Który kanał raportowania dla sygnalistów jest najlepszy?

Wybór kanału zgłoszeniowego był kiedyś otwartym pytaniem projektowym. Po dyrektywie (UE) 2019/1937 i krajowych ustawach, które się na niej opierają, pytanie zawęziło się: która kombinacja kanałów spełnia wymogi prawa i nie naraża zgłaszającego na identyfikację po drodze? Formularze internetowe wciąż wychodzą na pierwsze miejsce, ponieważ przejmują więcej obowiązków dyrektywy w zakresie przyjmowania zgłoszeń, retencji i ścieżki audytu, niż były w stanie starsze rozwiązania. Pozostają najlepszym kanałem informowania o nieprawidłowościach dla większości organizacji.

Anonimowość i poufność

Kanał zgłoszeniowy chroni zgłaszającego tylko wtedy, gdy sam nie ujawnia, kim ta osoba jest. Telefoniczne infolinie nagrywają głos i rejestrują numer dzwoniącego. E-mail zachowuje nagłówki, podpisy i zdjęcie profilowe Outlooka niezależnie od tego, czy nadawca o tym pamięta. Listy tradycyjne niosą charakter pisma i adres zwrotny. Formularz internetowy zaprojektowany pod zgłaszanie nieprawidłowości jest jedynym kanałem, w którym ujawnienie tożsamości jest świadomym wyborem, a nie skutkiem ubocznym technologii. Gdy formularz obsługuje anonimowe zgłoszenia, dwustronną komunikację przez kod sprawy oraz ścisłą kontrolę dostępu po stronie zaplecza, organizacja może zbadać zgłoszenie nigdy nie poznawszy tożsamości zgłaszającego, a właśnie o to chodzi.

Czego dokładnie wymaga dyrektywa

Artykuł 9 dyrektywy (UE) 2019/1937 jest niezwykle precyzyjny jak na unijny instrument prawny. Wewnętrzne kanały muszą przyjmować zgłoszenia pisemnie, ustnie lub w obu tych formach, a na życzenie zgłaszającego również podczas spotkania osobistego w rozsądnym terminie. Organizacja ma siedem dni na potwierdzenie odbioru i trzy miesiące na przekazanie informacji zwrotnej o tym, co zostało zrobione ze zgłoszeniem. Próg uruchamiający obowiązek to 50 pracowników, a podmioty zatrudniające od 50 do 249 osób mogą dzielić zasoby. Państwa członkowskie zaczęły aktywnie egzekwować przepisy: w 2025 r. Trybunał Sprawiedliwości UE ukarał Niemcy karą 34 mln EUR za opóźnioną transpozycję, a jednorazowe i dzienne kary nałożono również na Czechy, Węgry, Estonię i Luksemburg. Polskie podmioty prywatne i publiczne podlegają temu samemu reżimowi przez ustawę o sygnalistach ; przegląd Komisji Europejskiej oraz streszczenie EUR-Lex przedstawiają samą dyrektywę w przystępny sposób.

Ścieżka audytu i spójne przyjmowanie zgłoszeń

Gdy zgłoszenie już istnieje, organy nadzoru oczekują, że będzie widać, co się z nim stało. Krajowe wytyczne doprecyzowały, co ścieżka audytu oznacza w praktyce. Włoskie wytyczne ANAC nr 1/2025, przyjęte w listopadzie 2025 r., wymieniają wyznaczenie osoby zarządzającej kanałem, weryfikację konfliktu interesów i dokumentację obsługi spraw jako konkretne obowiązki, a nie ogólniki. Formularz internetowy generuje właściwe ślady domyślnie: identyfikator sprawy w momencie zgłoszenia, znaczniki czasu przy każdej zmianie statusu, załączniki przechowywane razem z oryginalnym zgłoszeniem oraz zasady retencji powiązane z bazową procedurą sygnalisty . Skrzynka e-mail tego nie zapewni bez ogromnego nakładu ręcznej pracy archiwizacyjnej, a w momencie gdy jedno zgłoszenie wyląduje w niewłaściwym pliku PST, organizacja ma jednocześnie problem z RODO i z dyrektywą.

Dostępność i obsługa 24/7

Formularz znajduje się w publicznym internecie, co oznacza, że pracownicy, kontrahenci i byli pracownicy mogą do niego dotrzeć z dowolnego urządzenia, w dowolnej chwili, w preferowanym przez siebie języku. Dla zespołów międzynarodowych to nie jest miły dodatek, tylko realne wymaganie. Zgłaszający z Warszawy nie powinien być zmuszony dzwonić na infolinię obsadzaną wyłącznie w godzinach pracy biura w Niemczech, a osoba z Lizbony nie powinna być zmuszona opisywać sprawy w języku, którym nie posługuje się swobodnie w piśmie. Dyrektywa wymaga, aby kanały były dostępne, a dostępność w praktyce oznacza asynchroniczność, wielojęzyczność i osiągalność spoza sieci korporacyjnej.

Ta sama właściwość ma znaczenie w drugą stronę. Osoby, które nie są już pracownikami, kontrahenci kończący zlecenie, kandydaci, którzy coś zauważyli podczas rozmów rekrutacyjnych, a także akcjonariusze również wyraźnie podlegają zakresowi dyrektywy. Żadna z tych osób nie ma firmowego VPN-a ani aktywnej skrzynki służbowej, przez którą mogłaby cokolwiek złożyć. Publiczny formularz internetowy jest jedynym kanałem, który traktuje ich poważnie bez konieczności utrzymywania osobnej infrastruktury dla każdej z tych grup.

Tam, gdzie e-mail i telefon zawodzą

E-mail to kanał, na który większość organizacji domyślnie się decyduje, i zarazem ten najbardziej narażony na niepowodzenie podczas audytu. Skrzynki nie są zaprojektowane z myślą o poufności, kontroli retencji ani ograniczonym dostępie. Łańcuchy przekierowań, autorespondery i współdzieleni asystenci poszerzają krąg osób wiedzących o sprawie na długo zanim ktokolwiek to zaakceptował. Telefoniczne infolinie same w sobie są zgodne z prawem, bo dyrektywa traktuje głos jako równoważny pismu, ale generowane przez nie nagrania i rejestry połączeń stają się polem do potencjalnych odwetów, jeśli nie są podpięte do uporządkowanego zaplecza systemowego. Oba kanały sprawdzają się jako uzupełnienie głównego formularza internetowego: nagrywana linia oddzwaniająca dla osób, które wolą porozmawiać, oraz adres e-mail do dalszej korespondencji w istniejącej już sprawie. Nie sprawdzają się natomiast jako jedyny kanał, jaki oferuje system dla sygnalistów .

Konfiguracja, na której po pewnym czasie pracy z dyrektywą zbiega się większość zespołów compliance, jest taka sama: bezpieczny formularz internetowy jako główny punkt przyjmowania zgłoszeń, udokumentowana opcja ustna w rezerwie oraz pisemna procedura, która spina je z dyrektywowymi terminami siedmiu dni i trzech miesięcy. WeMoral został zbudowany dokładnie wokół tego wzorca: formularz obsługuje przyjmowanie zgłoszenia, a liczniki i dziennik audytu działają nad nim bez ręcznej obsługi. Szczegóły cenowe znajdziesz na stronie cennika .