Съответствие с Директива (ЕС) 2019/1937 #
EthicsPortal е създаден така, че да помага на организацията ви да остане в съответствие с Директива (ЕС) 2019/1937, националната ѝ транспозиция и GDPR. Всяка функционалност отговаря директно на правно изискване.
Тази страница е карта между функционалност и правно изискване: всеки член на директивата е свързан с конкретна възможност на EthicsPortal. За това как EthicsPortal тълкува неясните разпоредби — прага от 50 работници, „дължимите последващи действия“, сроковете за съхранение, правното основание по GDPR — вижте отделната методология.
Всички 27 държави членки на ЕС са транспонирали директивата в националното си право. Организацията ви трябва да спазва правото в държавата, в която оперира. Вижте справката ни по държави за конкретни закони, санкции и компетентни органи. За България това е ЗЗЛПСПОИН.
§1. Канали за сигнали (чл. 8) #
Организациите с 50 или повече служители трябва да въведат сигурни вътрешни канали за подаване на сигнали.
| Изискване | Как EthicsPortal го покрива |
|---|---|
| Сигурен канал за подаване | Шифрован уеб портал с уникален URL за всяка организация |
| Поверителност на самоличността | Шифроване на личните данни, без IP логове, автоматично премахване на метаданни |
| Достъпен за всички работници | Уеб базиран портал, работи на всяко устройство, без приложение и без акаунт |
| Адаптивен към организацията | Конфигурируеми категории, лого и приветстващ текст |
§2. Процедури по подаване (чл. 9) #
| Изискване | Член | Как EthicsPortal го покрива |
|---|---|---|
| Определяне на безпристрастно лице или звено | Art. 9(1)(c) | Система за възлагане на случаи с ролеви достъп |
| Потвърждение в 7-дневен срок | Art. 9(1)(b) | Автоматично следене на срокове с имейл известия |
| Дължими последващи действия | Art. 9(1)(d) | Workflow за статуса на случая, вътрешни бележки и пълна одитна следа |
| Обратна връзка в тримесечен срок | Art. 9(1)(f) | Автоматично следене на 3-месечния срок с предупреждения |
| Възможност за устно подаване | Art. 9(2) | Конфигурируем телефонен номер на портала; възможност обработващите да въвеждат телефонни, лични и писмени сигнали |
| Информация за външни канали | Art. 9(1)(g) | Порталът показва информация за правото на подателя да се обърне към компетентните органи |
§3. Обхват на защитата (чл. 4) #
Директивата защитава не само служители, но и изпълнители, доставчици, акционери и други трети лица.
EthicsPortal показва ясно в портала, че подаването на сигнали е отворено за служители, изпълнители, доставчици и други трети лица.
§4. Забрана на репресиите (чл. 6, 19–21) #
Подателите трябва да бъдат информирани, че репресиите са забранени по закон.
EthicsPortal показва notice срещу репресии на всяка portal страница преди подаване.
§5. Поверителност на самоличността (чл. 16) #
| Изискване | Как EthicsPortal го покрива |
|---|---|
| Самоличността не се разкрива извън кръга на упълномощените | Ролеви контрол на достъпа |
| Анонимност на обработващия спрямо подателя | В съобщенията се вижда само „Case handler“ |
| Шифроване на чувствителните данни | Имена, контакти, описания и съобщения са шифровани в покой |
§6. Водене на записи (чл. 18) #
| Изискване | Как EthicsPortal го покрива |
|---|---|
| Поддържане на записи за всеки сигнал | Пълна одитна следа на всички действия |
| Сигурно съхранение | Всички чувствителни полета са шифровани |
| Възможност за извличане | Пълен PDF експорт на случая |
| Изтриване, когато вече не е необходимо | Конфигурируем срок за съхранение с автоматично изтриване |
§7. Съответствие с GDPR #
| Изискване | Член | Как EthicsPortal го покрива |
|---|---|---|
| Правно основание за обработване | Art. 6(1)(c) | Обработването е необходимо за спазване на правно задължение |
| Уведомяване за обработването | Art. 13/14 | Уведомление за поверителност преди изпращане на сигнала |
| Минимизиране на данните | Art. 5(1)(c) | Събират се само съществени полета; име и контакт са по избор |
| Ограничение на съхранението | Art. 5(1)(e) | Конфигурируем срок на съхранение с автоматично изтриване |
| Цялостност и поверителност | Art. 5(1)(f) | Шифроване в покой, без IP логове, автоматично премахване на метаданни |
| Право на изтриване | Art. 17 | Автоматично и ръчно изтриване |
§8. Технически и организационни мерки #
| Мярка | Детайл |
|---|---|
| Шифроване в покой | Описания, имена, контакти и съобщения са шифровани |
| Без IP логове | Използват се само необратими еднопосочни hash стойности |
| Премахване на метаданни | EXIF данните се премахват автоматично |
| Анонимност на обработващите | Подателите не виждат истински имена |
| Rate limiting | Публичните portal endpoints са ограничени срещу злоупотреба |
| Контрол на достъпа | Само упълномощени обработващи виждат сигнали |
| Одитна следа | Всяко действие се записва с timestamp, actor и action type |
§9. Какво вашата организация все още трябва да направи #
EthicsPortal покрива техническите изисквания. Вашата организация остава отговорна за:
- определяне на лице, което да обработва сигналите
- приемане на вътрешна политика за защита на подателите на сигнали
- обучение на определените обработващи
- прилагане на забраната за репресии
- споделяне на portal URL с работниците
Въпроси? #
Администраторите могат да изтеглят PDF доклад за съответствие директно от настройките на портала. Той включва checklist по Директива (ЕС) 2019/1937, SLA метрики, мерки за защита на данните и обобщение на одитната следа.
За специфични изисквания по държави вижте нашата справка по държави. Ако ви е нужна помощ за доказване на съответствие пред правния ви екип или регулатор, пишете на support@ethicsportal.eu.
Последна актуализация: