Методология #
Този документ описва как EthicsPortal тълкува разпоредби на Директива (ЕС) 2019/1937, които допускат повече от едно разумно тълкуване. Предназначен е за екипи по съответствие, длъжностни лица по защита на данните и правни консултанти, които трябва да вземат защитими оперативни решения.
Това е жив документ. Ако Съдът на ЕС, Европейският комитет по защита на данните или компетентен национален орган даде задължително тълкуване, различно от изложеното по-долу, документът се актуализира и предишната позиция се пази в ревизионния журнал.
За картата между функционалности и правни изисквания вижте страницата Съответствие. Двете страници се допълват: страницата за съответствие описва какво прави продуктът; методологията описва как четем закона.
Последна актуализация: април 2026 г.
§1. Обхват и източници #
Тази методология разглежда Директива (ЕС) 2019/1937 така, както е транспонирана в националното право на 27-те държави членки на ЕС. Когато националната транспозиция е по-строга от директивата, националното правило има предимство за организациите, които оперират в съответната юрисдикция.
Авторитетни източници, по ред на предимство:
- Самият текст на директивата — Директива (ЕС) 2019/1937 от 23 октомври 2019 г., включително съображенията.
- Националните закони за транспониране — задължителни в съответната държава членка. Вижте законите по държави.
- Решения на Съда на Европейския съюз — задължителни в целия Съюз.
- Насоки на Европейския комитет по защита на данните — за аспектите на защитата на данните.
- Насоки на национални компетентни органи — убедителни в съответната държава.
Този документ е оперативна методология. Той не е правен съвет.
§2. Конвенции #
„Директивата предвижда“ въвежда твърдение за това какво изисква текстът на директивата.
„На практика това означава“ въвежда тълкуването на EthicsPortal, когато текстът допуска повече от едно разбиране.
„EthicsPortal прилага това чрез“ въвежда как тълкуването се проявява в продукта.
Всички препратки към членове са към Директива (ЕС) 2019/1937, освен ако не е посочено друго.
§3. Прагът от 50 работници (чл. 8) #
Въпросът. Член 8(3) изисква юридическите лица с „50 или повече работници“ да въведат вътрешни канали за сигнали. Директивата не определя как се изчислява броят, как се броят работещите на непълно работно време и временните работници, или дали прагът се прилага на ниво юридическо лице или група.
Директивата предвижда, че „юридическите лица в частния сектор с 50 или повече работници“ трябва да спазват изискването. Съображение 48 уточнява, че прагът се изчислява съгласно националното право.
На практика това означава, че изчисляването следва националните правила за преброяване на заетостта. Прагът се прилага на ниво юридическо лице, а не на ниво група, освен ако националното право не предвижда друго.
Изпълнители, временни работници и стажанти по принцип се броят, когато попадат в националната дефиниция за „работник“, която е по-широка от „служител“ в тесния смисъл.
EthicsPortal прилага това чрез липса на ограничение по headcount за достъп до продукта. Всяка организация може да активира портал независимо от размера си.
§4. Срокът за потвърждение (чл. 9(1)(b)) #
Въпросът. Член 9(1)(b) изисква потвърждение на получаването „в срок от седем дни от получаването“. Директивата не уточнява календарни или работни дни.
На практика това означава седем календарни дни, считано от момента на получаване на сигнала.
Потвърждението е потвърждение, че сигналът е получен и регистриран. То не е оценка по същество.
EthicsPortal прилага това чрез автоматично потвърждение в момента на подаване и проследяване на крайния срок с известия.
§5. Срокът за обратна връзка (чл. 9(1)(f)) #
Въпросът. Член 9(1)(f) изисква обратна връзка „в разумен срок, не по-дълъг от три месеца“. Директивата не определя какво точно е „обратна връзка“.
На практика това означава, че обратната връзка трябва да бъде съществена. Не е достатъчно второ потвърждение или съобщение, че случаят „се разглежда“. Подателят трябва да знае какви действия са предприети или планирани и защо.
