Съответствие с Директива (ЕС) 2019/1937 #
EthicsPortal е създаден така, че да помага на организацията ви да остане в съответствие с Директива (ЕС) 2019/1937, националната ѝ транспозиция и ОРЗД. Всяка възможност отговаря пряко на правно изискване.
Тази страница е карта между възможност и правно изискване: всеки член на директивата е обвързан с конкретна възможност на EthicsPortal. За това как EthicsPortal тълкува неясните разпоредби — прага от 50 работници и служители, „дължимите последващи действия“, сроковете за съхранение, правното основание по ОРЗД — вижте отделната методология .
Всички 27 държави членки на ЕС са транспонирали директивата в националното си право. Организацията ви трябва да спазва правото в държавата, в която работи. Вижте справката ни по държави за конкретни закони, санкции и компетентни органи. За България това е ЗЗЛПСПОИН .
Последна актуализация: 2026-05-17.
§1. Канали за сигнали (чл. 8) #
Организациите с 50 или повече работници и служители трябва да въведат защитени вътрешни канали за подаване на сигнали.
| Изискване | Как EthicsPortal го покрива |
|---|---|
| Защитен канал за подаване | Шифрован уеб портал със собствен адрес за всяка организация |
| Поверителност на самоличността | Шифроване на личните данни, без записване на IP адреси, автоматично премахване на метаданните |
| Достъпен за всички работници и служители | Уеб портал, работи на всяко устройство, без приложение и без регистрация |
| Гъвкав за организацията | Настройваеми категории, лого и приветствен текст |
§2. Процедури по подаване (чл. 9) #
| Изискване | Член | Как EthicsPortal го покрива |
|---|---|---|
| Определяне на безпристрастно лице или звено | Art. 9(1)(c) | Система за възлагане на преписки с ролеви достъп |
| Потвърждение на получаването в 7-дневен срок | Art. 9(1)(b) | Автоматично следене на сроковете с известия по имейл |
| Дължими последващи действия | Art. 9(1)(d) | Проследяване на състоянието на преписката, вътрешни бележки и пълна одитна следа |
| Обратна информация в тримесечен срок | Art. 9(1)(f) | Автоматично следене на 3-месечния срок с предупреждения |
| Възможност за устно подаване | Art. 9(2) | Настройваем телефонен номер на портала; обработващите могат да завеждат сигнали, постъпили по телефон, на живо или писмено |
| Информация за външните канали | Art. 9(1)(g) | Порталът показва информация за правото на подателя да се обърне към компетентните органи |
§3. Обхват на защитата (чл. 4) #
Директивата защитава не само работниците и служителите, но и изпълнителите, доставчиците, акционерите и други трети лица.
EthicsPortal показва ясно в портала, че подаването на сигнали е отворено за работници и служители, изпълнители, доставчици и други трети лица.
§4. Забрана на репресивните ответни действия (чл. 6, 19–21) #
Подателите трябва да бъдат информирани, че репресивните ответни действия са забранени по закон.
EthicsPortal показва изрично уведомление срещу репресивните ответни действия на всяка страница на портала преди подаване.
§5. Поверителност на самоличността (чл. 16) #
| Изискване | Как EthicsPortal го покрива |
|---|---|
| Самоличността не се разкрива извън кръга на оправомощените | Ролеви контрол на достъпа |
| Анонимност на обработващия пред подателя | В съобщенията се изписва само „Служител по сигнала“ |
| Шифроване на чувствителните данни | Имената, данните за контакт, описанията и съобщенията се съхраняват шифровано |
Без ИИ обработка на съдържанието на сигнали. Поверителността по Art. 16 обхваща и кои трети страни виждат сигнала. EthicsPortal не предава съдържание на сигнали, самоличност на подателя или комуникация по преписки към голям езиков модел или ИИ услуга за инференция — нито за категоризиране, нито за обобщаване, нито за превод. Никой ИИ доставчик (OpenAI, Anthropic, Google, Mistral или друг) не е подизпълнител. Това премахва цял клас уточнения за подизпълнители от вашето DPA и премахва съображенията по Art. 22 (автоматизирано вземане на решения) от вашата DPIA. Виж списъка с подизпълнители за съответния запис.
