На 17 декември 2021 г. Европейският съюз представи Директивата за лицата, подаващи сигнали за нередности (EUWD). Тя гарантира наличието на общи минимални стандарти за защита във всичките 27 държави-членки, за да защити от отмъщение или взаимни обвинения служителите, които говорят открито за нарушения на българското законодателство или на актове на Европейския съюз на работното място.
Закон за защита на лицата подаващи сигнали (cypro.bg)
Lex.bg – Закони, правилници, конституция, кодекси, държавен вестник, правилници по прилагане
Основните точки на Директивата са:
- Защита съществува не само за служителите, които съобщават за своите опасения, но и за кандидатите за работа, бившите служители, консултанти и журналистите.
- Тези лица са защитени от уволнение, унижаване и други форми на дискриминация.
- Защитата се прилага само за съобщаване за неправомерни действия, свързани със законодателството на ЕС, като данъчни измами, пране на пари или нарушения при обществени поръчки, продуктова и пътна безопасност, опазване на околната среда, обществено здраве и защита на потребителите и данните.
- Лицето, подало сигнал за нередност, може да избере дали да съобщи за това вътрешно в компанията или директно на компетентния надзорен орган. Ако нищо не се случи в отговор на такъв сигнал или ако подателят на сигнал има причина да смята, че това е в обществен интерес, той също може да се обърне директно към обществеността. Те са защитени и в двата случая.
С тези предпазни мерки ЕС изпраща ясно послание до лицата, подаващи сигнали за нередности, че няма от какво да се страхуват, като същевременно насърчава лицата да докладват за фирмени нарушения.
Съгласно директивата е въведена тристепенна структура при подаване на сигнали, чрез която служителите могат да докладват своите опасения:
- Вътрешни канали за подаване на сигнали: изграден отделен вътрешен или външен екип/служител отговорен за приемането и обработването на сигнали.
- Външни канали за подаване на сигнали: Докладването по външни канали трябва да бъде насочено към определените надзорни органи. В България този орган е Комисията за защита на личните данни.
- Публични канали за подаване на сигнали: като директно отиване в медиите или чрез публичен форум като Twitter.
Кой е засегнат от директивата?
Компаниите с над 50 служители, институциите от публичния сектор, властите, както и общините с 10 000 или повече жители са задължени да създадат подходящи вътрешни канали за подаване на сигнали за нередности.
Задължения на предприятията при подаване на сигнали
Защита на данни и анонимност
Всички лични данни, както на лицето, подало сигнал за нередност, така и на обвиняемите лица, трябва да се обработват в съответствие с GDPR.
Отговорности
Компаниите трябва да определят „най-подходящото“ лице, което да получава и проследява отчетите вътрешно. Според ЕС това може да бъде:
Служител по съответствието, ръководител на отдел „Човешки ресурси“, юрисконсулт, главен финансов директор (CFO), член на изпълнителния съвет или ръководство
Компаниите могат също така да възложат обработката на сигнали, например на външно DPO (Длъжностно лице по защита на личните данни).
Вътрешен или публичен канал за докладване?
Ако вътрешните канали за докладване не бъдат въведени, трябва да е ясно, че лицата, подаващи сигнали за нередности, ще могат да докладват само до публичните органи или медиите съгласно Директивата на ЕС за лицата, подаващи сигнали за нередности – с непредвидими рискове за организациите.
Какво се случва след подаване на сигнал?
Тъй като всички сигнали трябва да бъдат документирани и трябва да бъдат предприети последващи мерки, всеки доклад трябва да бъде лесно достъпен за служителите по съответствието за управление на следващите стъпки.
Време за обработка
Компанията е длъжна да потвърди получаването на сигнала на лицето, подало сигнал, в рамките на седем дни. Лицето, подало сигнал за нередност, трябва да бъде информирано за всяко предприето действие в рамките на три месеца, за състоянието на вътрешното разследване и резултата от него.
Задължение за информиране
От компаниите се изисква да предоставят на компетентния орган информация за вътрешния процес на докладване, както и за канала(ите) за докладване. Тази информация трябва да бъде лесно разбираема и достъпна не само за служителите, но и за доставчиците на услуги и бизнес партньорите.
Продължителност на изпълнение
Продължителността на изпълнение зависи от размера и сложността на организационната структура. Като цяло това отнема между няколко седмици до няколко месеца.
Съхранение на данни
Всички получени сигнали трябва да се съхраняват на сигурно място, за да могат да бъдат използвани като доказателство, ако е необходимо.
Свържете се с нас
Нашите експерти по защита на данни и киберсигурност са готови да помогнат. Говорете с нас днес, за да приложите в съответствие вашата организация
Email: [email protected]
Изпратете запитване
Как да се справим със скрития риск в неструктурираните данни през 2022 г
Как организациите по целия свят могат да избегнат пробиви на данни? Във време, в което атаките на...
Има ли нужда моят бизнес от DPO?
Накратко, да. Сегашното мнение е, че всички организации ще се нуждаят от DPO и техните услуги, освен ако вашият бизнес не може да докаже, че не обработва лични данни.
Киберсигурност през 2021 г. – Ето какво трябва да знаете
Заплахите за киберсигурност са заплахи, които се фокусират върху получаването на достъп до...
Защитете вашата компания срещу фишинг атаки
Знаете ли, че повече от 90% от всички успешни хакове и нарушения на данни започват с фишинг...
Как тестването на пробивите в сигурността е от полза за бизнеса?
Предвид днешното ниво на киберзаплахите, наложително е организациите да разполагат с правилните...
Как да защитите вашата организация от атаки на рансъмуер?
Едно нещо, което притеснява всички ИТ директори през последните няколко години, е дали тяхната...