EthicsPortal прилага това чрез отделно проследяване на 7-дневния и 3-месечния срок и двупосочния защитен канал за съобщения.
§6. Дължими последващи действия (чл. 9(1)(d)) #
На практика това означава, че diligent follow-up има три минимални компонента:
- Оценка. Документирана преценка дали твърденията, ако са верни, представляват нарушение.
- Пропорционално разследване. Стъпки по разследване, съобразени със сериозността на твърдяното нарушение.
- Своевременен запис. Действията, решенията и основанията им трябва да се документират в момента на извършване.
EthicsPortal прилага това чрез workflow на случая, вътрешни бележки и append-only одитна следа.
§7. Поверителност на самоличността (чл. 16) #
На практика това означава, че „самоличност“ трябва да се разбира функционално: включва всяка информация, която сама по себе си или в комбинация позволява идентифициране на подателя.
Това включва:
- име и данни за контакт
- IP адрес
- метаданни на файлове
- модели на времеви маркери или достъп, които позволяват идентификация
EthicsPortal прилага това чрез липса на съхранение на IP адреси, автоматично премахване на метаданни от файлове и шифроване на полетата за самоличност.
§8. Срокове за съхранение (чл. 18) #
На практика това означава, че съхранението трябва да бъде оправдано с конкретна правна или оперативна цел, ограничено във времето и документирано.
Типични основания и срокове:
| Цел | Типичен срок |
|---|---|
| Активен случай | До приключване |
| Разследване или спор | До окончателно приключване |
| Регулаторна проверка | Съгласно секторното правило |
| Защита срещу искове за репресии | 2–5 години според националната давност |
| Статистическо отчитане | Само анонимизирани данни |
EthicsPortal прилага това чрез конфигурируеми периоди на съхранение: 12, 24, 36 или 60 месеца.
§9. Правно основание за обработване (взаимодействие с GDPR) #
На практика това означава, че правното основание обикновено е чл. 6(1)(c) GDPR — правно задължение, когато организацията е длъжна да поддържа канал за сигнали.
За организации, които поддържат канал доброволно, правното основание е чл. 6(1)(f) — легитимен интерес, при документално извършен balancing test.
EthicsPortal прилага това чрез използване на чл. 6(1)(c) като стандартно правно основание в DPA и уведомлението за поверителност.
§10. Предимство на националното право (чл. 25) #
На практика това означава, че когато националната транспозиция е по-строга от директивата, националното право има предимство. Директивата поставя минимум, не максимум.
За многонационални оператори практическото правило е: прилагайте по-строгото от (директива, национален закон) във всяка юрисдикция.
EthicsPortal прилага това чрез настройки по подразбиране, калибрирани към най-строгия общ знаменател между държавите членки.
§11. Анонимни сигнали (чл. 6(2), чл. 9(1)(e)) #
Въпросът. Длъжна ли е организацията да приема анонимни сигнали?
Директивата предвижда, че държавите членки решават дали юридическите лица трябва да приемат и разглеждат анонимни сигнали.
На практика това означава, че националното право решава. Веднъж приети, анонимните сигнали трябва да бъдат разглеждани със същия стандарт на последващи действия.
EthicsPortal прилага това чрез приемане на анонимни сигнали по подразбиране. Не се изискват данни за контакт. IP адреси не се съхраняват, а метаданните на файловете се премахват преди съхранение.
Ревизионен журнал #
- Април 2026 г. — добавен §11 за анонимните сигнали.
- Април 2026 г. — първоначална публикация.
Корекции и запитвания #
Ако откриете грешка или позиция, която противоречи на решение на Съда на ЕС, становище на Европейския комитет по защита на данните или обвързващи национални насоки, пишете на support@ethicsportal.eu. Корекциите се публикуват в ревизионния журнал.
Последна актуализация: