Sygnato
Prawo i Compliance (Zgodność)

E-mail sygnalista@firma.pl łamie prawo. Dlaczego zwykła skrzynka naraża zarząd na kary?

Sygnato
|

Wiele firm, chcąc jak najszybciej „odfajkować” obowiązek wynikający z Ustawy o Ochronie Sygnalistów, sięga po najprostsze rozwiązanie: tworzy dedykowany adres e-mail w stylu sygnalista@firma.pl. Wydaje się tanie, szybkie i wystarczające. W rzeczywistości jest to rozwiązanie, które nie tylko nie spełnia wymogów prawa, ale może bezpośrednio narazić zarząd na odpowiedzialność karną i finansową.

Pozory zgodności — co tak naprawdę zapewnia zwykła skrzynka e-mail?

Na pierwszy rzut oka adres e-mail wydaje się idealnym rozwiązaniem. Każdy wie, jak z niego korzystać, konfiguracja zajmuje kilka minut, a koszt to praktycznie zero. Problem w tym, że Ustawa o Ochronie Sygnalistów z dnia 14 czerwca 2024 roku oraz leżąca u jej podstaw Dyrektywa UE 2019/1937 stawiają konkretne i rygorystyczne wymagania dotyczące tego, jak kanał zgłoszeń wewnętrznych musi działać. Wymogi te zwykły e-mail spełnia jedynie powierzchownie — a tam, gdzie liczy się prawo, ta powierzchowność nie wystarczy.

Problem 1: Brak rzeczywistej anonimowości — logi IP i metadata

Fundamentalnym wymogiem dyrektywy i ustawy jest zapewnienie sygnaliście możliwości zgłoszenia sprawy anonimowo lub co najmniej w warunkach pełnej poufności. Zwykła poczta elektroniczna z definicji tego nie zapewnia.

Każda wiadomość e-mail wysłana z sieci firmowej lub domowej pracownika zostawia ślad w postaci adresu IP. Serwery pocztowe rejestrują te dane w logach SMTP. Administrator IT firmy, korzystając z dostępu do infrastruktury, jest w stanie w ciągu kilku minut ustalić, z jakiego komputera i o której godzinie wysłano zgłoszenie. Jeśli pracownik wysyła wiadomość z prywatnego adresu e-mail, wciąż można go namierzyć — nagłówki wiadomości („headers”) zawierają informacje o dostawcy usługi i przybliżonej lokalizacji.

Co gorsza, nagłówki e-mail zawierają tak zwane metadane: identyfikator klienta pocztowego, wersję systemu operacyjnego, a często nawet nazwę komputera. Dla kogoś z dostępem do skrzynki pocztowej i minimalną wiedzą techniczną ustalenie tożsamości autora zgłoszenia bywa trywialnie proste.

Problem 2: Nieograniczony dostęp administratorów IT

Kto ma dostęp do skrzynki sygnalista@firma.pl? W większości firm — administrator IT, a nierzadko cały dział techniczny. Ustawa wymaga, by dostęp do zgłoszeń miały wyłącznie osoby „upoważnione” wyznaczone przez pracodawcę, które są zobowiązane do zachowania poufności. Tymczasem skrzynka e-mail na firmowym serwerze jest z technicznego punktu widzenia dostępna dla administratorów systemu w każdej chwili — nawet jeśli formalnie im tego zabronimy.

Żaden regulamin wewnętrzny nie zmienia architektury serwera. Jeśli firma korzysta z Microsoft 365 lub Google Workspace, dostęp do zawartości skrzynek mają nie tylko lokalni administratorzy, ale potencjalnie również dostawca usługi chmurowej. To poważna luka, której nie można załatać polityką bezpieczeństwa.

Problem 3: Brak szyfrowania end-to-end

Standardowa komunikacja e-mail odbywa się za pomocą protokołów SMTP, IMAP i POP3. O ile transport e-maila może być szyfrowany (TLS), o tyle sama treść wiadomości przechowywana jest na serwerze najczęściej w postaci niezaszyfrowanej lub z szyfrowaniem, do którego klucz posiada operator serwera.

Oznacza to, że w razie wycieku danych, włamania do serwera lub nawet niezabezpieczonego audytu wewnętrznego, pełna treść zgłoszeń sygnalistów może zostać ujawniona. Przepis Ustawy o Ochronie Sygnalistów jest tu jednoznaczny: pracodawca jest zobowiązany zapewnić ochronę danych osobowych i poufności zarówno sygnalisty, jak i osób, których dotyczy zgłoszenie.

Odpowiedzialność zarządu — co grozi w razie kontroli?

Ustawa o Ochronie Sygnalistów nakłada na pracodawcę konkretne obowiązki, a ich niewykonanie grozi poważnymi konsekwencjami. Co ważne, odpowiedzialność nie spada na spółkę jako abstrakcyjny byt, ale na konkretne osoby — w tym na członków zarządu.

  • Grzywna do 5000 zł za utrudnianie anonimowego zgłaszania (art. 56 ustawy) — ale to tylko dolna granica.
  • Odpowiedzialność karna dla osób, które ujawnią tożsamość sygnalisty — do 3 lat pozbawienia wolności.
  • Roszczenia cywilne sygnalisty w razie działań odwetowych — pracodawca musi udowodnić, że działania wobec pracownika nie były motywowane zgłoszeniem.
  • Kontrole UODO i PIP — inspektor może zażądać przedstawienia dokumentacji potwierdzającej, że kanał zgłoszeń spełnia wymogi. Zwykła skrzynka e-mail tej dokumentacji nie dostarczy.

W razie kontroli Urzędu Ochrony Danych Osobowych kluczowe jest wykazanie, że firma wdrożyła środki techniczne i organizacyjne gwarantujące anonimowość i poufność. Sama skrzynka e-mail — bez kryptografii, bez kontroli dostępu, bez logów audytowych — tego wykazać nie pozwala.

Co mówi ustawa o wymaganiach wobec kanału zgłoszeń?

Art. 29 ust. 1 Ustawy o Ochronie Sygnalistów precyzuje, że wewnętrzny kanał zgłoszeniowy musi umożliwiać dokonywanie zgłoszeń ustnie lub pisemnie, zapewniać możliwość dokonania zgłoszenia anonimowego oraz chronić poufność tożsamości osoby dokonującej zgłoszenia. Ustawa wymaga ponadto potwierdzenia przyjęcia zgłoszenia w ciągu 7 dni i udzielenia informacji zwrotnej w ciągu 3 miesięcy.

Żaden z tych wymogów nie jest technicznie możliwy do spełnienia przy użyciu zwykłej skrzynki e-mail bez dodatkowej, kosztownej infrastruktury. Firmy, które wybierają e-mail jako „rozwiązanie tymczasowe”, de facto nie wdrożyły systemu zgłoszeń wewnętrznych w rozumieniu ustawy.

Jak działa bezpieczny system — i dlaczego Sygnato to właściwy wybór?

Sygnato zostało zaprojektowane jako odpowiedź na dokładnie te luki, które opisujemy powyżej. Zamiast zwykłego e-maila, platforma oferuje:

  • Szyfrowanie End-to-End (E2E) — treść zgłoszenia jest zaszyfrowana w przeglądarce sygnalisty zanim trafi na serwer; nawet Sygnato nie ma dostępu do treści.
  • Anonimowy dostęp przez kod PIN — sygnalista nie musi się logować ani podawać żadnych danych osobowych; komunikacja odbywa się na podstawie jednorazowego kodu.
  • Dedykowany VPS — każda firma ma własną, izolowaną instancję systemu; brak współdzielonych baz danych.
  • Automatyczne liczniki SLA — system pilnuje terminów 7 i 90 dni, wysyłając przypomnienia do osoby odpowiedzialnej.
  • Pełny audyt logów — dokumentacja dla UODO i PIP dostępna w jednym miejscu.

Wdrożenie Sygnato zajmuje mniej niż 24 godziny i kosztuje ułamek tego, czego można się spodziewać po potencjalnych sankcjach prawnych.

Podsumowanie

Adres e-mail sygnalista@firma.pl to złudzenie zgodności z prawem. Naraża pracowników na ujawnienie tożsamości, naraża zarząd na odpowiedzialność karną i finansową, i nie wytrzyma żadnej kontroli regulacyjnej. W świetle obowiązującej ustawy jedynym bezpiecznym rozwiązaniem jest dedykowany system z kryptografią End-to-End i pełną kontrolą dostępu.

👉 Sprawdź demo Sygnato — zadbaj o zgodność z prawem już dziś

👉 Skontaktuj się z nami i dowiedz się, jak szybko wdrożyć Sygnato w Twojej firmie

O autorze

Sygnato

Zespół ekspertów Sygnato łączący świat prawa, HR i zaawansowanego cyberbezpieczeństwa. Naszą misją jest dostarczanie firmom i instytucjom publicznym niezawodnych narzędzi LegalTech, które automatyzują procesy compliance, chronią zarządy przed karami, a sygnalistom gwarantują 100% anonimowości.

Zgoda na pliki cookie Używamy cookies do obsługi strony, personalizacji treści i reklam. Polityka prywatności
O pliki cookies dba CookieBaner.pl