Пропуснете към основното съдържание Изисква се от правото на ЕС за организации с 50+ служители

Контролен списък за съответствие с Директивата на ЕС за защита на подателите на сигнали #

И 27-те държави членки на ЕС вече са транспонирали Директива (ЕС) 2019/1937 в националното си право. Вашата организация трябва да спазва приложимия национален закон в държавата, в която оперира, а прилагането вече е реално.

Този контролен списък ви превежда през дванадесетте стъпки към пълно съответствие. За всяка стъпка посочваме съответния член от Директивата, практичен съвет и мястото, където инструментите могат да помогнат. За конкретните правила по държави вижте нашата справка закони за защита на подателите на сигнали по държави.

Контролният списък #

1. Определете дали организацията ви е в обхвата #

Препратка към Директивата: Член 8(3–4)

Всички юридически лица в частния сектор с 50 или повече работници трябва да въведат вътрешен канал за подаване на сигнали. Организации от публичния сектор, общини и субекти в определени регулирани отрасли като финансовите услуги са в обхвата независимо от размера.

Практически съвет: Бройте всички работници, а не само служителите на пълно работно време. В зависимост от националния закон могат да се включват и лица на непълно работно време, временни служители и други категории.

2. Създайте вътрешен канал за подаване на сигнали #

Препратка към Директивата: Член 8(1), член 9(1)(a)

Каналът трябва да позволява подаване писмено или устно, а при поискване и лична среща в разумен срок.

Практически съвет: Уеб базираният портал е най-практичното решение. Той е достъпен 24/7, създава автоматичен запис и поддържа анонимна двупосочна комуникация.

Как помага EthicsPortal: Предоставя брандиран уеб портал с криптирани анонимни сигнали и двупосочни съобщения, готов за минути.

3. Определете безпристрастно лице или отдел за обработка на сигнали #

Препратка към Директивата: Член 9(1)(c)

Трябва да определите лице или отдел, компетентен да извършва последващи действия по сигналите. Това лице трябва да е без конфликт на интереси.

Практически съвет: Обичайни варианти са служител по съответствие, юрисконсулт, директор „Човешки ресурси“ или външен омбудсман. Добре е да определите и резервно лице.

4. Организирайте потвърждение за получаване в 7-дневен срок #

Препратка към Директивата: Член 9(1)(b)

Трябва да потвърдите получаването на сигнала в срок до седем календарни дни, включително при анонимни сигнали.

Практически съвет: Автоматизирайте този процес. Ръчната обработка лесно води до пропуснати срокове.

Как помага EthicsPortal: Следи срока за потвърждение за всеки сигнал и показва на обработващите кои случаи изискват действие.

5. Определете процес за обратна връзка в 3-месечен срок #

Препратка към Директивата: Член 9(1)(f)

Трябва да предоставите обратна връзка на подателя в срок до три месеца от потвърждението.

Практически съвет: Обратната връзка не изисква разкриване на пълния резултат от проверката. Достатъчно е да информирате подателя, че въпросът е разгледан и са предприети подходящи действия.

Как помага EthicsPortal: Следи 3-месечния срок по всеки случай и поддържа двупосочна комуникация с анонимни податели чрез код за достъп.

6. Въведете мерки за поверителност #

Препратка към Директивата: Член 16

Самоличността на подателя не може да се разкрива извън упълномощените обработващи без изричното му съгласие. Това включва и данни, от които самоличността може да бъде косвено изведена.

Практически съвет: Ограничете достъпа до сигналите. Не споделяйте детайли по случаи пред неупълномощени лица и при вътрешно препращане премахвайте идентифициращите данни.

Как помага EthicsPortal: Ролевият достъп гарантира, че само определените обработващи виждат сигналите.

7. Осигурете защита срещу ответни действия #

Препратка към Директивата: Членове 19, 20 и 21

Подателите на сигнали, подпомагащите ги лица и свързаните трети страни трябва да бъдат защитени от ответни действия.

Практически съвет: Опишете тази защита в политиката си за подаване на сигнали. Обучете мениджърите какво представлява ответно действие и документирайте кадровите решения, за да можете да докажете законни основания.

8. Обучете обработващите случаи #

Препратка към Директивата: Член 9(1)(c–f) по подразбиране

Директивата не предписва конкретно обучение, но обработващите трябва да са компетентни да изпълняват задълженията за поверителност, срокове и последващи действия.

Практически съвет: Обучението трябва да покрива работата с канала, поверителността, основите на вътрешната проверка, защитата срещу ответни действия и защитата на данните. Документирайте го и го обновявайте ежегодно.

9. Информирайте служителите за канала #

Препратка към Директивата: Член 9(1)(g)

Трябва да предоставите ясна и леснодостъпна информация как се използва вътрешният канал. Трябва също да информирате за правото на външно подаване до компетентен орган.

Практически съвет: Публикувайте информацията в интранета, включете я в onboarding материалите и я поставете в общите пространства. QR кодът към портала е практичен начин каналът да бъде откриваем.

Как помага EthicsPortal: Генерира QR код и линк за споделяне, които можете да отпечатате и разпространите.

10. Въведете правила за съхранение и изтриване на данни #

Препратка към Директивата: Член 17(1–3)

Личните данни в сигналите не трябва да се пазят по-дълго от необходимото. Данните, които очевидно не са относими, трябва да се изтрият без забавяне.

Практически съвет: Определете срок за съхранение в политиката си и съобразете срока с националното право. Следете затворените случаи и преглеждайте периодично кои трябва да бъдат изтрити.

11. Подгответе писмена политика за защита на подателите на сигнали #

Препратка към Директивата: Членове 8 и 9 по подразбиране, както и националните закони

Макар Директивата да не изисква изрично отделен документ, на практика той е необходим, а в много държави и задължителен.

Практически съвет: Политиката трябва да обхваща обхват, допустими сигнали, кой може да подава, как се подава, поверителност, защита срещу ответни действия, срокове и защита на данните.

12. Документирайте съответствието за регулаторен преглед #

Препратка към Директивата: Член 11(2) и националните закони за транспониране

В редица държави организациите трябва да могат да докажат пред регулатор, че са изпълнили задълженията си.

Практически съвет: Съхранявайте информация кога е въведен каналът, кои са определените обработващи, какви обучения са проведени, коя е действащата политика и какви агрегирани данни има за получените и обработени сигнали.

Следващи стъпки #

Ако сте покрили всички точки по-горе, организацията ви изпълнява основните изисквания на Директивата и националните правила за транспониране. Съответствието не е еднократно действие — преглеждайте настройката си ежегодно, обучавайте отново обработващите и актуализирайте политиката си при промени в закона.

Нуждаете се от канал за подаване на сигнали? EthicsPortal ви дава съответстващ на изискванията анонимен портал за минути — фиксирани €49 на месец. Въведете портала си днес.

Последна актуализация: