματικό θα πρέπει να σέβεται τις αρχές απορρήτου και ασφάλειας του καταγγέλλοντος.
Σύμφωνα με τον GDPR, η επεξεργασία προσωπικών πληροφοριών του καταγγέλλοντος εντός του συστήματος είναι αυστηρότερη με αρκετές εξαιρέσεις. Αυτές οι εξαιρέσεις περιλαμβάνονται στο άρθρο 6. Δύο από αυτές τις εξαιρέσεις είναι η συγκατάθεση και το έννομο συμφέρον. Αυτές σχετίζονται με την εσωτερική αναφορά. Αναγκάζουν τους υπευθύνους συμμόρφωσης να συμμορφωθούν με ορισμένες διαδικαστικές απαιτήσεις για τη διαχείριση προσωπικών πληροφοριών.
Οι οργανισμοί πρέπει να διασφαλίσουν ότι το ΣΔΠ εφαρμόζει τις απαραίτητες διαδικασίες για τη λήψη της συγκατάθεσης από τους καταγγέλλοντες πριν από την επεξεργασία των αναφορών.
Μια άλλη πτυχή που πρέπει να δοθεί προσοχή είναι η εσωτερική αναφορά. Το άρθρο 5 στοιχείο γ), διευκρινίζει ότι τα δεδομένα που χειρίζονται πρέπει να είναι επαρκή, σχετικά και να περιορίζονται σε ό,τι απαιτείται για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Επίσης, το άρθρο 5 επιβάλλει περαιτέρω την καταστροφή των σχετικών δεδομένων μετά την ολοκλήρωση της έρευνας.
Συστήματα Διαχείρισης Πληροφοριοδοτών και ο GDPR: Το δικαίωμα στη λήθη
Ο ΓΚΠΔ τονίζει επίσης το «Δικαίωμα στη λήθη». Αυτό περιλαμβάνει την απαίτηση να διαγράφονται τα προσωπικά δεδομένα μετά την πλήρη επεξεργασία τους. Το άρθρο 17 περιγράφει τις προϋποθέσεις για τη διαγραφή δεδομένων. Αυτά τα δεδομένα, είτε δεν σχετίζονται πλέον με τους αρχικούς σκοπούς της επεξεργασίας, είτε το υποκείμενο των δεδομένων έχει αποσύρει τη συγκατάθεσή του για την επεξεργασία τους.
Σε αντίθεση με την αναφορά μέσω email ή τηλεφώνου, ένα ψηφιακό σύστημα καταγγελίας μπορεί εύκολα να καλύψει τις απαιτήσεις διαγραφής παρέχοντας επιλογές, όπως η ανωνυμοποίηση δεδομένων με απλό και δομημένο τρόπο.
Η εφαρμογή του GDPR στα Συστήματα Διαχείρισης Πληροφοριοδοτών μπορεί να φαίνεται σαν πολλή δουλειά, ιδιαίτερα για τις μικρομεσαίες εταιρείες.
Ωστόσο, όταν εξετάζεται η δημιουργία μιας κουλτούρας οργανωτικής διαφάνειας, ασφάλειας και εμπιστοσύνης, είναι ένα εγχείρημα που αξίζει τον κόπο. Οι καταγγέλλοντες θα αισθάνονται πιο ασφαλείς γνωρίζοντας ότι τα δεδομένα τους προστατεύονται και υπόκεινται σε αυστηρότερους κανονισμούς. Ο ΓΚΠΔ είναι ένα σημαντικό βήμα για τη δημιουργία μιας νέας γενιάς κανονισμών και πρωτοβουλιών για τα δεδομένα σε όλη την Ευρώπη. Μελλοντικά, ίσως και σε παγκόσμιο επίπεδο.