Evo tri najvažnija razloga zašto se e-mail ne bi trebao koristiti kao kanal za prijavu nepravilnosti:
Razlog 1. – PODACI U PRIJAVI IZLOŽENI SU SIGURNOSNIM RIZICIMA I RIZICIMA ZAŠTITE PODATAKA
Nakon što prijavitelj podnese prijavu, tvrtka raspolaže osjetljivim osobnim podacima te informacijama o prijavljenoj nepravilnosti. Međutim, e-mail nema nikakav mehanizam šifriranja pa je integritet prikupljenih podataka ugrožen. To neovlaštenim stranama omogućuje ne samo čitanje e-maila (tj. prijave) već i njegovu neovlaštenu distribuciju. Osim toga, to nije revizorski prihvatljivo (jer predstavlja izraženi rizik te narušava sigurnost prijavitelja), podaci se iz e-mailu prijave mogu izmjeniti ili izbrisati što može utjecati na daljnji tijek unutarnje ili vanjske istrage. Također, ne može se jamčiti niti usklađenost s GDPR-om jer nisu ispunjeni zahtjevi za sigurnost podataka s obzirom da GDPR zahtijeva čuvanje osjetljivih podataka u data centrima visoke sigurnosti, što je teško postići e-mailom.
Razlog 2. – ZAPOSLENICI (POTENCIALNI PRIJAVITELJI) NEMAJU POVJERENJA U SUSTAV PRIJAVE PUTEM E-MAILA
Zadobiti povjerenje potencijalnih prijavitelja presudno je za samu prijavu i za općenito cijeli sustav unutarnjeg prijavljivanja. Stoga, prijavitelji moraju u potpunosti vjerovati u sigurnost sustava i postupanje po prijavi. U protivnom, interne će prijave izostati, a potencijalni će se prijavitelji okrenuti vanjskom prijavljivanju (pučkoj pravobraniteljici, insitucijama) ili javnom razotkrivanju (medijima, društvenim mrežama). A to nitko ne želi. Niti tvrtke, niti prijavitelji. Jer, mnoge studije, bez obzira gdje provedene i napravljene, pokazuju da su ljudi skloni interno prijaviti problem prvom nadređenom, a onda putem internog sustava. Sve ostale opcije manje se koriste. Tako se pomaže izgradnji organizacijske kulture, ali i dobivaju opsežniji, relevantniji i točniji podaci tj. prijave. Također, i studije i praksa pokazuju da mogućnost povjerljive ili anonimne prijave uvelike povećava vjerojatnost i broj prijava.
Razlog 3. – E-MAIL NE DOPUŠTA UČINKOVITU OBRADU PREDMETA I POSTUPANJE PO PRIJAVI
Uz sigurnost podataka i povjerenje zaposlenika, jednostavnost obrade prijava i pristup istima još je jedan čimbenik kojeg treba uzeti u obzir pri uspostavi sustava unutarnjeg prijavljivanja. Kod sustava temeljenog na e-mailu, svi zaprimljeni podaci moraju se ručno zabilježiti u, često improvizirani, sustav za upravljanje prijavama (ako isti uopće i postoji) što narušava učinkovitost i uvjete za vođenje evidencije o prijavama (prema članku 18., Zakona o zaštiti prijavitelja nepravilnosti.
Ima tu još potencijalnih nedostataka i razloga koji ne govore u korist e-maila kao načina i kanala za podnošenje unutarnjih prijava. Na primjer, povjerljive osobe većinu vremena usmjeravaju svojim redovnim radnim obavezama (izvan područja prijava nepravilnosti) pa se zbog previše različitih e-mailova u njihovom inboxu prijava često izgubi (“od šume se ne idi drvo”). Tu su onda i razni filteri i interna ograničenja kod privitaka, fotografija, videa, bugovi, phising, razne zlouporabe, itd… Sve to navodi na činjenicu da je e-mail ranjiva opcija koja nije za preporuku.
Zakon o zaštiti prijavitelja nepravilnosti dopušta prijavu u usmenom i pisanom obliku, pri čemu pisani oblik uključuje svaki oblik komunikacije koji osigurava pisani zapis. Dakle, Zakon ne određuju eksplicite smije li se ili ne smije korisiti e-mail (štoviše, e-mail je jedan od prihvatljivih pisanih oblika prijava) no, eksplicite određuje i zahtjeva sigurnost, zaštitu i učinkovitost. Zato e-mail nije dobro rješenje, a najbolja su mu alternativa specijalizirana softverska rješenja ili platforme koje rješavaju sve gore spomenute probleme (zaštitu i sigurnost podataka, povjerenje zaposlenika, povjerljivost i anonimnost, daljnju obradu i pregled prijava, statistiku, dostupnost, …), a uz to imaju i dodatne mogućnosti.
ALTERNATIVNA RJEŠENJA
Zakon o zaštiti prijavitelja nepravilnosti dopušta prijavu u usmenom i pisanom obliku, pri čemu pisani oblik uključuje svaki oblik komunikacije koji osigurava pisani zapis. Dakle, Zakon ne određuju eksplicite smije li se ili ne smije korisiti e-mail (štoviše, e-mail je jedan od prihvatljivih pisanih oblika prijava) no, eksplicite određuje i zahtjeva sigurnost, zaštitu i učinkovitost. Zato e-mail nije dobro rješenje, a najbolja su mu alternativa specijalizirani digitalni sustavi za prijavu nepravilnosti ili platforme (npr. Integrity Line) koje rješavaju sve gore spomenute probleme (zaštitu i sigurnost podataka, povjerenje zaposlenika, povjerljivost i anonimnost, daljnju obradu i pregled prijava, statistiku, dostupnost, …) te olakšavaju ispunjavanje zakonskih zahtjeva u vezi sa zaštitom i sigurnošću podataka.
Spomenuti sustavi također potiču povjerenje zaposlenika, što rezultira višim brojem relevantnih prijava bez straha od osvete. Prijave se mogu podnijeti povjerljivo ili anonimno, a integrirani dio za kasnije upravljanje prijavama omogućuje učinkovitu obradu pristiglih prijava, daje detaljan pregled svih postojećih preijava, njihov status, itd…
Vlasnik konzultantske tvrtke Ravecon, dugogodišnji borac za etičnost u poslovanju, pokretač prve sveobuhvatne edukacije za implementaciju i primjenu Zakona o zaštiti prijavitelja nepravilnosti te osnivač Centra za zaštitu zviždača.