Две допълнителни причини това да е решение на ниво поверителност, а не предпочитание към функционалност:
- Без халюцинации във веригата от доказателства за съответствие. Големите езикови модели произвеждат вероятностен изход. Обобщение, което казва „този сигнал не изглежда спешен", е вероятност, не факт, и не може да бъде възпроизведено или одитирано. EthicsPortal записва извършителя, действието и времевия маркер детерминистично — одитният журнал е доказателство, не предположение.
- Без атакуема повърхност за prompt injection върху подадените сигнали. Входните данни от подателите по дефиниция не са доверени. Подаването им през LLM създава клас атаки, при които инструкции, скрити в текста на сигнала, могат да манипулират изхода към обработващите (предложения за отговор, обобщения, категоризиране). EthicsPortal премахва тази повърхност изцяло, като изобщо не извършва инференция върху съдържанието на сигналите.
§6. Водене на записи (чл. 18) #
| Изискване | Как EthicsPortal го покрива |
|---|---|
| Поддържане на записи за всеки сигнал | Пълна одитна следа на всички действия |
| Сигурно съхранение | Всички чувствителни полета се съхраняват шифровано |
| Възможност за извличане | Пълно сваляне на преписката в PDF |
| Изтриване, когато вече не е необходимо | Настройваем срок за съхранение с автоматично изтриване |
§7. Съответствие с ОРЗД #
| Изискване | Член | Как EthicsPortal го покрива |
|---|---|---|
| Правно основание за обработването | Чл. 6, ал. 1, буква в) | Обработването е необходимо за спазване на правно задължение |
| Уведомяване за обработването | Чл. 13 и 14 | Уведомление за поверителност преди изпращане на сигнала |
| Свеждане на данните до минимум | Чл. 5, ал. 1, буква в) | Събират се само съществените полета; името и данните за контакт са по желание |
| Ограничение на съхранението | Чл. 5, ал. 1, буква д) | Настройваем срок на съхранение с автоматично изтриване |
| Цялостност и поверителност | Чл. 5, ал. 1, буква е) | Шифроване при съхранение, без записване на IP адреси, автоматично премахване на метаданните |
| Право на изтриване | Чл. 17 | Автоматично и ръчно изтриване |
§8. Технически и организационни мерки #
| Мярка | Подробност |
|---|---|
| Шифроване при съхранение | Описанията, имената, данните за контакт и съобщенията се съхраняват шифровано |
| Без записване на IP адреси | Използват се само необратими еднопосочни хеш стойности |
| Премахване на метаданните | EXIF данните се премахват автоматично |
| Анонимност на обработващите | Подателите не виждат истинските им имена |
| Ограничаване на честотата | Публичните адреси на портала са ограничени срещу злоупотреба |
| Контрол на достъпа | Само оправомощените обработващи виждат сигналите |
| Одитна следа | Всяко действие се записва с дата и час, извършител и тип на действието |
§9. Какво вашата организация все още трябва да направи #
EthicsPortal покрива техническите изисквания. Вашата организация остава отговорна за:
- определянето на лице, което да обработва сигналите
- приемането на вътрешни правила за защита на сигнализиращите лица
- обучението на определените обработващи
- прилагането на забраната за репресивни ответни действия
- съобщаването на адреса на портала на работниците и служителите
Въпроси? #
Администраторите могат да свалят доклад за съответствие в PDF направо от настройките на портала. Той включва контролен списък по Директива (ЕС) 2019/1937, показатели за спазване на сроковете, мерки за защита на данните и обобщение на одитната следа.
За специфични изисквания по държави вижте нашата справка по държави . Ако ви е нужна помощ за доказване на съответствие пред правния ви екип или регулатор, пишете на legal@ethicsportal.eu .
Последна актуализация: